savoir si trojan bien supprimé Résolu/Fermé

Question

Bonjour, un trojan a été détecté, on m'a proposé de le supprimer je l'ai fait mais je ne sais pas si il est encore la ou pas je voudrais avoir un avis. 
C'est  Trojan : Win32/Oficla.T
Merci



Configuration: Windows Vista / Firefox 3.6.8

codesteeven · Answer

c'est quelle antivirus que tu as?

flo-91 · Answer

Salut,

Pour voir si tu es encore infecté :


On va commencer par analyser ton pc, :

Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .

maxime85310 · Answer

voila 
http://www.cijoint.fr/cjlink.php?file=cj201008/cij2haA4jG.txt

maxime85310 · Answer

mon antivirus est Avira antivir

flo-91 · Answer

A la vue du rapport tu es infecté par des virus publicitaires :


Pour les traiter :


Pour les ordinateurs équipés de Windows Vista et Windows 7, la désactivation du Contrôle des comptes utilisateurs est obligatoire
sous peine de ne pas pouvoir faire fonctionner correctement l'outil.
 Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

>Ad-Remover<

>Telecharge Ad-Remover et enregistre-le sur ton bureau :

https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/

>Désactive ton antivirus le temps de la manip
>Déconnecte-toi d'Internet et ferme toutes applications en cours
>Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files).
>Au menu principal, choisis l'option  Nettoyer
>Poste le rapport généré (C:\Ad-Report-CLEAN.log).
>N'oublie pas de réactiver ton anti-virus

maxime85310 · Answer

voila le rapport : http://www.cijoint.fr/cjlink.php?file=cj201008/cijmgpbFCO.txt

Mais en redémarrant il a encore trouvé le même trojan et j'ai encore fait supprimé

flo-91 · Answer

OK, supprime ces cracks qui sont vecteurs de malware : 

C:\Users\Pascal\Desktop\TuneUp Utilities 2010 FR+Keygen-www.Golden-DDL.com\TuneUp Utilities 2010 FR+Keygen-www.Golden-DDL.com\TU2010TrialFR-www.Golden-DDL.com.exe   

C:\Users\Pascal\Desktop\TuneUp Utilities 2010 FR+Keygen-www.Golden-DDL.com\TuneUp Utilities 2010 FR+Keygen-www.Golden-DDL.com\keygen-www.Golden-DDL.com.exe  
 

Puis : 


>Telecharge malwarebytes ici : 


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ 

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware 
. enregistres le sur le bureau 
/!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur » 

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé 
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet 
. Cliques sur Rechercher 
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 
 *>flo-91<*® 

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),  
il y a peut être déjà  la solution à votre problème   =)

maxime85310 · Answer

voila le rapport
http://www.cijoint.fr/cjlink.php?file=cj201008/cijHEkchaz.txt

flo-91 · Answer

Ok, reposte un nouveau rapport ZHPDIAG stp.

maxime85310 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijIV9xwXr.txt

flo-91 · Answer

OK, la suite :


* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

[HKCU\Software\AppDataLow\Software\Internet Search Helper]  
[HKCU\Software\AppDataLow\Software\Remote Access Enhancer]
[HKCU\Software\AppDataLow\Software\Web Access Controller]
[HKCU\Software\AppDataLow\Toolbar] 
O43 - CFD:Common File Directory ----D- C:\Program Files\Messenger_Plus_Live_France   
[HKLM\Software\Messenger_Plus_Live_France]
O42 - Logiciel: SweetIM Toolbar for Internet Explorer 3.8 - (.SweetIM Technologies Ltd..) [HKLM] -- {7A27764B-5434-4DAA-BD43-3ACF4FFCD7FE} 

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

maxime85310 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijsOPjn8W.txt

flo-91 · Answer

Il y a un truc qui m'embête, reposte un nouveau ZHPDIAG stp.

maxime85310 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijXWN97rZ.txt

flo-91 · Answer

Ah non c'est bon il a été viré ^^

On termine si tu veux bien :


Tu vas utiliser le logiciel CCleaner pour faire un petit peu de nettoyage :

ATTENTION : Ce n'est en aucun cas un logiciel de désinfection, ccleaner va nettoyer le pc des fichiers temporaires inutiles ( certains sont infectieux quelquefois ) et autres cookies internet et accessoirement, il répare le registre pour o[b]ptimiser le pc[/b], mais [b]il ne désinfecte pas[/b] le pc.

=> Famille outils d'optimisation

Tu peux garder l'outil sur ton pc pour un nettoyage de temps en temps ( environ 1 fois/mois )


>Telecharge et installe le Logiciel Ccleaner ici :

https://www.commentcamarche.net/telecharger/

>Lances le programme et paramètre-le ainsi :

>Onglet "option" clique sur "avancé" décoche la case "effacer les fichiers temporaires de windows datant de plus de 48 heures".

>Nettoyage<

>Onglet "Nettoyeur" clique sur "analyser" puis sur "nettoyer", tu refait l'opération jusqu'à ce qu'il n'y ai plus rien a supprimer

>Onglet "registre" clique sur "rechercher les erreurs" puis "corriger les erreurs sélectionnées", tu refait l'opération jusqu'à ce qu'il n'y ai plus rien a réparer.

>Il est conseillé de garder l'outil sur son pc et de faire quotidiennement un nettoyage.


Ce logiciel est utilisé pour nettoyer les outils qui ont servi à la désinfection :

>Telecharge Toolscleaner2 ici :

https://www.commentcamarche.net/telecharger/

>Installes et lances le programme

>Clique sur "recherche" et laisse le scan se terminer

>Clique sur "suppression" pour finaliser

>Cliquer sur "quitter" pour que le rapport puisse se créer

>Poste le rapport

> /!\Utilisateur de Vista et SEVEN :

N'oublie pas de réactiver l'UAC si tu as eu besoin de la desactiver


Les infections se logent souvent dans les restauration du systeme sans que ne l'on puisse le voir, il est donc important de la purger si tu ne veux pas être réinfecter à la prochaine restauration si tu as besoin :

Purge la restauration de ton système


*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre le PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre le PC ...



Créé un nouveau point de restauration :

> Démarrer 
> Tous les programmes
> Accessoires 
> Outils Système 
> Restauration du système.


Devant l'écran d'accueil, choisi "créer un point de restauration", puis donnes-lui un nom comme "point de restauration saint par exemple" et clique sur "créer".



Met a jour ta console Java


>Telecharge et installe Javara ici :


http://raproducts.org/click/click.php?id=1

>Dézippe le fichier avec "extraire ici"
>Double-clique sur JavaRa.exe pour lancer le programme
>Sélectionne la langue Français
>Clique sur "recherche de mises a jour"
>Choisi l'option "Mettre a jour via jucheck.exe" puis clique sur recherche
>Accepte l'installation de la nouvelle mise a jour

>N'accepte surtout pas la toolbar yahoo qui est source de malwares

>Retourne à l'interface principale et clique sur Effacer les anciennes versions 
>On te demande une confirmation, accepte

Un tuto pour t'aider :

http://www.libellules.ch/tuto_javara.php


Ta version de flash player n'est pas à jour désinstalle ton ancienne version et télécharge la dernière ici :

https://get.adobe.com/flashplayer/?loc=fr


Astuce :

Pour plus tard, pour t'aider à maintenir tout le temps tes logiciels à jour, je te conseil le logiciel Secunia, il fait un scan de ton pc et t'indique directement les logiciels non à jour et les bonnes adresses pour télécharger les dernières versions.
Le logiciel est téléchargeable ici :

https://www.flexera.com/products/operations/software-vulnerability-management.html


Un tutoriel d'aide disponible ici :

https://forum.pcastuces.com/tutoriel___secunia_psi-f25s53229.htm



Améliorer sa sécurité


Conseils pour protéger son pc :

Un bon antivirus :

En gratuit : Avira Antivir ou Avast.

En payant :
Kaspersky ou Eset NOD32

Un pare-feu :

Celui de windows ou un autre plus efficace ( desisntaller celui de windows si on choisi un autre ) :

Comodo :
https://www.commentcamarche.net/telecharger/

 Ou Kerio 
https://www.commentcamarche.net/telecharger/
 Ou Zone Alarm :
https://www.commentcamarche.net/telecharger/

Pour COMODO, voici un petit tuto pour le configurer : https://www.malekal.com/tutorial-comodo-firewall/

Un anti malware en plus  :

Malwarebytes : 

https://www.commentcamarche.net/telecharger/



Je te conseille de naviguer avec Firefox si ce n'est déja fait, télécharge la derniere version ici :

http://www.mozilla-europe.org/fr/firefox/


Couplée avec de bons modules complémentaires, on améliore vraiment sa sécurité, tu le couple avec :

- Noscript:
https://addons.mozilla.org/fr/firefox/addon/noscript/

>Tuto pour configurer noscript : 

https://www.commentcamarche.net/faq/15677-noscript-un-bon-bouclier-et-obeissant

 -Wot :

https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/

-Adblock plus :

https://addons.mozilla.org/fr/firefox/addon/adblock-plus/ 

Tuto> http://www.6ma.fr/tuto/adblock-plus-bloquer-les-publicites-sur-firefox/


Evite les crack et le téléchargements avec des P2P (emule...) vecteurs de malwares :

https://forum.malekal.com/viewtopic.php?t=893&start=

https://forum.malekal.com/viewtopic.php?t=3208&start=


A consulter :

https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

https://www.commentcamarche.net/faq/7752-logiciels-gratuits-pour-assurer-une-bonne-securite-de-base

maxime85310 · Answer

Bon je viens de redémarrer l'ordi et Windows Defender a encore trouvé le même trojan ;( ... 

A demain

flo-91 · Answer

Bon, fait ceci :



/!\  Desactive ton antivirus le temps de la manip ainsi que ton parefeu et antispyware si présent /!\


> Télécharge List&Kill'em et enregistre le sur ton bureau ici :

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

> dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation

>double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option Recherche

>laisse travailler l'outil

>Poste le contenu du rapport qui s'ouvre

maxime85310 · Answer

pour commencer il me demande de l'installer, donc je l'installe ensuite il y a plusieurs boutons (Search, Clean) je clique sur Search mais ça ne marche pas ...

maxime85310 · Answer

je l'ai réinstallé et ça a marché :)
http://www.cijoint.fr/cjlink.php?file=cj201009/cijRmjvEe2.txt

maxime85310 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijjG43SsU.txt

par contre j'ai pas désactivé l'antivirus et le pare feu c'est grave ?

maxime85310 · Answer

Malwarebytes en mode sans échec n'a rien trouvé ..
http://www.cijoint.fr/cjlink.php?file=cj201009/cij6uHRhiE.txt

et au redémarrage il me l'a encore trouvé :(

varfendell · Answer

Sur ton screen, je vois en bas a droite que le par feu windows a un probleme (croix rouge). Qu'est ce que l'icone jaune avec le point d'exclamation?

Lance un scan avec antivir. S'il ne trouve rien, c'est possible que le probleme vienne de windows defender.

Sa dit ou fait quoi si tu clique sur tout supprimer ou revoir?

maxime85310 · Answer

pour le pare feu c'est rien c'est que ça démarrait juste. L'icône jaune est Tune up utilities

Je clique a chaque fois sur tout supprimer

gen-hackman · Answer

salut

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

observe ton bureau une icône "Script" s'est rajouté sur ton bureau

&#9654 crée un nouveau document texte sur ton bureau et copie/colle ce en gras si dessous :


FILE:C:\Users\Pascal\AppData\Roaming\download2
REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "download"
REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "C:\Users\Pascal\AppData\Local\Temp\0.5922712720167541.exe"
REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "C:\Users\Pascal\AppData\Roaming\download2\svcnost.exe"




&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

&#9654 effectue un glisser/deposer de ce fichier sur l'icone "Script"

laisse travailler l'outil

&#9654 poste le resultat

&#9654 Ferme List_Kill'em

Note : le rapport est aussi ici : ?:\Script_.txt

maxime85310 · Answer

J'ai fait revoir au lieu de tout supprimer, ça m'a amené sur Windows defender avec des détails du trojan :
"Catégorie :
Cheval de Troie

Description :
Ce programme est dangereux et il exécute des commandes émanant d'une personne malveillante.

Conseil :
Supprimer immédiatement ce logiciel.

Ressources :
process:
pid:2232

Résumé :
Exécution de l'application modifications ont été apportées.

Cet agent analyse les logiciels juste avant leur exécution. Vous recevez une alerte si un logiciel risque d'endommager votre ordinateur.

Point de contrôle :
Processus en cours"

Voila je sais pas si ça peut vous aider...

varfendell · Answer

Bon, ton virus est pressent au démarrage de l'ordi, on va restreindre le problème:

Dans le menu démarrer, clique sur exécuter (raccourci touche "windows+R"), tape "msconfig".

Une nouvelle fenêtre va s'ouvrir. Dans l'onglet démarrage recopie moi tout (ou screen) sur le forum.

varfendell · Answer

ok, alors clique sur "tout désactiver" et recoche antivir desktop. 

Redémarre ton PC, puis refait ce que gen-hackman t'as dit de faire tout a l'heure 
La bretagne...le plus bel endroit au monde.

maxime85310 · Answer

J'ai réessayé en désactivant le contre des comptes utilisateurs mais toujours pas de rapport:/

gen-hackman · Answer

tu n' as pas C:\Script_.txt ?

maxime85310 · Answer

Voila c'est bon 
http://www.cijoint.fr/cjlink.php?file=cj201009/cijj8eAaW9.txt

maxime85310 · Answer

que dois-je faire maintenant ?

gen-hackman · Answer

quels soucis persistent ?

maxime85310 · Answer

je recoche tous dans msconfig ou pas ? car c'est depuis que j'ai tout décoher sauf avira desktop je n'ai rien

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-19027674-savoir-si-trojan-bien-supprime?page=2#66

maxime85310 · Answer

oui mais ça répond pas a ma question je dois recocher ou pas ? 
Mon ordi ne détecte rien depuis que varfendell m'a dis de tout décocher pour le démarrage

gen-hackman · Answer

non ne recoche pas

maxime85310 · Answer

ok merci de votre aide a tous :)

gen-hackman · Answer

:)

maxime85310 · Answer

p**** ça va pas me lacher !! j'étais en train de mettre a jour ma console jave et il m'a retrouvé un cheval de troie !!
List_Killem_update.exe  
le nom est TR/Bagle.526848

gen-hackman · Answer

MDR !! desinstalle List_kill'em....

qui t'a dit cette anerie ?

maxime85310 · Answer

avira antivir ... mon antivirus

gen-hackman · Answer

ok envoie-leur

Malwarebytes le considere comme trojan.downloader

c'est parce qu'il y a une adresse URL dans le code

maxime85310 · Answer

j'ai désinstallé et j'ai mis le "cheval de troie" en quarantaine

gen-hackman · Answer

maxime85310 · Answer

voila c'est bon merci ;)

gen-hackman · Answer

au plaisir :)

Savoir si trojan bien supprimé

46 réponses

Discussions similaires