Ai-je un cheval de troie? Résolu/Fermé

Question

Bonjour, 

Hier, j'ai ouvert un fichier et une page intenet c'est ouverte avec des icones et un texte comme quoi j'étais "contaminé" par un cheval de troie et des virus.
Est ce possible? Et quoi faire si j'en ai? S'il vous plait

Configuration: Windows 7 / Internet Explorer 7.0

skenera · Answer

Bonjour, 
pourriez-vous mettre une capture d'écran ?

kalimusic · Answer

Bonjour et Bienvenue sur CCM

C'est une page web qui simule un scan antivirus pour te faire croire que tu es infecté et te pousser à télécharger un faux antivirus (rogue). 
Constates tu des dysfonctionnements depuis ?
Nous allons utiliser cet outil de diagnostic afin d'identifier si le système a été touché.

Télécharge OTL  (de OldTimer) sur ton Bureau.

 Ferme toutes tes applications en cours

    * Lance OTL.exe 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * L'interface principale s'ouvre :
    * Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    * Coche également les cases Recherche LOP et Recherche Purity
    * Laisse tous les autres paramètres par défaut (âge du fichier 30 jours)
    * Clique sur le bouton Analyse, patiente pendant le balayage du système.
    * 2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches) 
* Ne les poste pas sur le forum, ils seraient trop long 
* Héberge les sur http://www.cijoint.fr/
* Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message.


A +

kalimusic · Answer

Bonjour,

Pas de soucis en ce qui concerne la fausse page web, par contre le site chat-land.org  installe une infection qui modifie les pages d'accueil et de recherches.
C'est toi qui installe l'infection en acceptant leurs conditions d'utilisation.

Durant la désinfection, il est préférable de ne pas :

1. Ajouter de programmes à ton PC
2. Utiliser d'outil de désinfection de ta propre initiative
3. Suivre d'autres conseils afin de ne pas interférer sur la procédure en cours

Il est préférable de terminer la procédure même si ton PC semble aller mieux.

N'hésite pas à me faire part d'éventuelles difficultés dans les manipulations demandées.

Afin de permettre aux outils de désinfection de travailler correctement : 
Désactive l'UAC

****************************************************************1. Télécharge AD-Remover (C_XX) sur le bureau 

Désactive la protection résidente de ton anti-virus pour ne pas gêner le travail de l'outil    

* Lance Ad-R 
  -  Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
* Clique sur "Oui" dans la boite de dialogue 
* Dans l'interface principale, clique sur le bouton Nettoyer puis confirme l'action en cliquant sur "Oui" 
* Patiente le temps du scan (le bureau peut disparaitre), le rapport doit s'ouvrir spontanément à la fin. 
* Clique sur Quitter 

Copie/colle le rapport dans ton prochain message.

Si le rapport ne s'ouvre pas spontanément, il se trouve à la racine du disque C:\Ad-report-CLEAN

"Process.exe" est détecté par certains antivirus comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus

2. Télécharge  ATF  (par A-Tribune) sur le bureau 
    * Lance l'outil
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * Coche Select All 
    * Clique sur Empty Selected 
    * Clique sur OK dans la boite de dialogue Done cleaning! 
    * Si tu utilises un autre navigateur que IE, choisis ton navigateur dans l'onglet du haut (Firefox ou Opera ) 
    * Coche Select All 
(Si tu souhaites conserver les mots de passe sauvegardés, clique Non à l'invite) 
    * Clique sur Empty Selected 
    * Accepte de tout supprimer en cliquant sur OK 

Cet outil ne donne pas de rapport, il sert à préparer le passage du logiciel suivant. 

3. Télécharge MBAM et installe le selon l'emplacement par défaut.
    * Effectue la mise à jour et lance Malwarebytes' Anti-Malware
    * Clique dans l'onglet du haut "Recherche"
    * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

    * Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

    * Clique sur OK puis "Afficher les résultats"
    * Choisis l'option "Supprimer la sélection"
    * Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    * Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    * Sinon le rapport s'ouvre automatiquement après la suppression 

Quelque soit le résultat, copie/colle le rapport dans le prochain message

A +

kalimusic · Answer

re,

Non pour ce cheval de troie, par contre tu as d'autres infections ;)

En acceptant les conditions d'utilisation, chat-land modifie les paramètres des navigateurs de façon plus que douteuses.

L'UAC désactivé, c'est seulement le temps de la désinfection. 

Je ne connais pas F-Secure mais en principe clic-droit sur l'icône prés de l'heure "Désactiver protection résidente"

A+

kalimusic · Answer

oui le pack-sécurité de SFR, c'est en fait F-Secure Internet Security...mais en plus cher :)

Tu as raison, ils ont trouvés un nom moins parlant :

Décharger et autoriser tout le trafic réseau 

Comment désactiver mes logiciels de sécurité ?

A +

kalimusic · Answer

P.S.H


Oui, rien de méchant.
On refait un diagnostic rapide pour voir si tout a été traité.

Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
* Laisse tous les autres paramètres par défaut
* Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
* Après le balayage, le rapport  OTL.txt va s'ouvrir au format bloc-note 
* Héberge le sur http://www.cijoint.fr/ comme la 1er fois

A +

kalimusic · Answer

P.S.H

Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
    * L'interface principale s'ouvre :
    * Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

:OTL
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://ww12.cherche.us 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultName = cherche.us 
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchMigratedDefaultURL = http://www.cherche.us/... 
O4 - HKLM\..\Run: []  File not found
O4 - HKLM\..\Run: [binternet] C:\Users\Clarisse\binternet.exe File not found     
O4 - HKCU\..\Run: [RESTART_STICKY_NOTES] C:\Windows\SysWow64\StikyNot.exe File not found
O4 - Startup: C:\Users\Clarisse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\binternet.lnk = C:\Users\Clarisse\binternet0013.exe (MY-IWEB) 
O4 - Startup: C:\Users\Clarisse\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Pense-Bête 79g.lnk = C:\Program Files (x86)\Pense-bete\pb79g.exe File not found
O15 - HKCU\..Trusted Domains: chat-land.org ([]* in Trusted sites) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) 
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) 
[1 C:\Users\Clarisse\*.tmp files -> C:\Users\Clarisse\*.tmp -> ] 

:Files
C:\Users\Clarisse\binternet0013.exe 

:Commands 
[emptyflash]
[emptytemp]
    * Clique sur le bouton Correction, patiente pendant le travail de l'outil, il va redémarrer le PC.   
    * Accepte en cliquant sur OK 
    * Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément   
    * Copie/colle le dans ton prochain message   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log) 

A +

kalimusic · Answer

P.S.H

Tout va bien ? On continue :

1. On va désinstaller les outils utilisés car ils ne peuvent pas rester sur ton système.     

a) Relance Ad-Remover en tant qu'administrateur
* Clique sur Désinstaller   

a) Relance OTL en tant qu'administrateur  
* Clique sur le bouton Purge outils
* Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système

2. a) Crée un point sain de restauration   

2. b) Désactive et réactive la restauration système de Vista   

3. Si tu ne l'as pas encore fait, tu peux réactiver L'UAC    

4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant 

Pour l'antivirus, si souhaites une autre solution gratuite ou payante, en tout cas moins onéreuse et plus efficace. Demande moi.

5. Télécharge et installe  JRE 6 Update 21  
!! n'oublie pas de décocher la case "Yahoo! toolbar" !!    

Désinstalle les versions obsolètes : 
Java(TM) 6 Update 15 ou Supprime les anciennes versions de Java avec JavaRa  
tuto : http://www.libellules.ch/tuto_javara.php 

6. Télécharge et installe Ccleaner -  Tutoriel CCleaner    
Surtout ne pas oublier de décocher la barre d'outils yahoo! lors de l'installation   
Ce logiciel doit être utilisé régulièrement pour nettoyer les fichiers temporaires et les cookies.   

A +

kalimusic · Answer

Ne soit pas désolé, je t'ai dit au début de sujet que je répondrais à tes questions et si tu avais des difficultés sur une manipulation :)

Je viens de m'apercevoir que je t'ai donné la manip pour Vista alors que tu es sous Seven ...oups ! 

Crée un point sain de restauration

Désactive et réactive la restauration système de  Windows 7

A +

kalimusic · Answer

Ok pas de soucis, tu fais à ton rythme  

5 java réinstallé mais - Où décocher la case "Yahoo! toolbar" ?
et - Où supprimer les anciennes versions ? 
Lors de l'installation ou de la mise à jour de Java, on te propose d'installer la barre d'outil de Yahoo! qui est complètement inutile.
Si par hasard tu l'as installé et que tu ne t'en sers pas, tu la désinstalles.

les anciennes version de Java  se désinstalle comme tout autre programme :
Panneau de Configuration > Programmes > (programmes et Fonctionnalités) > Désinstaller un programme > 
Tu dois avoir Java(TM) 6 Update 15  à désinstaller, si tu as en a d'autres, n'hésites pas ! Tu ne gardes que la version update21  que tu viens d'installer ;)

A +

kalimusic · Answer

Bonjour,

Ne focalise pas trop sur la barre d'outils Yahoo!
Retiens la règle qu'il ne faut pas en principe accepter les barres d'outils et/ou de recherches proposés lorsque tu installes un logiciel.
Ccleaner est très simple et bien utile, tu vas l'apprivoiser ;)
un autre tuto : http://jal.cyber-nux.fr/?p=114

Bonne continuation

Ai-je un cheval de troie?

11 réponses

Discussions similaires

Newsletters