cheval de troie!help me!!! Fermé

Question

Bonjour, mon ordinateur est infecté par un cheval de troie qui se propage

nom du fichire   C:\Users\perrine\AppData\Local\Temp\eapp32hst.dll
nom du logiciel malveillant     Win32:Tibs-EOE [Trj]
type   Cheval de Troie
ersion VPS   100928-0, 28/09/2010


j'ai beau essayer de le mettre en quarantaine, rien n'y fait
j'ai beau le supprimer, rien n'y fait!!!
et mes fichiers s'infectent!!

j'ai besoin d'aide svp, merci d'avance
Configuration: Windows 7 / Internet Explorer 8.0

jlpjlp · Answer

slt



Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

jlpjlp · Answer

colle un rapport de recherche  avec findykill

perrine · Answer

voici le rapport de recherche avec findykill:



############################## | FindyKill V5.050 |

# User : perrine (Administrateurs) # PERRINE-PC
# Update on 03/09/2010 by El Desaparecido
# Start at: 20:55:04 | 28/09/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) II Dual-Core M300
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 284,52 Go (237,6 Go free) # NTFS
# D:\ # Disque fixe local # 13,27 Go (2,21 Go free) [RECOVERY] # NTFS
# E:\ # Disque CD-ROM

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Uac : OK 
 
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) 
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )  
# windefend -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.050 ! |

jlpjlp · Answer

ok colle un rapport de nettoyage avec findykill


puis


Télécharge ZHPDiag de Nicolas Coolman sur ton bureau : 

-> http://www.premiumorange.com/zeb-help-process/download/ZHPDiag.zip 
-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


Enregistre le sur ton Bureau. 

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions. 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 

Double clique sur le raccourci ZHPDiag sur ton Bureau. 

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix. 

Clique sur la loupe pour lancer l'analyse. 

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/ 

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

perrine · Answer

############################## | FindyKill V5.050 |

# User : perrine (Administrateurs) # PERRINE-PC
# Update on 03/09/2010 by El Desaparecido
# Start at: 21:08:20 | 28/09/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) II Dual-Core M300
# Microsoft Windows 7 Édition Familiale Premium  (6.1.7600 64-bit) # 
# Internet Explorer 8.0.7600.16385
# Windows Firewall Status : Enabled

# C:\ # Disque fixe local # 284,52 Go (237,61 Go free) # NTFS
# D:\ # Disque fixe local # 13,27 Go (2,21 Go free) [RECOVERY] # NTFS
# E:\ # Disque CD-ROM

################## | Eléments infectieux |


################## | CRC32 ... |


################## | Registre | 


################## | Etat |

# Mode sans echec : OK


# Affichage des fichiers cachés : OK

et voici le lien:
http://www.cijoint.fr/cjlink.php?file=cj201009/cij8oftLIN.txt

jlpjlp · Answer

ok

branche tes supports externes puis colle un rapport de nettoyage avec le logiciel usbfix


puis

    * Téléchargez MBRCheck sur le bureau.
http://www.geekstogo.com/forum/files/file/441-mbrcheck/
    * Fermez toutes les applications.
    * Suivez les instructions, vous serrez amené à redémarrer le PC.
    * A la suite de ça, relancez MBRCheck qui devrait normalement vous indiquer " Windows XX ( XX correspond à votre version de windows ) MBR code detected "

perrine · Answer

je n'ai pas de support externes donc est-ce que je dois télécharger MBRCheck?

perrine · Answer

Sur le rapport de MBRCheck, il est bien noté le windows que j'utilise par contre on me met que le code MBR est inconnu! Que dois-je faire?

jlpjlp · Answer

fais usbfix

puis pour Mbr check il te propose de nettoyer?

perrine · Answer

pour usbfix on me dit erreur la page demandée ne se trouve pas à l'emplacement indiqué et je suis automatiquement redirigée vers la page d'accueil.

pour mbrcheck après code MBR introuvé, on me dit :
        Found non-standard or infected MBR.
        Enter 'Y' and hit ENTER for more options, or 'N' to exit: 
        Options:
        [1] Dump the MBR of a physical disk to file.
        [2] Restore the MBR of a physical disk with a standard boot code.
        [3] Exit.

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):

jlpjlp · Answer

prendre usbfix ici : http://nostools.pagesperso-orange.fr/usbfix.html

_________


pourMBR 


choisir l'option 2

[2] Restore the MBR of a physical disk with a standard boot code.

puis

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):
Tape le chiffre 0 puis valide avec [Entrée]


Tu auras maintenant un choix à faire, avec des codes de MBR :

Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Tape le chiffre "5" puis valide avec [Entrée]

Ensuite, tu verras ceci :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:

Ici, tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]

En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!
...suivi de "Please reboot your computer to complete the fix."

Donc éteindre le pc puis le redemarrer ensuite

et nous mettre le rapport obtenu

perrine · Answer

Avec usbfix, j'ai mis ma clé USB, mais la recherche se bloque à 48%

jlpjlp · Answer

ça a marché ?

perrine · Answer

non ça ne marche pas

jlpjlp · Answer

fais mbrchek  

puis retente usbfix comme ceci: 



 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectées sans les ouvrir


* Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

* Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

* Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

* Ton bureau disparaitra et le pc redémarrera .

* Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

* Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Utilisateur anonyme · Answer

ComboFix =)

perrine · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijP97ianD.txt 
le rapport back up je n'arrive ni à l'ouvrir, ni à l'envoyer car c'est un fichier bak.
Et usbfix ne fonctionne pas, il se stoppe à 48%!

jlpjlp · Answer

ok

à la place de usbfix :

http://ww25.evosla.com/Demarrer-telechargement/logiciels-evosla/1-RAV.html

    *  Télécharger Rav
    * Brancher les disques amovibles sans les ouvrir avant de lancer le Fix
    * Décompresser l'archive sur le bureau
    * Double-cliquer sur RAV.exe pour lancer l'outil
    * Une fois RAV lancé, il scannera automatiquement tous les lecteurs susceptibles d'être infectés
    * S'il y a infection un rapport s'établira, sinon le soft affichera le message : « Votre Ordinateur est sain »
    * Retirer les disques amovibles et redémarrer l'ordinateur.
     * colle le rapport si une infection est trouvée, sinon tu diras si il n'y a pas d'infection repérée



puis remets un rapport ZHPDIAG

perrine · Answer

pour Rav, le mesage "votre ordinateur est sain" est présent.
et voici le lien du rapport zhpdiag:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijgqqqFSy.txt

jlpjlp · Answer

-> Lance ZHPFix depuis le raccourci qui est sur ton bureau (clique droit -> lancer en tant qu'adminstrateur sous Vista et Seven).

Une fois l'outil ouvert , clique sur le bouton ( "coller les ligne Helper" ) .

Dans l'encadré principal , copie/colle tout le texte qui se trouve en gras ci dessous (et rien d'autre )




F3 - REG:win.ini: load=C:\Users\perrine\AppData\Local\Temp\dwm.exe
O4 - HKCU\..\Run: [dfrgsnapnt.exe] . (.Pas de propriétaire - Pas de description.) -- C:\Users\perrine\AppData\Local\Temp\dfrgsnapnt.exe 
O41 - Driver: (blbdrive) . (.Pas de propriétaire - Pas de description.) - C:\Windows\system32\DRIVERS\blbdrive.sys




Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Puis clique sur le bouton OK.
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications ( navigateurs compris ) !!

Clique sur le bouton Tous . Vérifies que toutes les lignes soient bien cochées .

Enfin clique sur le bouton Nettoyer .

-> laisse travailler l'outil et ne touche à rien ...

-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé, un rapport s'affiche : copie/colle tout son contenu dans ta prochaine réponse pour analyse ...

( ce rapport est en outre sauvegardé dans ce dossier > ( C:\Program files\ZHPFix\ZHPFixReport.txt )

____________________

télécharge malwarebyte antimalware, mets le à jour et colle un rapport de recherche rapide avec

perrine · Answer

le rapport avec zhpfix:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijtTiY9Mj.txt
le rapport avec malwarebyte:
http://www.cijoint.fr/cjlink.php?file=cj201010/cijNWRZ9uF.txt

jlpjlp · Answer

* Téléchargez TDSSKiller sur votre bureau


https://support.kaspersky.com/downloads/utils/tdsskiller.zip

    * Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Cochez les et cliquez sur "Delete/Repair Selected".

    * Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

      * colle le rapport obtenu

perrine · Answer

comment dois-je décompresser l'archive?
qd j'ouvre ça me mets "windows ne peut pas ouvrir le dossier, le dossier compressé n'est pas valide"

jlpjlp · Answer

coll un rapport avec un antivirus en ligne comme nod32 ou panda ou bitdefender

perrine · Answer

j'ai pu effectuer un scann avec HouseCall
1er scann: 3 virus et 7 chevaux de troie trouvés; tout a été nettoyé!
J'ai fait un 2nd scann: aucune menace!
(pas de rapport enregistré)
Cependant avec mon anti-vrus actuel, un cheval de troie vient de m'être signalé!!!

jlpjlp · Answer

colle un rapport avec nod32 en ligne

perrine · Answer

je ne peux pas avec nod 32, ça me met qque ce n'est pas une application valide avec win32! je ne peux pas non plus avec panda et bitdefender!

jlpjlp · Answer

colle un rapport avec dr web:

https://www.commentcamarche.net/telecharger/securite/7749-dr-web-cureit/


puis remets un rapport Zhpdiag

perrine · Answer

Je n'ai plus d'internet, sans doute dû à toutes ces applications. Du coup, je vais tout désinstaller et installer le minimum de mon ordinateur, ça sera moins compliqué et plus direct. Je te remmercie pour l'aide que tu as bien voulu m'apporter.

Cheval de troie!help me!!!

29 réponses

Discussions similaires