CHEVAL DE TROIE sur mon Ordi : HELP ! Fermé

Question

Bonjour, 

J'ai besoin de votre aide, j'ai un virus nommé Cheval de troie  : TR/FraudPack.kva.87, et je n'arrive pas à la supprimer de mon ordinateur portable. S'il vous plait aidez-moi. 
Je possède : 
 - Ordinateur Portable Packard Bell
 - Windows 7
 - avira antivir personnel 

S'il vous plait aidez moi. 
Merci d'avance !

Utilisateur anonyme · Accepted Answer

Bonjour Zoé

On va faire un examen complet du PC pour voir où il est situé
* Télécharge ZHPDiag (de Nicolas Coolman)
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

e_hedi13 · Answer

Bonjour,
Essaie avec malwarebytes' anti-malware


Cordialement,
Hedi

mpuissance4 · Answer

bonjour 

Redirigé a virus sécurité , attend un Membre Contributeur Sécurité

avant de faire quoi que ce soit ^^

Cordialement

Zoé85 · Answer

Voilà le lien : http://www.cijoint.fr/cjlink.php?file=cj201010/cij9GRiJQ6.txt

Utilisateur anonyme · Answer

C'est infecté
Infection Rénos

Télécharge UsbFix (de El Desaparecido, C_XX)  sur ton bureau­
http://www.teamxscript.org/usbfixTelechargement.html

# Clic droit sur UsbFix présent sur ton bureau, et clique sur  
exécuter en tant qu'administrateur, puis clique sur exécuter
 pour lancer l'installation qui se fera automatiquement

# Clique sur Recherche

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir, sur ton PC, et clique sur OK

# Laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra.

# Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Utilisateur anonyme · Answer

J'arrive
# Clic droit sur UsbFix présent sur ton bureau, et clique sur  
exécuter en tant qu'administrateur

# Clique sur Suppression

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK

# La suppression est lancée. Le bureau va disparaitre, c'est normal

# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me

# Clique sur Parcourir pour aller chercher le fichier 
compressé qui se trouve à la racine du disque

# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Utilisateur anonyme · Answer

Tu l'as lancé 2 fois l'outil ?

Tu as fait ceci ?
Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_LINDIANA-PC.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.

Tu as aussi My Web Search qui est néfaste et qui infecte pas mal les PC, il ne
faut pas télécharger ce genre de programme


Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html    ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Nettoyer[/b].
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans [b]C:\Ad-Remover-CLEAN[1].txt[/b]

Utilisateur anonyme · Answer

Désactive l'UAC (contrôle de comptes d'utilisateurs): 
* Démarrer, clique sur l'image du compte en haut du menu Démarrer 
* Clique sur modifier les paramètres de contrôle de comptes 
d'utilisateurs 
* Descends le curseur jusqu'en bas (Ne jamais m'avertir) 
* Clique sur OK, puis accepte de redémarrer le PC 


Ensuite, tu fait clic droit sur Ad Remover, et sur exécuter en 
tant qu'administrateur, et suis les instructions 
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

Laisse tomber, essaye de lancer Ad Remover en tant qu'administrateur

Zoé85 · Answer

Voilà le rapport : 

======= RAPPORT D'AD-REMOVER 2.0.0.2,B | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 25/10/10 à 11:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:10:45 le 28/10/2010, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64) 
lindiana@LINDIANA-PC (PACKARD BELL BV EasyNote MH36) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Program Files (x86)\Uninstall Fun Web Products.dll
Dossier supprimé: C:\Program Files (x86)\Conduit
Fichier supprimé: C:\Program Files (x86)\Windows Live\Messenger\Riched20.dll

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\Interface\{2E9937FC-CF2F-4F56-AF54-5A6A3DD375CC}
Clé supprimée: HKLM\Software\Classes\Interface\{741DE825-A6F0-4497-9AA6-8023CF9B0FFF}
Clé supprimée: HKLM\Software\Classes\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE}
Clé supprimée: HKLM\Software\Classes\TypeLib\{D518921A-4A03-425E-9873-B9A71756821E}
Clé supprimée: HKLM\Software\Classes\Toolbar.CT1460988
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKLM\Software\Fun Web Products
Clé supprimée: HKLM\Software\MyWebSearch
Clé supprimée: HKCU\Software\Grand Virtual
Clé supprimée: HKCU\Software\MyWebSearch
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKCU\Software\AppDataLow\Software\Fun Web Products
Clé supprimée: HKCU\Software\AppDataLow\Software\FunWebProducts
Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{00A6FAF1-072E-44CF-8957-5838F569A31D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA}
Clé supprimée: HKLM\Software\Classes\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45DD-9B68-D6A12C30E5D7}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll
Clé supprimée: HKLM\Software\Microsoft\Multimedia\WMPlayer\Schemes\f3pss


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.8 (fr)] **

-- C:\Users\lindiana\AppData\Roaming\Mozilla\FireFox\Profiles\kzas31sn.default\Prefs.js --
browser.download.lastDir, C:\Users\lindiana\Pictures
browser.search.defaultenginename, ICQ Search
browser.search.defaulturl, hxxp://search.babylon.com/web/{searchTerms}?babsrc=browsersearch
browser.search.selectedEngine, ICQ Search
browser.startup.homepage, hxxp://google.fr/
browser.startup.homepage_override.mstone, rv:1.9.2.8
keyword.URL, hxxp://search.icq.com/search/afe_results.php?ch_id=afex&tb_ver=2.0.0.6&q=

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\SysWOW64\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 3 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 28/10/2010 (5634 Octet(s)) 

Fin à: 18:12:16, 28/10/2010 
 
============== E.O.F ==============

Utilisateur anonyme · Answer

Je verrai plus tard dans la soirée, pour la suite

Utilisateur anonyme · Answer

Pourrais tu me refaire ZHPDiag, et héberger le rapport, et me donner le lien

Utilisateur anonyme · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 


R3 - URLSearchHook: (no name) -  Clé orpheline
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} Clé orpheline    
R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} . (.Pas de propriétaire - Pas de description.) (No version) -- C:\Program Files (x86)\myBabylon_English	bmyBa.dll    
R3 - URLSearchHook: (no name) -  . (.Pas de propriétaire - Pas de description.) (No version) -- {855F3B16-6D32-4fe6-8A56-BBB695989046}    
R3 - URLSearchHook: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} . (.Pas de propriétaire - Pas de description.) (No version) -- C:\Program Files (x86)\myBabylon_English	bmyBa.dll    
O2 - BHO: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\myBabylon_English	bmyBa.dll    
O3 - Toolbar: myBabylon English Toolbar - {b2e293ee-fd7e-4c71-a714-5f4750d8d7b7} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files (x86)\myBabylon_English	bmyBa.dll 
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe    
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files (x86)\QuickTime\QTTask.exe    
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files (x86)\iTunes\iTunesHelper.exe    
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files (x86)\Common Files\Real\Update_OBealsched.exe    
OPT:O4 - HKCU\..\Run: [swg] . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe    
O4 - HKCU\..\Run: [U36VRSFLG6] C:\Users\lindiana\AppData\Local\Temp\Zgs.exe (.not file.)
O4 - HKUS\S-1-5-21-3348859137-1029680584-3836251112-1000\..\Run: [U36VRSFLG6] C:\Users\lindiana\AppData\Local\Temp\Zgs.exe (.not file.)   
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job    
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job    
[HKCU\Software\ImInstaller]
[HKCU\Software\NtWqIVLZEWZU]    
[HKCU\Software\U36VRSFLG6]    
[HKCU\Software\X3EKEPXJP2]    
[HKLM\Software\ImInstaller]
O44 - LFC:[MD5.09A76B1C2C6B5B9D762DC8530A1099BE] - 26/10/2010 - 11:15:12 ---A- . (.CJSC Computing Forces - Silvers.) -- C:\Windows\Zjeqib.exe   [249856]    
O44 - LFC:[MD5.09A76B1C2C6B5B9D762DC8530A1099BE] - 26/10/2010 - 11:14:28 ---A- . (.CJSC Computing Forces - Silvers.) -- C:\Windows\Zjeqia.exe   [249856]    


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu 
as mis en mémoire  
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse

Utilisateur anonyme · Answer

Est-ce que ce sont les lignes que j'ai montré en gras qui sont dans la zone
de ZHPFix ?
Si tu as bien copié les lignes en gras comme je te l'ai montré, elles doivent figurer
dans la zone de ZHPFix

Utilisateur anonyme · Answer

C'est bon, lance le nettoyage comme je l'ai expliqué dans la procédure

Utilisateur anonyme · Answer

Très bien

On va maintenant faire un scan généraliste, et après, on finalisera

Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

Utilisateur anonyme · Answer

Bonsoir,
Vide la quarantaine de Malwarebytes
J'ai vu ceci
C:\Program Files (x86)\ZHPDiag\Quarantine\zjeqia.exe.VIR (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\Program Files (x86)\ZHPDiag\Quarantine\zjeqib.exe.VIR (Rootkit.TDSS) -> Quarantined and deleted successfully. 
C:\UsbFix\Quarantine\C\Users\lindiana\AppData\Local\Temp\g.exe.vir (Rootkit.TDSS) -> Quarantined and deleted successfully. 
C:\UsbFix\Quarantine\C\Users\lindiana\AppData\Local\Temp\Zgs.exe.vir (Rootkit.TDSS) -> Quarantined and deleted successfully. 

Bizarre dans un Windows 64bits

Utilisateur anonyme · Answer

Bonjour
Plus d'alerte ?

Utilisateur anonyme · Answer

Bonsoir
Pour la webcam, c'est peut-être un problème de pilote
Windows Media player ne fonctionne pas ?

Utilisateur anonyme · Answer

Bonjour
Essaye d'aller sur le site du fabricant de ta webcam, peut-être que le pilote doit
être mis à jour

Pour Windows Media Player, tu vas essayer ceci
Démarrer, tape dans la barre de recherche
regsvr32 jscript.dll, et presse la touche entrée

Puis Démarrer, tape dans la barre de recherche
regsvr32 vbscript.dll, et presse la touche entrée

Utilisateur anonyme · Answer

Bonjour
Tu vas essayer ceci:
Démarrer, Tous les programmes, accéssoires, clic droit sur invite et commande,
et sur exécuter en tant qu'administrateur
Dans la fenêtre noire tape regsvr32 jscript.dll, et presse
la touche entrée

Utilisateur anonyme · Answer

Je ne sais pas d'où vient ce problème, désolée 

O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Utilisateur anonyme · Answer

As tu un CD Windows ?

Utilisateur anonyme · Answer

Il faudrai essayer une restauration système