Infection trojan

Résolu
sharshar Messages postés 368 Statut Membre -  
 Utilisateur anonyme -
Bonjour, ce matin avira ma averti d'un trojan sur mon pc, je l'ai mis en quarantaine puis supprimer de la quarantaine, je suis ensuite partit au travail en lançant un scan complet et à mon retour 3 fichiers ont été détecté comme malveillant.

Ces fichiers ont java dans le nom, je l'ai est déplacé en quarantaine puis supprimer.

J'aimerais un peu d'aide si possible pour savoir si il reste des virus.

Merci d'avance.

38 réponses

  • 1
  • 2
Résumé de la discussion

Plusieurs fichiers signalés comme trojan par Avira ont été placés en quarantaine puis supprimés après un premier scan, mais d'autres fichiers nommés java ont été détectés au retour du PC. Des conseils évoquent des mesures pour vérifier les infections via des outils spécifiques et, en cas de risque USB, l’utilisation d’USBFix, qui peut nettoyer les infections propagées par des supports amovibles. D'autres conseils évoquent le souci d'un fichier autorun.inf bloqué par Avira et proposent des démarches complémentaires pour sécuriser les données et réaliser un rapport clair après le nettoyage. En cas de difficultés de dépôt des échantillons, certains proposent d'autres plateformes de partage et d'attendre les rapports d'outils, sans se fier à des liens non vérifiés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonjours,

    pour une analyse de ton système, fais ceci:

    ----->ZHPDIAG<-----

    /!\ utilisateur de vista et seven, désactiver l'UAC./!\

    /!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

    > Télécharge zhpdiag (de Nicolas Coolman)

    > Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    > /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

    > Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

    >attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

    > Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    > Héberge le rapport ZHPDiag.txt sur cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
    ->tu trouveras un lien comme celui ci: http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt c'est ce lien qu'il faudra me donner.

    @+
    0
  2. sharshar Messages postés 368 Statut Membre 7
     
    ok merci voici le lien:

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijiexlr2Z.txt
    0
  3. sharshar Messages postés 368 Statut Membre 7
     
    j'ai l'impression que ca n'a pas marché,

    nouveaux lien:

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijrYvUGrD.txt
    0
  4. Utilisateur anonyme
     
    bonsoir,

    on va commencer par les infection USB:

    De plus en plus, les lieux publics (cyber café, lycées, bibliothèques...) deviennent de vrais nids à infection, ces PC infectés par inadvertance ou malveillance propagent entre autres des infections s'attaquant aux disques amovibles que l'on peut y brancher !

    pour les supprimer:

    * UsbFix est un programme spécifique , son rôle est la suppression d'infection se propageant via les supports amovibles
    * Il rétablit certaines fonctions de sécurité endommagées, comme l'accès au registre, au gestionnaire des tâches, à l'affichage des fichiers cachés etc .


    ----->USBFIX<-----

    > Télécharge http://www.teamxscript.org/too/UsbFix.exe (créé par El Desaparecido & C_XX)

    > /!\Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

    > Branche (si possible) toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

    > Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement

    > Clique sur Recherche

    > Laisse travailler l'outil /!\ le scan peut rester un long moment sur 48%, il n'est pas bloquer, ne quitte pas, il faudrait tout recommencer.../!\

    > A la fin, le bloc note s'ouvre avec le rapport, sélectionne le (Ctrl+A) copie le (Ctrl+C) et colle le dans ta prochaine réponse (Ctrl+V)

    @++
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sharshar Messages postés 368 Statut Membre 7
     
    ############################## | UsbFix 7.035 | [Recherche]

    Utilisateur: julien (Administrateur) # PC-DE-JULIEN [System manufacturer System Product Name]
    Mis à jour le 22/11/10 par El Desaparecido / C_XX
    Lancé à 18:41:20 | 30/11/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
    CPU 2: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 6135 Mo
    C:\ (%systemdrive%) -> Disque fixe # 932 Go (443 Go libre(s) - 48%) [] # NTFS
    D:\ -> Disque fixe # 932 Go (195 Go libre(s) - 21%) [LaCie] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    J:\ -> Disque amovible # 8 Go (7 Go libre(s) - 95%) [] # FAT32

    ################## | Éléments infectieux |

    ################## | Registre |

    Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{3e2587c3-5cbf-11df-96eb-90e6ba738f51}
    Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL H:\SE_logo_Q.jpg

    HKCU\.\.\.\.\Explorer\MountPoints2\{4d8914e3-1f9d-11df-b31c-90e6ba738f51}
    Shell\AutoRun\Command = G:\autoplay.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{67c5f262-1640-11df-9cd6-90e6ba738f51}
    Shell\AutoRun\Command = E:\autoplay.exe

    HKCU\.\.\.\.\Explorer\MountPoints2\{b3cbd163-aede-11df-aa70-806e6f6e6963}
    Shell\AutoRun\Command = F:\setup.exe

    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |
    0
    1. Utilisateur anonyme
       
      passe a la suppression de usbfix, poste moi le rapport, ensuite, on continu.
      0
  7. sharshar Messages postés 368 Statut Membre 7
     
    ############################## | UsbFix 7.035 | [Suppression]

    Utilisateur: julien (Administrateur) # PC-DE-JULIEN [System manufacturer System Product Name]
    Mis à jour le 22/11/10 par El Desaparecido / C_XX
    Lancé à 18:46:16 | 30/11/2010
    Site Web: http://www.teamxscript.org
    Contact: eldesaparecido@teamxscript.org

    CPU: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
    CPU 2: Intel(R) Core(TM) i7 CPU 920 @ 2.67GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #
    Internet Explorer 8.0.7600.16385

    Pare-feu Windows: Activé
    RAM -> 6135 Mo
    C:\ (%systemdrive%) -> Disque fixe # 932 Go (443 Go libre(s) - 48%) [] # NTFS
    D:\ -> Disque fixe # 932 Go (195 Go libre(s) - 21%) [LaCie] # NTFS
    E:\ -> CD-ROM
    F:\ -> CD-ROM
    J:\ -> Disque amovible # 8 Go (7 Go libre(s) - 95%) [] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-20
    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2841971598-4266920163-4008966294-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2841971598-4266920163-4008966294-1000

    ################## | Registre |

    Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
    Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{3e2587c3-5cbf-11df-96eb-90e6ba738f51}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{4d8914e3-1f9d-11df-b31c-90e6ba738f51}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{67c5f262-1640-11df-9cd6-90e6ba738f51}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{b3cbd163-aede-11df-aa70-806e6f6e6963}

    ################## | Listing |

    [30/11/2010 - 18:48:12 | SHD ] C:\$Recycle.Bin
    [12/11/2010 - 20:04:27 | D ] C:\AMD
    [27/08/2010 - 16:38:17 | D ] C:\ATI
    [23/12/2009 - 14:53:42 | RASHD ] C:\autorun.inf
    [24/10/2009 - 16:59:25 | D ] C:\Boot
    [14/07/2009 - 02:38:58 | RASH | 383562] C:\bootmgr
    [24/10/2009 - 16:59:27 | N | 8192] C:\BOOTSECT.BAK
    [29/11/2010 - 16:04:26 | D ] C:\Config.Msi
    [08/07/2010 - 19:36:17 | D ] C:\divx
    [14/07/2009 - 06:08:56 | SHD ] C:\Documents and Settings
    [28/12/2009 - 17:36:00 | D ] C:\downloads
    [14/09/2010 - 17:56:32 | D ] C:\Fraps
    [30/11/2010 - 08:01:25 | ASH | 4824846336] C:\hiberfil.sys
    [23/08/2010 - 17:19:52 | D ] C:\IExp0.tmp
    [23/08/2010 - 17:19:53 | D ] C:\IExp1.tmp
    [11/04/2008 - 08:03:48 | N | 76304] C:\install.res.1028.dll
    [11/04/2008 - 08:03:48 | N | 96272] C:\install.res.1031.dll
    [11/04/2008 - 08:03:48 | N | 91152] C:\install.res.1033.dll
    [11/04/2008 - 08:03:48 | N | 97296] C:\install.res.1036.dll
    [11/04/2008 - 08:03:48 | N | 95248] C:\install.res.1040.dll
    [11/04/2008 - 08:03:48 | N | 81424] C:\install.res.1041.dll
    [11/04/2008 - 08:03:48 | N | 79888] C:\install.res.1042.dll
    [11/04/2008 - 10:09:24 | N | 93200] C:\install.res.1049.dll
    [11/04/2008 - 08:03:48 | N | 75792] C:\install.res.2052.dll
    [11/04/2008 - 08:03:48 | N | 96272] C:\install.res.3082.dll
    [20/08/2010 - 21:11:22 | D ] C:\Intel
    [21/05/2010 - 17:58:18 | N | 127] C:\mbam-error.txt
    [01/12/2006 - 22:37:14 | | 904704] C:\msdia80.dll
    [16/07/2010 - 16:47:44 | RHD ] C:\MSOCache
    [18/10/2009 - 10:38:48 | D ] C:\open office
    [30/11/2010 - 08:01:26 | ASH | 6433132544] C:\pagefile.sys
    [14/11/2010 - 15:28:58 | D ] C:\Program Files
    [29/11/2010 - 16:04:26 | D ] C:\Program Files (x86)
    [29/11/2010 - 16:03:48 | HD ] C:\ProgramData
    [24/10/2009 - 16:30:59 | SHD ] C:\Recovery
    [13/10/2010 - 19:46:25 | D ] C:\Riot Games
    [30/11/2010 - 09:39:39 | SHD ] C:\System Volume Information
    [30/11/2010 - 18:48:12 | D ] C:\UsbFix
    [30/11/2010 - 18:46:23 | A | 3627] C:\UsbFix.txt
    [11/10/2010 - 20:03:04 | D ] C:\Users
    [30/11/2010 - 18:05:01 | D ] C:\Windows
    [30/11/2010 - 18:48:12 | SHD ] D:\$RECYCLE.BIN
    [16/03/2009 - 05:18:47 | N | 29018] D:\.VolumeIcon.icns
    [16/03/2009 - 05:18:47 | N | 25214] D:\.VolumeIcon.ico
    [23/12/2009 - 14:53:42 | RASHD ] D:\autorun.inf
    [16/03/2009 - 05:18:41 | D ] D:\Bin
    [16/03/2009 - 05:18:41 | N | 391] D:\LaCie.ini
    [03/09/2010 - 07:55:06 | D ] D:\stack
    [18/06/2009 - 19:33:59 | SHD ] D:\System Volume Information
    [24/06/2010 - 00:42:12 | N | 9591104] J:\daemon-tools_daemon_tools_4.35.6_francais_10729.exe
    [02/11/2010 - 12:24:40 | D ] J:\Réseaux
    [25/11/2010 - 11:44:12 | N | 252] J:\Nouveau Document texte.txt
    [29/11/2010 - 17:57:44 | N | 33280] J:\CV AUPETIT Julien.doc
    [24/11/2010 - 17:03:46 | N | 30720] J:\lettre de motivation.doc
    [30/11/2010 - 12:19:58 | N | 2585872] J:\WindowsInstaller-KB893803-v2-x86.exe

    ################## | Vaccin |

    J:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-JULIEN.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    0
  8. Utilisateur anonyme
     
    ok, ceci étant fais:

    MBAM est un scanner généraliste qui detect et supprime beaucoup d'infecions:

    MBAM :

    > Télécharge MBAM

    > Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    > Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\

    > A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»

    > Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

    > L'analyse peut durer un plusieurs heures...

    > Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    > Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    > Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum

    > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »
    0
  9. sharshar Messages postés 368 Statut Membre 7
     
    ok je passe sur le lien ci dessus, mais avant je vous prévient que je viens d'avoir un écran bleu (2ème depuis hier) et au redémarrage erreur de démarrage de disque dur.. select proper boot media device. press a key to continu, mais cela ne voulait pas booter donc j'ai débrancher dd externe et clé usb et c'est bon.
    0
    1. Utilisateur anonyme
       
      il voulait booter sur ta clé ou sur le DD... pas grave, pas lié a une infection en tout cas.
      0
  10. sharshar Messages postés 368 Statut Membre 7
     
    ok scan complet en cours :)
    0
    1. Utilisateur anonyme
       
      ok, il est long, pas de soucie.
      0
  11. sharshar Messages postés 368 Statut Membre 7
     
    voila le rapport, et je redémarre

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5220

    Windows 6.1.7600
    Internet Explorer 8.0.7600.16385

    30/11/2010 20:14:46
    mbam-log-2010-11-30 (20-14-46).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 439936
    Temps écoulé: 1 heure(s), 1 minute(s), 3 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\Users\julien\AppData\Roaming\Adobe\plugs\kb35414473.exe (Trojan.Hiloti) -> Quarantined and deleted successfully.
    c:\Users\julien\AppData\Roaming\Adobe\plugs\kb35414426.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  12. Utilisateur anonyme
     
    re,

    ok, vu que nous avons bien avancer, on va faire un nouveau point: peux tu me refaire ceci stp

    merci.
    0
  13. sharshar Messages postés 368 Statut Membre 7
     
    erf le site lag connexion réinitialisé a chaque tentative d'upload :/
    0
    1. Utilisateur anonyme
       
      tu n'as pas a le retélécharger, il est sur ton bureau, tu le lance directement.
      0
  14. sharshar Messages postés 368 Statut Membre 7
     
    j'ai encore des onglets qui s'ouvrent dans firefox alors que j'ai rien demander, doit rester des cochonneries.. :(

    EDIT: toujours impossible de déposer le fichier..
    0
  15. sharshar Messages postés 368 Statut Membre 7
     
    re toujours impossible de déposer le fichier sur cijoint.fr

    ca gonfle :o
    0
  16. sharshar Messages postés 368 Statut Membre 7
     
    bon j'ai essayé ca me réinitialise la connexion.. par contre j'ai essayé sur ci-joint avec le rapport mbam et ca marche

    il ne veulent plus du ZHP.
    0
    1. Utilisateur anonyme
       
      ni sur l'un ni sur l'autre??
      0
  17. sharshar Messages postés 368 Statut Membre 7
     
    rien a faire il m'est impossible d'upload les fichiers ZHPDiag.txt..

    c'est fou ca quand même -_-
    0
  18. sharshar Messages postés 368 Statut Membre 7
     
    bon ca a fonctionné après une réinstalle de ZHP..

    va savoir pourquoi ???

    http://www.cijoint.fr/cjlink.php?file=cj201011/cijuENcNhO.txt
    0
  19. sharshar Messages postés 368 Statut Membre 7
     
    sur ce je vais aller me pieuter.

    en tout cas grandement merci de ton aide, j'espère que l'on pourra reprendre tout ça demain.

    @+
    0
  • 1
  • 2