Trogan Fermé

Question

Bonjour, 
J'été sur internet quand mon antivirus a détécté 2 trogan sur mon pc, j'ai fait scanné mon disque dur par mon antivirus(avira antivir) pour le retrouver et lui foutre mon pied au fesse, mais le virus a commencer a faire des siennes en me disant que mon PC été infécté et me propose un antivirus payant tout en m'empéchant plus ou moins de faire ce que je veux : a chaque fois que je veux ouvrir internet ou un dossier il me dit qu'il est infécté.
IMPORTANT: il ne s'agit pas de Sécurity tool qui est certes le même genre de virus mais que j'ai déja eu, donc je saurais le reconnaitre s'il s'agissait de lui.
Aider moi s'il vous plait!



Windows Vista

verni29 · Answer

Bonsoir, 

passe ces deux outils.

-------------------

1/ Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs).
https://download.bleepingcomputer.com/grinler/rkill.scr 

/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec cet outil./!\

    * Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
      ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
    * Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

* Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un des 3 autres liens ci-dessous et fais une nouvelle tentative d'exécution.
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe
https://download.bleepingcomputer.com/grinler/eXplorer.exe (rkill renommé en eXplorer.exe)
https://download.bleepingcomputer.com/grinler/iExplore.exe (rkill renommé en iExplore.exe)
/!\ Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne continue pas le nettoyage, et préviens moi dans ton prochain message. /!\

2/ Tu télécharges MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l'installation, il te sera demandé de mettre à jour MalwareBytes et de l'éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s'ouvrir. 

# Dans l'onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l'ordinateur. 
# Clique sur lancer l'examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l'onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

Magic171992 · Answer

Avant tout merci de répondre a mon appel ;)
Ensuite est ce que je peux faire toutes les manipulations que tu me proposes en mode sans échec?

verni29 · Answer

Re, 

Oui, mais dans ce cas, fais les en mode sans échec avec prise en charge réseau car il te faut faire une mise à jour de malwarebytes.

A+

Magic171992 · Answer

J'ai essayé tout tes liens, le premier ma permis de le télécharger mais l'outils ne semble pas fonctionner, il me sors un bloc note avec quelque donnée(le moment ou il a commencer et ou il a arreté...
Que faire?

verni29 · Answer

magic171992, 

Ce n'est pas un problème.

rkill ( comme son nom l'indique plus ou moins ) arrête ( kill ) la majorité des processus de ce type d'infection.

Vu que tu l'as fait en mode sans échec, le ou les processus infectieux ne sont pas actifs.

Passe à Malwarebytes.

A+

Magic171992 · Answer

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5409

Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.17037

28/12/2010 23:32:18
mbam-log-2010-12-28 (23-32-18).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 357508
Temps écoulé: 1 heure(s), 11 minute(s), 48 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PYHSWVKSqseodoe.exe (Spyware.Zbot) -> Value: PYHSWVKSqseodoe.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\87204 (Rogue.FakeHDD) -> Value: 87204 -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\programdata\pyhswvksqseodoe.exe (Spyware.Zbot) -> Quarantined and deleted successfully.
c:\Users\yar et ben\AppData\Local	emp\87204.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\Users\yar et ben\AppData\Local	emp	mpB9EE.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.
c:\Users\yar et ben\AppData\Local	emp	mpE39C.tmp (Spyware.Zbot) -> Quarantined and deleted successfully.



Tout a marché a la perfection!!!Que dois-je faire maintenant?

verni29 · Answer

Re, 

Est-ce que tu as la main sous windows maintenant.
Si oui, fais la manip sous ta session.
Sinon, fais la en mode sans échec avec prise en charge réseau.

------------------------------------

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista/seven, , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Sélectionne l'option tous les utilisateurs.
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
msconfig  
activex
/md5start   
winlogon.exe 
explorer.exe
wininit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata%\*.exe /s 
%APPDATA%\*.  
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

verni29 · Answer

Re, 

Il se fait tard.
Je regarderais cela demain.

Pour information, ton infection, Zbot, consiste à essayer de voler des informations sur un PC.
Je ne te dis pas que c'est la cas mais il serait bon de changer tes mots de passe, de vérifier tes comptes, ...

Comme tu sembles avoir détecté assez tôt l'infection, il n'y a pas peut-être eu de mal de fait.

A+

owtee187 · Answer

Bonjour,
ayant un probleme similaire je vous ai envoyé un MP
Cordialement