Trojan difficile a enlever
Fermé
drizzt34
-
21 janv. 2011 à 08:56
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 - 21 janv. 2011 à 12:19
plopus Messages postés 5962 Date d'inscription jeudi 1 janvier 2009 Statut Contributeur sécurité Dernière intervention 11 mars 2012 - 21 janv. 2011 à 12:19
A voir également:
- Trojan difficile a enlever
- Trojan remover - Télécharger - Antivirus & Antimalwares
- Enlever pub youtube - Accueil - Streaming
- Comment enlever une page sur word - Guide
- Enlever mode sécurisé samsung - Guide
- Enlever liste déroulante excel - Guide
13 réponses
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
21 janv. 2011 à 09:06
21 janv. 2011 à 09:06
bonjour,
Utilise ce logiciel de diagnostic :
* Télécharge ZHPDiag
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
http://www.cijoint.fr/
Utilise ce logiciel de diagnostic :
* Télécharge ZHPDiag
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
http://www.cijoint.fr/
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
21 janv. 2011 à 09:26
21 janv. 2011 à 09:26
re
Quel est le fichier qui revient sans cesse ? nom et emplacement stp
Je te conseil de desinstaller spybot pas vraiment utile
tu as plusieurs choses dont infection USB, tous ce que tu as brancher a ton PC en USb est infecter et si tu as brancher tes supports USB apres sur d'autres PC, ils sont eux aussi infectes etc...
* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
http://www.teamxscript.org/too/UsbFix.exe
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
puis je vois que tu as malwarebyte, lance le va dans onglet MISE A JOUR et clic sur rechercher mise a jour une fois mis a jour fait un scan rapide et poste le rapport
Ensuite est ce que sa te derange de desinstaller avast pour un autre antivirus gratuit ?
Quel est le fichier qui revient sans cesse ? nom et emplacement stp
Je te conseil de desinstaller spybot pas vraiment utile
tu as plusieurs choses dont infection USB, tous ce que tu as brancher a ton PC en USb est infecter et si tu as brancher tes supports USB apres sur d'autres PC, ils sont eux aussi infectes etc...
* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
http://www.teamxscript.org/too/UsbFix.exe
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)
:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !
puis je vois que tu as malwarebyte, lance le va dans onglet MISE A JOUR et clic sur rechercher mise a jour une fois mis a jour fait un scan rapide et poste le rapport
Ensuite est ce que sa te derange de desinstaller avast pour un autre antivirus gratuit ?
J'ai fait déjà fait des scan avec malware bytes avant de venir poster il est a jours
Pour le fichier en question :
user/appdata/roaming/temp/windows defender .exe
J'ai effectivement remarquer une infection au niveau d'une de mes clé usb
Mais je les supprimer sans difficulté , de plus l'infection etait de type rootkit .
Apparemment je doit être infecter par un gros toolkit qui s'attaque a tout .
Je ne désinstallerai pas avast pour la simple raison que c'est une licence payer .
Pour l'infection je suis le seul fautif :S
Je fait le scan avec usbfix et je te le poste
Pour le fichier en question :
user/appdata/roaming/temp/windows defender .exe
J'ai effectivement remarquer une infection au niveau d'une de mes clé usb
Mais je les supprimer sans difficulté , de plus l'infection etait de type rootkit .
Apparemment je doit être infecter par un gros toolkit qui s'attaque a tout .
Je ne désinstallerai pas avast pour la simple raison que c'est une licence payer .
Pour l'infection je suis le seul fautif :S
Je fait le scan avec usbfix et je te le poste
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
21 janv. 2011 à 09:45
21 janv. 2011 à 09:45
"Mais je les supprimer sans difficulté ,"
je ne pense pas non, puisque tout est encore la.
tu lessupprime puis sa revient tout comme le fichier en question qui est bien visible dans tes rapports
Fait USbfix en branchant tout tes support et lance malwarebyte et va dans onglet rapport/log et poste les derniers scans que tu as faits stp
je ne pense pas non, puisque tout est encore la.
tu lessupprime puis sa revient tout comme le fichier en question qui est bien visible dans tes rapports
Fait USbfix en branchant tout tes support et lance malwarebyte et va dans onglet rapport/log et poste les derniers scans que tu as faits stp
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ah oui aussi , pour les tentative de supression , il y a aussi les clé de registre :
O4 - HKCU\..\Run: [Audio HD] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
Impossible de les viré , mais quelle genre de fichier peut les remettre , via un serveur distant ?
O4 - HKCU\..\Run: [Audio HD] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
Impossible de les viré , mais quelle genre de fichier peut les remettre , via un serveur distant ?
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
Modifié par plopus le 21/01/2011 à 10:23
Modifié par plopus le 21/01/2011 à 10:23
ok
tu n'as pas de clefs USB, DD externe, appareil a photo qui ce branche USb ou autres ? car tu n'a rien brancher pendant le scan USBfix
les clefs de registre je les ai vus.
ce qui serait sympa de faire car le fichier est pas detecté encore par MBAM :
c'est l'upload a l'adresse ci dessous :
http://upload.malekal.com/
tu clic sur parcoruir et tu copie colle sa dedans :
C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
et tu l'envoie
ensuite
desactive ton antivirus et TOUTES tes protections
clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple
puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles
une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse
ATTENTION : si ton PC a des dysfocntionnement a la suite de combofix, REDEMARRE TON PC et tout rentera dans l'ordre
tu n'as pas de clefs USB, DD externe, appareil a photo qui ce branche USb ou autres ? car tu n'a rien brancher pendant le scan USBfix
les clefs de registre je les ai vus.
ce qui serait sympa de faire car le fichier est pas detecté encore par MBAM :
c'est l'upload a l'adresse ci dessous :
http://upload.malekal.com/
tu clic sur parcoruir et tu copie colle sa dedans :
C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
et tu l'envoie
ensuite
desactive ton antivirus et TOUTES tes protections
clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple
puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles
une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse
ATTENTION : si ton PC a des dysfocntionnement a la suite de combofix, REDEMARRE TON PC et tout rentera dans l'ordre
Mince tu m'aurais envoyer le message juste un poil plus tot je l'aurais upload .
je vais voir si il est pas dans ma 40ene .
J'ai donc regarder d'autre sujet du même type et j'ai utilisé combofix ;D
tout est fonctionnel a présent plus aucune trace détecter .
Je vais tout de même rester vigilant car je pense que c'est un rootkit et sa ce cache bien ce genre de bébête .
Merci a toi d'avoir pris le temps de répondre .
Pour les périphérique usb je vais checker sa , j'ai tellement de carte que sa va me prendre un peut de temps .
Mais comme je l'ai dit plutôt , la clé infecter ne faisait pas partie de mon matérielle donc je pense que j'ai était infecter de l'extérieur .
après l'infection par windows defender.exe et l'usb sont a mon avis différente , enfin je suis pas expert en la matière ;D
Bref merci encore :D
je vais voir si il est pas dans ma 40ene .
J'ai donc regarder d'autre sujet du même type et j'ai utilisé combofix ;D
tout est fonctionnel a présent plus aucune trace détecter .
Je vais tout de même rester vigilant car je pense que c'est un rootkit et sa ce cache bien ce genre de bébête .
Merci a toi d'avoir pris le temps de répondre .
Pour les périphérique usb je vais checker sa , j'ai tellement de carte que sa va me prendre un peut de temps .
Mais comme je l'ai dit plutôt , la clé infecter ne faisait pas partie de mon matérielle donc je pense que j'ai était infecter de l'extérieur .
après l'infection par windows defender.exe et l'usb sont a mon avis différente , enfin je suis pas expert en la matière ;D
Bref merci encore :D
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
21 janv. 2011 à 10:48
21 janv. 2011 à 10:48
poste ce rapport C:combofix.txt ce n'est peute tre pas fini
Désoler de sur poster mais par curiosité , la création de l'exe ce faisait par quelle moyen ? la dll ?
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
21 janv. 2011 à 10:57
21 janv. 2011 à 10:57
Comme sa, je ne sais pas ce qui le remettai:
- clic ici https://www.virustotal.com/gui/
- clic sur parcourir en milieu de page
- dans la nouvelle fenetre copie colle la (les) ligne a analyser
c:\windows\Installer\MSI4DE6.tmp
- clic sur ouvrir
- clic sur envoyer, un rappport va s'etablir
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser
et copie colle le rapport ici + l' URL du rapport (adresse internet)
tu fais pareil pour :
c:\windows\SysWOW64\user32.dll
c:\windows\system32\user32.dll
c:\windows\system32\authuitu.dll
- clic ici https://www.virustotal.com/gui/
- clic sur parcourir en milieu de page
- dans la nouvelle fenetre copie colle la (les) ligne a analyser
c:\windows\Installer\MSI4DE6.tmp
- clic sur ouvrir
- clic sur envoyer, un rappport va s'etablir
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser
et copie colle le rapport ici + l' URL du rapport (adresse internet)
tu fais pareil pour :
c:\windows\SysWOW64\user32.dll
c:\windows\system32\user32.dll
c:\windows\system32\authuitu.dll
alors ,
c:\windows\Installer\MSI4DE6.tmp
http://www.virustotal.com/file-scan/report.html?id=b8df818031df4eb3946b7750fe1f22cc9c8618c3a570e2da142e20d105e6289d-1295604239
c:\windows\SysWOW64\user32.dll
http://www.virustotal.com/file-scan/report.html?id=fdc6b8e08ae234fa4302b6552a3935714755fe51d11b8dd3e3c24415e1ed8731-1295604063
c:\windows\system32\user32.dll
http://www.virustotal.com/file-scan/report.html?id=fdc6b8e08ae234fa4302b6552a3935714755fe51d11b8dd3e3c24415e1ed8731-1295604329
et enfin
c:\windows\system32\authuitu.dll
http://www.virustotal.com/file-scan/report.html?id=1bc18e363e290364aea5f214b1907e2494f8644b7cdd184c8a58f0847eebdb7e-1295604383
c:\windows\Installer\MSI4DE6.tmp
http://www.virustotal.com/file-scan/report.html?id=b8df818031df4eb3946b7750fe1f22cc9c8618c3a570e2da142e20d105e6289d-1295604239
c:\windows\SysWOW64\user32.dll
http://www.virustotal.com/file-scan/report.html?id=fdc6b8e08ae234fa4302b6552a3935714755fe51d11b8dd3e3c24415e1ed8731-1295604063
c:\windows\system32\user32.dll
http://www.virustotal.com/file-scan/report.html?id=fdc6b8e08ae234fa4302b6552a3935714755fe51d11b8dd3e3c24415e1ed8731-1295604329
et enfin
c:\windows\system32\authuitu.dll
http://www.virustotal.com/file-scan/report.html?id=1bc18e363e290364aea5f214b1907e2494f8644b7cdd184c8a58f0847eebdb7e-1295604383
plopus
Messages postés
5962
Date d'inscription
jeudi 1 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
11 mars 2012
293
Modifié par plopus le 21/01/2011 à 12:19
Modifié par plopus le 21/01/2011 à 12:19
re
ok
Téléchargez DelFix http://www.teamxscript.org/too/Xplode/DelFix.exe
# lancez DelFix puis cliquez sur le bouton [Suppression]
# Après quelques secondes, un rapport s'ouvrira.
# Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
puis
verfie la vulnerabilité de windows et aussi d'autre produits, tu desinstalle les ancienne version des logiciels que tu dois mettre a jour
- Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html
- Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
https://filehippo.com/windows/tuning-utilities/
puis
- Telecharge et installe CCleaner
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
- une fois installer, lance le
- va dans option/avancé et decoche la 1er ligne
- et nettoie plusieurs fois dans les onglets regsitre et nettoyeur jusqu' a trouver 0erreur
puis purge ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information
puis creer un point de restauration sain avec sa https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/
et met ton sujet en resolu
ok
Téléchargez DelFix http://www.teamxscript.org/too/Xplode/DelFix.exe
# lancez DelFix puis cliquez sur le bouton [Suppression]
# Après quelques secondes, un rapport s'ouvrira.
# Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
puis
verfie la vulnerabilité de windows et aussi d'autre produits, tu desinstalle les ancienne version des logiciels que tu dois mettre a jour
- Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
https://www.flexera.com/products/operations/software-vulnerability-management.html
- Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
https://filehippo.com/windows/tuning-utilities/
puis
- Telecharge et installe CCleaner
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
- une fois installer, lance le
- va dans option/avancé et decoche la 1er ligne
- et nettoie plusieurs fois dans les onglets regsitre et nettoyeur jusqu' a trouver 0erreur
puis purge ta restauration avec sa https://www.commentcamarche.net/faq/5097-virus-system-volume-information
puis creer un point de restauration sain avec sa https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/
et met ton sujet en resolu
21 janv. 2011 à 09:11
http://www.cijoint.fr/cjlink.php?file=cj201101/cijMd73CWk.txt