Virus cheval de troie...

Question

Bonjour, 

Récemment, j'ai voulu mettre quelques trucs sur mon disque dur externe (que je n'ouvrais pas depuis pas mal de temps!)
Et là, j'ai retrouvé des dossiers vides au nom inconnus. J'ai essayé de les supprimer, ils disparaissent un instant et reviennent...Conclusion, virus ! Youpi !
Je pensais que ce n'était que sur mon disque dur externe. Seulement, j'ai pris ma clé USB pour transféré des documents sur un autre PC, et en ouvrant ma clé USB...Surprise ! Il y avait ces même fichiers au nom inconnu, et les fichiers que j'avais mis sur la clé étaient inexploitables.
Jusqu'à présent je n'avais pas d'antivirus (grosse erreur de ma part), et je viens d'installer Avast. 
Toutes les 20 secondes il me détecte une dizaine de fichiers infectés (qui sont toujours les même, toujours ces noms inconnus) et me les met apparemment en quarantaine.
Comment faire pour en venir à bout ? Comment supprimer tous ces "Chevaux" de troie ?
(D'autant plus que c'est un peu gênant d'entendre toutes les 15 secondes "Une menace a été détectée!)

Je vous remercie d'avance...
Configuration: Windows XP / Firefox 3.0.19

moment de grace · Accepted Answer

bonjour

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 




UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Nellitalia · Answer

Gloire_illustre, le problème c'est que tous les fichiers sont en quarantaine. Mais toutes les 30 secondes, il apparait de nouveaux messages d'alertes comme quoi de nouveaux virus ont été trouvés, (qui sont en fait toujours les mêmes!)

Nellitalia · Answer

gloire_illustre · Answer

Ok, je vois, alors planifie un scan au redémarrage et redémarre ton pc. J'espère que ton antivirus est à jour; sinon mets-le à jour avant de planifier le scan et de redémarrer ta machine. Je reste à l'écoute.

moment de grace · Answer

as tu fais plusieurs fois USBfix ?

si non alors fait le en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

Nellitalia · Answer

moment de grace · Answer

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

________________

en cas de blocage sur ci joint. fr tenter ici  https://www.cjoint.com/

Nellitalia · Answer

Bonjour,
Voici le lien :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijBm1oVTB.txt

moment de grace · Answer

ok

1)

* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\ 

 Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « NETTOYER » 
- Confirme lancement du scan 
- Laisse travailler l'outil. 
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

_____________

2)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

_____________

3)

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

________________

en cas de blocage sur ci joint. fr tenter ici https://www.cjoint.com/

Nellitalia · Answer

======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 29/01/11 à 16:00
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:26:33 le 06/02/2011, Mode normal

Microsoft Windows XP Professionnel Service Pack 2 (X86) 
Ornela@ORNELLA ( ) 
 
============== ACTION(S) ==============

Service: "Application Updater" Stoppé et supprimé 

Fichier supprimé: C:\Program Files\Mozilla FireFox\extensions\pdfforge@mybrowserbar.com
Fichier supprimé: C:\Program Files\Mozilla Firefox\extensions\searchsettings@spigot.com
Dossier supprimé: C:\Program Files\Application Updater
Dossier supprimé: C:\Documents and Settings\Ornela\Application Data\pdfforge
Dossier supprimé: C:\Program Files\pdfforge Toolbar
Dossier supprimé: C:\Documents and Settings\Ornela\Application Data\Search Settings
Dossier supprimé: C:\Program Files\Viewpoint

(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Classes\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}
Clé supprimée: HKLM\Software\Classes\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Clé supprimée: HKLM\Software\Classes\TypeLib\{9DBB28C1-1925-11D3-A498-00104B6EB52E}
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl
Clé supprimée: HKLM\Software\Classes\AxMetaStream.MetaStreamCtl.1
Clé supprimée: HKLM\Software\Application Updater
Clé supprimée: HKLM\Software\MetaStream
Clé supprimée: HKLM\Software\pdfforge
Clé supprimée: HKLM\Software\Search Settings
Clé supprimée: HKLM\Software\Viewpoint
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\pdfforge
Clé supprimée: HKCU\Software\Search Settings
Clé supprimée: HKLM\Software\Classes\Installer\Products\3D7B197543B881247905A6E8540DDA23
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\3D7B197543B881247905A6E8540DDA23
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\LowRegistry\Search Settings

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|SearchSettings
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{B922D405-6D13-4A2B-AE89-08A030DA4402}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.0.19 (fr)] **

-- C:\Documents and Settings\Ornela\Application Data\Mozilla\FireFox\Profiles\hebyetig.default\Prefs.js --
browser.download.lastDir, C:\Documents and Settings\Ornela\Mes documents\Mes images
browser.startup.homepage, hxxp://google.fr
browser.startup.homepage_override.mstone, rv:1.9.0.19

========================================

** Internet Explorer Version [8.0.6001.18702] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 114 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 06/02/2011 (1029 Octet(s)) 

Fin à: 11:38:23, 06/02/2011 
 
============== E.O.F ==============

moment de grace · Answer

vu

tu peux continuer

Nellitalia · Answer

Je suis "bloquée" à l'étape où j'ai cliqué sur "Supprimer la sélection".
J'ai eu le message suivant : Impossible de supprimer certains éléments. Un fichier rapport a été enregistré dans le dossier Logs. Votre ordinateur doit redémarrer pour que le processus de suppression se termine. Voulez-vous le faire redémarrer maintenant? 
Le bloc-notes s'est ouvert.
Par contre, je ne vois pas l'onglet Rapport/log ... ?
En attendant, je redémarre.

Nellitalia · Answer

Aie, j'ai déjà redémarré! Comment puis-je retrouver le contenu bloc notes ?

moment de grace · Answer

non c'est bon

lance MBAM
l'onglet Rapport/log (le 5e en partant de la gauche)
tu y trouveras le rapport

Nellitalia · Answer

Le voici :

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5688

Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702

06/02/2011 12:02:58
mbam-log-2011-02-06 (12-02-58).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 143863
Temps écoulé: 9 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\Ornela\local settings\Temp\~TM3FD.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
c:\windows	emp\wpv121246529677.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\documents and settings\Ornela\ydwzro.exe (Worm.Palevo) -> Delete on reboot.
c:\documents and settings\Ornela\application data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

moment de grace · Answer

ok

vide la quarantaine (là encore y un onglet)

puis

Fais un nouveau rapport ZHPdiag stp 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 

________________ 

en cas de blocage sur ci joint. fr tenter ici https://www.cjoint.com/

Nellitalia · Answer

3)

http://www.cijoint.fr/cjlink.php?file=cj201102/cijXM1IUa1.txt

moment de grace · Answer

Run by Ornela at 06/02/2011 10:47:03

ce n'est pas le tout dernier rapport

supprimes les anciens et reposte moi le bon stp

Nellitalia · Answer

https://www.cjoint.com/?0cgm9KGxBZ7

moment de grace · Answer

c'est mieux

encore des soucis ?

______

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\WINDOWS\system32\D13FBD5851.sys


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

Nellitalia · Answer

http://www.virustotal.com/file-scan/report.html?id=b4a0a4f17c8888f831237689458bdc18c6cf834aa697a4d3f8c8a9bcc5483c2d-1296995746

moment de grace · Answer

ok


encore des soucis ?

Nellitalia · Answer

Merci beaucoup !
Les dossiers inconnus qui étaient présents sur mon disque dur externes ont disparu! (De fait, tous mes dossiers personnels aussi...)
Par contre, Avast a trouvé "283 fichiers infectés"

Nellitalia · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijpkVf2DO.jpg
Voici l'imp.écran

moment de grace · Answer

je ne vois pas le chemin

passe un ou plusieurs de ces fichiers sur virus total comme ici https://forums.commentcamarche.net/forum/affich-20768699-virus-cheval-de-troie?page=2#23

Nellitalia · Answer

J'ai essayé de passer un qui est réapparu sur mon disque dur externe :
http://www.virustotal.com/file-scan/reanalysis.html?id=b971ba5011770769715fe645b1ba0bf7494bfdf673fef87caf2718d8107465c0-1297082758

moment de grace · Answer

attends que l'on se comprenne

sur ton imprim ecran ils sont sur C et celui scanné est sur ton externe ?

relance USBfix option recherche et poste rapport stp

Nellitalia · Answer

Oui c'est ça, on s'est bien compris ! 
Mais là je comprends plus rien, j'ai fait un scan rapide, il n'a trouvé aucun virus...

############################## | UsbFix 7.038 | [Recherche]

Utilisateur: Ornela (Administrateur) # ORNELLA [ ]
Mis à jour le 14/01/2011 par El Desaparecido / C_XX
Lancé à 21:42:54 | 07/02/2011
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
CPU 2: Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.83952505 [Enabled | Updated]
RAM -> 1015 Mo 
C:\ (%systemdrive%) -> Disque fixe # 149 Go (105 Go libre(s) - 71%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (1 Go libre(s) - 61%) [] # FAT

################## | Éléments infectieux |



################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |


################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |

moment de grace · Answer

refais ubsfix Suppression en mode sans echec


https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

Nellitalia · Answer

moment de grace · Answer

on fait le point stp

que restent il comme soucis ?

Nellitalia · Answer

Apparemment tout va bien, avast ne détecte rien en tout cas!
Je dois faire un scan ou bien c'est pas nécessaire ?
Merci encore pour votre aide.

moment de grace · Answer

oui refais un scan avast 

de plus

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichierr " et copie/colle le lien dans ton prochain message

Nellitalia · Answer

J'ai fait un "scan minutieux" avec avast, voici ce qu'il m'a trouvé : http://www.cijoint.fr/cjlink.php?file=cj201102/cijwIvBIaS.jpg

Rapport ZHPdiag :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijC1dI9FC.txt

moment de grace · Answer

Télécharger Eset Nod32 : 
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe 
* Lancer le fichier 
* Accepter les conditions 
* Autoriser le programme à accéder à Internet 
* Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement) 
* Téléchargement des signatures 


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte ! 

* Le scan débute dés la fin du téléchargement 
* Générer le rapport 
* Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte... 



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum. 
Si le rapport n'est pas sur le bureau regarde ici ==> C:\Program Files\EsetOnlineScanner\log.txt 

Pour vous aider voici un tuto rédigé par dorgane : 
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Nellitalia · Answer

C:\Documents and Settings\Ornela\Local Settings\Application Data\S-1-5-31-1286970278978-5713669491-166975984-320\Rotinom\seksw	empomat.exe	une variante de Win32/Kryptik.KAU cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings\Ornela\Mes documents\MsgPlusLive-481.exe	une variante de Win32/Adware.CiDHelp application	nettoyé par suppression - mis en quarantaine
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\SearchSettings.dll.vir	Win32/Adware.Toolbar.Dealio application	nettoyé par suppression - mis en quarantaine
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\SearchSettings.exe.vir	Win32/Adware.Toolbar.Dealio application	nettoyé par suppression - mis en quarantaine
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\SearchSettingsRes409.dll.vir	Win32/Adware.Toolbar.Dealio application	nettoyé par suppression - mis en quarantaine
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\WidgiHelper.exe.vir	Win32/Adware.Toolbar.Dealio application	nettoyé par suppression - mis en quarantaine
C:\Program Files\Ad-Remover\Quarantine\C\Program Files\pdfforge Toolbar\IE\1.1.2\pdfforgeToolbarIE.dll.vir	Win32/Adware.Toolbar.Dealio application	nettoyé par suppression - mis en quarantaine
C:\UsbFix\Quarantine\C\Documents and Settings\Ornela\LOCALS~1\Temp\79554.exe.vir	une variante de Win32/Kryptik.KAU cheval de troie	nettoyé par suppression - mis en quarantaine

Nellitalia · Answer

Je me suis rendue compte que j'ai de nouveaux intrus sur ma clé USB...Que j'ai dû attrapé sur les PC du lycée.

moment de grace · Answer

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 




UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Nellitalia · Answer

Nellitalia · Answer

https://pjjoint.malekal.com/files.php?id=8a5efb73048912

moment de grace · Answer

ok

pas de soucis de ce côté

tu le connais lui ?  E:\seksw

Nellitalia · Answer

Non, je le connais pas...
(J'ai toujours 5 dossiers inconnus sur mon disque externe, par contre mes photos qui avaient disparues sont de nouveau là!)

Nellitalia · Answer

Les noms sont : GICAN" "CVJECE" "VEROVALA" "SEKSW", les contenus était inaccessibles...J'ai fait clique droit supprimer, et ils semblent avoir disparu...

moment de grace · Answer

ok

encore des soucis ?

Nellitalia · Answer

Il semblerait que non !
Merci pour la disponibilité

moment de grace · Answer

Fais un nouveau rapport ZHPdiag stp

Rend toi sur http://pjjoint.malekal.com/

Clique sur "Parcourir " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

Virus cheval de troie...

46 réponses

Votre réponse

Discussions similaires

Newsletters