Attaques répétées de chevaux de troie, Help!!

Résolu/Fermé
al - 14 févr. 2011 à 10:52
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 - 21 févr. 2011 à 11:04
Bonjour,
J'ai des attaques que mon anti virus bloque, mais le Pc est déjà infecté.
Pour info, peut on remonter à la source de ses attaques car vols de données sensibles sur mon PC.
Dans tous les cas il faut que je désinfecte.
Merci de votre aide
Al
A voir également:

48 réponses

Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
14 févr. 2011 à 10:56
Bonjour et bienvenue sur CommentCaMarche !

◈ Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

◈ Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.


▶▷▶▷▶▷▶▷▶▷ ZHPDiag ◁◀◁◀◁◀◁◀◁◀


◈ Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

◈ Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\

◈ Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.

Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "

◈ Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

◈ Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

◈ Rend toi sur cjoint puis clique sur " Parcourir ".

◈ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

◈ Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.
0
Re
Ca commence bien, il me demande de saisir un rapport avant de commencer l'analyse. Quand j'essaie de créer un fichier rapport, y veut pas .
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
14 févr. 2011 à 16:31
Tu as bien lancé ZHPDiag et non ZHPFix ? Et tu as bien suivis les instructions à la lettre?..
0
Re
attend je crois que j'ai trouve , je lance l'analyse a toute.
0
Voici le lien,
https://www.cjoint.com/?3coqKeBiJrj
pour info il arrete l'analyse à 43% car "argument incorrect pour encodage de date"
0
afideg Messages postés 10517 Date d'inscription lundi 10 octobre 2005 Statut Contributeur sécurité Dernière intervention 12 avril 2022 602
14 févr. 2011 à 16:40
Bonjour,
Si une réponse ce fait trop attendre, tu as la possibilité de contacter le helper par MP (= Messagerie Privée) ; mais cela n'est possible que si l'internaute est inscrit comme membre du forum. Sur CCM, c'est ici »
Tu t'y retrouveras mieux dans le suivi des messages.

Salut Xp ;)
Al
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
14 févr. 2011 à 16:38
Ouep ça peut arriver les erreurs comme ça.. Bon on va se contenter de ce piètre morceau de rapport pour l'instant étant donné que je vois déjà par quoi t'es infecté..

Fais ceci :

▶▷▶▷▶▷▶▷▶▷ Combofix ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge ComboFix ( de sUBs ) à cette adresse.

/!\ Ferme toutes les fenêtres de programme ouvertes /!\

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

◈ Double clique sur " Combofix.exe "

◈ Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

◈ Pendant le scan, ne touche à rien ( souris, clavier )

◈ Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
0
re ,
j'ai tel combo fix mais il ne s'exécute pas complètement en me disant que c'est un fichier dangereux à fermer!!
si cela marche le scan dure combien de temps environ?
Je réessaye. Peux tu me préciser par quoi et par qui je suis infecté.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
14 févr. 2011 à 21:43
Par qui, personne. Par quoi, Vundo :-) après t'es sûrement infecté par d'autres bestioles..

Essaie en renommant Combofix.exe en Al.exe juste avant de le télécharger.
0
bonjour,
Désolé, ,je viens juste de récupérer une connexion internet depuis hier soir.
meme en renommant le fichier il me dit"some installation files are corrupt,, please dowload a fresh copy of combo fix.exe"
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 févr. 2011 à 11:53
Es-tu sûr de le renommer avant le téléchargement ?

Fais le avec Internet Explorer :

Tu cliques sur le lien
Tu cliques sur [Enregistrer]
Tu te places dans le bureau et dans la partie " Nom du fichier " tu mets al.exe
Ensuite tu fais [Enregistrer]

Si cela ne fonctionne pas, fais ceci :

▶▷▶▷▶▷▶▷▶▷ OTL - Analyse ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge OTL ( d'Old Timer ) sur ton bureau.

◈ Lance le, coche la case "Tous les utilisateurs" puis clique sur le bouton [Analyse]

◈ Patiente jusqu'à l'ouverture des deux rapports OTL.txt et Extras.txt

◈ Rends toi sur cjoint et clique sur [Parcourir]

◈ Sélectionne le fichier OTL.txt et clique sur [Ouvrir]

◈ Enfin, clique sur [Créer le lien cjoint] et copie/colle le lien créé dans ta prochaine réponse.

Note : Fais de même avec le rapport Extras.txt
0
re,
j'ai réessayé comme tu l'as dit pour combo: meme message,
pour otl :
message: C/.../OTL.exe n'est pas une application Win 32 valide.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 févr. 2011 à 13:49
Bizarre :/ Essaie ça :

▶▷▶▷▶▷▶▷▶▷ Findykill - Recherche ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge Findykill ( d'El desaparecido ) sur ton bureau.

/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\

◈ Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).

◈ Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.

◈ Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.

◈ A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\FyK.txt
0
Ci joint rapport

############################## | FindyKill V5.052 |

# User : Compaq_Propriétaire (Administrateurs) # NOM-EB85C523610
# Update on 23/10/2010 by El Desaparecido
# Start at: 14:59:34 | 15/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

# Intel(R) Pentium(R) 4 CPU 2.93GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# C:\ # Disque fixe local # 226,88 Go (34,91 Go free) [PRESARIO] # NTFS
# D:\ # Disque fixe local # 5,99 Go (2,34 Go free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# M:\ # Disque fixe local # 149,01 Go (112,44 Go free) [My Passport] # FAT32

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = "Start" ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.052 ! |
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 févr. 2011 à 15:05
Bon je sais pas d'où elles viennent tes erreurs win32 mais c'est pas bagle en tout cas..

Essaie ceci :

Télécharge DDS ici : https://download.bleepingcomputer.com/sUBs/dds.scr
Lance le, patiente pendant le scan puis héberge les deux rapports qui s'ouvriront ( attach.txt et l'autre ) sur cjoint -> https://www.cjoint.com/
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 févr. 2011 à 15:41
Ok en effet ton PC est sur-infecté , pas étonnant que quasiment tout les outils de diagnostic passent pas.. on va faire ça en plusieurs étape. Pour commencer, fais ceci :

▶▷▶▷▶▷▶▷▶▷ TDSSKiller ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.

◈ Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

◈ Clique sur [Start Scan] pour démarrer l'analyse.

◈ Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

◈ Un rapport s'ouvrira au redémarrage du PC.

Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

Ensuite ceci :

▶▷▶▷▶▷▶▷▶▷ OtMoveIt ◁◀◁◀◁◀◁◀◁◀


◈ Télécharge OtMoveIt sur ton bureau.

◈ Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".


:processes

dwm.exe
conhost.exe

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{0d6e11e3-3feb-43ed-a5aa-702e71ae5929}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMService"=-
"conhost"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\syncdcl]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ungzpw]

:files

c:\windows\temp\*.*
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Microsoft\conhost.exe 
c:\windows\system32\alk162.dll 
c:\windows\system32\setup.exe

:commands

[emptytemp]
[emptyflash]



◈ Clique maintenant sur " MoveIt! "

◈ Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles

==============================================================================================================

+ Un nouveau rapport DDS après que tu aies fait tout ça.

J'attends donc : Le rapport TDSSKiller , le rapport OTM et le nouveau rapport DDS.
0
pas de possibilité d'exécuter tdskiller meme reponse que pour OTL. Je l'ai renommé mais pas possible non plus.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 févr. 2011 à 15:56
T'as essayé OTM ?
0
J'ai essayé3 fois. Au moment de cliquer sur move it ça plante tout et l'ordinateur s'éteint.
et pas d'analyse
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 févr. 2011 à 16:58
Bon on va devoir faire autrement, parce que là ton PC est trop infecté pour qu'on puisse faire quelque chose directement dessus :

▶▷▶▷▶▷▶▷▶▷ OTLPENet ◁◀◁◀◁◀◁◀◁◀


Note : Ce fichier est assez volumineux, on utilisera donc ton lecteur CD/DVD et un CD vierge sur ta machine.
Un Périphérique USB serait pratique également.

[x] Télécharge OTLPENet sur ton bureau.

[x] Insère dans ton lecteur/graveur CD/DVD , un CD vierge puis lance OTLPENet.

[x] Une fenêtre s'ouvrira pour te demander si tu souhaites graver le CD, clique sur [Oui].

[x] Patiente pendant la gravure. Une fois le CD gravé, insère le dans le lecteur CD/DVD du PC infecté.

Note : Maintenant que le CD est gravé, il faut faire redémarrer le PC sur le lecteur CDROM.
Un tutoriel est disponible ici.

[x] Une fois le CD lancé, Windows se charge et tu arrives sur le bureau REATOGO-X-PE

[x] Double clique sur OTLPE

[x] Une fenêtre s'ouvre : Do you wish to load the remote registry , Clique sur [YES].
[x] Une seconde : Do you wish to load remote user profile(s) for scanning , Clique sur [YES].
[x] Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuye sur [OK].

[x] OTL va se lancer. Dans la partie " Custom Scan " , copie/colle le texte en gras ci dessous :


netsvcs
drivers32
msconfig
safebootminimal
safebootnetwork
activex
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /s
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
HKLM\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS
HKCU\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS


[x] Clique sur [Run Scan] pour démarrer l'analyse.

[x] Une fois l'analyse terminée, le fichier est sauvegardé sur ton disque dur C:\OTL.txt.

[x] Copies le fichier sur une clé usb si tu n'as pas accès à Internet.

[x] Poste le contenu du rapport OTL.txt dans ta prochaine réponse.
0
Xplode Messages postés 8820 Date d'inscription vendredi 21 août 2009 Statut Contributeur sécurité Dernière intervention 2 juillet 2015 726
15 févr. 2011 à 19:49
Relance OTLPE et copie/colle ceci sous " Custom Scan "

:OTL

SRV - File not found [Auto] -- -- (AMService)
SRV - File not found [Auto] -- -- (hcdvukdg)
DRV - File not found [Kernel | Boot] -- -- (akmstkvzsnlktt)
DRV - File not found [Kernel | Boot] -- -- (hbrtqevzlfevi)
DRV - File not found [Kernel | Boot] -- -- (ctunaffr)
DRV - File not found [Kernel | Boot] -- -- (vyhhn)
DRV - File not found [Kernel | Auto] -- -- (Scutum50)
DRV - File not found [Kernel | On_Demand] -- -- (rt2870)
DRV - [2004/08/05 07:00:00 | 000,023,424 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\hgycytxi.sys -- (hgycytxi)
IE - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1
IE - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53939
O2 - BHO: () - {0D6E11E3-3FEB-43ED-A5AA-702E71AE5929} - File not found
O2 - BHO: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Microsoft\conhost.exe ()
O4 - HKLM..\Run: [AMService] C:\WINDOWS\system32\setup.exe (Microsoft Corporation)
O4 - HKLM..\Run: [WOOTASKBARICON] File not found
O4 - Startup: C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk = File not found
F3 - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C WinNT: Load - (C:\DOCUME~1\COMPAQ~1.NOM\LOCALS~1\Temp\csrss.exe) - C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Local Settings\Temp\csrss.exe ()
O20 - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C Winlogon: Shell - (C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe) - C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe ()
O20 - Winlogon\Notify\syncdcl: DllName - syncdcl.dll - File not found
O20 - Winlogon\Notify\ungzpw: DllName - ungzpw.dll - File not found
NetSvcs: hcdvukdg - File not found
NetSvcs: SSHNAS - File not found

:files

C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Bureau\Setup.exe
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dsuxh2vslbztfxhaillttlzhiobjdjx2
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\xssend2
C:\Documents and Settings\LocalService\Application Data\OfferBox
C:\Documents and Settings\NetworkService\Application Data\OfferBox

:commands

[emptytemp]


Clique sur [Run Fix] et poste moi le rapport.
0