trojan generic 5755003Résolu/Fermé

Question

Bonjour,  

Je suis vraiment dans la panade depuis hier soir, j'ai allumé mon ordinateur et là BitDefender m'a detecté un trojan, impossible a supprimer ou mettre en quarantaine. ca me dit que l'acces a été refusé. 

Le probleme que j'ai egalement, cest que je ne peux absolument plus acceder a internet, ouvrir un fichier ou autre. Quand je veux faire un Alt+crl+del, ca m'affiche un message d'erreur.... tout l'ordi plante!! 

aidez moi sil vous plait :( 

merci d'avance!!!! 

Configuration: Mac OS X / Safari 533.16

sabri · Answer

help, je dois vraiment trouver de l'aide, mon ordinateur est totalement hors de service :(

Utilisateur anonyme · Answer

Je te conseille d'imprimer la procédure puisque tu vas démarrer à partir d'un CD spécial.
Il faut exécuter toutes les étapes, sans interruption, dans l'ordre exact indiqué ci-dessous.



Étape 1: OTLPE (de OldTimer), préparation
Sur un autre PC, "bien portant", télécharger OTLPENet.exe depuis ce lien: http://oldtimer.geekstogo.com/OTLPENet.exe

Exécute le, le lancement du cd est automatique, répond oui à la question "Do you want burn the cd?"

Toujours sur le PC "bien portant", ouvrir une fenêtre du Bloc-notes, via Démarrer---->Exécuter, taper notepad puis cliquer sur OK
Sélectionner toutes les lignes de la zone blanche située sous "Code:" ci-dessous, puis appuyer simultanément sur les touches Ctrl et C

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

Retourner dans la fenêtre du Bloc-notes, faire un clic droit dans la fenêtre et choisir Coller
Vérifier dans le menu Format (en haut) que "Retour automatique à ligne" n'est pas actif (pas coché).
Enregistrer le fichier sous le nom OTLPE-1.txt
Fermer le Bloc-notes.


Copier ce fichier OTLPE-1.txt sur une clé USB de façon à pouvoir le transférer sur le PC "malade" via REATOGO.




Étape 2: OTLPE (de OldTimer), analyse

Modifier le BIOS du PC "malade" afin que le démarrage s'effectue à partir du CD avant le disque dur. Voir: ici (en français)

Faire redémarrer le PC "malade", qui doit démarrer depuis le CD-Rom et afficher un Bureau REATOGO-X-PE
Faire un double clic sur l'icône OTLPE.
Si le systeme d'exploitation est Vista tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)
A la demande "Do you wish to load the remote registry", répondre Yes
A la demande "Do you wish to load remote user profile(s) for scanning", répondre Yes
Vérifier que la case "Automatically Load All Remaining Users" est cochée, puis cliquer sur OK

L'écran principal de OTLPE s'affiche:


Sur le PC "malade", ouvrir le fichier OTLPE-1.txt (qui se trouve sur la clé USB) dans le Bloc-notes (notepad).

Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Sélectionner tout.
Dans le Bloc-notes, cliquer sur le menu Edition (en haut) et choisir Copier.

Retourner dans la fenêtre de OTLPE, faire un clic droit dans la fenêtre située en bas nommée "Custom Scans/Fixes" et choisir Coller.

Le contenu du fichier OTLPE-1.txt est ainsi inséré dans le panneau "Custom Scans/Fixes".

Puis cliquer sur le bouton Run Scan:


Laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant un rapport (log).
Fermer le Bloc-notes.
Fermer la fenêtre de OTLPE. 

Le fichier rapport est sauvegardé dans C:\OTL.txt

Héberges ton rapport sur le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

sabri · Answer

merci pour ta reponse,

j'ai finalement reussi a lancer une analyse avec mon ordinateur, ca fait 3h45 que BitDefender analyse mon pc, il a trouvé une quarantaine d'elements infectés, tous situés dans "System32"

est ce que je peux telecharger OTLPENet.exe directement sur mon ordinateur? et dois je attendre que l'analyse  BitD se finisse??

merci

Utilisateur anonyme · Answer

On va faire une analyse de ton systéme.  
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Utilisateur anonyme · Answer

Télécharge Ad-Remover sur ton bureau: 

http://www.teamxscript.org/adremoverTelechargement.html 


/!\ Ferme toutes tes applications ouvertes. /!\ 

* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil. 


Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur  
 "Nettoyer". 
Laisse travailler l'outil. 
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée. 
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt

sabri · Answer

désolé je ne l'avais pas vu,

alors, voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201104/cij2q0iA3S.txt

Utilisateur anonyme · Answer

* Télécharge et installe : Malwarebyte's Anti-Malware 
* (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

sabri · Answer

j'ai fait l'analyse comme tu m'as dit, durant l'analyse 15 fichiers infectés ont ete trouvé...  
je t'envoie je rapport : 


Malwarebytes' Anti-Malware 1.50.1.1100 
www.malwarebytes.org 

Version de la base de données: 6268 

Windows 6.0.6001 Service Pack 1 
Internet Explorer 7.0.6001.18000 

04/04/2011 19:33:46 
mbam-log-2011-04-04 (19-33-46).txt 

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|H:\|) 
Elément(s) analysé(s): 268700 
Temps écoulé: 1 heure(s), 27 minute(s), 46 seconde(s) 

Processus mémoire infecté(s): 0 
Module(s) mémoire infecté(s): 0 
Clé(s) du Registre infectée(s): 0 
Valeur(s) du Registre infectée(s): 1 
Elément(s) de données du Registre infecté(s): 0 
Dossier(s) infecté(s): 0 
Fichier(s) infecté(s): 15 

Processus mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Module(s) mémoire infecté(s): 
(Aucun élément nuisible détecté) 

Clé(s) du Registre infectée(s): 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre infectée(s): 
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default) -> Quarantined and deleted successfully. 

Elément(s) de données du Registre infecté(s): 
(Aucun élément nuisible détecté) 

Dossier(s) infecté(s): 
(Aucun élément nuisible détecté) 

Fichier(s) infecté(s): 
c:\Windows\System32\ateryp.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\bprotq.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\bwinr.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\eolmt.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\eolmu.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\folmu.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\fservu.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\iteryx.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\jprotz.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\lnixl.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\molml.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\qteryp.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\unixt.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\xregeg.exe (Trojan.Dropper) -> Quarantined and deleted successfully. 
c:\Windows\System32\zproty.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

On va faire une vérification . 
Post un nouveau rapport zhpdiag. 
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

sabri · Answer

voila le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201104/cijwE8TAcC.txt

Utilisateur anonyme · Answer

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
[HKLM\Software\OpenCandy NSIS SDK]     
O43 - CFD: 19/11/2008 - 13:58:28 - [58152] ----D- C:\ProgramData\XP     
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank 
O4 - Global Startup: C:\Users\jean louis\Desktop\Ordinateur - Raccourci.lnk - Clé orpheline 
O23 - Service:  (oservn) - Clé orpheline 
O23 - Service:  (TOSHIBA Bluetooth Service) - Clé orpheline 
EmptyTemp

--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
=====================================================

*	rends toi sur ce site : https://www.virustotal.com/gui/ 
==>Analyse ce fichier:
----------------------------------------------------------------------
 C:\Windows\system32\oservn.exe  

----------------------------------------------------------------------
*	Cliquez sur Parcourir... :
*	Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
*	Cliquez ensuite sur Envoyez le fichier : s'il a déjà été analysé, demande une nouvelle analyse.
*	Fais un copier/coller du rapport sur le forum.

sabri · Answer

Rapport 1 : 



Rapport de ZHPFix 1.12.3273 par Nicolas Coolman, Update du 03/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-04-04-2011-20-25-28.txt
Run by jean louis at 04/04/2011 20:25:28
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
HKLM\Software\OpenCandy NSIS SDK  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}  => Clé supprimée avec succès
O23 - Service: (oservn) - Clé orpheline  => Clé supprimée avec succès
O23 - Service: (TOSHIBA Bluetooth Service) - Clé orpheline  => Clé supprimée avec succès

========== Elément(s) de donnée du Registre ==========
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank  => Donnée supprimée avec succès

========== Dossier(s) ==========
Dossiers temporaires Windows supprimés: 87

========== Fichier(s) ==========
Fichiers temporaires Windows supprimés : 116


========== Récapitulatif ==========
4 : Clé(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
1 : Fichier(s)


End of the scan

Utilisateur anonyme · Answer

On va faire différemment.

 
Post un nouveau rapport zhpdiag. 
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Utilisateur anonyme · Answer

bon va falloir que je me repose un peu.Je te fais chercher un fichier que j'ai retirer auparavant.
O23 - Service: (oservn) - Clé orpheline => Clé supprimée avec succès 

Ton pc est maintenant propre. 
Voici quelques conseils. 

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes : adblock plus 
pour bloquer les publicités ;  

* WOT - Extension pour ton navigateur internet :  
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :  
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/  
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp   
=========================================================
Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité. 
* Télécharger  IE8 : ici 
=========================================================
Java n'est pas à jour, c'est une faille de sécurité.  
1. Tu dois en premier désinstaller l'ancienne version . 
2.  Ouvre le menu démarrer  
3. Clic sur panneau de configuration  
4. Rends toi a  ajout/suppression de programmes  
5.  Sélectionne toutes les versions de java présentes et désinstalles les. 
6. Ensuite, télécharges et installes la nouvelle version de  java (n'installes pas la barre d'outil proposée lors de l'installation) 
=========================================================

===========================================================
Adobe Reader n'est pas à jour , c'est une faille de sécurité.
1. Désinstalles le en allant dans menu démarrer
2. Clic sur panneau de configuration
3. Rends-toi à ajout/suppression de programmes.
4. Télécharges et installes la nouvelle version. https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

Décoches :McAfee® Security Scan Plus gratuit (en option)


Pour diminuer les risques, il est conseillé de désactiver l'interprétation du Javascript dans Adobe Reader sur votre ordinateur .Pour cela :

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez 
============================================================
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour  
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.  

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.  

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.  

* Un conseil : n'installe pas les BETA  
                               ==================================================== 
Pour éliminer les programmes de désinfections. 

* Téléchargez : DelFix sur votre bureau.
* Lancez le, cliquez sur Recherche.
* Patientez pendant le scan jusqu'à l'ouverture du rapport.
* Postez le contenu du rapport dans votre prochaine réponse sur le forum.

* Note : Le rapport se trouve sous C:\DelFixSearch.


=========================================================

=========================================================
Désactiver/Réactiver la restauration système de Vista
* Après une désinfection, il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés.
* Cliquez sur le bouton Vista, faîtes un clic droit sur "Ordinateur" puis cliquez sur "Propriétés" .
* Cliquez ensuite sur "Protection du système" .
* Décochez la case du ou des disque(s) pour lesquels vous souhaitez désactiver la restauration du système .
* Une confirmation est nécessaire et vous informe que les points de restaurations existants vont être supprimés sans possibilité de retour en arrière .
* Pour réactiver la restauration système, il suffit de cocher à nouveau les cases.
* Pensé a vider la corbeille. 
============================================================

===========================================================
Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

sabri · Answer

voila le dernier rapport que tu m'as demandé:  

# DelFix v7.6 - Rapport créé le 04/04/2011 à 23:06  
# Mis à jour le 31/03/11 à 16h par Xplode  
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6001] Service Pack 1  
# Nom d'utilisateur : jean louis - PC-DE-SABRINA (Administrateur)  
# Exécuté depuis : C:\Users\jean louis\Downloads\DelFix.exe  
# Option [Recherche]  


~~~~~~ Dossier(s) ~~~~~~  

Présent : C:\Program Files\Ad-Remover  
Présent : C:\Program Files\ZHPDiag  
Présent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP  

~~~~~~ Fichier(s) ~~~~~~  

Présent : C:\Ad-Report-CLEAN[1].txt  
Présent : C:\ZHPExportRegistry-04-04-2011-20-25-28.txt  
Présent : C:\PhysicalDisk0_MBR.bin  
Présent : C:\Users\jean louis\Desktop\AD-R.lnk  
Présent : C:\Users\jean louis\Desktop\ZHPDiag2.exe  
Présent : C:\Users\Public\Desktop\ZHPDiag.lnk  
Présent : C:\Users\Public\Desktop\ZHPFix.lnk  
Présent : C:\Users\Public\Desktop\MBRCheck.lnk  

~~~~~~ Registre ~~~~~~  

Clé Présente : HKCU\SOFTWARE\Ad-Remover  
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover  
Clé Présente : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1  

~~~~~~ Autre ~~~~~~  


########## EOF - "C:\DelFixSearch.txt" - [1300 octets] ##########  






j'ai fait tout ce que tu m'as dit sur ton dernier post;  

MERCI infiniment pour le temps que tu as passé a m'aider... j'aurais jms passé autant de temps sur mon ordinateur, mais me voila rassurée :) 
 bonne soirée et bonne nuit !!

Trojan generic 5755003

15 réponses

Discussions similaires

Newsletters