Comment enlever les chevaux de troie de mon pc

yosra24 Messages postés 5 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
S'il vous plait je viens de faire le scan sur le ZHPDiag et voici le lien
https://pjjoint.malekal.com/files.php?id=b79e4505e381415
En vous remerciant d'avance!!

8 réponses

  1. Utilisateur anonyme
     
    Salut,

    Qui t'as dit que tu as de chevaux de trois ?

    Tu as deux antivirus : avira et comodo internet security ?

    Il faut avoir qu'un seul antivirus !

    On commence par ceci :

    1/
    * Télécharge de AD-Remover sur ton Bureau.
    http://www.teamxscript.org/adremoverTelechargement.html

    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    2/
    *Télécharges Malwarebytes' (mbam)

    ICI >> Malwarebytes' (mbam)

    * installes + mise a jour
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lances--> Malwarebytes (MBAM)
    * Puis vas dans l'onglet "Recherche", coche >>Exécuter un examen complet
    * puis "Rechercher"
    * Sélectionnes tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats puis sur Enregistrer le rapport
    *Si MalwareBytes' détecte des infections, clique sur ==>Afficher les résultats, puis sur ==>Supprimer la sélection
    * S'il t' es demandé de redémarrer, clique sur "oui "
    * aprés la suppression(s) de ou des infections trouvées --> poste le rapport ici
    !!! Ne pas vider la quarantaine de MBAM sans avis !!!

    @+

    H.F. : Fish66
    0
  2. yosra24 Messages postés 5 Statut Membre
     
    Salut;
    Je vous remercie de m'avoir répondu aussi rapidement.Concernant les chevaux de troie je crois que c'est Avira qui a résolu le problème et je viens d'enlever le comodo internet security.
    Voici le rappport de AD-Remover:
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 08/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 14:49:55 le 09/04/2011, Mode sans echec

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Administrateur@SWEET-C5D9F4515 ( )

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\freeTVRadio
    Dossier supprimé: C:\Program Files\PopCap Games
    Dossier supprimé: C:\Documents and Settings\Administrateur\Application Data\OfferBox
    Dossier supprimé: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\OfferBox
    Dossier supprimé: C:\Program Files\OfferBox

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Classes\Interface\{81713778-717A-4E70-9F29-ABF736174FDE}
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT1561552
    Clé supprimée: HKLM\Software\Freeze.com
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKCU\Software\freeTVRadio
    Clé supprimée: HKCU\Software\Conduit
    Clé supprimée: HKCU\Software\PopCap
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\freeTVRadio
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\OfferBox
    Clé supprimée: HKLM\Software\Classes\Installer\Products\5B4758C25396ECF468E04F8E063287FF
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\5B4758C25396ECF468E04F8E063287FF
    Clé supprimée: HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\OfferBox
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}

    Valeur supprimée: HKCU\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.13 (fr)] ****

    Plugins\npwachk.dll (Nullsoft, Inc.)
    HKLM_MozillaPlugins\@movenetworks.com/Quantum Media Player (x)
    HKCU_MozillaPlugins\@movenetworks.com/Quantum Media Player (x)
    Extensions\{B13721C7-F507-4982-B2E5-502A71474FED} (Skype extension for Firefox )
    HKLM_Extensions|{EBDC7EC1-549E-48ee-96F7-C2252F5BBBED} - C:\Program Files\Comodo\HopSurfToolbar\hopsurfext_ff3
    HKLM_Extensions|smartwebprinting@hp.com - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2
    HKCU_Extensions|moveplayer@movenetworks.com - C:\Documents and Settings\Administrateur\Application Data\Move Networks
    HKCU_Extensions|smartwebprinting@hp.com - C:\Program Files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn2

    -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\mteietq8.default --
    Extensions\snaplinks@snaplinks.net (Snap Links (EladKarako Mod))
    Extensions\{0b38152b-1b20-484d-a11f-5e04a9b0661f} (Winamp Toolbar)
    Extensions\{44d0a1b4-9c90-4f86-ac92-8680b5d6549e} (Gmail Notifier)
    Extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8} (DownThemAll!)
    Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} (Greasemonkey)
    Searchplugins\winamp-search.xml (?)
    Prefs.js - browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Bureau
    Prefs.js - browser.startup.homepage, hxxp://www.google.fr/
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    **** Internet Explorer Version [8.0.6001.18702] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_URLSearchHooks|{E38FA08E-F56A-4169-ABF5-5C71E3C153A1} - "NetAssistantBHO Class" (C:\Program Files\Freeze.com\My.Freeze.com NetAssistant\NetAssistant.dll)
    HKLM_Toolbar|{E9FAB13D-4600-49E1-90D1-EE961C859D39} (C:\Program Files\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll)
    HKCU_ElevationPolicy\{2E422264-6D8A-4ca0-97C7-A2CF868471EA} - C:\Documents and Settings\Administrateur\Application Data\Move Networks\ie_bin\MovePlayerUpgrade.exe (?)
    HKLM_ElevationPolicy\508b897d-de03-4330-ad28-40c449affb06 - C:\Program Files\Hotspot_Shield\Hotspot_ShieldToolbarHelper.exe (x)
    HKLM_ElevationPolicy\638bfe2f-8d25-493a-8d35-160a35af9ccf - C:\Program Files\Hotspot_Shield\Hotspot_ShieldToolbarHelper.exe (x)
    HKLM_ElevationPolicy\6b0736e3-ed53-4bdb-9e95-1f3bb81b0af4 - C:\Program Files\Hotspot_Shield\Hotspot_ShieldToolbarHelper.exe (x)
    HKLM_ElevationPolicy\{569591D2-F221-4115-9A89-762956BEB3C0} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\SmartWebPrintExe.exe (?)
    HKLM_Extensions\{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - "?" (?)
    HKLM_Extensions\{85d1f590-48f4-11d9-9669-0800200c9a66} - "?" (?)
    HKLM_Extensions\{e2e2dd38-d088-4134-82b7-f2ba38496583} - "?" (?)
    HKLM_Extensions\{ED98F8D1-09AC-4107-B2FF-91DBE011B0C5} - "HopSurf" (C:\Program Files\Comodo\HopSurfToolbar\HopSurfToolbar_IE.dll,311)
    BHO\{02478D38-C3F9-4efb-9B51-7695ECA05670} (?)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll)
    BHO\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - "SSVHelper Class" (C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll)
    BHO\{E38FA08E-F56A-4169-ABF5-5C71E3C153A1} - "NetAssistantBHO Class" (C:\Program Files\Freeze.com\My.Freeze.com NetAssistant\NetAssistant.dll)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 44 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 09/04/2011 14:50:21 (2027 Octet(s))

    Fin à: 14:51:23, 09/04/2011

    ============== E.O.F ==============
    0
  3. yosra24 Messages postés 5 Statut Membre
     
    et voici le scan de malwarebytes:
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    09/04/2011 17:33:20
    mbam-log-2011-04-09 (17-33-20).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 158814
    Temps écoulé: 38 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  4. Utilisateur anonyme
     
    Re,

    De rien :)

    Pourquoi tu a préparé le rapport ZHPDiag en mode sans échec ?

    De quoi il souffre ton PC ? :)

    1/

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
    * Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
    * Merci à Malekal pour le tutoriel
    * Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    * Double clique sur mbr.exe
    * Un rapport sera généré : mbr.log
    * En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
    * Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:

    => Sous XP : "%userprofile%\Bureau\mbr" -f

    => Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f

    * (veuillez à bien respecter les guillemets)
    * Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
    * Réactive tes protections .Poste ce rapport et supprime le ensuite.

    o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
    o Relance mbr.exe
    o Réactive tes protections.
    o Le nouveau mbr.log devrait être celui-ci :
    o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
    o device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

    2/

    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Infection Diverse (Disabled.SecurityCenter)
    R3 - URLSearchHook: NetAssistantBHO Class - {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} . (.W3i, LLC - My.Freeze.com NetAssistant.) (3, 8, 2, 0) -- C:\Program Files\Freeze.com\My.Freeze.com NetAssistant\NetAssistant.dll => Infection BT
    O2 - BHO: NetAssistantBHO - {E38FA08E-F56A-4169-ABF5-5C71E3C153A1} . (.W3i, LLC - My.Freeze.com NetAssistant.) -- C:\Program Files\Freeze.com\My.Freeze.com NetAssistant\NetAssistant.dll => Infection BT
    O42 - Logiciel: My.Freeze.com NetAssistant - (.Freeze.com.) [HKLM] -- {E7B100D8-98A5-42AA-830F-16D6BD5351F1} => Infection BT
    O42 - Logiciel: OfferBox - (.Secure Digital Services.) [HKLM] -- {2C8574B5-6935-4FCE-860E-F4E8602378FF} => Infection PUP (PUP.OfferBox)
    [HKCU\Software\OfferBox] => Infection PUP (PUP.OfferBox)
    [HKCU\Software\PopCap] => Infection BT (Adware.PopCap)
    [HKCU\Software\freeTVRadio] => Infection BT (Adware.SPointer)
    [HKLM\Software\Freeze.com] => Infection BT
    O43 - CFD: 23/05/2010 - 11:15:58 - [423793] ----D- C:\Program Files\Freeze.com => Infection BT
    O43 - CFD: 24/04/2010 - 22:32:06 - [1529287] ----D- C:\Program Files\OfferBox => Infection PUP (PUP.OfferBox)
    O43 - CFD: 23/05/2010 - 14:24:38 - [2529402] ----D- C:\Program Files\PopCap Games => Infection BT (Adware.PopCap)
    O43 - CFD: 24/04/2010 - 22:41:36 - [617] ----D- C:\Documents and Settings\Administrateur\Application Data\freeTVRadio => Infection BT (Adware.SPointer)
    O43 - CFD: 24/04/2010 - 22:32:06 - [124988] ----D- C:\Documents and Settings\Administrateur\Application Data\OfferBox => Infection PUP (PUP.OfferBox)
    O53 - SMSR:HKLM\...\startupreg\OfferBox [Key] . (.Secure Digital Services - OfferBox.) -- C:\Program Files\OfferBox\OfferBox.exe => Infection PUP (PUP.OfferBox)
    O51 - MPSK:{a671e7f4-4017-11df-b220-001b24d04abc}\AutoRun\command. (.Pas de propriétaire - Pas de description.) -- G:\LaunchU3.exe (.not file.)

    FirewallRAZ
    EmptyTemp
    EmptyFlash



    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

    Copie/Colle le rapport à l'écran dans ton prochain message.

    3/
    Malwarebytes n'est pas à jour, fais la mise à jour puis lance le de nouveau

    et fais une analyse complète comme déja expliqué ICI

    *******Aide Malwarebytes******

    J'attend les trois rapports

    @+
    H.F. : Fish661
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. yosra24 Messages postés 5 Statut Membre
     
    Re ;
    pour télécharger mbr.exe j'ai désactivé l'avira mais j'ai pas su désactiver ni le "Superantispyware ni l'Anti-malware,comment faire s'il vous plait ?????
    0
  7. Utilisateur anonyme
     
    Re,

    Pour superantispyware, c'est unitile tu peux désinstaller .

    Télécharge revo-uninstaller

    Double clique sur ce fichier téléchargé (exécuter en tant qu'administrateur pour vista et seven]

    Choisis superantispyware pour le désinstaller.

    ******Aide Revo uninstaller******

    Anti-malware : si tu veux dire Malwarebytes ce n'est pas un problème il ne fonctionne pas en temps réel

    @+
    0
  8. yosra24 Messages postés 5 Statut Membre
     
    c'est vraiment bizarre , j'ai tout essayé je ne sais pas ce qui empêche le téléchargement de mbr.exe ,pourtant l'antivirus et le pare -feu sont désactivés
    A votre avis pourquoi ça ne marche toujours pas????
    0
  9. Utilisateur anonyme
     
    Re,

    Renomme gmer par : test et fais autre essais de nouveau !

    ********************************************************

    Gmer.exe renommé téléchargé avec "download EXE" sur la page http://www.gmer.net/#files

    H.F. : Fish66
    0
    1. Utilisateur anonyme
       
      Demain on va continuer,bonne nuit :)
      0