Cheval de Troie

kelia84 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Je pense que j'ai un cheval de Troie dans mon système. Je n'arrive pas à le localiser pour l'éliminer.
Il est arrivé alors que j'étais en conversation sur Skype et a supprimé tous les documents enregistrés sur mon bureau et sur le disque C.
J'avais la version gratuite de l'anti virus AVG, et j'ai téléchargé la version d'essai de la version payante qui a détecté le cheval de Troie sans l'éliminer, et j'ai téléchargé l'anti virus Avira qui lui n'a détecté aucune menace.
Mon PC déconne à bloc, par exemple en écrivant ce message, je n'ai plus pu écrire pendant 5min car j'avais beau taper sur le clavier mais rien ne se passait, par moment la souris ne répond plus, et même quand je clique sur des liens suite à une recherche sur google, je suis redirigée vers des pages autres.

Quelqu'un a-t-il une solution pour éradiquer ce cheval de troie svp?

Mille merci par avance

Kélia

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Du coup tu as deux antivirus ?
    Ca aide pas pour ne pas avoir un PC qui déc*nne pas :)
    Si tu en as deux, désinstalle un des deux.

    ETAPE 1 :
    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Poste le rapport ici.

    ETAPE 2 :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!

    ETAPE 3 :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

    0
    1. kelia84
       
      Hello,
      OK j'ai désinstallé le dernier anti-virus que j'avais installé, et j'ai passé un coup de TDSSKiller
      et voilà le rapport (du moins je pense que c'est ça)
      Il me propose de rebooter, je ne sais pas quoi lui dire.
      0
    2. kelia84
       
      \HardDisk0 (Rootkit.Win32.TDSS.tdl4) - will be cured after reboot
      \HardDisk0 - ok
      0
  2. corse62 Messages postés 42 Statut Membre 1
     
    Salut,
    Je pense que tu as choppé quelque chose du genre " windows repair " qui t'as caché tous tes fichiers, tu dois réactiver l'option " afficher les dossiers cachés " dans outils/ options dossiers. En tout cas c'est ce que j'ai eu, va voir ce post ça pourra t'aider ==> https://forums.commentcamarche.net/forum/affich-21470423-windows-repair

    j'espère t'avoir aidé

    Alexis
    0
    1. kelia84
       
      Merci Alexis pour ta réponse,
      J'ai effectué les étapes préconisées par Malekal, et mes fichiers ont réapparu en transparence, mais j'attends d'avoir une confirmation suite à la lecture du rapport car j'ai peur que le virus/cheval de Troie soit encore dans les parages.
      Merci beaucoup,
      Kélia
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    @kelia84 : ok passe à la suite.
    0
    1. kelia84
       
      Bon je viens de faire l'étape 2.
      J'ai tout supprimé mais il me dit qu'il est impossible de supprimer certains éléments, et voilà le fichier rapport.

      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Version de la base de données: 6362

      Windows 6.0.6001 Service Pack 1
      Internet Explorer 8.0.6001.19019

      14/04/2011 16:35:00
      mbam-log-2011-04-14 (16-35-00).txt

      Type d'examen: Examen rapide
      Elément(s) analysé(s): 160672
      Temps écoulé: 11 minute(s), 58 seconde(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 1
      Clé(s) du Registre infectée(s): 18
      Valeur(s) du Registre infectée(s): 1
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 1
      Fichier(s) infecté(s): 9

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      c:\program files\windows live\messenger\msimg32.dll (PUP.FunWebProducts) -> Delete on reboot.

      Clé(s) du Registre infectée(s):
      HKEY_CLASSES_ROOT\CLSID\{147A976F-EEE1-4377-8EA7-4716E4CDD239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\Typelib\{D518921A-4A03-425E-9873-B9A71756821E} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CLASSES_ROOT\Interface\{CF54BE1C-9359-4395-8533-1657CF209CFE} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00A6FAF1-072E-44CF-8957-5838F569A31D} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA1-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EA9-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07B18EAB-A523-4961-B6BB-170DE4475CCA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59C7FC09-1C83-4648-B3E6-003D2BBC7481} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68AF847F-6E91-45dd-9B68-D6A12C30E5D7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170B96C-28D4-4626-8358-27E6CAEEF907} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{D1A71FA0-FF48-48dd-9B6D-7A13A3E42127} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{DDB1968E-EAD6-40fd-8DAE-FF14757F60C7} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F138D901-86F0-4383-99B6-9CDD406036DA} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$XNTUninstall643$ (Adware.AdRotator) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Metropolis (Trojan.Downloader) -> Value: Metropolis -> Quarantined and deleted successfully.

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      c:\Windows\$xntuninstall643$ (Adware.AdRotator) -> Quarantined and deleted successfully.

      Fichier(s) infecté(s):
      c:\program files\windows live\messenger\msimg32.dll (PUP.FunWebProducts) -> Delete on reboot.
      c:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
      c:\Windows\Temp\110413095624758-013289.rsc_tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
      c:\Windows\Temp\110413095624758-013290.rsc_tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
      c:\Windows\System32\gnuhashes.ini (Trojan.Tracur) -> Quarantined and deleted successfully.
      c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
      c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
      c:\Windows\$xntuninstall643$\apuninstall.exe (Adware.AdRotator) -> Quarantined and deleted successfully.
      c:\Windows\$xntuninstall643$\zrpt.xml (Adware.AdRotator) -> Quarantined and deleted successfully.
      0
  4. kelia84
     
    Le scan OTL est terminé,
    voilà le lien pour le consulter:

    http://pjjoint.malekal.com/files.php?id=64458c39d115811

    Merci d'avance
    0
    1. kelia84
       
      Et voilà le rapport extra

      http://pjjoint.malekal.com/files.php?id=6c25e6976c12711

      Merci beaucoup
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kelia84
     
    Les fichiers qui avaient disparus son réapparus en transparent,
    Puis-je décocher l'option "caché" ou dois-je faire une manipulation au préalable?
    Merci
    0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:

    :OTL
    [2011/04/06 01:29:45 | 000,000,128 | -H-- | C] () -- C:\ProgramData\~42131208r
    [2011/04/06 01:29:42 | 000,000,096 | -H-- | C] () -- C:\ProgramData\~42131208
    [2011/04/06 01:28:34 | 000,000,384 | -H-- | C] () -- C:\ProgramData\42131208


    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Je te conseillerai plutôt de remplacer AVG (si tu as la version gratuite) par Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
    0
  8. kelia84
     
    Je viens de redémarrer mon PC,
    Ci-dessous le rapport suite à la dernière manipulation que tu m'as indiqué:

    ========== OTL ==========
    C:\ProgramData\~42131208r moved successfully.
    C:\ProgramData\~42131208 moved successfully.
    C:\ProgramData\42131208 moved successfully.

    OTL by OldTimer - Version 3.2.22.3 log created on 04142011_183923

    Mon PC répond parfaitement, est-ce que je peux décocher l'option "caché" pour les fichiers qui apparaissent en transparent, et si oui, y-a--il un moyen plus rapide que de faire fichier par fichier?

    Je voulais aussi te demander si je peux consulter mes comptes bancaires en tte sécurité, si il est préconnisé de changer mes mots de passe,...

    Et une dernière question, je vais suivre ton conseil et remplacer AVG par Avast. Je dois dans un premier temps désintaller AVG avnt d'installer AVAST ou il est plus prudent de d'abord installer avast et ensuite désinstaller AVG.

    Merci 1 million de fois, tu m'as sauvé la vie!
    Merci Merci Merci!!!
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Mon PC répond parfaitement, est-ce que je peux décocher l'option "caché" pour les fichiers qui apparaissent en transparent, et si oui, y-a--il un moyen plus rapide que de faire fichier par fichier?

    RogueKiller option 6 permet de remettre les bons attributs : https://www.luanagames.com/index.fr.html

    Je voulais aussi te demander si je peux consulter mes comptes bancaires en tte sécurité, si il est préconnisé de changer mes mots de passe,...

    Je pense que tu peux.
    Par sécurité, oui change les mots de passe.

    Télécharges Avast!
    Désinstalle AVG.
    Installe Avast!

    Dis moi si tu as pu remettre l'attribut sur les fichiers cachés.
    0