Sujet Précédent Sujet Suivant

Cheval de troie impossible à enlever

Zali -  
LOLdeLOL Messages postés 50 Statut Membre -
Bonjour,

Voici mon problème: Depuis deux jours, j'essaye d'activer le centre de sécurité sous 7 et un message d'erreur s'affiche. Je suis allée voir dans la liste des services mais il est tout simplement absent.

Donc j'ai fait un scan avec avira, j'ai un cheval de troie (TR/Vundo.aba.1) que bien sur l'antivirus n'arrive pas à supprimer, et qui se trouve sur un fichier (C:\Windows\System32\rpcrt4U.dll) que je ne trouve pas non plus.

Je ne sais vraiment pas quoi faire, si quelqu'un pouvait m'aider je lui en serait très reconnaissante.
A voir également:

8 réponses

Réponse 1 / 8
Utilisateur anonyme
 
Bonjour

Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Avant d'utiliser ComboFix :

-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

- Installe le console de récupération comme demandé ;utile en cas de plantage

- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

@+
0
Réponse 2 / 8
Zali
 
Je suis ravie d'avoir de l'aide aussi rapidement, seulement voilà....

Avant d'avoir avira j'avais Microsoft security essential et je l'ai désinstallé car il ne voulait plus démarrer, à cause des virus je pense.

Quand j'ai voulu démarrer le scan que tu m'as dit de faire, le logiciel m'a demandé de désactiver l'anti-virus et l'anti-spyware Microsoft security essential alors que je ne l'ai plus !

Je n'y comprends rien.
0
Utilisateur anonyme
 
Avance ;lance ComboFix.
0
Zali
 
ComboFix 11-05-21.03 - admin 22/05/2011 15:40:03.2.2 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7600.0.1252.33.1036.18.1022.390 [GMT 2:00]
Lancé depuis: c:\users\admin\Desktop\Adeshi.exe
AV: Microsoft Security Essentials *Enabled/Updated* {108DAC43-C256-20B7-BB05-914135DA5160}
SP: Microsoft Security Essentials *Enabled/Updated* {ABEC4DA7-E46C-2F39-81B5-AA334E5D1BDD}
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-04-22 au 2011-05-22 ))))))))))))))))))))))))))))))))))))
.
.
2011-05-22 13:44 . 2011-05-22 13:44 -------- d-----w- c:\users\Default\AppData\Local\temp
2011-05-22 07:14 . 2011-02-19 05:33 802304 ----a-w- c:\windows\system32\FntCache.dll
2011-05-22 07:14 . 2011-02-19 05:32 1074176 ----a-w- c:\windows\system32\DWrite.dll
2011-05-22 07:14 . 2011-02-19 05:32 739840 ----a-w- c:\windows\system32\d2d1.dll
2011-05-21 11:24 . 2011-05-21 11:24 -------- d-----w- c:\programdata\EA Core
2011-05-21 08:56 . 2011-05-21 09:03 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2011-05-21 08:56 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2011-05-21 08:56 . 2011-05-21 08:56 -------- d-----w- c:\programdata\Avira
2011-05-21 08:56 . 2011-05-21 08:56 -------- d-----w- c:\program files\Avira
2011-05-21 08:37 . 2011-05-21 08:37 -------- d-----w- c:\windows\system32\wbem\en-US
2011-05-21 08:21 . 2011-05-21 08:21 -------- d-----w- c:\program files\CCleaner
2011-05-21 08:19 . 2011-05-21 08:21 -------- d-----w- c:\program files\Google
2011-05-20 19:28 . 2011-05-20 19:58 -------- d-----w- c:\programdata\clp
2011-05-20 19:28 . 2011-05-20 19:28 -------- d-----w- c:\programdata\Common Toolkit Suite
2011-05-20 19:27 . 2011-05-21 08:23 -------- d-----w- c:\programdata\Fighters
2011-05-19 17:52 . 2011-04-09 05:56 123904 ----a-w- c:\windows\system32\poqexec.exe
2011-05-18 15:34 . 2011-05-18 15:34 94208 --sha-r- c:\windows\system32\rpcrt4U.dll
2011-05-12 01:01 . 2011-05-12 01:01 -------- d-----w- c:\program files\Microsoft.NET
2011-05-11 05:01 . 2011-03-25 03:06 284160 ----a-w- c:\windows\system32\drivers\usbport.sys
2011-05-11 05:01 . 2011-03-25 03:06 43008 ----a-w- c:\windows\system32\drivers\usbehci.sys
2011-05-11 05:01 . 2011-03-25 03:06 258560 ----a-w- c:\windows\system32\drivers\usbhub.sys
2011-05-11 05:01 . 2011-03-25 03:06 75776 ----a-w- c:\windows\system32\drivers\usbccgp.sys
2011-05-11 05:01 . 2011-03-25 03:06 20480 ----a-w- c:\windows\system32\drivers\usbohci.sys
2011-05-11 05:01 . 2011-03-25 03:06 24064 ----a-w- c:\windows\system32\drivers\usbuhci.sys
2011-05-11 05:01 . 2011-03-25 03:06 5888 ----a-w- c:\windows\system32\drivers\usbd.sys
2011-05-11 05:01 . 2011-04-09 06:13 3957632 ----a-w- c:\windows\system32\ntkrnlpa.exe
2011-05-11 05:01 . 2011-04-09 06:13 3901824 ----a-w- c:\windows\system32\ntoskrnl.exe
2011-05-09 17:35 . 2011-05-09 17:35 -------- d-----w- c:\programdata\Last.fm
2011-05-09 17:35 . 2008-05-13 15:23 417792 ----a-w- c:\program files\Windows Media Player\Plugins\wmp_scrobbler.dll
2011-05-09 17:34 . 2011-05-09 17:34 -------- d-----w- c:\program files\Last.fm
2011-05-09 17:31 . 2011-05-09 17:31 -------- d-----w- c:\program files\Spotify
2011-05-09 01:33 . 2011-05-09 01:33 -------- d-----w- c:\windows\system32\Wat
2011-05-09 01:16 . 2009-09-10 05:52 257024 ----a-w- c:\windows\system32\msv1_0.dll
2011-05-09 01:13 . 2009-11-25 10:47 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll
2011-05-09 01:13 . 2009-11-25 10:47 49472 ----a-w- c:\windows\system32\netfxperf.dll
2011-05-09 01:13 . 2009-11-25 10:47 297808 ----a-w- c:\windows\system32\mscoree.dll
2011-05-09 01:13 . 2009-11-25 10:47 295264 ----a-w- c:\windows\system32\PresentationHost.exe
2011-05-09 01:13 . 2009-11-25 10:47 1130824 ----a-w- c:\windows\system32\dfshim.dll
2011-05-09 01:03 . 2010-02-11 07:10 293376 ----a-w- c:\windows\system32\browserchoice.exe
2011-05-09 01:01 . 2010-03-04 03:57 190976 ----a-w- c:\windows\system32\drivers\ks.sys
2011-05-09 01:01 . 2010-09-14 06:07 276992 ----a-w- c:\windows\system32\wcncsvc.dll
2011-05-08 12:42 . 2010-10-12 04:25 516096 ----a-w- c:\program files\Windows Mail\wab.exe
2011-05-08 12:41 . 2010-03-05 07:42 67584 ----a-w- c:\windows\system32\asycfilt.dll
2011-05-08 12:40 . 2010-12-21 05:38 204288 ----a-w- c:\windows\system32\upnp.dll
2011-05-08 12:39 . 2011-02-03 05:45 219008 ----a-w- c:\windows\system32\drivers\dxgmms1.sys
2011-05-08 12:39 . 2010-11-02 04:23 107520 ----a-w- c:\windows\system32\cdd.dll
2011-05-08 12:28 . 2010-10-19 20:51 222080 ------w- c:\windows\system32\MpSigStub.exe
2011-04-29 18:21 . 2011-05-21 08:42 -------- d-----w- c:\programdata\Electronic Arts
2011-04-29 18:14 . 2011-04-29 18:14 -------- d-----w- c:\windows\system32\Macromed
2011-04-29 18:13 . 2011-04-29 18:13 -------- d-----w- c:\program files\Microsoft WSE
2011-04-29 18:13 . 2006-09-28 14:05 2414360 ----a-w- c:\windows\system32\d3dx9_31.dll
2011-04-29 18:09 . 2011-05-22 07:52 -------- d-----w- c:\program files\Electronic Arts
2011-04-29 17:44 . 2011-04-29 17:44 218688 ----a-w- c:\windows\system32\drivers\dtsoftbus01.sys
2011-04-29 17:44 . 2011-05-20 19:44 -------- d-----w- c:\program files\DAEMON Tools Toolbar
2011-04-29 17:44 . 2011-04-29 17:44 -------- d-----w- c:\program files\DAEMON Tools Lite
2011-04-29 17:44 . 2011-05-22 12:08 -------- d-----w- c:\programdata\DAEMON Tools Lite
2011-04-25 18:26 . 2011-04-25 18:26 -------- d-----w- c:\program files\Hercules
2011-04-25 18:26 . 2004-11-03 13:03 216320 ------w- c:\windows\system32\drivers\rt25009x.sys
2011-04-25 18:26 . 2004-11-03 12:59 214912 ------w- c:\windows\system32\drivers\rt2500.sys
2011-04-25 18:26 . 2004-07-16 15:14 140416 ------w- c:\windows\system32\drivers\rt2500usb.sys
2011-04-25 18:26 . 2004-07-15 07:19 143360 ------w- c:\windows\system32\drivers\rt25u98.sys
2011-04-25 18:26 . 2011-05-22 07:52 -------- d--h--w- c:\program files\InstallShield Installation Information
2011-04-25 17:51 . 2011-04-25 17:51 -------- d-----w- c:\program files\Common Files\InstallShield
2011-04-25 08:30 . 2011-05-22 13:35 -------- d-sh--w- c:\windows\Installer
2011-04-25 08:30 . 2010-04-09 07:24 240008 ----a-w- c:\windows\system32\drivers\netio.sys
2011-04-25 08:24 . 2011-05-22 13:43 -------- d-----w- c:\windows\system32\wbem\Performance
2011-04-25 08:22 . 2009-12-29 06:55 172032 ----a-w- c:\windows\system32\wintrust.dll
2011-04-25 08:22 . 2010-01-09 06:52 132608 ----a-w- c:\windows\system32\cabview.dll
2011-04-25 08:05 . 2011-04-25 07:14 -------- d-----w- c:\windows\Panther
2011-04-25 07:08 . 2011-04-25 07:08 0 ----a-w- c:\windows\ativpsrm.bin
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-04-14 16:47 . 2011-05-08 12:21 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]
2011-01-20 09:20 1305408 ----a-w- c:\program files\DAEMON Tools Lite\DTLite.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sidebar]
2009-07-14 01:14 1173504 ----a-w- c:\program files\Windows Sidebar\sidebar.exe
.
R1 MpKsl562c0422;MpKsl562c0422;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{8AC0958B-86C1-4D05-9330-57AD043E4425}\MpKsl562c0422.sys [x]
R1 MpKsl591bd15f;MpKsl591bd15f;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{A0421BCB-1849-4328-BE0E-6A031AB539D4}\MpKsl591bd15f.sys [x]
R1 MpKsl75e7685e;MpKsl75e7685e;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{FA672911-2843-41DF-8737-55E038CF755E}\MpKsl75e7685e.sys [x]
R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]
R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2011-05-21 136176]
R3 AVFSFilter;AVFSFilter;c:\windows\system32\DRIVERS\avfsfilter.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [2011-05-09 1343400]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [2011-04-29 218688]
S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]
S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2011-05-21 108289]
S3 netr28;Pilote sans fil Ralink 802.11n pour Windows Vista;c:\windows\system32\DRIVERS\netr28.sys [2009-07-13 530944]
.
.
Contenu du dossier 'Tâches planifiées'
.
2011-05-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-21 08:19]
.
2011-05-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-05-21 08:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = my.daemon-search.com
FF - ProfilePath - c:\users\admin\AppData\Roaming\Mozilla\Firefox\Profiles\10dzhp5k.default\
.
- - - - ORPHELINS SUPPRIMES - - - -
.
MSConfigStartUp-EA Core - c:\program files\Electronic Arts\EADM\Core.exe
.
.
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2011-05-22 15:46:39
ComboFix-quarantined-files.txt 2011-05-22 13:46
.
Avant-CF: 281 006 358 528 octets libres
Après-CF: 280 911 175 680 octets libres
.
- - End Of File - - C345CD11392DADE8C17B582F8A52E21A
0
Réponse 3 / 8
Utilisateur anonyme
 
Re

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur " parcourir ", cherche un fichier à la fois :

C:\Windows\System32\rpcrt4U.dll

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport en copiant le lien de Virus Total. (C'est mieux)

Copie le lien du rapport dans ta réponse et fait le pour chaque fichier ; merci

(!) Si Virus Total indique que le fichier a déjà été analysé, cliquer sur le bouton. Ré analyser le fichier maintenant

@+
0
Réponse 4 / 8
Zali
 
Je ne peux pas faire charger rpcrt4U.dll puisqu'il n'existe pas, il est impossible à trouver dans le system 32 et quand j'ai voulu l'ouvrir sur le site indiqué, un message s'est affiché pour me dire que je n'étais pas autorisée à l'ouvrir.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 8
Utilisateur anonyme
 
Re

Ce fichier est certainement caché;voici comment faire pour le voir:

http://www.vista-xp.fr/forum/topic16.html

@+
0
Réponse 6 / 8
Zali
 
Effectivement il s'agissait bien d'un fichier caché, désormais je le vois, mais je ne suis toujours pas autorisée à l'ouvrir, je ne sais pas pourquoi.
0
Utilisateur anonyme
 
Tu n'as pas à l'ouvrir ;

Tu procèdes comme ceci:https://forums.commentcamarche.net/forum/affich-22166018-cheval-de-troie-impossible-a-enlever#7

@+
0
Zali
 
Alors avant que tu répondes j'ai démarré mon ordi en mode sans echec, j'ai réussit à supprimer le virus mais le centre de sécurité n'apparait toujours pas et je ne peux plus jouer aux sims 3.
0
Utilisateur anonyme
 
Re

Ton jeu je m'en f...
La réponse à la question posée m'intéresse plus.
@+
0
Réponse 7 / 8
Zali
 
Quelle amabilité, je vois que certains ici (j'entends toi) sont là pour étaler leur science et non pas pour aider les autres.

Quand le contenu d'un message est aussi courtois que le tiens, on ne marque pas "re" ni "@+". Si tu veux être désagréable fait le bien au moins.

Vu à quel point ton aide m'a été inutile je vais très bien m'en sortir pour le reste de mes problèmes, et si ce n'es pas le cas, des personnes plus aimables que toi et qui ne se prennent pas pour ce qu'ils ne sont pas viendront m'aider, pour le plaisir d'aider et pas pour montrer qu'ils si connaissent (ou pas d'ailleurs).

Sur ce, passe tout de même une bonne soirée, tu dois avoir des taaaaaaaaaas d'autres personnes en envoyer balader.
0
Utilisateur anonyme
 
Re

Merci de tes compliments ;bonne soirée.

@+
0
Réponse 8 / 8
LOLdeLOL Messages postés 50 Statut Membre
 
Bonjour, je te conseille le reformatage.
-2

Discussions similaires

Comment désactiver le mode sécurisé de la Freebox POP.
Cycy -
bazfile -

18 réponses
Retirer le mode sécurisé sur l'écran de la TV connectée Free
beatrice -
baladur13 -

1 réponse
Comment supprimer le surlignage sur Word ?
luxbanne -
Maud -

11 réponses