Problème "trojan", aide svp [Résolu/Fermé]

Signaler
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
-
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
-
Bonjour,

Je possède l'anti virus Avast (mise à jour très régulière) et j'ai des alertes depuis tout à l'heure concernant un virus "trojan". Plus d'une dizaine de fenêtres AVAST s'ouvraient avec l'alerte en disant que le truc était bloqué. . J'ai vu où était placé le fichier infecté dans le lecteur C. Seulement on me dit que je n'ai pas l'autorisation quand je veux le supprimer. Je ne suis pas administrateur de l'ordinateur, est-ce pour ça?

Le fichier s'appelle Pfysaa et appartiendrait à la société de "Statham" le fameux programmeur.
Et sur la barre d'état windows, quand je clique sur "programmes de démarrage bloqués", le nom du prograame bloqué est le suivant : KfSystemR setup g1.

Je suis en train de faire un scan minutieux (il en est à 6%).
Je n'ai plus de fenêtres d'alertes Avast à s'ouvrir.

Dans mon logiciel Avast, lorsque je clique sur l'onglet "protection résidente", il n'y a que dans "agent réseau" que des connexions sont bloquées (136 sur 7700 pour l'instant).

Pourriez-vous m'aider svp? Je n'y connais rien. Merci d'avance.

60 réponses

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
Non c'est pas un antivirus, c est un logiciel de désinfection ,rien à voir :p

ça va supprimer le rootkit tdss.tdl4 que je soupçonne sur ton pc et qu'avast n'arrive pas à désinfecter.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
c est infecté de toute part, on commence par éradiquer le rogue

▶ Télécharge sur le bureau RogueKiller (par tigzy)

▶ ▶ Sous Windows XP, double clic gauche

▶ ▶ Sous Vista/Seven, clique droit, lancer en tant qu''administrateur

▶ Quitte tous tes programmes en cours
▶ Lance RogueKiller.exe.
▶ Un scan se lance, puis tu verra d''indiqué dans la fenêtre
▶ ▶ 1. Scan (écrit en vert)
▶ ▶ 2. Delete (écrit en rouge)
▶ ▶ 3. Hosts RAZ (écrit en rouge)
▶ ▶ 4. Proxy RAZ (écrit en rouge)
▶ ▶ 5. DNS RAZ (écrit en rouge)
▶ ▶ 6. Raccourcis RAZ (écrit en rouge)
A ce moment tape 2 et valide
Note: s''il te demande de supprimer le proxy, tape 4
▶ Un rapport (RKreport1.txt) a du se créer à côté de l''exécutable, colle son contenu dans la réponse
▶ Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

===========================

ensuite choisi l'option 6 et valide poste rkreport2.txt

=============================================================

(suite)

Pour traiter l'infection Renos :

▶ Télécharge UsbFix (TeamXScript) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu''administrateur, l''installation se fera automatiquement
XP : double clic sur UsbFix

▶ Clique sur "Recherche"

▶ Laisse travailler l''outil

▶ A la fin, le rapport va s''afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

▶ Aide en images : Tutoriel "Recherche"
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
Hello,

Stoppe le scan Avast il ne supprimera rien ou n'y arrivera pas

▶ Télécharge Reload_TDSSKiller (de Kaspersky Labs & gen-hackman) sur ton Bureau
▶ Lance le et clique sur : télécharger la dernière version
▶ Relance le et cliquer sur : lancer le nettoyage
▶ Clique sur Start Scan Clique ici pour l'aide en image

▶ ▶ Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
▶ ▶ Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
▶ ▶ Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
▶ ▶ Si Suspicious file est indiqué, laisse l''option cochée sur Skip

▶ A la fin clique sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s''ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer_N° de version_Date_Heure_log.txt)

Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
Merci pour ta réponse. Mais ça va me faire 2 antivirus actifs sur mon PC. Ca va poser des problèmes, non?
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
J'ai fait ce que tu m'as dit mais quand je l'ai installé il y a eu une petite fenêtre qui disait "can't load driver".
J'ai mis OK et j'ai quand même continué à suivre tes indications. J'ai cliqué sur "start scan" Il a fait un scan avec 0 fichier infecté. mais je n'ai pas la touche "reboot now" par contre. ??
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
can't load driver mmmh ça craint ^^

Nous allons effectuer un diagnostic de ton PC:
Télécharge ZHPDiag sur ton bureau :

ftp://zebulon.fr/ZHPDiag2.exe

▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu''Administrateur »

▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)
▶ Enregistre le rapport sur ton Bureau à l''aide de l''icône représentant une disquette
▶ Héberge le rapport ZHPDiag.txt comme suit :

Hébergement de rapport sur pjjoint.malekal.com

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier ZHPDiag.txt présent sur ton bureau et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse.
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
J'enregistre bien sur le bureau mais je ne retrouve pas le fichier ".txt"!
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
et dans c:\program files\zhpdiag tu n'as pas zhpdiag.txt?
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
J'ai fait un copier coller du coup comme ils le disaient, tu as le lien juste en dessous. merci encore
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
J'ai fait un copier coller du coup comme ils le disaient, tu as le lien juste au dessus. merci encore
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
Le premier rapport de roguekiller
RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: Lucile [Droits d'admin]
Mode: Suppression -- Date : 12/06/2011 18:03:15

Processus malicieux: 2
[SUSP PATH] Pfysaa.exe -- c:\windows\pfysaa.exe -> KILLED
[SUSP PATH] Pdx.exe -- c:\users\lucile\appdata\local\temp\pdx.exe -> KILLED

Entrees de registre: 7
[BLACKLIST DLL] HKCU\[...]\Run : Metropolis (rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle) -> DELETED
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\Users\Lucile\AppData\Local\Temp\Pdx.exe) -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\users\lucile\appdata\local\temp\pdy.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\pfysaa.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\users\lucile\appdata\local\temp\pdx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
Le second rapport de roguekiller

RogueKiller V5.2.2 [05/06/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 64 bits version
Demarrage : Mode normal
Utilisateur: Lucile [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 12/06/2011 18:06:25

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 55 / Fail 0
Menu demarrer: Success 2 / Fail 0
Dossier utilisateur: Success 135 / Fail 0
Mes documents: Success 4 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 111 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume5 -- 0x2 --> Restored

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
Le rapport de UsBFix

############################## | UsbFix 7.048 | [Recherche]

Utilisateur: Lucile (Administrateur) # PC-DE-MAT [Acer Aspire X3810]
Mis à jour le 11/06/2011 par TeamXscript
Lancé à 18:10:05 | 12/06/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q8200 @ 2.33GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 64-Bit) # Service Pack 2
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Activé
RAM -> 8190 Mo
C:\ (%systemdrive%) -> Disque fixe # 339 Go (228 Go libre(s) - 67%) [ACER] # NTFS
D:\ -> Disque fixe # 339 Go (339 Go libre(s) - 100%) [DATA] # NTFS
E:\ -> CD-ROM
H:\ -> Disque amovible # 117 Mo (72 Mo libre(s) - 61%) [STORE'N'GO] # FAT

################## | Éléments infectieux |

Présent! C:\Windows\SysWOW64\sshnas21.dll
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdv.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdw.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdx.exe
Présent! C:\Users\Lucile\AppData\Local\Temp\Pdy.exe

################## | Registre |

Présent! HKCU\Software\4ECYTQ9SIC
Présent! HKCU\Software\Microsoft\idgbn5xehg
Présent! HKCU\Software\NtWqIVLZEWZU

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
Parfait :)

Relance USBFix et clique sur Suppression, poste son rapport, puis redémarre la machine
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
je fais ça de suite. Par contre les fichiers soit disant "deleted" dans un des rapports, sont toujours là. C'est normal?


[BLACKLIST DLL] HKCU\[...]\Run : Metropolis (rundll32.exe C:\Windows\system32\sshnas21.dll,GetHandle) -> DELETED
[SUSP PATH] HKCU\[...]\Run : 4ECYTQ9SIC (C:\Users\Lucile\AppData\Local\Temp\Pdx.exe) -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\users\lucile\appdata\local\temp\pdy.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\pfysaa.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\users\lucile\appdata\local\temp\pdx.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

Les pdx, pdy etc... sont toujours là. (associé à MR statham toujours!)
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
d'accord, je te remercie. J'ai eu peur que tout ait "foiré".
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
pas de soucis ;)
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
Je viens de faire la suppression. Ca fonctionne jusqu'à 100% mais ça ne poste pas de rapport. Après les 100%, ca bug et ça ne répond plus. Mon ordi fait ça depuis très longtemps sur beaucoup de programmes. J'ai fait 2 fois la suppression mais ça bug à chaque fois.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
Poste C:\UsbFix.txt pour voir :)
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
Je n'ai pas le rapport donc pas de document usbfix.txt
J'ai regardé 3 des fichiers normalement "deleted" et ils ne sont plus sur le disque C. Ils sont en quarantaine dans usbfix je crois.
Par contre je viens d'avoir 2 alertes avast (j'ai remis l'anti virus en route) et du coup j'ai 2pages inetrnet qui se sont ouvertes toutes seules. :-(
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
il a pas aimé qu'on déloge les merdouilles :p

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\

▶ /!\ IMPORTANT /!\

Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
https://forum.pcastuces.com/default.asp
https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
_______________________________________________________________

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n''est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.</gras>
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
j'ai désactivé tous les agents d'avast mais je ne sais pas si c'est suffisant. Je ne sais même pas où est le pare feu. Je suis nulle.
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
T'avais mis l'artcile pour supprimer les protections résidentes! lol T'es super organisé!

MOn ordi redémarre après le scan. Le rapport va arriver j'espere cette fois-ci.
Messages postés
265
Date d'inscription
mercredi 2 septembre 2009
Statut
Membre
Dernière intervention
28 mars 2014
5
le compte rendu est en cours de préparation
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 779
J'vais ajouter celui du pare feu je sens :p

Le rapport va arriver j'espere cette fois-ci. pourquoi, c'est déjà le deuxième lancement de combofix ?