TrojanDowloader frappe encore ...

Djaneiro Messages postés 34 Statut Membre -  
 g3n-h@ckm@n -
Salut à tous,

Mon petit cousin m'a amené son PC en m'expliquant que Windows Defender lui affichait un message d'erreur disant approximativement que son PC était infecté par "TrojanDownloader".
Il met impossible de vous citez le message exact car l'historique de windows defender est inaccessible (le programme plante quand je clic sur "historique")
J'ai viré son antivirus Avast et installé antivir. Celui ci remarque qu'il y a de nombreux logiciels malveillants dans sa bécane et pour la plupart, ce son des Trojans.

Je suis un peu pommé la et ma connaissance de windows est assez limité. D'habitude je suis capable de solutionné les petits problèmes mais cette fois, j'ai besoin de vous!
merci de bien vouloir m'éclairer!

32 réponses

  • 1
  • 2
  1. Djaneiro Messages postés 34 Statut Membre 2
     
    Le rapport de Ad R

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 17:49:33 le 11/07/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 1 (X86)
    fabien@PAOLITO (Hewlett-Packard HP Pavilion dv6 Notebook PC)

    ============== ACTION(S) ==============

    Fichier supprimé: C:\Users\fabien\AppData\Roaming\Mozilla\FireFox\Profiles\mdp90w9g.default\searchplugins\cherche.xml
    Dossier supprimé: C:\Program Files\DVDVideoSoft\Free Video to Mp3 Converter\OpenCandy
    Dossier supprimé: C:\Program Files\DVDVideoSoft\Free YouTube to Mp3 Converter\OpenCandy
    Dossier supprimé: C:\Windows\$XNTUninstall643$

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\$XNTUninstall643$
    Clé supprimée: HKLM\Software\Martin Prikryl\OpenCandy
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{5791B7D3-8B34-4218-9750-6A8E45D0AD32}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.18 (fr)] ****

    FIREFOX.EXE\Shell\Open\Command - "C:\Program Files\Mozilla Firefox\Firefox.exe"

    -- C:\Users\fabien\AppData\Roaming\Mozilla\FireFox\Profiles\mdp90w9g.default --
    Extensions\{ACAA314B-EEBA-48e4-AD47-84E31C44796C} (DVDVideoSoft Menu)
    Extensions\{e4a8a97b-f2ed-450b-b12d-ee082ba24781} (Greasemonkey)
    Extensions\{e968fc70-8f95-4ab9-9e79-304de2a71ee1} (User Agent Switcher)
    User.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=
    Prefs.js - browser.download.dir, C:\\Users\\fabien\\Downloads
    Prefs.js - browser.download.lastDir, C:\\Users\\fabien\\Downloads
    Prefs.js - browser.search.defaultenginename, Google
    Prefs.js - browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.18
    Prefs.js - keyword.URL, hxxp://redirecterror.sfr.fr/?q=

    ========================================

    **** Internet Explorer Version [7.0.6001.18000] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKCU_SearchScopes\{245D57D5-E721-4CCC-97F3-DA28F8E75309} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
    HKLM_SearchScopes\{245D57D5-E721-4CCC-97F3-DA28F8E75309} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
    HKLM_ElevationPolicy\{B2321D2F-1154-4d97-AD3E-2FE0BAE2897B} - C:\Program Files\SFR\Kit\9launch.exe (SFR)
    BHO\{0F6E720A-1A6B-40E1-A294-1D4D19F156C8} - "Objet d'aide à la navigation SFR" (C:\Program Files\SFR\Kit\SFRNavErrorHelper.dll)
    BHO\{5C255C8A-E604-49b4-9D64-90988571CECB} (?)
    BHO\{6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - "Search Helper" (C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll)
    BHO\{E312764E-7706-43F1-8DAB-FCDD2B1E416D} (?)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 6 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 11/07/2011 17:50:30 (4151 Octet(s))

    Fin à: 17:51:41, 11/07/2011

    ============== E.O.F ==============
    1
  2. g3n-h@ckm@n
     
    salut

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  3. Djaneiro Messages postés 34 Statut Membre 2
     
    Merci pour cette réponse rapide.
    Je débute le scan dans une petite heure car la il faut que je bouge.
    A toute a l'heure!
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Djaneiro Messages postés 34 Statut Membre 2
     
    Scan lancé!
    0
  6. Djaneiro Messages postés 34 Statut Membre 2
     
    http://www.cijoint.fr/cjlink.php?file=cj201107/cijKLfs4gA.txt

    Voila le rapport...
    0
  7. g3n-h@ckm@n
     
    desinstalle spybot il est bidon et il va gener la desinfection
    desinstale pdffforge toolbar
    desinstalle open candy
    desinstalle Crawler toolbar

    ===================================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    processes::
    ApplicationUpdater.exe

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-
    "HP Software Update"=-
    "SunJavaUpdateSched"=-
    "QuickTime Task"=-
    "iTunesHelper"=-
    "SearchSettings"=-
    [-HKEY_CLASSES_ROOT\CLSID\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
    [-HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
    [-HKEY_CURRENT_USER\Software\5SK3BLHWHC]
    [-HKEY_CURRENT_USER\Software\B7GGEY1ZRR]
    [-HKEY_CURRENT_USER\Software\CToolbar]
    [-HKEY_LOCAL_MACHINE\Software\Application Updater]
    [-HKEY_LOCAL_MACHINE\Software\CToolbar]
    [-HKEY_LOCAL_MACHINE\Software\pdfforge]
    [HKEY_LOCAL_MACHINE\Software\Search Settings]

    file::
    C:\Users\fabien\AppData\Roaming\settings.xml

    folder::
    C:\Program Files\Application Updater
    C:\Program Files\pdfforge Toolbar
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
    C:\ProgramData\Spybot - Search & Destroy
    C:\Users\fabien\AppData\Local\OpenCandy
    C:\Program Files\Crawler
    C:\Program Files\Spybot - Search & Destroy
    C:\Program Files\Common Files\Spigot

    Driver::
    Application Updater

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  8. Djaneiro Messages postés 34 Statut Membre 2
     
    j'ai bien désinstaller pdffforge toolbar,
    j'ai désinstallé tout le soft Crawler screensaver en supposant que sa désinstallerai la toolbar qui va avec (celle ci n'est d'ailleurs pas visible)
    cependant, impossible désinstaller Open Candy car je ne le trouve pas...

    Je peux quand même procéder à la manip avec Pre_scan ?
    0
  9. g3n-h@ckm@n
     
    oui :) les restes vont sauter ensuite :)
    0
  10. Djaneiro Messages postés 34 Statut Membre 2
     
    voici le rapport...

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Utilisateur : fabien (Administrateurs)
    Ordinateur : PAOLITO
    Système d'exploitation : Windows Vista (TM) Home Premium (32 bits)
    Internet Explorer : 7.0.6001.18000
    Mozilla Firefox : 3.6.18 (fr)

    Switchs possibles :

    processes:: | file:: | folder::
    Registry:: | Driver:: | replace::
    txt:: | Host:: | DNS:: | NsLook::
    Command:: | list:: | attrib::

    Script : 17:29:56

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤

    ¤¤¤¤¤¤¤¤¤¤ Suppression Drivers | Services

    Service : Application Updater non actif

    ¤

    Modification du registre effectuéé

    ¤

    Supprimé : C:\Users\fabien\AppData\Roaming\settings.xml

    ¤

    Absent : C:\Program Files\Application Updater
    Absent : C:\Program Files\pdfforge Toolbar
    Absent : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
    Supprimé : C:\ProgramData\Spybot - Search & Destroy
    Supprimé : C:\Users\fabien\AppData\Local\OpenCandy
    Absent : C:\Program Files\Crawler
    Supprimé : C:\Program Files\Spybot - Search & Destroy
    Supprimé : C:\Program Files\Common Files\Spigot

    ¤

    Disques externes : 256 Objets réattribués
    Disque Local : 13 Objets réattribués
    Utilisateurs : 1 Objets réattribués
    ProgramFiles : 589 Objets réattribués
    Music : 133 Objets réattribués
    Pictures : 0 Objets réattribués
    Videos : 0 Objets réattribués
    Downloads : 0 Objets réattribués
    Desktop : 0 Objets réattribués
    Links : 0 Objets réattribués
    Searches : 0 Objets réattribués
    Contacts : 0 Objets réattribués
    Saved Games : 0 Objets réattribués
    Favorites : 0 Objets réattribués
    Documents : 23 Objets réattribués
    Windows : 78 Objets réattribués
    StartMenu : 2 Objets réattribués
    Librairies : 0 Objets réattribués
    Quick Launch : 0 Objets réattribués
    %AppData% : 14 Objets réattribués

    ¤

    explorer.exe -> Processus redémarré

    Fin : 17:32:31

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

    ça dit quoi tout ça ?
    0
  11. g3n-h@ckm@n
     
    ca dit bien

    ▶ Télécharge ici : Ad-remover sur ton bureau :

    ▶ Déconnecte toi et ferme toutes applications en cours !

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    ▶ sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut .

    ▶ clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .

    ▶ Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

    ▶ Laisse travailler l'outil et ne touche à rien ...

    ▶ Poste le rapport qui apparait à la fin , sur le forum ...

    ( Le rapport est sauvegardé aussi sous C:\Ad-report.log )
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  12. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  13. Djaneiro Messages postés 34 Statut Membre 2
     
    Désolé de répondre que maintenant.
    Le pc ne me permet plus de répondre sur le forum car mon Javascript a été bloqué par tien toi bien:

    "Personal shield pro "

    Je l'ai chopé pendant le telechargment de malwerbyte... (je sais pourtant que ce programme est fiable)

    Bref. Ce virus qui se fait passer pour un antivirus m'empêche de lancer malwerbyte et coupe le pc Apres 30 min dutilisation.

    Que faire? Car désormais il faut supprimer cette merde avant de continuer!

    J'ai vraiment besoin de toi la... Merci d'avance!
    0
  14. g3n-h@ckm@n
     
    salut

    telecharge la version .pif de pre_scan et passe-le comme tu l'as deja fait avec l'.exe
    0
  15. Djaneiro Messages postés 34 Statut Membre 2
     
    Impossible de passer pré_Scan.pif. Personal shield empêche son exécution... Et si je tentais en mode sans échec?
    0
  16. Djaneiro Messages postés 34 Statut Membre 2
     
    C bon pré_Scan c lancé (je l'ai renommé en winlogon.exe) cependant, a un moment, il me demande si je suis derrière un proxy ce qui n'est pas le cas. J'ai deux choix possible mais impossible de voir les réponse. Une fenêtre se place par dessus. Pour supprimer me proxy, je clic sur le bouton du haut ou du bas?
    0
  17. Djaneiro Messages postés 34 Statut Membre 2
     
    bon en fait c bon... j'ai fait un premier pre_scan en cliquant a l'aveugle sur le bouton du haut et puis un deuxième en reclicant sur le bouton du haut (lors du deuxième pre_scan, j'ai pu déplacé la fenêtre génante.)
    le rogue semble être inactif car il ne m'envoie plus c fenêtre intempestive pour me demander d'acheter "personnal shield pro" mais je suppose que cette me*** est toujours la.

    Voici le lien pour le rapport de pre_scan suite à sa troisième utilisation (il a été enregistré par le dessus le rapport de la deuxième utilisation.... j'espère que c pas trop grave =S ) Je compte sur toi mon sauveur!

    http://www.cijoint.fr/cjlink.php?file=cj201107/ciji4qP2y7.txt
    0
  18. g3n-h@ckm@n
     
    tu l'as telechargé où malwarebytes ?
    0
  • 1
  • 2