Comment me debarrasser d'unTrojan

gerald.lumiere Messages postés 5 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,
J'ai depuis peut de tps un cheval de trois nommé MSIL/Tiny-C [Troj].
Si quelqu'un peut me dire comment virer cette m.....
Grand Merci

8 réponses

  1. g3n-h@ckm@n
     
    salut c'est cacaoweb non ?
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. gerald.lumiere Messages postés 5 Statut Membre
       
      ???
      0
  2. g3n-h@ckm@n
     
    sur quel fichier est-il indiqué ce trojan ?
    0
  3. gerald.lumiere Messages postés 5 Statut Membre
     
    bonsoir
    c'est avast qui me l'indique
    emplacement: C:\Users\Gérald\AppData\Local\temp
    nom:
    4mbh2etz.dll
    abxbdd7.dll
    ckylqa_s.dll
    cmgwyd2.dll
    e2epwk7z.dll
    m0hreg4.dll
    t49zogye.dll
    tc4mruqk.dll
    wp4-7we.dll
    xlle8stj.dll
    yrjgr9db.dll
    0
  4. g3n-h@ckm@n
     
    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
    1. gerald.lumiere Messages postés 5 Statut Membre
       
      j'ai fait tout se que tu ma dit mais on ne me donne pas le lien type http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
      0
    2. gerald.lumiere Messages postés 5 Statut Membre
       
      desole mauvaise manipe voici le lien
      http://www.cijoint.fr/cjlink.php?file=cj201109/cijrbdAoGl.txt
      et encore merci de t occuper de mon probleme
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    ah ben apparement elles y sont plus elles ont ete croquées par avast

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Users\Gérald\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\CB-1.04.5-test-1.exe

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
    0
    1. gerald.lumiere
       
      bonjour
      je suis sur le site en version cache
      http://webcache.googleusercontent.com/search?q=cache:http://www.virustotal.com/index.html
      j'ai lancer le send file comme vous me l'avez dit
      cela a l'air très long
      encore merci
      0
    2. g3n-h@ckm@n
       
      pourquoi si tu cliques sur mon lien bleu ca marche pas ?
      0
    3. gerald.lumiere
       
      non helas
      0
    4. gerald.lumiere
       
      cela fait à peut pret 1h30
      0
  7. g3n-h@ckm@n
     
    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Windows\cook.dll
    C:\Windows\drv33260.dll
    C:\Windows\drv43260.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    ======================================

    desinstalle offerbox

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HKCU"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "iTunesHelper"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    [-HKEY_CLASSES_ROOT\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{KW216K75-AQV7-DL8E-QVRP-1WM0AS0W1B0K}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{49302B42-A779-FAF3-067B-58CDCA9E5068}]
    [-HKEY_CURRENT_USER\Software\OfferBox]
    [-HKEY_CURRENT_USER\Software\PCSafeDoctor]
    [-HKEY_LOCAL_MACHINE\Software\OfferBox]

    file::
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
    C:\Users\Gérald\AppData\Roaming\cglogs.dat

    folder::
    C:\Windows\system32\Win-Instal1
    C:\Users\Gérald\AppData\Roaming\Mozilla\Firefox\Profiles\36jbwu8b.default\extensions\engine@conduit.com
    C:\9e41462886a3ace3af4d2267fec5d6
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PCSafeDoctor
    C:\Users\Gérald\AppData\Roaming\logs.dat
    C:\Program Files (x86)\OfferBox
    C:\Users\Gérald\AppData\Roaming\OfferBox

    attrib::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
    1. gerald.lumiere
       
      j'ai fait avec pre script et lancé les quatre analyse avec virus total
      je te tien informé
      merci
      0
    2. gerald.lumiere
       
      je doit m'absenter et serai de retour deans 2heures
      te tiens au courant mais virus total est très lent
      0
  8. g3n-h@ckm@n
     
    pas de soucis à plus tard
    0
    1. gerald.lumiere
       
      je viens de rentrer et toujours pas fini pour virtual total
      j'ai l'impression que ca tourne dans le vide
      ca n a pasx avance depuis cette apm

      ceci et marqué en haut de page:
      Ceci est le cache Google de http://www.virustotal.com/. Il s'agit d'un instantané de la page telle qu'elle était affichée le 29 août 2011 21:52:11 GMT. La page actuelle peut avoir changé depuis cette date. En savoir plus
      0