Infection
RésoluFish66 Messages postés 18337 Statut Contributeur sécurité -
J'ai le même problème qu'alexandrus.
https://forums.commentcamarche.net/forum/affich-23480883-un-trojan-m-attaque?page=3#88
Quelqu'un peut m'aider svp?
40 réponses
- 1
- 2
Une infection par un cheval de Troie sur Windows Vista est signalée, entraînant lenteurs et redirections, et la demande porte sur des méthodes et outils pour nettoyer le PC et sécuriser Chrome. Plusieurs réponses recommandent RogueKiller et Delfix, avec des instructions sur le renommage du programme, la génération de rapports et la possibilité de réessayer en cas de blocage. Des outils complémentaires tels que Ad-remover, Malwarebytes, ZHPDiag et Pre_Scan sont proposés pour nettoyer, diagnostiquer et héberger les rapports, éclairant l’analyse et facilitant les échanges. Des précisions utiles indiquent de lancer les outils en mode administrateur sur Vista/Seven et de générer des rapports exploitables comme preuves, tout en évitant de publier des fichiers volumineux sur les canaux publics.
-
Salut,
1) * Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤ -
Voilà le rapport,
RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: corsaire [Droits d'admin]
Mode: Recherche -- Date : 05/11/2011 19:49:08
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : B2C_AGENT (C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt -
Re,
1/
Relance RogueKiller puis tapes 2 et poste le rapport stp
2/
Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
Si indisponible, tu peux essayer avec l'un de ces liens:
http://dl.free.fr
http://ww38.toofiles.com/fr/documents-upload.html
https://www.terafiles.net/
https://www.casimages.com/
http://pjjoint.malekal.com/
* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur cijoint.fr/
Rend toi sur ce site : http://www.cijoint.fr/
Clique sur Choisissez un fichier
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj44123/cijSKAP5fU.txt
est ajouté dans la page. Copie ce lien dans ta réponse.
============================================
Aide : >>> hébergement ICI <<<
_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤ -
1/ Rapport de Roguekiller:
RogueKiller V6.1.7 [05/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: corsaire [Droits d'admin]
Mode: Suppression -- Date : 05/11/2011 20:08:44
¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] ForgetBoxContextMenuHandler.dll -- C:\Users\corsaire\AppData\Roaming\ForgetBox\context-menu-handler_x86\ForgetBoxContextMenuHandler.dll -> UNLOADED
¤¤¤ Entrees de registre: 3 ¤¤¤
[SUSP PATH] HKLM\[...]\Run : B2C_AGENT (C:\ProgramData\LGMOBILEAX\B2C_Client\B2CNotiAgent.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED ()
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED ()
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
2/ Rapport ZHPdiag: http://www.cijoint.fr/cjlink.php?file=cj201111/cijNNNlThB.txt -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
Re,
1/
Télécharge AdwCleaner (merci à Xplode)
Ou ADWCleaner ici
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)
2/ Ensuite
* Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Ferme toutes applications en cours /!\
- Double sur l'icône Ad-remover située sur ton Bureau.
-Pour vista/Seven : clique avec le bouton droit de la souris et choisis « exécuter en tant qu'administrateur »
- Sur la page, clique sur le bouton « chercher »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c
-
1/ Rapport AdwCleaner: http://www.cijoint.fr/cjlink.php?file=cj201111/cij4KMOUPK.txt
2/ Rapport Ad-remover: http://www.cijoint.fr/cjlink.php?file=cj201111/cij89r5nkj.txt -
Re,
1/
/!\ Ferme toutes applications en cours /!\
- Double sur l'icône Ad-remover située sur ton Bureau.
-Pour vista/Seven : clique avec le bouton droit de la souris et choisis « exécuter en tant qu'administrateur »
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c
2/
* Lance Malwarebytes' Anti-Malware
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"
* Copie/colle le rapport dans le prochain message
Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.
-
1/ Rapport Ad-remover : http://www.cijoint.fr/cjlink.php?file=cj201111/cijpt89W1Z.txt
2/ Rapport MBAM : http://www.cijoint.fr/cjlink.php?file=cj201111/cijRJAjfw4.txt -
Bonjour,
Lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag
@+ -
Re,
Désolé de pas avoir répondu plus tôt.
Voilà le rapport: http://ww38.toofiles.com/fr/oip/documents/txt/5178_zhpdiag.html -
Re,
1/
Désinstalle ces logiciels stp :
Babylon
Logiciel: Softonic_France Toolbar
Softonic_France
Spybot
2/
Copie tout le texte présent ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )G0 - GCSP: Preference [User Data\Default][HomePage] http://search.babylon.com [HKLM\Software\Classes\escort.escrtBtn.1] [HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}] => Infection BT (Adware.Agent) R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.3.0) -- C:\Program Files\Softonic_France\tbSoft.dll R3 - URLSearchHook: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.3.0) -- C:\Program Files\Softonic_France\tbSoft.dll O2 - BHO: Softonic_France - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll O3 - Toolbar: Softonic_France Toolbar - {4daac69c-cba7-45e2-9bc8-1044483d3352} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Softonic_France\tbSoft.dll [HKCU\Software\AppDataLow\Software\Softonic_France] => Toolbar.Conduit [HKCU\Software\Ask.com.tmp] => Toolbar.Ask [HKLM\Software\Softonic_France] => Toolbar.Conduit [MD5.ED92900BF225E26A4E54C2C14FA1424F] [SPRF][09/09/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\corsaire\AppData\Local\Temp\AskSLib.dll [246440] [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Toolbar.Conduit [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}] => Toolbar.Conduit [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}] => Toolbar.Conduit [HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}] => Toolbar.Conduit [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}] => Toolbar.Conduit [HKCU\Software\Ask.com.tmp] => Toolbar.Ask [HKCU\Software\AppDataLow\Software\Softonic_France] => Toolbar.Conduit [HKLM\Software\Softonic_France] => Toolbar.Conduit [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar] O4 - Global Startup: C:\Users\corsaire\Desktop\Dawn of War.lnk . (...) -- C:\Users\corsaire\AppData\Roaming\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\IconD0B36BAF3.exe O4 - Global Startup: C:\Users\corsaire\Desktop\Peer2Me.lnk . (...) -- C:\Users\corsaire\AppData\Roaming\Microsoft\Installer\{C783600B-C726-4481-9BBE-06F560CF8968}\ShortcutApp1_C783600BC72644819BBE06F560CF8968.exe O4 - Global Startup: C:\Users\corsaire\Desktop\ScanGear Starter.lnk . (.CANON INC..) -- C:\Windows\twain_32\CNQSG\SGST.exe O4 - Global Startup: C:\Users\corsaire\Desktop\Winter Assault.lnk . (...) -- C:\Users\corsaire\AppData\Roaming\Microsoft\Installer\{D0B36BAF-3E9D-423E-8821-ED238C18DB0A}\Icon8F99E711.exe FirewallRAZ
Puis Lance ZHPFix depuis le raccourci du bureau .
* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .
* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
Clique sur le bouton GO
Copie/Colle le rapport à l'écran dans ton prochain message.
-
Re,
Je t'ai envoyé un MP, répond moi ici stp
@+ -
Voilà le rapport de suppression ZHP:
Rapport de ZHPFix 1.12.3367 par Nicolas Coolman, Update du 29/10/2011
Fichier d'export Registre :
Run by corsaire at 08/11/2011 20:40:31
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\corsaire\AppData\Local\Temp\AskSLib.dll
========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\escort.escrtBtn.1
SUPPRIME Key: HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
SUPPRIME Key: CLSID BHO: {4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Key: HKCU\Software\AppDataLow\Software\Softonic_France
SUPPRIME Key: HKCU\Software\Ask.com.tmp
SUPPRIME Key: HKLM\Software\Softonic_France
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4daac69c-cba7-45e2-9bc8-1044483d3352}
ABSENT Key: HKLM\Software\Classes\CLSID\{4daac69c-cba7-45e2-9bc8-1044483d3352}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Softonic_France Toolbar
========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352}
SUPPRIME Toolbar: {4daac69c-cba7-45e2-9bc8-1044483d3352}
========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\corsaire\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://search.babylon.com
SUPPRIME Chrome Site: http://search.babylon.com
========== Fichier(s) ==========
SUPPRIME File: c:\program files\softonic_france\tbsoft.dll
ABSENT File: c:\program files\softonic_france\tbsoft.dll
SUPPRIME File: c:\users\corsaire\appdata\local\temp\askslib.dll
SUPPRIME File: c:\users\corsaire\desktop\dawn of war.lnk
SUPPRIME Reboot c:\users\corsaire\appdata\roaming\microsoft\installer\{d0b36baf-3e9d-423e-8821-ed238c18db0a}\icond0b36baf3.exe
SUPPRIME File: c:\users\corsaire\desktop\peer2me.lnk
SUPPRIME Reboot c:\users\corsaire\appdata\roaming\microsoft\installer\{c783600b-c726-4481-9bbe-06f560cf8968}\shortcutapp1_c783600bc72644819bbe06f560cf8968.exe
SUPPRIME File: c:\users\corsaire\desktop\scangear starter.lnk
SUPPRIME File: c:\windows\twain_32\cnqsg\sgst.exe
SUPPRIME File: c:\users\corsaire\desktop\winter assault.lnk
SUPPRIME Reboot c:\users\corsaire\appdata\roaming\microsoft\installer\{d0b36baf-3e9d-423e-8821-ed238c18db0a}\icon8f99e711.exe
========== Récapitulatif ==========
1 : Module(s) mémoire
12 : Clé(s) du Registre
2 : Valeur(s) du Registre
11 : Fichier(s)
3 : Préférences navigateur
End of clean in 00mn 04s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 08/11/2011 20:40:31 [3019] -
Re,
1/
Tu as des traces de : Microsoft Security Essentials et Symantec®Norton Internet Security
Utilise ce lien pour désinstaller complètement ces deux antivirus: https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces
Tu vas garder seulement l'antivirus Avira
2/
Désinstalle : SUPERAntiSpyware
A demain et bonne nuit
-
Re,
C'est bon j'ai tout désinstallé proprement.
Je fais quoi ensuite? -
Re,
Lance ZHPDiag depuis le bureau, clique sur l'onglet vert pour faire la mise à jour et prépare stp un nouveau rapport ZHPDiag
@+ -
-
Re,
1/
* Télécharge OTM (OldTimer) sur ton Bureau
ICI >> OTM (OldTimer)
* Double clic "OTMoveIt3.exe"
* Utilisateurs Windows Vista / 7 Clic droit sur "OTMoveIt3.exe" choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
:files
C:\Program Files\Babylon
C:\Program Files\Amazon
C:\Program Files\Spybot - Search & Destroy
C:\Users\corsaire\AppData\Roaming\Amazon
C:\Program Files\Softonic_France
C:\Users\corsaire\AppData\LocalLow\Softonic_France
:Reg
[-HKCU\Software\MLSync]
[-HKCU\Software\Ask.com.tmp]
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
2/
Pour bien vérifier que le fichier ci-dessous est infecté rend toi sur ce site
Virus Total
Colle directement le chemin du fichier dans l'espace "Parcourir" :
C:\Users\corsaire\Desktop\col3927.exe
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation
actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand
nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser
la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine
réponse.
-
Re,
J'ai pas réussi à le faire marcher. Lors de l'upload du fichier ça stoppe à 0% et ensuite il me dit erreur du chargement de la page! -
Bonjour,
Clique avec le bouton droit de la souris et choisis "exécuter en tant qu'administrateur" puis tu termines le reste des procédures
- 1
- 2