Rien ne va plus .... trojan generic ?

Résolu
athena21mlp Messages postés 7 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

j'ai eu un trojan generic il n'y a pas longtemps (je ne sais plus lequel). j'ai utilisé CCleaner et AVG, je fais des analyses régulières, je n'avais pas de problème jusqu'à il y a quelques jours (plus de logo firefox) aujourd'hui : la moitié des touches de mon clavier ne répond plus, je ne peux plus accéder à ma session et donc faire une restauration de système
par contre je peux encore accéder à la session invité.

pour poster cette question j'ai dû emprunter l'ordi de mon père

Pouvez-vous m'indiquer ce que je dois faire sachant que je ne suis pas très douée en informatique ?

Merci

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    CCleaner sert à rien quand on est infecté....
    C'est un programme pour "nettoyer".

    Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.

    Essaye de faire une restauration du système avant la date du Trojan.

    1
  2. athena21mlp Messages postés 7 Statut Membre
     
    j'ai essayé, je n'ai pas de date antérieure avant le trojan même en demandant des dates plus anciennes
    j'ai quand même fait ma restauration de système à la date la plus vieille mais ça ne marche pas, ça démarre bien et je tombe sur le gestionnaire de démarrage windows et j'ai le même problème je ne peux pas saisir mon mot de passe pour entrer dans ma session (certaines touches ne veulent pas répondre)

    je suis allée dans ma session invité
    une fois rentrée on me met que la corbeille est endommagée
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    humm ça a l'air que ton Windows est endommagé :/

    Je suis pas sûr qu'on va pouvoir retomber sur nos pieds.

    Essaye ça en mode sans échec avec prise en charge du réseau.
    Sur une session administrateur.

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    ensuite :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    consrv.dll
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    0
  4. athena21mlp
     
    voici le rapport malwarebyte

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8251

    Windows 6.1.7601 Service Pack 1 (Safe Mode)
    Internet Explorer 9.0.8112.16421

    27/11/2011 12:08:06
    mbam-log-2011-11-27 (12-08-06).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 186647
    Temps écoulé: 4 minute(s), 0 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 5
    Valeur(s) du Registre infectée(s): 2
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 3
    Fichier(s) infecté(s): 18

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\{57CFD1A1-EBAE-DC94-7C01-EA78BD0A2B7F} (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{57CFD1A1-EBAE-DC94-7C01-EA78BD0A2B7F} (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\DC3_FEXEC (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Microwsoft (Malware.Trace) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Defender (Trojan.Agent.Gen) -> Value: Windows Defender -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.Bot.M) -> Value: HKCU -> Quarantined and deleted successfully.

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    c:\directory\cybergate (Trojan.PWS) -> Quarantined and deleted successfully.
    c:\directory\cybergate\install (Trojan.PWS) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\svchost (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\Users\Malo\AppData\Roaming\1026.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\22225.exe (Backdoor.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\5357.exe (Backdoor.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\89569.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\Crypted.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\lsass.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\svchost.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\windefender.exe (Backdoor.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\license.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\bot3.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\14035.exe (Trojan.MSIL.Gen) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\14035.exe (Rogue.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\99138.exe (Rogue.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\cglogs.dat (Malware.Trace) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\data.dat (Stolen.Data) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\install\server.exe (Backdoor.Bot.M) -> Quarantined and deleted successfully.
    c:\Users\Malo\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
    c:\directory\cybergate\install\server.exe (Backdoor.SpyNet.M) -> Quarantined and deleted successfully.
    0
    1. athena21mlp
       
      voici le rapport OTL

      http://pjjoint.malekal.com/files.php?id=20111127_t13z10f1013o11
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Malwarebyte a viré plein de malwares qui sont pour la majorité des RATs.
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été récupérés.

    Faire attention à ce que vous téléchargez

    ~~

    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    [2011/04/30 14:57:59 | 000,000,000 | RHSD | M] -- C:\Users\Malo\AppData\Roaming\explorer
    [2011/03/17 19:20:28 | 000,000,000 | RHSD | M] -- C:\Users\Malo\AppData\Roaming\system32


    * redemarre le pc sous windows et poste le rapport ici

    0
    1. athena21mlp
       
      voilà le rapport

      ========== OTL ==========
      C:\Users\Malo\AppData\Roaming\explorer folder moved successfully.
      C:\Users\Malo\AppData\Roaming\system32 folder moved successfully.

      OTL by OldTimer - Version 3.2.31.0 log created on 11282011_201019
      0
  7. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Je pense que ça doit être bon.
    Change bien tes mots de passe.

    Mets à jour Malwarebyte et fais un scan histoire de voir.
    0
    1. athena21mlp
       
      merci beaucoup
      j'ai bien changé mes mots de passe
      0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
    - Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.
    0