Cheval de troie?

Résolu
joe1515 -  
 joe1515 -
Bonjour,

Je vous écris à propos du pc d'une amie (MSI VR630 64 X2, 3go, 250 go). Windows Vista home edition

Bonjour,

Je vous écris à propos du pc d'une amie (MSI VR630 64 X2, 3go, 250 go).
Alors qu'elle avait laissé le pc allumé sur google chrome, elle a eu ce message d'avast:

" c:\windows\system32\svchost.exe
win32: downloader-lwr[Trj]"


Elle a mis en quarantaine puis supprimé et son pc n'affichait plus rien, même en mode sans échec...

J'ai fait F5 ou F8, l'ai fait revenir à une configuration qui marche, ai vu l'alerte- de cheval de troie, l'ai mis en quarantaine, mais il n'y est plus maintenant que je vous écris et il n'y a plus d'alerte...

j'ai scanné en ligne avec bitdefender et trendmicro, rien de trouvé.

Avec spybot, ça donne:
-adviva browser
- bastmedia (bustmedia? 1 élément browser
- Doubleclick 2 éléments browser
- DSS Agent 1 spyware
- Fastclick 2 éléments Browser
- Zedo 1 élément browser.

Enfin, je vois qu'il y a en quarantaine, depuis des mois:

- kernell32.dll (4 fois, à 4 dates diffférentes)
-winsock.dll
- wsock32;dll
(tout ça dans system32)

Voilà, merci pour votre aide pour tout ça, mes questions, si je ne suis pas clair, sont:
1) Est-ce un vrai cheval de troie, et où est-il passé? (son compagnon a reçu la même alerte!)
2) Puis-je supprimer sans risque tout ce qu'il y a dans spybot d'infecté?
3) Puis-je supprimer ce qui est en quarantaine?

Merci pour toute votre aide, vous devez voir que je ne suis pas un spécialiste, mais je suis dispo pour répondre vite, j'ai pris son pc!
Alors qu'elle avait laissé le pc allumé sur google chrome, elle a eu ce message d'avast:

" c:\windows\system32\svchost.exe
win32: downloader-lwr[Trj]"


Elle a mis en quarantaine puis supprimé et son pc n'affichait plus rien, même en mode sans échec...

J'ai fait F5 ou F8, l'ai fait revenir à une configuration qui marche, ai vu l'alerte- de cheval de troie, l'ai mis en quarantaine, mais il n'y est plus maintenant que je vous écris et il n'y a plus d'alerte...

j'ai scanné en ligne avec bitdefender et trendmicro, rien de trouvé.

Avec spybot, ça donne:
-adviva browser
- bastmedia (bustmedia? 1 élément browser
- Doubleclick 2 éléments browser
- DSS Agent 1 spyware
- Fastclick 2 éléments Browser
- Zedo 1 élément browser.

Enfin, je vois qu'il y a en quarantaine, depuis des mois:

- kernell32.dll (4 fois, à 4 dates diffférentes)
-winsock.dll
- wsock32;dll
(tout ça dans system32)

Voilà, merci pour votre aide pour tout ça, mes questions, si je ne suis pas clair, sont:

1) Est-ce un vrai cheval de troie, et où est-il passé? (son compagnon a reçu la même alerte!)
2) Puis-je supprimer sans risque tout ce qu'il y a dans spybot d'infecté?
3) Puis-je supprimer ce qui est en quarantaine?

Merci pour toute votre aide, vous devez voir que je ne suis pas un spécialiste, mais je suis dispo pour répondre vite, j'ai pris son pc!

A.S.

11 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    c:\windows\system32\svchost.exe est légitime.
    Et le supprimer (mis en quarantaine) c'est pas une bonne idée du tout.

    Restaure le.

    Désinstalle Spybot.
    2
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    nope ad-aware et spybot, meme acabit.

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    puis :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    consrv.dll
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

    2
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Le rapport est OK.

    Par contre :

    Avast! n'est pas à jour : https://www.malekal.com/tutoriel-antivirus-avast/
    Mettre à jour et activer les détections LPIs.
    1
  4. joe1515
     
    Merci pour ta réponse!!!

    Okay, avast est parano, ça me semblait bien possible.

    Pas besoin de restaurer, il n'est plus en quarantaine!

    Donc, si je comprends bien, spybot n'est pas top! Je prends ad aware free?

    Et pour les autres fichiers en quarantaine dans avast ( kernell, wsock et winsock?), des idées???

    A plus!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. joe1515
     
    Bien, spybot éliminé, malware téléchargé et mis à jour;
    rien de visible avec Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    rapport:

    Version de la base de données: v2012.01.10.04

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    user :: PC-DE-USER [administrateur]

    10/01/2012 18:26:14
    mbam-log-2012-01-10 (18-26-14).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 168145
    Temps écoulé: 7 minute(s), 34 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    je scanne avec oldtimer (connaissais pas!)
    je vous tiens au courant, merci encore,
    0
  7. joe1515
     
    Voici les résultats de old timer: http://pjjoint.malekal.com/files.php?id=OTL_20120110_j10b12v15h9o12

    Alors, docteur? c'est grave?

    merci encore!
    0
  8. joe1515
     
    Bonjour, voici les RESULTATS avec oldtimer:
    http://pjjoint.malekal.com/files.php?id=OTL_20120110_j10b12v15h9o12

    Je les ai fait analyser par l'outil d'analyse, ça semble aller, mais j'aimerais avoir confirmation, je crois savoir qu'il vaut mieux un oeil - un cerveau - humain? Mais c long!!! Il y a beaucoup d'"Error" à la fin)

    Malekal_morte ou quelqu'un d'autre y comprend-il quelque chose?
    Merci d'avance!!!
    0
  9. joe1515
     
    Super!!!
    Merci beaucoup!!!!
    Je le nettoie encore un peu, je m'occupe d'avast et ensuite de mon pc à moi, même si je le suis régulièrement à mon petit niveau et que pour l'instant il semble clean.
    C'est à moi de marquer "résolu"?
    Je ne le trouve pas....
    Merci encore, Malekal_morte!!!
    0
    1. alix
       
      Bonjour

      Et pour les autres fichiers en quarantaine dans avast ( kernell, wsock et winsock?), des idées???

      Normalement c'est des fichiers importants de windows non infectés.
      Avast garde une copie à l'abri dans la quarantaine, tu laisses.
      0
  10. joe1515
     
    Okay!!!
    Merci!!! J'apprends doucement...
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    d'autres conseils :)

    Fais plus attention à l'avenir....

    Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    Absolument à faire.

    Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
    La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
    Donc faut se documenter.

    Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

    Un peu de lecture pour éviter les infections :
    - connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
    - sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
    - Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
    - lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

    Ce qu'il ne faut pas faire :
    Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
    Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
    Exemple de ce qu'il ne faut pas faire :
    https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
    https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
    Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
    Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

    Fonctionnement de quelques catégories de malwares :
    https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
    https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

    Si tu as des questions sur le fonctionement des malwares.
    N'hésite pas.
    0
  12. joe1515
     
    Très bien, merci, je vais consulter ça, et j'en ferai profiter les autres!
    A dans pas tout de suite, j'espère!
    0