Trojan windows XP Résolu/Fermé

Question

Bonjour,  


j'ai un problème de trojan sur mon ordinateur Eee PC, sous windows XP. 
Le serveur informatique de mon université m'a envoyé un mail me disant que je devais, pour supprimer ce trojan, surement réinstaller tout mon ordinateur. J'ai un antivirus (avast!) qui m'a mis en quarantaine 2 fichiers : 
A0065129.exe   
CA0A49820CF.exe 

Je suis vraiment perdue, j'ai besoin de régler ce problème en vitesse, je ne peux pas me permettre de perdre ma connexion internet! 

Est ce que quelqu'un peut m'aider s'il vous plait? 

Merci beaucoup ! 

Amandine. 

Configuration: Windows XP / Safari 535.7

Utilisateur anonyme · Answer

Bonjour

Inscris toi avant tout  

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

lariewyn · Answer

bonjours,
Déjà je te rassure tu n'a pas besoin de réinstaller ton ordinateur juste pour des Trojan (cheval de Troie) . D'abord , dans les 2 fichier que Avast ta mis en quarantaine regarde dans la colone virus , normalement sa devrait être marqué le type de virus (Trojan, malwaregen etc...)si jamais ce n'est pas marqué Trojan télécharge malwarebytes antimalware:
https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html
il te les trouvera sans problème. 
si ton problème n'est toujours pas résolu après cela remet un mot sur ce forum

amandine9 · Answer

je me suis inscrite et j'ai fait le scan, voici le lien

https://www.cjoint.com/?BAwqh26F3aw

j'espère que c'est le bon fichier.

En ce qui concerne ce que me dit Avast, ils me disent 
Win32:Rootkit-gen [Rtk]
Win32:MalOb-GP [Cryp]

Je suis complètement perdue... merci de m'aider!!!

Amandine.

Utilisateur anonyme · Answer

Re

 Télécharge TDSSKiller 

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
    
Poste moi son rapport à l'issue; merci


@+

amandine9 · Answer

Re,

je viens de redémarrer mon ordinateur mais aucun rapport n'est disponible...

Où puis-je le trouver?

amandine9 · Answer

Au temps pour moi, il suffisait de chercher un peu. Le voilà :


16:28:53.0140 3556	TDSS rootkit removing tool 2.7.6.0 Jan 19 2012 13:09:04
16:28:53.0312 3556	============================================================
16:28:53.0312 3556	Current date / time: 2012/01/22 16:28:53.0312
16:28:53.0312 3556	SystemInfo:
16:28:53.0312 3556	
16:28:53.0312 3556	OS Version: 5.1.2600 ServicePack: 3.0
16:28:53.0312 3556	Product type: Workstation
16:28:53.0312 3556	ComputerName: YOUR-C94L9E17PW
16:28:53.0312 3556	UserName: Admin
16:28:53.0312 3556	Windows directory: C:\WINDOWS
16:28:53.0312 3556	System windows directory: C:\WINDOWS
16:28:53.0312 3556	Processor architecture: Intel x86
16:28:53.0312 3556	Number of processors: 2
16:28:53.0312 3556	Page size: 0x1000
16:28:53.0312 3556	Boot type: Normal boot
16:28:53.0312 3556	============================================================
16:28:54.0328 3556	Drive \Device\Harddisk0\DR0 - Size: 0x25433D6000 (149.05 Gb), SectorSize: 0x200, Cylinders: 0x4C01, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000050
16:28:54.0406 3556	Initialize success

amandine9 · Answer

J'ai trouvé, merci beaucoup. Comme le document est très long, je me suis permise de créer un lien comme précedemment. Si ce n'est pas ce qu'il fallait faire, dites le moi, je ferai un copier-coller basique. Voici le lien :

https://www.cjoint.com/?BAwqTEqZrko

Utilisateur anonyme · Answer

Re

Détection et éradication effectuée

Detected object count: 1
16:19:55.0421 4436	Actual detected object count: 1
16:22:34.0796 4436	\Device\Harddisk0\DR0 ( Backdoor.Win32.Sinowal.knf ) - will be cured on reboot
16:22:34.0796 4436	\Device\Harddisk0\DR0 - ok
16:22:34.0796 4436	\Device\Harddisk0\DR0 ( Backdoor.Win32.Sinowal.knf ) - User select action: Cure 
16:22:39.0859 5708	Deinitialize success



Vérifions si tu le veux bien ton PC.

Pour cela:

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

 
http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

A+

amandine9 · Answer

Voilà : https://www.cjoint.com/?BAwrg0tcvMq

Utilisateur anonyme · Answer

Re

1)Fait de la place sur ton lecteur C

System drive C: has 0 GB (0%) free of 72 GB 


Un minimum de 10% est nécessaire au bon fonctionnement de Windows


2)Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur  [Suppression] puis patiente le temps du scan. 
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt 

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start= 


3)Télécharge Malwaresbytes anti malware ici  
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »
 
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et  mets le à jour .   

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ 

* Potasse le tuto pour te familiariser avec le prg : 

https://forum.pcastuces.com/sujet.asp?f=31&s=3 

(cela dis, il est très simple d'utilisation). 

relance Malwaresbytes en suivant scrupuleusement ces consignes : 

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebyte's.   Sous Vista et Seven   (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur  "Afficher les résultats" "   . 
--> Vérifie que tous les objets infectés soient validés, puis  clique sur " supprimer la sélection "   . 

 Note   : si il faut redémarrer ton PC pour finir le nettoyage, fais le ! 


 Poste le rapport sauvegardé après la suppression des objets infectés   (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



Et ce n'est pas fini...

@+

amandine9 · Answer

Eh bien, je ne pensais pas que mon petit ordi était à ce point infecté!

Voici le rapport de AdwCleaner : https://www.cjoint.com/?BAwr0LFVldn

Je continue les opérations et vous envoie tout ca!

amandine9 · Answer

Re!
L'examen a été plutot long !
Voici le rapport de Malwarebytes : 


Malwarebytes Anti-Malware (Essai) 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.22.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 7.0.5730.13
Admin :: YOUR-C94L9E17PW [administrateur]

Protection: Activé

22/01/2012 18:04:00
mbam-log-2012-01-22 (18-04-00).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 220749
Temps écoulé: 1 heure(s), 26 minute(s), 26 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 3
C:\Documents and Settings\Admin\Application Data\Sun\Java\Deployment\cache\6.0\63\5fff977f-4253a504 (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Admin\Mes documents\Téléchargements\XvidSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\AVS4YOU\AVSVideoConverter\avs4you.all.products.activator.v1.3b-MPT.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

Re

Poste moi un nouveau rapport ZHPDiag;merci

@+

amandine9 · Answer

https://www.cjoint.com/?BAwuVzNDhOH

Utilisateur anonyme · Answer

Re

Commence par vérifier ta licence Windows XP.

Pour cela:

Démarrer>>> Tous les programmes >>> Accessoires >>> Outils système >>>

Activation de Windows

Fais moi signe une fois effectué;merci

@+

amandine9 · Answer

Re,

je n'ai pas trouvé "activation de windows". En revanche, j'ai "informations système". Est ce que c'est ça? Que dois-je faire avec ces informations !

Merci beaucoup encore une fois pour votre aide !!!

Utilisateur anonyme · Answer

Re

Met à jour ton PC via Windows Update.

Tiens moi au courant;merci

@+

amandine9 · Answer

(je rencontre bcp de difficultés à mettre à jour... mais j'y travaille ! )

amandine9 · Answer

mise à jour effectuée!

(pour quelques obscures raisons, je n'avais plus internet explorer sur mon ordi, d'où la lenteur...)

Quelle est la prochaine étape? =)

Utilisateur anonyme · Answer

Re

Un nouveau rapport ZHPDiag;merci

@+

amandine9 · Answer

voilà : https://www.cjoint.com/?BAxah41JJTR

Utilisateur anonyme · Answer

Re

1)Désinstalle Adobe reader et installe Foxit reader ;ce programme plus léger suffit amplement pour lire un fichier au format PDF



2)Tu postes de Suède?



3)Tu peux nettoyer un peu et faire de la place.
Je te laisse chercher(un minimum de contribution) tu disposes comme moi d'Internet

Tiens moi au courant;merci

@+

amandine9 · Answer

Re!

j'ai installé Foxit, merci beaucoup!
Je me suis rendue compte que mon disque D était vide... d'où la surcharge du C ! J'ai donc réussi à libérer de la place...
Oui, je suis en Suède... on en apprend des choses avec l'informatique! =)

Y a-t-il autre chose que je doive faire ?

Merci encore !

@+

Utilisateur anonyme · Answer

Bonjour

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


Tiens moi au courant;merci

@+

amandine9 · Answer

Ca m'a pris un temps fou, mais tout est à jour (à part adobe flash player, le site m'indique qu'il se mettra à jour automatiquement) !

Utilisateur anonyme · Answer

Bonsoir


Poste moi un nouveau rapport ZHPDiag;merci

@+

amandine9 · Answer

voilà : https://www.cjoint.com/?BAxsTTLP4pz

Utilisateur anonyme · Answer

Re

1) Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

Ensuite pour le désinstaller ; tu relances et tu passes à l'option  [Désinstallation] 


2)C - Ccleaner :   

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

.enregistres le sur le bureau  
.double-cliques sur le fichier pour lancer l'installation  
.sur la fenêtre de l'installation langage bien choisir français et OK 
.cliques sur <gras>suivant  
.lis la licence et j'accepte  
.cliques sur suivant 
.la tu ne gardes de coché que mettre un raccourci sur le bureau  et puis contrôler automatiquement les mises à jour de Ccleaner 
.cliques sur installer 
.cliques sur fermer  
.double-cliques sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm



3)Purge la restauration comme ceci :
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

amandine9 · Answer

Rapport Delfix :


# DelFix v8.7 - Rapport créé le 23/01/2012 à 20:24:12
# Mis à jour le 01/12/11 à 20h par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Admin - YOUR-C94L9E17PW (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Admin\Mes documents\Downloads\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\TDSSKiller.2.7.6.0_22.01.2012_16.19.37_log.txt
Supprimé : C:\Documents and Settings\Admin\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\Admin\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Admin\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1406 octets] - [23/01/2012 20:24:12]

########## EOF - C:\DelFix[S1].txt - [1530 octets] ##########

Utilisateur anonyme · Answer

Re

Fait moi signe une fois le reste effectué.
Et si tu n'as plus de problèmes ;je te propose de clore ce post.

@+

amandine9 · Answer

J'ai tout fait! Question finale : est ce que je dois garder toutes les applications utilisées dans la réparation de mon ordinateur ?
Je pense surtout à Malwarebyte...

Utilisateur anonyme · Answer

Re

Tu peux conserver Ccleaner et Malwaresbytes.
Ces utilitaires sont à mettre à jour avant utilisation.

@+

amandine9 · Answer

Merci du fond du coeur pour toute cette aide !!!

@+ !

Trojan windows XP

33 réponses

Newsletters