Cheval de troie sur mon pc [Résolu/Fermé]

Signaler
Messages postés
17
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
14 février 2012
-
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour,
je viens chercher de l'aide car j'ai un cheval de troie sur mon ordinateur, Nod 32 me dit qu'il est impossible de le nettoyer.
Le fichier est dans :Mémoire vive » C:\Windows\Microsoft.NET\Framework\v2.0.50727\vbc.exe - une variante de Win32/Spatet.T cheval de troie - impossible de nettoyer

Je essayer de d'effacer manuellement ce vbc.exe dans le dossier mais impossible.
Un message d'erreur me dit:
"Vous devez disposer d'une autorisation pour effectuer cette action.
Vous avez besoin d'une autorisation de la part de TrustedInstaller pour modifier ce fichier."

Que faire?

Merci d'avance.


10 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 280
Salut,

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.

ETAPE suivante :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
17
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
14 février 2012

Est ce que je dois descativer nod 32 ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 280
non
Messages postés
17
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
14 février 2012

Alors j'ai fais l'analyse malware il m'en a trouvé 2 j'ai supprimé comme expliquer au dessus

voila les liens pour OTL :
fichier txt :https://pjjoint.malekal.com/files.php?id=20120214_7p8f7w13g10
fichier extra txt :https://pjjoint.malekal.com/files.php?id=20120214_p15i11m5c12i11
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 280
Tu peux poster le rapport Malwarebyte pour voir.
Messages postés
17
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
14 février 2012

je l'ai plus enfaite après la suppression des malware il ma demander de reboot se que j'ai fait donc j'ai plus le rapport a moins qu'il se soit fait en txt et qu'il est dans un dossier ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 280
Onglets RapportS/logs tu devrais le retrouver.
Messages postés
17
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
14 février 2012

Ah oui c'est bon je l'ai retrouvé merci je le post

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.02.14.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Antony :: ANTONY-PC [administrateur]

14/02/2012 14:20:17
mbam-log-2012-02-14 (14-20-17).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 200947
Temps écoulé: 55 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|msconfig (Trojan.Agent) -> Données: C:\Users\Antony\AppData\Roaming\Microsoft\System\Services\msconfig.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Antony\AppData\Roaming\Microsoft\System\Services\msconfig.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

(fin)
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 280
Malwarebyte a viré plein de malwares qui sont pour la majorité des RATs.
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.

Faire attention à ce que vous téléchargez



Messages postés
17
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
14 février 2012

je viens de faire une analyse et Nod 32 ne trouve plus le cheval de troie dans la mémoire vive c'est bon
Messages postés
17
Date d'inscription
samedi 14 janvier 2012
Statut
Membre
Dernière intervention
14 février 2012

arff ok ben c'est parti je change tout merci du coup de pied
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 280
:)

Mets aussi à jour tes programmes (adobe, java etc).
C'est important, si pas à jour = virus.