Se débarrasser d'un cheval de Troie Dropper Résolu/Fermé

Question

Bonjour,

J'ai un petit souci avec mon ordinateur. Je viens de découvrir tout à fait par hasard l'existence d'un emplacement de lecteur virtuel sur mon ordinateur (emplacement H: FMICD). L'ennui c'est que je ne me souviens pas avoir installé un tel lecteur (il n'apparait pas dans la liste des logiciels installés sur mon ordinateur) et mon anti virus (AVG) détecte la présence d'un virus du type cheval de troie Dropper dans ce lecteur. "";"H:\Setup.exe"; "Cheval de Troie : Patched_c.CZA.dropper" ; 
Malgré toutes mes tentatives pour le supprimer (utilisation de l'outil de suppression d'AVG, scan avec AntiMalware, Spybot, etc) je n'ai obtenu aucun résultat. Je ne peux également pas supprimer le disque virtuel.

Quelqu'un aurait-il une solution pour supprimer ce cheval de troie de mon ordinateur ?

Je vous remercie beaucoup de votre attention et pour votre aide.


Configuration: Windows 7 / Firefox 10.0.2

Utilisateur anonyme · Answer

bonjour,

*	Télécharge USBFIX sur ton bureau (Merci à El Desaparecido)

	http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html

	ou ici :

	http://general-changelog-team.fr/telechargements/logiciels/viewdownload/80-outils-de-el-desaparecido/32-usbfix


/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 

- Double-clique sur l'icône Usbfix située sur ton Bureau. 
- Sur la page, clique sur le bouton :
« Recherche »

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
- puis clique sur OK
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 
le rapport se trouve sur C:\ UsbFix.txt

anahide14 · Answer

Merci de m'avoir repondue aussi vite. Je tenterai demain et je vous tiendrai au courant.

Utilisateur anonyme · Answer

ok   @ ++

anahide14 · Answer

Bonjour,

 Voici le rapport suite au scan réalisé


Mis à jour le 05/02/2012 par El Desaparecido
Lancé à 15:20:56 | 21/02/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Hewlett-Packard (HP G62 Notebook PC              ) (x64-based PC) # Notebook
CPU: AMD Athlon(tm) II P320 Dual-Core Processor (2100)
RAM -> [ Total : 4091 | Free : 2627 ]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 8.0.7601.17514

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: AVG Anti-Virus Free Edition 2012 [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 219 Go (42 Go libre(s) - 19%) [] # NTFS
D:\ -> Disque fixe # 14 Go (2 Go libre(s) - 14%) [RECOVERY] # NTFS
E:\ -> Disque fixe # 99 Mo (91 Mo libre(s) - 92%) [HP_TOOLS] # FAT32
F:\ -> CD-ROM
H:\ -> CD-ROM

################## | Processus Actif |

C:\PROGRA~2\AVG\AVG2012\avgrsa.exe (360)
C:\Program Files (x86)\AVG\AVG2012\avgcsrva.exe (392)
C:\Windows\system32\csrss.exe (632)
C:\Windows\system32\csrss.exe (708)
C:\Windows\system32\wininit.exe (716)
C:\Windows\system32\winlogon.exe (780)
C:\Windows\system32\services.exe (820)
C:\Windows\system32\lsass.exe (832)
C:\Windows\system32\lsm.exe (844)
C:\Windows\system32\svchost.exe (976)
C:\Windows\system32\svchost.exe (352)
C:\Windows\system32\atiesrxx.exe (672)
C:\Windows\System32\svchost.exe (916)
C:\Windows\System32\svchost.exe (936)
C:\Windows\system32\svchost.exe (636)
C:\Windows\system32\svchost.exe (1160)
C:\Windows\system32\svchost.exe (1244)
C:\Windows\system32\WLANExt.exe (1420)
C:\Windows\system32\conhost.exe (1428)
C:\Windows\system32\atieclxx.exe (1540)
C:\Windows\System32\spoolsv.exe (1568)
C:\Windows\system32\svchost.exe (1600)
C:\Windows\system32\svchost.exe (1748)
C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe (1780)
C:\Program Files (x86)\AVG\AVG2012\avgwdsvc.exe (1804)
C:\Program Files (x86)\Bonjour\mDNSResponder.exe (1928)
C:\Windows\SysWOW64\ezSharedSvcHost.exe (1980)
C:\Program Files (x86)\AVG\AVG2012\avgnsa.exe (1676)
C:\Program Files (x86)\AVG\AVG2012\avgemca.exe (1628)
C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe (2076)
C:\Program Files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe (2100)
C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (2124)
C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE (2160)
C:\Windows\system32\svchost.exe (2224)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (2264)
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe (2420)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2456)
C:\Windows\system32	askhost.exe (3012)
C:\Windows\system32\Dwm.exe (2748)
C:\Windows\Explorer.EXE (2892)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (3108)
C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe (3204)
C:\Program Files (x86)\Realtek\Audio\OSD\RTVOSD64.EXE (3212)
C:\Program Files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe (3244)
C:\Program Files\Java\jre6\bin\jusched.exe (3272)
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe (3280)
C:\Windows\system32\wbem\wmiprvse.exe (3328)
C:\Program Files\Windows Sidebar\sidebar.exe (3352)
C:\Windows\System32\StikyNot.exe (3376)
C:\Windows\system32\svchost.exe (3672)
C:\Program Files (x86)\AVG\AVG2012\avgtray.exe (3680)
C:\Program Files (x86)\Ask.com\Updater\Updater.exe (3728)
C:\Windows\system32\SearchIndexer.exe (3748)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (3792)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (3836)
C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe (3872)
C:\PROGRA~2\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe (3156)
C:\Program Files (x86)\OrangeHSS\systray\systrayapp.exe (4124)
C:\Program Files\Windows Media Player\wmpnetwk.exe (4196)
C:\Program Files (x86)\OpenOffice.org 3\program\swriter.exe (4360)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (4320)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (4328)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (4436)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (4472)
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe (4948)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe (1828)
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe (3400)
C:\Windows\system32\wbem\wmiprvse.exe (4136)
C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe (796)
C:\Windows\System32\svchost.exe (4188)
C:\UsbFix\Go.exe (3432)
C:\Program Files (x86)\AVG\AVG2012\avgui.exe (4972)
C:\Program Files (x86)\AVG\AVG2012\avgcfgex.exe (2852)
C:\Windows\system32\SearchProtocolHost.exe (5092)
C:\Windows\system32\SearchFilterHost.exe (4648)
C:\Windows\system32\DllHost.exe (2396)

################## | Éléments infectieux |

Présent! C:\Users\Anahide\Anti-Autorun.inf.lnk
Présent! C:\Users\Anahide\AVG 2011.lnk
Présent! C:\Users\Anahide\Disparitions Mystérieuses à Rome.lnk
Présent! C:\Users\Anahide\Gestionnaire Internet.lnk
Présent! C:\Users\Anahide\Jouer à HP Games.lnk
Présent! C:\Users\Anahide\Les Sims(TM) 2 Kit design Cuisine et Salle de bain.lnk
Présent! C:\Users\Anahide\Magic Desktop.lnk
Présent! C:\Users\Anahide\RecentPlaces.lnk
Présent! H:\.\Autorun\autorun.exe
Présent! H:\AUTORUN.INF

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Utilisateur anonyme · Answer

donjour,

relance unsbfix, slique sur vaccination, poste son rapport  :D

anahide14 · Answer

Bonsoir,

  Voici le rapport après vaccination :

Mis à jour le 05/02/2012 par El Desaparecido
Lancé à 15:49:52 | 24/02/2012

Site Web: https://www.sosvirus.net/
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Hewlett-Packard (HP G62 Notebook PC              ) (x64-based PC) # Notebook
CPU: AMD Athlon(tm) II P320 Dual-Core Processor (2100)
RAM -> [ Total : 4091 | Free : 2394 ]
BIOS: Default System BIOS
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium  (6.1.7601 64-Bit) # Service Pack 1
WB: Windows Internet Explorer 8.0.7601.17514

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: AVG Anti-Virus Free Edition 2012 [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 219 Go (41 Go libre(s) - 19%) [] # NTFS
D:\ -> Disque fixe # 14 Go (2 Go libre(s) - 14%) [RECOVERY] # NTFS
E:\ -> Disque fixe # 99 Mo (91 Mo libre(s) - 92%) [HP_TOOLS] # FAT32
F:\ -> CD-ROM
H:\ -> CD-ROM

################## | Processus Actif |

C:\PROGRA~2\AVG\AVG2012\avgrsa.exe (360)
C:\Windows\system32\csrss.exe (620)
C:\Windows\system32\csrss.exe (700)
C:\Windows\system32\wininit.exe (708)
C:\Windows\system32\winlogon.exe (756)
C:\Windows\system32\services.exe (808)
C:\Windows\system32\lsass.exe (816)
C:\Windows\system32\lsm.exe (824)
C:\Windows\system32\svchost.exe (948)
C:\Windows\system32\svchost.exe (348)
C:\Windows\system32\atiesrxx.exe (332)
C:\Windows\System32\svchost.exe (820)
C:\Windows\System32\svchost.exe (1028)
C:\Windows\system32\svchost.exe (1052)
C:\Windows\system32\svchost.exe (1200)
C:\Windows\system32\svchost.exe (1272)
C:\Windows\system32\atieclxx.exe (1328)
C:\Windows\system32\WLANExt.exe (1520)
C:\Windows\system32\conhost.exe (1528)
C:\Windows\System32\spoolsv.exe (1608)
C:\Windows\system32\svchost.exe (1640)
C:\Windows\system32\svchost.exe (1708)
C:\Program Files\Realtek\Audio\HDA\AERTSr64.exe (1752)
C:\Program Files (x86)\AVG\AVG2012\avgwdsvc.exe (1772)
C:\Program Files (x86)\Bonjour\mDNSResponder.exe (1812)
C:\Windows\SysWOW64\ezSharedSvcHost.exe (1944)
C:\Program Files (x86)\AVG\AVG2012\avgnsa.exe (1696)
C:\Program Files (x86)\AVG\AVG2012\avgemca.exe (1496)
C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe (2084)
C:\Program Files\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe (2108)
C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe (2136)
C:\Program Files (x86)\Microsoft\BingBar\SeaPort.EXE (2172)
C:\Windows\system32\svchost.exe (2232)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (2284)
C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe (2360)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (2432)
C:\Windows\system32\svchost.exe (2964)
C:\Windows\system32	askhost.exe (2760)
C:\Windows\system32\Dwm.exe (856)
C:\Windows\Explorer.EXE (3008)
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (3332)
C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe (3340)
C:\Program Files (x86)\Realtek\Audio\OSD\RTVOSD64.EXE (3348)
C:\Program Files\Hewlett-Packard\HP Quick Launch\HPMSGSVC.exe (3364)
C:\Program Files\Java\jre6\bin\jusched.exe (3372)
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe (3380)
C:\Program Files\Windows Sidebar\sidebar.exe (3388)
C:\Windows\System32\StikyNot.exe (3420)
C:\Windows\system32\wbem\wmiprvse.exe (3520)
C:\Program Files (x86)\AVG\AVG2012\avgtray.exe (3776)
C:\Program Files (x86)\Ask.com\Updater\Updater.exe (3784)
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (3864)
C:\Windows\system32\SearchIndexer.exe (3960)
C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe (3984)
C:\PROGRA~2\COMMON~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe (4064)
C:\Program Files\Synaptics\SynTP\SynTPHelper.exe (2324)
C:\Program Files (x86)\OrangeHSS\systray\systrayapp.exe (1556)
C:\Program Files (x86)\OrangeHSS\Launcher\Launcher.exe (4384)
C:\Program Files (x86)\OrangeHSS\connectivity\connectivitymanager.exe (4508)
C:\Program Files (x86)\OrangeHSS\connectivity\CoreCom\CoreCom.exe (4540)
C:\Program Files (x86)\OrangeHSS\connectivity\CoreCom\OraConfigRecover.exe (4632)
C:\PROGRA~2\COMMON~1\France Telecom\Shared Modules\FTCOMModule\0\FTCOMModule.exe (4640)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\MOM.exe (4012)
C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CCC.exe (3504)
C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe (1888)
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe (3912)
C:\Program Files\Windows Media Player\wmpnetwk.exe (3156)
C:\Program Files (x86)\Hewlett-Packard\Shared\hpqWmiEx.exe (4256)
C:\Windows\system32\wbem\wmiprvse.exe (1288)
C:\Program Files (x86)\AVG\AVG2012\avgcsrva.exe (3972)
C:\Program Files (x86)\AVG\AVG2012\avgui.exe (5704)
C:\Program Files (x86)\AVG\AVG2012\avgcfgex.exe (5296)
C:\Windows\servicing\TrustedInstaller.exe (1992)
C:\Windows\system32\DllHost.exe (3952)
C:\Program Files (x86)\OpenOffice.org 3\program\swriter.exe (6040)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.exe (5576)
C:\Program Files (x86)\OpenOffice.org 3\program\soffice.bin (4536)
C:\UsbFix\Go.exe (1072)

################## | Éléments infectieux |

Présent! C:\Users\Anahide\Anti-Autorun.inf.lnk
Présent! C:\Users\Anahide\AVG 2011.lnk
Présent! C:\Users\Anahide\Disparitions Mystérieuses à Rome.lnk
Présent! C:\Users\Anahide\Gestionnaire Internet.lnk
Présent! C:\Users\Anahide\Jouer à HP Games.lnk
Présent! C:\Users\Anahide\Les Sims(TM) 2 Kit design Cuisine et Salle de bain.lnk
Présent! C:\Users\Anahide\Magic Desktop.lnk
Présent! C:\Users\Anahide\RecentPlaces.lnk
Présent! H:\.\Autorun\autorun.exe
Présent! H:\AUTORUN.INF

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F |

Utilisateur anonyme · Answer

il y a un truc chelou :

H:\ -> CD-ROM 


or, tu dis que :


H:\Setup.exe"; "Cheval de Troie : Patched_c.CZA.dropper" ;

as tu mis un cd ou dvd dans le lecteur  ?

anahide14 · Answer

Re,

  Je n'ai ni de cd ni de DVD dans mon ordi. Le message H:\Setup.exe"; "Cheval de Troie : Patched_c.CZA.dropper"  est indiqué par AVG après un scan mais dans le dossier ordi, le disque virtuel H: est nommé Lecteur DVD (H:) FMICD.
 Je viens d'effectuer un san avec Loaris Trojan Remover et il indique que je n'ai aucun cheval de troie, virus ou software sur ce disque virtuel. 

  Est ce normal de ne pas pouvoir le supprimer, ni de le voir dans ccleaner dans la rubrique logiciel alors que lorsque j'ai acheté l'ordi ce disque n'existait pas?

Utilisateur anonyme · Answer

c'est normal que tu ne le vois pas dans Clceaner, il est virtuel !

mais Loaris se comporte comme un rogue, donc désinstalle le rapidement !

anahide14 · Answer

je l'ai désinstallé. Merci

Utilisateur anonyme · Answer

as tu autres soucis ?

anahide14 · Answer

Comment je peux faire pour supprimer ce disque virtuel infecté? Il se comporte bizarement. Ce disque est composé de dossiers et de fichiers (que je ne connais pas) comme si une image de Cd y était chargée, mais même lorsque tu cliques sur "éjecter", ces dossiers et fichiers restent dans le lecteur virtuel comme si c'était un disque de stockage mais il indique 0 octets de libre sur 333 Mo. J'ai remarqué qu'il apparait dans lecteur windows media. J'ai noté toutes les caractéristiques visibles que j'ai pu remarquer. Que puis je faire car AVG détecte toujours le dropper?

 Hier j'ai désintallé le logiciel Loaris Trojan Remover.

anahide14 · Answer

le disque H: ne semble pas avoir été vacciné, prquoi? 

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)  
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)  
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

Pour information, le dropper se trouvait avant que j'installe Loaris Trojan Remover. Je l'ai installé après avoir regarde sur les forums pour trouver une solution.

Utilisateur anonyme · Answer

tu veux supprimer le H ?

une solution en tuto se trouve ==>ICI<==

anahide14 · Answer

Je tenterai. Je pense qu'il est préférable de le supprimer étant donné que je connais pas les données et que je n'ai pas installé ce disque virtuel. Qu'en penses tu? Le dropper sera supprimé par le même occasion?

Utilisateur anonyme · Answer

le H n'a pas été vacciné car il est reconnu en tant que cd rom, donc normal  :D

Qu'en penses tu? Le dropper sera supprimé par le même occasion?



est ce que tu as eu le pc neuf ?

cette partiton ou disque virtuel existalt quand tu as eu le pc?

qui l'a installé ?


normalment il y a un logiciel qui se lance pour créer un disque virtuel, est ce que tu connais son nom ?


si on connait tous les tenant et aboutissant, on peut prendre une décision pour le virer ou pas !

anahide14 · Answer

est ce que tu as eu le pc neuf ? oui

cette partiton ou disque virtuel existalt quand tu as eu le pc? non

qui l'a installé ? En tt cas, ce n'est pas moi. Le seul moment plausible est lorsque un ami a du installer un logiciel et je viens de m'apercevoir qu'il a du installer aussi magic disc pr pouvoir l'installer. 

normalment il y a un logiciel qui se lance pour créer un disque virtuel, est ce que tu connais son nom ?  j'ai regardé tous les logiciels que je possède et j'ai remarqué magic disc sur mon ordi. Je ne connais pas ce logicel mais d'apres ce que j'ai regardé sur internet ca peut correspondre. Est ce que ca en fait parti?

En tout cas, ce disque ne joue aucune fonction aujourd'hui et le logiciel que cet ami a installé je l'ai supprimé depuis. Est ce que je peux supprimer le logiciel Magic Disc ou faut il attendre? Si oui, est ce que ca supprimera le disque virtuel H:?

Utilisateur anonyme · Answer

désinstalle proprement magic disc depuis le panneau de configuraion ajout supresison de programme.


puis normalement, le H devrait disparaitre après un redémarrage !

anahide14 · Answer

Problème résolu !!!!!!! Est-ce à cause du logiciel Magic disc que j'ai eu le cheval de troie?

Merci bcp pr ton aide.

Utilisateur anonyme · Answer

super, 

désinstalle quand même usbfix  :D 



O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

anahide14 · Answer

J'ai bien désinstallé usbfix et le logiciel ZHPDiag.

Merci encore pour votre aide.

Utilisateur anonyme · Answer

;-)

Se débarrasser d'un cheval de Troie Dropper

22 réponses

Discussions similaires