Message de cheval de troie bloqué par avast [Résolu/Fermé]

Signaler
-
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
-
Bonjour,
Depuis hier, mon pc m'affiche un message de cheval de troie rouge bloqué par avast suivi d'un rootkit bloqué de la même couleur. Ils me disent qu'ils ont mis en quarantaine et qu'il n'y a rien à faire ( effectivement quand je vais vois la boite de quarantaine j'ai des tonnes de virus: windows32/installer... et plein de variantes)
Comme je n'avais que la version gratuite d'avast j'ai acheté une version payante d'avast et lancé un scan mais il me dit que tout est ok, rien n'est infecté.
J'ai aussi c cleaner donc j'ai fait plusieurs nettoyages.
Et j'ai débranché mon modem toute la nuit pour voir si ça pouvait changer qqchose.
Mais RIEN A FAIRE: toutes les 5 minutes à peu près j'ai ces messages qui apparaissent et qui ralentissent de plus en plus ma connexion.

Qu'est ce que je peux faire????
Merci de votre aide..

47 réponses

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Il y a encore quelques traces que nous allons supprimer manuellement.

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
[HKLM\Software\TENCENT]
[MD5.A782B447519917024583E8D11FE0CD00] [SPRF][21/03/2010] (.pdfforge GbR - PDFCreator is the easy way of creating PDFs..) -- C:\Program Files\PDFCreator-0_9_9_setup.exe [17776464]
[HKLM\Software\Classes\AppID\EoRezoBHO.DLL]
[HKLM\Software\Classes\AppID\{362a53b2-2913-4f8a-82f5-7e0a23fdc6f9}]
[HKLM\Software\Classes\Interface\{819DB72D-1C28-4387-9778-E2FF3DC86F74}]
[HKLM\Software\Classes\Interface\{819db72d-1c28-4387-9778-e2ff3dc86f74}]
[HKLM\Software\Classes\TypeLib\{B6ACB3F1-6A83-432C-B854-3E1056F87F4E}]
[HKLM\Software\Classes\TypeLib\{b6acb3f1-6a83-432c-b854-3e1056f87f4e}]
[HKLM\Software\Tencent]
[HKCU\Software\BFlix]
[HKLM\Software\BFlix]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0C9F4179-6CE2-4c6a-A3E5-67FF3592A12E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0C9F4179-6CE2-4c6a-A3E5-67FF3592A12E}]
EmptyTemp
EmptyFlash
FirewallRAZ


----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre le PC.

Ensuite je voudrais quand m^me vérifier quelquechose
Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choose File"
- Dans nom du fichier colle ce fichier : C:\WINDOWS\system32\5CF969A7F7.sys
- Clique sur "Ouvrir" puis sur "Scan It"
- Le Fichier est mis en file d'attente.
- Clique sur Reanalyse si c'est proposé
- Attends la fin du scan ey poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet

Ensuite je voudrais que tu fasses ceci:

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si TDSS.tdl2 : l'option Delete sera cochée.
* Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
* Si "Suspicious object" laisse l'option cochée sur Skip
* Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt


PS: Désolé de te faire passer toutes ces procédures mais je voudrais te laisser un PC tout propre comme si venais de l'acheter

Smart
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
OK. On va faire un diagnostic de ton PC.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe et non pas sur le personnage avec la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le répertoire C:\ZHP
- Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
Voici le début et la fin du rapport que j'obtiens( je n'arrive pas à poster l'intégralité ici, on me dit: "titre du message non renseigné":
# AdwCleaner v1.606 - Rapport créé le 11/05/2012 à 15:17:30
# Mis à jour le 10/05/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : moi - DC3SZH2J
# Exécuté depuis : C:\Documents and Settings\moi\Bureau\adwcleaner.exe
# Option [Recherche]

ET LA FIN:
-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\moi\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [12615 octets] - [11/05/2012 14:59:14]
AdwCleaner[R2].txt - [12545 octets] - [11/05/2012 15:17:30]

########## EOF - C:\AdwCleaner[R2].txt - [12674 octets] ##########
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Oui, on va s'en sortir :-)

Il ya encore des restes de adawres mais je voudrais vérifier quelque chose avant.

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse

Smart
Voilà:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120516_g10x13f6z6v12
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
OK. On passe à la phase finale.
Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Interne

Fais les mise à jour suivantes:

Mise à jour Java 7 update 4 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6

Mise à jour vers Adobe Reader 10.1.3
Lance Adobe Reader > Clique sur Aide puis recherche des mises à jour

Mise à jour flashplayer vers la version 11.2.202.235
https://get.adobe.com/flashplayer/?loc=fr
N'oublie pas de décocher la case pour l'installation de la barre d'outil ou tout autre logiciel proposé avec l'installation de FlashPlayer (A faire deux fois, une fois sous IE et une autre fois sous FF)

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-2004099691-4020935847-1431299932-1006\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
[HKLM\Software\BrowserChoice]
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O43 - CFD: 02/11/2010 - 16:33:09 - [0,000] -SH-D C:\Documents and Settings\moi\Local Settings\Application Data\7y9ylr58v5q642rlgrnxpwdsrblh6gen9n
CTFDisabled


----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).

3. Désactiver la restauration système et céer un point de restauration
- Dans la barre des tâches de Windows, clique sur Démarrer.
- Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
- Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
- Clique sur Appliquer.
- Ensuite décoche "Désactiver la restauration du systeme"
- Clique sur appliquer puis ok

Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.

Installe l'extension de sécurité adblock plus pour bloquer les publicités ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent des adwares[ http://www.malekal.com/HOSTS_filtre/HOSTS_Anti-Adware.exe HOSTS Anti-PUPs/Adware]
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commandel


- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up pibcitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
"Est-ce que je dois/peux désinstaller tous les logiciels ( à part M) que tu m'as fait téléchargé pour nettoyer le PC ( ZHP, adwcleaner, Roguekiller, Update Cheker, Delfix)?
Bien sûr que tu peux les désisntaller. C'est DelFix qui le fait; or tu n'as pas fait suppression lorque tu l'as utilisé

Je te redonne la procédure:
- Lance Delfix, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne Suppression
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.

Oui, pour ADblock est pour FireFox

Garde Avast comme antiviruss, il est très bien. Vérifie que tu as bien la version 7

Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Voilà le rapport:
# DelFix v8.8 - Rapport créé le 19/05/2012 à 15:42:42
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : moi - DC3SZH2J (Administrateur)
# Exécuté depuis : C:\Documents and Settings\moi\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~


~~~~~~ Fichier(s) ~~~~~~


~~~~~~ Registre ~~~~~~

Je ne sais vraiment pas comment te remercier pour ton aide..
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Delfix ne trouve plus les outils. Cela veut dire que tu les as désisntallés

Heureux de t'avoir aidée

Smart
--"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Bonjour, voici mon lien : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130605_c13x6b13g14r15

Que doit-je faire? aidez moi svp
MERCI
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Bonjour,

Est-ce que tu peux poster le rapport d'avast ?

Smart
Je n'arrive pas à copier coller le rapport des 3 scans que j'ai fait aujourd'hui:
- Ce matin un scan minutieux: 1 fichier infecté trouvé et mis en 40taine: C: //...1c737965-579afcca ( Menace: Win32Smokel oader-PQ ( trj)
- Après un scan au démarrage: 5 fichiers commençant tous par: C: //RECYCLE.BIN ( menace: Java ( trj) ou (expl)...)
- Ce soir un scan rapide:28762 fichiers testés, 6265 dossiers testés ( 12,9 Go), aucun virus infecté..
Je pensais que ça irait mieux...
MAIS j'ai toujours toutes les 3-4 min mon message rouge de cheval de troie bloqué " Une menace a été détectée", suivie du rootkit bloqué..
C'est insupportable..
Coucou Smart, merci pour ton aide, j'ai fait ce que tu 'as dit, voilà le lien du rapport:http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120511_w14j6u9t11p7
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Tu est infecté par l'adware EoRezo que tu as attrapé en téléchargeant gratuitement un tutoriel ou un logiciel sur le site PCtuto ou Tuto4PC ou alors EoRezo. Cette gratuité se fait en contrepartie de recevoir des pubilicités afin de se rémunérer. Eviter absolument d'aller sur ce site et surtout bien lire les Conditions Générales d'utilisation qui indiquent justement que tu acceptes de recevoir ces pubs en téléchargeant le logiciel.
Je te conseille de lire cet article concernant ces pratiques:
https://forum.malekal.com/viewtopic.php?t=33439&start=

Tu as des barre d'outils néfastes et/ou inutiles que tu as dû installer en même temps qu'un autre programme gratuit ou payant d'ailleurs. Fais attention de bien décocher une case avant de cliquer sur suivant pour ne pas installer ce genre de toolbar.
Cette barre d'outils est infectieuse car elle modifie les navigateurs WEB. D'une façon générale, installer une barre d'outils est inutile et cela ne fait que ralentir ton PC. Pour étayer mes propos lis bien ce dossier ci-dessous:
[url=https://forum.malekal.com/viewtopic.php?t=6173&start=] Les Toolbars ce n'est pas obligatoires[/url]

Nous allons supprimer ces infections, pour cela tu vas faire ceci:

- Télécharge sur ton bureau AdwCleaner de Xplode
- Choisis "Recherche" et poste le rapport
- Le rapport se trouve ici ==> C:\AdwCleaner[R1].txt

Smart
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Il faut que tu héberges le rapport :
- Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
- Clique sur Parcourir et cherche le fichier AdwCleaner[R2].txt qui se trouve sur ton bureau
- Ensuite Clique sur "Envoyer le fichier".
- Copie le lien obtenu dans ta réponse.

Smart
Voici le lien,
http://pjjoint.malekal.com/files.php?id=20120512_e5b9g9b10v7
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Relance AdwCleaner, choisis "Suppression" et poste le rapport

Smart
Voilà le rapport ( sachant qu'il a redémarré mon PC et qu'au redémarrage HOP revoilà mon message cheval de troie bloqué!!! Qu'est ce qui se passe??:

# AdwCleaner v1.606 - Rapport créé le 12/05/2012 à 22:45:24
# Mis à jour le 10/05/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : moi - DC3SZH2J
# Exécuté depuis : C:\Documents and Settings\moi\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****
Messages postés
29091
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 272
Ton rapport n'est pas complet ou alors tu as fait deux fois l'option suppression
Essaie de poster le rapport via pjjoint

Smart
Oui j'avais fait 1 fois suppression la veille, qu'est ce que c'est ppjoint? :
En attendant, voici la référence du cheval de troie qui apparait ttes les 3min:
Win64-Sirefef-A(Trj)