Ordi infesté par un trojan ?

Fermé
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 - 21 juin 2012 à 12:20
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 - 28 juin 2012 à 09:52
Bonjour,

voilà, je pense avoir un souci avec mon ordi. Ce qui m'a alerté c'est qu'il fait un petit bruit "bip-bip" qui ressemble à un bruit d'antivirus, et je n'arrive pas à voir d'où ça vient... Depuis hier.
Aujourd'hui, j'ai voulu ouvrir le centre de sécurité Windows et il me dit qu'il est impossible de l'ouvrir... Si je vais sur mon antivirus (Avira) il me dit qu'il est activé... je suis en train de relancer un scan en ce moment.
Par contre, dans le dossier de quarantaine, il y a des fichiers datant du 4 juin et intitulés TR/Crypt.ZPACK.Gen7

Est-ce que quelqu'un peut m'aider à résoudre ce problème ?
D'avance un grand merci !

A voir également:

50 réponses

juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 10:58
OK et sur Vist'daube de Micros'daube :p

Il est vraiment désactivé ou c'est le centre de sécurité qui te dit que ... ?
Fais-moi une capture d'écran :-)
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 11:10
Oui c'est ça !
En fait oui, le centre de sécurité me dit qu'il est désactivé.
Si je clique sur "Activer maintenant", il me dit que le centre de sécurité n'a pas pu activer le pare-feu.
Il me propose de l'activer manuellement. Si j'essaie, il me dit que le service pare-feu ne s'exécute pas, et que le pare-feu n'utilise pas les paramètres recommandés pour protéger mon ordi...
Il me propose de mettre ces paramètres à jour, mais si je clique, il me dit que le pare-feu n'a pas pu effectuer les mises à jour demandées...

EN haut à gauche dans la fenêtre du centre de sécurité, il est aussi indiqué "Activer ou désactiver le pare-feu" et si je clique dessus, il me dit que "les paramètres du pare-feu ne peuvent pas être affichés car le service associé n'est pas en cours d'execution" et me demande si je veux démarrer le service MpsSvc.
Si je clique sur oui, il me dit qu'il ne peut pas démarrer ce service...

Pour la copie d'écran, j'arrive pas à l'insérer dans le message... :p
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 11:16
Ok j'ai pigé !
C'est le service qui a été désactivé !

Passe un coup de Pre_Scan : https://www.commentcamarche.net/faq/29469-utilisation-de-pre-scan#q=prescan&cur=4&url=%2F

ça va remettre les services d'aplomb :-)
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 11:18
Voilà la copie d'écran :
https://www.cjoint.com/?BFzlrTmKx0a
:)
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 11:20
ouep c'est à cause du service ^^
voir : https://forums.commentcamarche.net/forum/affich-25427710-ordi-infeste-par-un-trojan?page=2#23

j'attends le rapport de Pre_Scan :D
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 11:48
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 12:15
Nickel :)

Au redémarrage le service du pare feu a du être réactivé :-)
Pareil pour le service de surveillance de la batterie de ton PC portable qui était désactivé ;)

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[UpdateP2GoShortCut]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[PlayMovie]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[HP Software Update]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[QuickTime Task]

Folder::
C:\d325abdcac6dd44b823dae99


MBR::

clean::

Reboot::

___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 13:23
Voilà le pré-script :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.624 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

addear38 : Windows Vista (TM) Home Basic (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 12:19:39

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Suppression registre

Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[UpdateP2GoShortCut]
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[PlayMovie]
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[HP Software Update]
Valeur supprimée : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[QuickTime Task]

¤

Supprimé : C:\d325abdcac6dd44b823dae99

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows Vista Home Basic Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: PEGATRON CORPORATION
BIOS Manufacturer: American Megatrends Inc.
System Manufacturer: Compaq-Presario
System Product Name: NM827AA-ABF CQ5003FR
Logical Drives Mask: 0x0000005c

Analysis of file "C:\Pre_Scan\MBR.bin":
Hewlett-Packard MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 12:21:04

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤


Et pour le moment, non, je ne peux toujours pas lancer mon pare-feu Windows... Peut-être qu'il vaut mieux que j'en installe un autre ?
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 13:36
Non, sinon ils vont rentrer en conflit !

Fait ceci pour voir ? http://www.vista-xp.fr/forum/topic346.html#p929

le sfc /verifyonly
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 13:44
J'ai l'impression que ça ne marche pas...
Il me donne des infos sur cette manip mais ne l'effectue pas, ou alors j'ai pas compris un truc...
Attend je te fais voir...
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 13:45
Voilà une copie de l'écran
https://www.cjoint.com/?0FznTmbNtjX
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 13:52
normal t'as tapé sfc /verifonly au lieu de sfc /verifyonly ^^
lol
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 14:09
Ok ! :D Oui du coup ça a marché, et il dit qu'il a trouvé des violations d'intégrité je sais pas trop quoi...
Est-ce qu'il te faut le rapport ? C'est un truc super long apparemment...
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 14:13
bon, tu as des fichiers systèmes endommagés, il ne me faut pas le rapport, passe à l'étape suivante du lien, à savoir la méthode sfc /scannow
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 14:21
Bon ben j'l'ai fait, il me dit qu'il a trouvé des fichiers endommagés mais qu'ils ont pas réussi à tous les réparer...
Est-ce que tu veux le rapport ?
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 14:25
ouep avec le findstr machin bidule là
et tu envoie ça sur pjjoint, j'vais voir ce que j'peux faire :-)
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 14:27
Voilà le rapport pour le scannow https://pjjoint.malekal.com/presentation.php
Par contre c'est quoi le findstr je sais pas quoi...? Une autre commande que je dois rentrer dans la boîte noire ?
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 14:29
On va faire mieux :D

Redémarre le PC, tapote F8, dis moi ce qu'il te propose comme options ?
0
Bonjour juju666,
Peux tu jeter un coup d'oeil ici s'il te plait : http://www.commentcamarche.net/forum/affich-25452576-pc-qui-rame

Merci ...
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 14:37
Et bien soit de réparer l'ordinateur, soit de démarrer en mode sans échec ou des trucs comme ça, soit de démarrer normalement..., ce que j'ai fait là.
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 17:03
Réparer l'ordinateur
Puis tu fais Invite de commande
et dans l'invite de commande tu tape :

sfc /scannow /OFFBOOTDIR=C:\ /OFFWINDIR=C:\windows
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 17:39
Bon j'ai redémarré en faisant réparer...
Mais quand je rentre la commande dans l'invite, il me sort la même chose que ce que je t'avais mis en copie d'écran tout à l'heure...
Ya une truc qui a changé par contre, avant dans l'invit de commande, c'était C:\users\addear38> si je me souviens bien, là c'est C:\windows\system32>

Je sais pas si ça a une importance...

En tout cas j'ai bien revérifié, j'ai saisi exactement ce que tu m'as dit :p
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
25 juin 2012 à 17:41
tu as du mal taper la commande :-)

sfcESPACE/scannowESPACE/OFFBOOTDIR=C:\ESPACE/OFFWINDIR=C:\windows
0
ptitecam Messages postés 61 Date d'inscription samedi 12 juillet 2008 Statut Membre Dernière intervention 17 janvier 2017 1
25 juin 2012 à 17:55
Effectivement j'avais pas mis d'espace entre \ et / ...
Par contre, il me dit que les arguments passés à sfc ne sont valides et et que le répertoire windows hors connexion spécifié pointe vers le système en ligne...

Un petit changement par rapport à avant aussi, quand je clique droit sur invite de commande pour faire exécuter en tant qu'administrateur il me demande de confirmer que je suis bien à l'origine de la commande pour continuer, avant ça le faisait pas.
0