Trojan.inject

Résolu
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,

Je suis nouvelle sur le forum, cela fait un petit moment que je parcours celui-ci et plusieurs fois j'ai réussi grâce à vous à régler mes problèmes informatiques ! Ah oui et il faut préciser que je ne suis pas une experte de la souris ;-) !

Aujourd'hui, cependant, j'ai un petit soucis avec un virus se faisant passer pour la gendarmerie nationale. Mon écran était bloqué sur la page "d'avertissement" avec amende à payer. Je me suis doutée que quelque chose n'allait pas, alors avec un deuxième PC j'ai été voir sur le forum si je n'étais pas la seule. En effet, c'était bien le cas mais tous les cconseils que j'avais pu lire disais de redémarrer le PC en mode sans échec ou mode sans échec avec réseau. J'ai essayé ces deux modes mais les deux affichaient un message bleu d'erreur en stipulant que mon ordinateur était infecté. J'ai appuyé avec désespoir sur les touches du clavier mais je n'ai pas pu atteindre mon bureau.

En rééssayant ce matin, j'ai pu enfin accéder à mon bureau en voulant fermer ma session mais cliquant sur une fênêtre ouverte j'ai pu arrêter le processus.

Dès que j'ai vu cela j'ai télécharger Malwarebytes et lancé un scan complet. Il me dit qu'il y a 4 "fichiers" malveillants dont le fameux Trojan.inject.
J'aimerais bien entendu pouvoir le supprimer (les autres fichiers infectés aussi tant qu'à faire ^^) sans nuir à mon PC. Je veux dire par là ne pas supprimer aussi un fichier important de windows.

Comment faire ?

Et aussi comment faire après je dois rnettoyer mon PC ?

Merci d'avance pour toutes vos réponses !

Sanae-san


de windows

38 réponses

  • 1
  • 2
Réponse 1 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
salut,

poste ton rapport malwarebytes stp

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

2
Réponse 2 / 38
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Merci pour cette réponse rapide. J'ai une petite question Il me dit que proxy est détecté et me propose soit de le supprimer soit de ne pas le supprimer que faire ?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
eh ben c'est indiqué :

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si tu sais pas c'est quoi, tu le supprime, c'est le rogue qui te l'a installé.
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
D'accord merci ! Je poursuis la procédure !
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
:-)
0
Réponse 3 / 38
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Le scan est fini voilà le lien du rapport:
https://pjjoint.malekal.com/files.php?id=20120627_d12g11l13u15d6
0
Réponse 4 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
Poste le rapport MBAM, je reviens
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
MBAM ? Heu... dsl je sais pas ce que c'est ... ^^
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
malwarebytes anti malware

=========================== 

¤¤¤¤¤¤¤¤¤¤ | SafeBoot | Contrôle | Réparation

[HKLM | Safeboot] -> Manquante...réparation...
[HKLM | Safeboot\Minimal] -> Manquante...réparation...
[HKLM | Safeboot\Network] -> Manquante...réparation...


ton mode sans échec est réparé ^^

je continue la lecture :-)

0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Ah d'accord merci ! je dois refaire une analyse complète car il ne m'a pas enregistré le rapport !
Super si le mode sans échec remarche ! ^^
0
Réponse 6 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
fais pas de malwarebytes pour l'instant.

fais analyser les fichiers suivants sur VirusTotal 

C:\WINDOWS\RemoveDir.exe
C:\WINDOWS\system32\chkhbcin.exe


S'il te dit que le fichier a déjà été analysé, clique sur Reanalyse
Poste les liens vers les analyses dans ta réponse que je consulte les rapports
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Pour le premier fichier: https://www.virustotal.com/gui/file/22d8f928efeeab06ca339c3f606122c77e13685109710408f82d36703fd76aab
Pour le deuxième:
https://www.virustotal.com/gui/file/8f4dc42b2807b0c67a5cd92cee4b6b94792fcc8b4c1ec59a557bf9ac020eb256
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
fais passer ça sur virustotal aussi ?

C:\WINDOWS\ntwdblib.DLL
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Voilà le rapport:
https://www.virustotal.com/gui/file/418f3570cf09f0e64a28afb944d222c02e87fd4fa88c3c7de90d24aa0e293f27
0
Réponse 7 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
OK

lecture terminée ^^

envoie ça aussi sur virustotal : C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

=====================================================

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

==========================

Sélectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________

Kill::

Key::
[HKU\S-1-5-21-1918766153-4129338091-2039583726-1115\Software\Microsoft\Internet Explorer\SearchScopes\{9E61976D-BB57-4B98-B3BE-5FA01BD5B927}]
[HKU\S-1-5-21-1918766153-4129338091-2039583726-1115_Classes\TypeLib]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[ISUSPM Startup]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[ISUSScheduler]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[chkhbci]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[HP Software Update]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]:[DeleteOnReboot]
[HKU\S-1-5-21-1918766153-4129338091-2039583726-1115\Software\Microsoft\Internet Explorer\Toolbar]:[Locked]
[HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar]:[Locked]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:[3389:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:[3389:TCP]

File::
C:\Documents and Settings\xp1\Application Data\Mozilla\Firefox\Profiles\k6u0k05z.default\searchplugins\askcomsearch.xml
C:\DOCUME~1\xp1\LOCALS~1\Temp\ToolbarInstaller.exe
C:\DOCUME~1\xp1\LOCALS~1\Temp\MachineIdCreator.exe
C:\DOCUME~1\xp1\LOCALS~1\Temp\CommonInstaller.exe
C:\temp_req.xml
C:\toto.xml
C:\toto2.xml
C:\Documents and Settings\xp1\~
C:\Documents and Settings\All Users\Application Data\Ament.ini
C:\Documents and Settings\xp1\Local Settings\Application Data\dt.dat

Folder::
C:\Program Files (x86)\adawaretb
C:\Program Files (x86)\Toolbar Cleaner
C:\Windows\Installer\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}
C:\Windows\Installer\{A81A974F-8A22-43E6-9243-5198FF758DA1}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy
C:\Users\Nicole\AppData\Roaming\TestApp
C:\ProgramData\Ad-Aware Browsing Protection
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\GUMBE8D.tmp
C:\Program Files (x86)\Spybot - Search & Destroy
C:\Users\Nicole\AppData\Local\Temp\Low\UnityWebPlayer
C:\528a878356c6df8d84b926
C:\6212cec89213b99ae051f6
C:\7adacaff5ca59b8c355c4d
C:\c3a9b832d22ef206bb33a8df
C:\f2ce22697e88ace99750be
C:\fd93486bb45089469c0be7efdfad
C:\tmp
C:\WINDOWS\Installer\{AC76BA86-7AD7-1036-7B44-A95000000001}

Del_Part::
0::

MBR::

clean::

Reboot::
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenêtres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaîtra sur le bureau en fin de travail
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Tout d'abord le rapport du fichier demandé:
https://www.virustotal.com/gui/file/12197c9619c4f8127178430e45466ffe3fb2eef02d82b4c04852920cca24562c
0
Réponse 8 / 38
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Alors "gros" problème:
pendant le scan j'ai eu le droit à un message:

Fichier manquant: <Racine Windows>\système32\hal.dll

Essaie de redémarrage 2 fois et ça ne marche à cause de ce fichier manquant même en mode sans échec ! :-S
0
Réponse 9 / 38
Utilisateur anonyme
 
salut je suis le créateur de pre_scan

pour avancer :

un fichier est corrompu mais ne t'inquiete pas ton pc va redemarrer :)

plusieurs solution s'offrent à toi

as tu le choix de la console de recuperation au demarrage ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Merci je vais essayer même si je comprends pas tout ^^
0
Utilisateur anonyme
 
attention j 'ai modifié car certains lien te renvoient vers des fichiers pour windows 7 c'est pour cela que je pense qu il est mieux qu'on te fasse faire la manip en temps reel
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Ah d'accord alors je vais regarder si j'ai la console de récupération. Heu.. c'est où ? ^^ J'ai bien un mode Active Directory (contrôleurs de domaine Windows XP)
0
Utilisateur anonyme
 
tu es sur un deuxieme pc là ?
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Oui sur le XP je n'arrive pas à atteindre mon bureau
0
Réponse 10 / 38
Utilisateur anonyme
 
je sais bon on va faire simple car je ne connais pas le fonctionnement du active directory

tu as le cd de windows xp ?

0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Malheureusement non je n'ai pas le CD
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
en revanche j'ai un CD DELL E198fP LCD Flat Monitor
0
Utilisateur anonyme
 
non c est le pilote pour l ecran , regarde en dessous j'ai édité :)

on passe par une clé usb au lieu du cd :)
0
Réponse 11 / 38
Utilisateur anonyme
 
pas grave on fait autrement

telecharge ici : http://www.forums-fec.be/gen-hackman/win7Rescue_PE.iso => OTLPE sous environnement windows 7 en Live

insère une clé usb dans un support ( minimum 512 Mo )

Télécharge ici : http://www.forums-fec.be/gen-hackman/Sardu_Installer.exe

Installe ce dernier , et place "win7Rescue_PE.iso" dans le dossier C:\Sardu_2.0.4.3\ÌSO

ferme et ensuite lance Sardu par le raccourci qui a été placé sur ton bureau , onglet fichier , clique sur Activer les Extra , puis charger toutes les Iso/IMA.
verifie à l'onglet "Windows" que la case "WIN7PE" est bien cochée.
en bas à droite de la fenetre tu dois avoir un poids avoisinant les 330 Mb.

Clique ensuite sur "search USB" et sélectionne ta clé juste en dessous , puis clique sur le dessin de clé USB "make usb" apparaitra dans l"infobulle" de la souris.

reponds oui à la question "etes-vous sûr blablabla....."

tu verras les actions du programme pendant qu il travaille pour installer tout ca sur ta clé.

insère ta clé usb dans le pc malade.

ensuite change le demarrage de ton pc malade dans le bios en mettant la clé usb en premier demarrage

comment Faire ? : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot ( sauf que là tu mets ta clé )

demarre le pc malade.

Le menu Sardu va s'afficher

selectionne "Windows Live" puis "Lancer Win 7 PE" , windows va se charger...

Laisse faire jusqu'à l'affichage complet du bureau de Windows 7

============

rends toi sur cette page et clique sur telechargement , puis mets le fichier dans une clé usb que tu branches ensuite dans le pc malade

https://www.fichier-dll.fr/hal.dll,1144

(il faudra dezipper le fichier pour recuperer hall.dll qui est à l'interieur de l'archive (clic droit / extraire)

copie le fichier hall.dll dans le dossier system32 qui se trouve dans le dossier windows du systeme malade

redemarre le pc sans le cd , ca devrait redemarrer sur ton XP
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Je ne trouve pas "win7Rescue_PE.iso" où se trouve t il ?
0
Réponse 12 / 38
Utilisateur anonyme
 
ben clique sur mon lien bleu voyons !
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Ah pardon le premier lien aussi avait changé je n'avais pas vu merci
0
Utilisateur anonyme
 
^^
0
Réponse 13 / 38
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
J'avance ^^ tout doucement mais surement ! Alors j'en suis à l'étape télécharger hall.dll seulement je me demande si c'est normale je n'ai pas eu besoin de l'extraire en téléchargeant le fichier avait déjà ce nom, est-ce normal ?
0
Réponse 14 / 38
Utilisateur anonyme
 
ah bon ? moi j 'ai eu un zip....lol

ben tant mieux :)

sinon une fois fini pour redemarrer , c'est dans le menu demarrer du live cd , tu cliques sur reboot et tu retires le cd quand l'ecran devient noir ce repartira sur ton disque dur internet de ton xp

je m'absente à plus tard , quoi qu'il en soit tu n'es pas abandonné(e)
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Merci beaucoup je fais tout ça ! Vraiment merci pour ton aide parce que un virus pareil ça ne m'était jamais arrivée encore ^^
0
Réponse 15 / 38
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Il me demande si je dois copier et remplacer ou conserver les deux. Heu... remplacer ?
0
Réponse 16 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
re de retour du jardin ^^

ah le gros helpeur est passé par ici :p

copier et remplacer ou conserver les deux ... quoi ? ^^
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Re ^^ le fichier hal.dll nous devons le changer dans le fichier system32 remplacer ou conserver les deux ?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
remplacer :)
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Ah merci donc c'est fait maintenant je dois "reboot" mais heu... j'ai pas très bien compris
"sinon une fois fini pour redemarrer , c'est dans le menu demarrer du live cd , tu cliques sur reboot et tu retires le cd quand l'ecran devient noir ce repartira sur ton disque dur internet de ton xp "
Je vais bien dans démarrer mais il y a pas de "reboot" peut-être que je suis pas là où il faut ...
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
j'ai rien dit autant pour moi c'était écrit en gros !
0
Réponse 17 / 38
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
J'ai rebooté mais ça m'affiche le même message !
0
Réponse 18 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
mmmmh

tu peux taper gen hackman de ma part :D

ça te dérange pas d'attendre un peu son retour ? car là je ne vois pas comment on pourrait faire, je suis pas si bon que lui ^^
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Ah ok pas de problème de toute façon sans vous je n'aurais jamais fait tout ça !
0
Réponse 19 / 38
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Ah je vois marqué consode de récupération Microsoft Windows XP dans le menu de démarrage.
0
Réponse 20 / 38
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
ah ben lance la

qu'est-ce qu'il propose ?
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
Alors là ça m'est complètement étranger enfin je te dis ce qu'il y a marqué:

1: C:\WINDOWS
Sur quelle installation de Windows XP voulez-vous ouvrir une session (Appuyer sur ENTREE pour annuler)?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
tape 1
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
et après "entrée "?
0
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
 
il affiche quoi là ?
0
Sanae-san Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   1
 
1 c'est tout
0