System 32 infesté de chevaux de troie

Question

Bonjour, J'ai pendant environ 5mois été sans internet mais je n'ai jamais enlevé le wifi ce qui fait que aujourd'hui que j'ai récupéré internet et mis a jour mon antivirus mon antivirus (avg) me détecte un cheval de troie dans mon system 32 environ toutes les 15minutes ce qui est assez pénible mais j'ai aussi remarqué que mon pc était devenu assez lent et qu'il plantait souvent alors qu'auparavant il ne plantait quasiment jamais même en faisant une analyse complète par jour avec avg j'ai le droit tout les quarts d'heure a une alerte... 
Donc je voudrais savoir quoi faire pour supprimer définitivement tout ces chevaux de troie qui sont dans mon system 32 merci.

coniii · Answer

Bonjour,


&#9654 Télécharge l'outil de diagnostic ZHPDiag (de Nicolas Coolman).

&#9654 Lance-le, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

&#9654 Clique sur l'icône en forme de loupe en haut à gauche pour lancer le diagnostic.

&#9654 Héberge le rapport ZHPDiag.txt de ton bureau sur :

https://www.cjoint.com/

&#9654 Donne le lien en résultat.

&#9654 Si le site ne fonctionne pas, consulte cette page : Autres hébergeurs en ligne

SookieD · Answer

Voila

https://www.cjoint.com/?BGtpHBDxIyw

coniii · Answer

Télécharge TDSSKiller sur ton Bureau. => https://support.kaspersky.com/downloads/utils/tdsskiller.zip  

&#9654 Décompresse le (clic droit sur le fichier et extraire) sur le bureau.  
&#9654 dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau  
&#9654 Faire un double clic sur TDSSKiller.exe pour le lancer.  
&#9654 Cliquer sur Start scan pour lancer l'analyse,  

&#9654 Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée,  
&#9654 Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip.  
&#9654 Puis cliquer sur le bouton Continue.  
&#9654 Attendre l'affichage du fichier rapport.  
&#9654 Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer.  

Envoyer en réponse le rapport de TDSSKiller  

Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

SookieD · Answer

euh j'ai bien tout suivi mais pour la rapport dans C: je ne trouve que TDSSKiller_Quarantine et dedans il y a 19.07.2012_16.33.43 mais dedans j'ai d'autres fichiers : rtkt0000 / zaea0000 / zaea0001 / zaea0002 

ou je suis censé trouver le .txt ?

coniii · Answer

Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage). 


Puis reposte un nouveau ZhpDiag stp => https://forums.commentcamarche.net/forum/affich-25630089-system-32-infeste-de-chevaux-de-troie#1

SookieD · Answer

j'ai pas bien compris ou prendre la rapport de tdsskiller ? la racine de ma partition se situe ou ?


sinon le new zhp diag 

https://www.cjoint.com/?BGtrJv1AYpH

SookieD · Answer

perso je me retrouve avec cela (captures d'écran)

http://imageshack.com/f/j6tdsxj

http://imageshack.com/f/j6tds2j

donc je suis censé aller ou ?

coniii · Answer

Bon fais ça : 


Avant d'utiliser ComboFix :

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix

* Télécharge Defogger (de jpshortstuff) sur ton Bureau => http://www.jpshortstuff.247fixes.com/Defogger.exe
* Lance le

* Une fenêtre apparait : clique sur "Disable"

* Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

======================================================

&#9654 Télécharge ComboFix (de sUBs) sur ton Bureau. => http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

&#9654 /!\Désactive temporairement toute protection résidente /!\ (Antivirus, Antispywares...) 
&#9654 Double clique sur ComboFix.exe. (Sous Vista et Seven, il faut cliquer droit sur Combofix.exe et choisir "Exécuter en tant qu'administrateur"). 
&#9654 Accepte la licence en cliquant sur "Oui". 
&#9654 Le programme va vous demander si vous souhaitez installer la Console de Récupération. C'est une précaution, au cas où l'ordinateur tomberait en panne. Je vous conseille donc très fortement de l'installer, ça ne coûte rien, et ça pourrait potentiellement servir ! 
&#9654 Lorsque l'opération sera terminée, un rapport apparaîtra. Postez ce rapport dans votre prochaine réponse sur le forum. 
&#9654 Le rapport se trouve ici : C\ComboFix.txt (%systemdrive% étant la partition où est installée Windows; C: en général)

coniii · Answer

Ok ;-)


&#9654 En cas de problème, n'hésite pas à consulter le tutoriel Malwarebytes Anti-Malware.

Il se peut que le scan soit long, mais il faut le laisser se terminer.

&#9654 Télécharge Malwarebytes' Anti-Malware sur ton bureau.

&#9654 Lance l'installation, (Clic droit "exécuter en tant qu'administrateur" si tu es sous Windows Vista ou 7).

&#9654 Une fois l'installation terminée, le programme se lance et se met à jour. Dans l'onglet Mise à jour, clique sur le bouton "Recherche de mise à jour" au cas où cela n'aurait pas été le cas.

&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
&#9654 Sélectionne Exécuter un examen complet.
&#9654 Sélectionne Tous les disques.
&#9654 Clique sur Rechercher.

&#9654 Si des menaces ont été détectées, clique sur Afficher les résultats.
&#9654 Sélectionne toutes les menaces et clique sur Supprimer la sélection, l'ordinateur peut demander le redémarrage, si tel est le cas accepte.

&#9654 Une fois redémarré, ouvre Malwarebytes et rends-toi dans l'onglet Rapport.
&#9654 Ouvre le dernier en date, et copie-colle le sur le forum.



========================================================

&#9654 Puis une fois terminé reposte un ZhpDiag stp ;-)

=> https://forums.commentcamarche.net/forum/affich-25630089-system-32-infeste-de-chevaux-de-troie#1

SookieD · Answer

malware bit = 
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.07.20.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 7.0.6002.18005
Florian :: PC-DE-FLORIAN [administrateur]

20/07/2012 13:05:21
mbam-log-2012-07-20 (13-05-21).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 464030
Temps écoulé: 3 heure(s), 45 minute(s), 24 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 6
C:\TDSSKiller_Quarantine\19.07.2012_16.33.43tkt0000\zafs0000	sk0002.dta (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\19.07.2012_16.33.43tkt0000\zafs0000	sk0006.dta (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\19.07.2012_16.33.43tkt0000\zafs0000	sk0010.dta (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\19.07.2012_16.33.43\zaea0000\svc0000	sk0000.dta (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\19.07.2012_16.33.43\zaea0001\svc0000	sk0000.dta (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
C:\TDSSKiller_Quarantine\19.07.2012_16.33.43\zaea0002\svc0000	sk0000.dta (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

(fin)

zhpdiag = https://www.cjoint.com/?BGuvfR7ktfk

coniii · Answer

Ok bon il reste quelques trucs à régler...  


Fais ceci :  


&#9654 Télécharge et lance AdwCleaner (merci à Xplode). 

&#9654 Clique sur Suppression, l'outil agira et l'ordinateur demandera le redémarrage pour finir la suppression. 

&#9654 Au démarrage suivant, le rapport s'affichera. Copie/colle son contenu sur le forum. 
Si le rapport ne s'est pas affiché, il se trouve aussi dans : C:\AdwCleaner[S_].txt.

========================================================

et reposte un Zhpdiag stp => https://forums.commentcamarche.net/forum/affich-25630089-system-32-infeste-de-chevaux-de-troie#1

SookieD · Answer

# AdwCleaner v1.703 - Rapport créé le 20/07/2012 à 22:31:54
# Mis à jour le 20/07/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Florian - PC-DE-FLORIAN
# Exécuté depuis : C:\Users\Florian\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Florian\AppData\LocalLow\Softonic
Dossier Supprimé : C:\Users\Florian\AppData\Roaming\Mozilla\Firefox\Profiles\0xxf8slf.default\extensions\ffxtlbra@softonic.com
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\MenuExt\Rechercher sur le Web
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\pricegong
Clé Supprimée : HKCU\Software\SweetIm
Clé Supprimée : HKLM\SOFTWARE\DT Soft
Clé Supprimée : HKLM\SOFTWARE\SweetIM

***** [Registre - GUID] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{7ABBFE1C-E485-44AA-8F36-353751B4124D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{761F6A83-F007-49E4-8EAC-CDB6808EF06F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5018CFD2-804D-4C99-9F81-25EAEA2769DE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E87806B5-E908-45FD-AF5E-957D83E58E68}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}

***** [Navigateurs] *****

-\ Internet Explorer v7.0.6002.18005

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v11.0 (fr)

Nom du profil : default 
Fichier : C:\Users\Florian\AppData\Roaming\Mozilla\Firefox\Profiles\0xxf8slf.default\prefs.js

C:\Users\Florian\AppData\Roaming\Mozilla\Firefox\Profiles\0xxf8slf.default\user.js ... Supprimé !

Supprimée : user_pref("extensions.softonic_i.aflt", "orgnl");
Supprimée : user_pref("extensions.softonic_i.dfltLng", "");
Supprimée : user_pref("extensions.softonic_i.excTlbr", false);
Supprimée : user_pref("extensions.softonic_i.id", "3660fc2700000000000000ff01000001");
Supprimée : user_pref("extensions.softonic_i.instlDay", "15402");
Supprimée : user_pref("extensions.softonic_i.instlRef", "MON00001");
Supprimée : user_pref("extensions.softonic_i.newTab", false);
Supprimée : user_pref("extensions.softonic_i.prdct", "softonic");
Supprimée : user_pref("extensions.softonic_i.prtnrId", "softonic");
Supprimée : user_pref("extensions.softonic_i.smplGrp", "eng7");
Supprimée : user_pref("extensions.softonic_i.tlbrId", "eng7");
Supprimée : user_pref("extensions.softonic_i.tlbrSrchUrl", "hxxp://search.softonic.com/MON00001/tb_v1?SearchSour[...]
Supprimée : user_pref("extensions.softonic_i.vrsn", "1.5.11.5");
Supprimée : user_pref("extensions.softonic_i.vrsnTs", "1.5.11.51:10:34");
Supprimée : user_pref("extensions.softonic_i.vrsni", "1.5.11.5");

*************************

AdwCleaner[S1].txt - [3080 octets] - [20/07/2012 22:31:55]

########## EOF - C:\AdwCleaner[S1].txt - [3208 octets] ##########

zhp diag = https://www.cjoint.com/?BGuwTwOBpZo

coniii · Answer

Ok maintenant passe à ça :



Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 


O47 - AAKE:Key Export SP - "C:\Windows\Temp\svhost.exe" [Enabled] .(...) -- C:\Windows\Temp\svhost.exe (.not file.)    => Infection FakeAlert (Trojan.Agent)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)
O87 - FAEL: "{1F748327-2FE7-4079-94EE-CC1A8138E21D}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Florian\AppData\Roaming\F4\EmpireOfSports\EmpireOfSports.exe (.not file.)
O87 - FAEL: "{75F01668-E58B-4664-A3C1-B6B01F931108}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Florian\AppData\Roaming\F4\EmpireOfSports\EmpireOfSports.exe (.not file.)
[HKLM\Software\Classes\CLSID\{76c45b18-a29e-43ea-aaf8-af55c2e1ae17}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{96ef404c-24c7-43d0-9096-4ccc8bb7ccac}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{97720195-206a-42ae-8e65-260b9ba5589f}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{986f7a5a-9676-47e1-8642-f41f8c3fcf82}]    => Infection PUP (PUP.Eorezo)
[HKLM\Software\Classes\CLSID\{b18788a4-92bd-440e-a4d1-380c36531119}]    => Infection PUP (PUP.Eorezo)
O4 - Global Startup: C:\Users\Florian\Desktop\Cossacks - The Art Of War.lnk - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [Express Files Updater] (...) -- C:\Program Files\ExpressFiles\EFupdater.exe (.not file.)
[MD5.E1FF014E4ABB4688D1C7B9C8072CD89A] [SPRF][20/07/2012] (...) -- C:\Users\Florian\AppData\Local\Temp\Uninst.bat   [633]

FirewallRAZ
EmptyTemp
EmptyFlash
EmptyCLSID 



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !. 


=====================================================

Puis reposte un ZhpDiag stp :-)

SookieD · Answer

zhp fix = 	https://www.cjoint.com/?BGuxZNOeI99


zhp diag = https://www.cjoint.com/?BGux4fqW6k6

coniii · Answer

ATTENTION IMPORTANT, contrairement à mon dernier message, il faut cette fois-ci LANCER ZhpFix en Mode ADMINISTRATEUR : :  

Clic droit sur ZhpFix, puis Exécuter en tant qu'administrateur



Copie tout le texte présent en gras ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  



O47 - AAKE:Key Export SP - "C:\Users\Florian\AppData\Roaming\L0XCF1XPL5.exe" [Enabled] .(.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Users\Florian\AppData\Roaming\L0XCF1XPL5.exe 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe 
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe 
[MD5.A2F0D85E87268A0F4516D0BABF4B3F1E] [SPRF][29/03/2009] (.Microsoft Corporation - Visual Basic Command Line Compiler.) -- C:\Users\Florian\AppData\Roaming\L0XCF1XPL5.exe [1169736]  




Puis Lance ZHPFix en mode Administrateur depuis le raccourci du bureau (Clic droit sur ZhpFix, puis Exécuter en tant qu'administrateur). 

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . 

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. 

Clique sur le bouton GO 

Copie/Colle le rapport à l'écran dans ton prochain message. 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt) 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.  


======================================================= 

Puis redémarre le PC 

======================================================= 

Puis reposte un ZhpDiag dans ta prochaine réponse ;-) => https://forums.commentcamarche.net/forum/affich-25630089-system-32-infeste-de-chevaux-de-troie#1  



Cdlt.

SookieD · Answer

zhip fix = https://www.cjoint.com/?BGvp4enJejS


zhp diag = https://www.cjoint.com/?BGvp3RJ3Zwx

Utilisateur anonyme · Answer

bonjour,

vite fait, pour filer un coup d emain  :D


@ SookieD


redémarre ton pc,

relance Zhpdiag, 

/!\Utilisateur de Vista et Seven : 

1/ Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

2/ Dans l'interface de Zhpdiag, clique sur l'Uac, il faut le réactiver à la fin du nettoyage.

* Clique sur le tourne vis, selectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

SookieD · Answer

@ Electricien 69 

https://www.cjoint.com/?BGvtl6AyeVx

Utilisateur anonyme · Answer

vers la fin du nettoyage, installe les mises à jour de java et adobe reader et internet explorer depuis leur site dédiés  !


tu as une attaque depuis internet, surement à cause deu logiciel qui n'est pas à jour !!!





est ce toi qui ais créé ce proxy ? 


R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:9421

si tu ne le connais pas, colle le en même temps que le script de zhpfix dans la fênetre (voir un peu plus bas)








*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 


*	* Copie ( Ctrl + C ) et colle ( Ctrl + V ) les lignes suivantes en gras dans Zhpfix :
---------------------------------------------------------

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_DISABLE_NAVIGATION_SOUNDS] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_DISABLE_TELNET_PROTOCOL] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_RESTRICT_ACTIVEXINSTALL] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_RESTRICT_FILEDOWNLOAD] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_RESTRICT_RES_TO_LMZ] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_STATUS_BAR_THROTTLING] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_DISABLE_NAVIGATION_SOUNDS] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_DISABLE_TELNET_PROTOCOL] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_RESTRICT_ACTIVEXINSTALL] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_RESTRICT_FILEDOWNLOAD] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_RESTRICT_RES_TO_LMZ] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_STATUS_BAR_THROTTLING] -- svchost.exe    
O42 - Logiciel: Norton Internet Security - (.Symantec Corporation.) [HKLM] -- {7B15D70E-9449-4CFB-B9BC-798465B2BD5C}    
[HKCU\Software\ESET]   
[HKLM\Software\Eset] 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe   
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
Emptytemp
EmptyCLSID
FirewallRAZ  


---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

kif4444 · Answer

Utilise Spybot ou Clamwin 
Signature non conforme supprimée par la Modération CCM !

Utilisateur anonyme · Answer

ok,

redémarre ton pc,

relance Zhpdiag,

clique sur la flèche verte pour lancer une mise à jour,

/!\Utilisateur de Vista et Seven : 

1/ Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

2/ Dans l'interface de Zhpdiag, clique sur l'Uac, il faut le réactiver à la fin du nettoyage.

* Clique sur le tourne vis, selectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

SookieD · Answer

https://www.cjoint.com/?BGwwcY48HzU

SookieD · Answer

Ps : c'est normal que depuis que j'ai fait le dernier zhpdiag je lag comme c'est pas possible sur css ?

Utilisateur anonyme · Answer

il y a pas mal de services son cours d'execution , qui utilisent Svchost, la liste est trop longue, 

un de ses services utilise Svchost pour une infection, mais je en sais pas exactement le quel est illégitime !

si je vire tous les services en O83, on vire l'infection, mais il se peut que ton pc plante ou tu aurait un Bsod !



autrement, il faut passer les quelques trentaine fichier sur le site de virus total (ce qui prendra un certain temps) pour voir le quel est légitime ou pas !!!


on fait quoi? 
on tente de les virer ?

SookieD · Answer

perso je te fait confiance donc fait ce qui te semble le mieux

sinon un "bsod = ? & c'est dur a enlever / réparer ?

Utilisateur anonyme · Answer

Bsod = Bleu screen of Death = Ecran bleu de la mort !!!

je en sais pas pourquoi, mais on l'appelle ainsi  :D

vérifie que la restauration système soit activée et un point de restauration sur le quel on puisse retourner au cas ou, soit crééé sur le pc  :D



on l'attaque avec zhpfix pour voir !


*	Lance ZHPFix via le raccourci sur ton Bureau



Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 


ouvre ce document et fais un copier coller de la totalité du contenu, dans la fenêtre de zhpfix :

https://www.cjoint.com/?BGxseI7UVoU

---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

SookieD · Answer

bon j'ai pas eu de bosd 

https://www.cjoint.com/?BGxtiM3OSRt

Utilisateur anonyme · Answer

super,

redémarre le pc, donne moi des nouvelles du fonctionnement du pc   :D

SookieD · Answer

D'accord ;) pour l'instant c'sest nickel 

en tout cas gros merci a toi & coniii !


Par contre j'ai une dernière question je vais partir zn vacances avec des amis & j'aurais besoin occasionellement de mon pc mais je n'aurais pas internet désactiver mon wifi suffira t'il a ne pas re-choper ce genre de virus ?

Utilisateur anonyme · Answer

attends, on n'a pas fini  :P


relance zhpdiag,

clique sur la flèche verte pour lancer une mise à jour,


/!\Utilisateur de Vista et Seven : 

1/ Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

2/ Dans l'interface de Zhpdiag, clique sur l'Uac, il faut le réactiver à la fin du nettoyage.

* Clique sur le tourne vis, selectionne tous les modules.

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers



pour tes vacances, tu peux utiliser ton pc Hors ligne (sans connexion à internet  :D)

SookieD · Answer

ah c'est pas fini x)

https://www.cjoint.com/?BGxw14qish9

Utilisateur anonyme · Answer

bonjour, 

il y a du mieux, mais on va tout reprendre,  


Télecharge Delfix sur ton bureau :  

ICI 

ou 
  
  

*Clique sur le bouton «  Suppression »  



retélécharge TDSSKILLER: 



* Télécharge TDSSKiller sur ton bureau : 

https://support.kaspersky.com/downloads/utils/tdsskiller.exe 

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )  

*  Clique sur [Start Scan] pour démarrer l'analyse.  

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]  

*  Un rapport s'ouvrira au redémarrage du PC.  

*  Copie/Colle son contenu dans ta prochaine réponse.  

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt. 

note :  
 Conserve l'action proposée par défaut par l'outil : 

- Si TDSS.tdl2 : l'option Delete sera cochée.  
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.  
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip 
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D 




O.o°*??? Membre, Contributeur sécurité CCM o°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

SookieD · Answer

c'est normal qu'il n'ait rien détécté ?

https://www.cjoint.com/?BGyjrenEqj3

Utilisateur anonyme · Answer

as tu désinstallé les outils avec Delfix avant de le retélécharger et relancé ?

g3n-h@ckm@n · Answer

salut Electricien m'a demandé de tenter le coup avec ceci :

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

SookieD · Answer

@ electicien ou j'ai bien utilisé delfix
il ma juste laisse zhpdia / zhpfix & malwarebytes il faut aussi que je les désinstalle ?

Utilisateur anonyme · Answer

re,

fais ce que Gen te demande ici :

https://forums.commentcamarche.net/forum/affich-25630089-system-32-infeste-de-chevaux-de-troie?page=2#46

;-)

SookieD · Answer

https://pjjoint.malekal.com/files.php?read=20120724_x13v5w8o7c6

g3n-h@ckm@n · Answer

Mozilla Firefox à mettre à jour v 11 => v 14
desintalle adobe reader 9
desinstalle tout Java

==


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGyt7m1kqul

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

SookieD · Answer

le problème c'est que je part en vacances ce soir donc je désinstalle quand même java & adobe ?

g3n-h@ckm@n · Answer

re

je ne vois pas le rapport , c'est pour que tu installes les dernieres version que je te fais virer ces version obsolètes...

Utilisateur anonyme · Answer

re,

pour Adobe, passe pas ce lien, il désinstalle les anciennes version, décoche la barre d'outil qu'on te propose avant l'installation :

https://get2.adobe.com/fr/reader/otherversions/

pour java, il faut désinstaller les anciennes versions, puis télécharger la dernière depuis ce lien :


https://www.java.com/fr/download/

:D

SookieD · Answer

https://pjjoint.malekal.com/files.php?id=20120725_w10t10f6o13b5

g3n-h@ckm@n · Answer

refais-en un avec juste ca mais en mode sans echec :

Kill::

Driver::
22006903
27254137
44402942
87915819
XDVA391
XDVA392
CMDERD
CMDGUARD
CMDHLP
INSPECT
EECTRL
SYMDNS
SYMEFA
SYMEVENT
SYMFW
SYMNDISV
SYMREDRV

Reboot::

SookieD · Answer

https://pjjoint.malekal.com/files.php?id=20120725_e5i14c15g15y9

g3n-h@ckm@n · Answer

grrrrr !!!!! tu l'as fait en mode sans echec là ?

SookieD · Answer

je ne peux pas le faire en mode sans échec quand je le lance il ce produit sa 
http://imageshack.com/f/n875027873j
donc je clique sur exécuter mais il ne me demande pas l'autorisation d'administateur

g3n-h@ckm@n · Answer

je vois pas le rapport avec administrateur" ! ? 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

SookieD · Answer

Désolé pour le retard j'étais en vacances.

Donc j'ai fait le script en mode sans échec quand j'ai redémarré mon pc j'ai eu un bsod donc je l'ai rallumé et il c'est lancé sans problème c'est normal ?

sinon le rendu du script 	https://www.cjoint.com/?BHDrdZTDYDw

System 32 infesté de chevaux de troie

49 réponses

Votre réponse

Discussions similaires

Newsletters