Cheval de troie system32!!

Résolu
Steph69 Messages postés 19 Statut Membre -  
Steph69 Messages postés 19 Statut Membre -
Bonjour,

Depuis quelques jours mon anti virus (AVG) m'affiche toujours une fenêtre et sa me dis que j'ai un cheval de troie dans C: Windows/system32/services.exe et je ne peux pas le supprimer ni le mettre en quarantaine.. Je ne sais pas quoi faire.. Merci de votre aide :)

19 réponses

  1. Utilisateur anonyme
     
    Bonjour

    /!\ A l'attention de ceux qui passent sur ce sujet /!\
    Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

    /!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

    * Télécharge combofix(de sUBs) sur ton Bureau.
    * Double-clique sur ComboFix.exe afin de le lancer.
    * Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
    /!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
    * Lorsque la recherche sera terminée, un rapport apparaîtra.
    * Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    #Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
    Tutoriel officiel de Combofix : Tuto Combofix
    0
  2. Steph69 Messages postés 19 Statut Membre
     
    Ma question va peut-être paraitre niaiseuse lol mais je suis pas super bonne en informatique.. Comment je fais pour désactiver les Antispywares?! :$ Merci!!
    Pour le reste j'ai tout compris :)
    0
  3. Utilisateur anonyme
     
    Ma question va peut-être paraitre niaiseuse lol mais je suis pas super bonne en informatique..
    Pas du tout et il est préférable de poser les bonnes questions pour éviter les bêtises.

    Faire un clic droit sur l'icône de ton antivirus ou antispyware! Image dans la SysBarre (à coté de l'horloge)
    Cliquer sur Désactiver !
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    Trés bien ;)

    Normalement Avg ne t'afficheras plus son petit message.
    Par contre il reste quelques infections que l'on va traiter immédiatement.

    Prét ===> Go :)

    * Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

    *Double-clique sur l'icône AdwCleaner située sur ton Bureau.
    *Sur la page, clique sur le bouton «Suppression»
    *Laisse travailler l'outil.
    *Poste le rapport qui apparaît à la fin.
    (Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
    0
  6. Utilisateur anonyme
     
    * Télécharge et installe : Malwarebyte's Anti-Malware
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
    * Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
    * A la fin du scan, clique sur Afficher les résultats
    * Coche tous les éléments détectés puis clique sur Supprimer la sélection
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer, clique sur Yes
    * Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
    * Si tu as besoin d'aide regarde ce tutorial
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  7. Utilisateur anonyme
     
    On va faire une analyse de ton systéme.

    * Télécharge ZHPDiag ( de Nicolas coolman ).
    ou
    ZHPDiag
    ou
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou le lien FTP en secours :
    ftp://zebulon.fr/ZHPDiag2.exe

    ***********************
    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, (icône en forme de parchemin) exécuter en tant qu'Administrateur /!\
    * Laisse toi guider lors de l'installation
    * Il se lancera automatiquement à la fin de l'installation
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
    0
  8. Steph69 Messages postés 19 Statut Membre
     
    C'est vraiment nécessaire de faire tout sa??
    0
    1. Utilisateur anonyme
       
      Tu a été infecté par du zaccess et babylon donc oui afin que ton pc soit clean.

      Pour comprendre comment tu as été verolés.!!

      Infections zaccess
      Ce type d' infections a lieu suite à des publicités malicieuses (Malvertising) sur les sites de streaming.
      Ces publicités malicieuses conduisent à des exploits sur des sites Internet pour infecter les visiteurs.
      Les visiteurs qui ont des logiciels non à jour (Adobe Reader/Flash, Java) peuvent donc se faire infecter de manière automatique, ces logiciels non à jour sont des portes d'entrées pour infecter l'ordinateur.
      D'où l'importance de maintenir à jour ses logiciels.

      Definition du mots exploits===> En informatique un exploit est un programme, ou un "objet piégé" (par exemple une image dans certains cas) qui permet d'exploiter une faille d'un programme ou d'un système d'exploitation.

      babylon
      Certains logiciels grands publics et gratuits, se remplissent les poches via des partenariats qui proposent l'installation des barres d'outils et certains programmes modifient votre page de démarrage de votre navigateur.
      Les barres d'outils n'apportent rien de plus au programmes ou a votre système sauf a le faire ralentir.
      Vous ne devez jamais installer ces barres d'outils.Prenez le temps de lire ce qui est demandé pendant les installations.
      0
  9. Steph69 Messages postés 19 Statut Membre
     
    Merci pour l'explication :) Je vous reviens avec le rapport bientot :)
    0
  10. Steph69 Messages postés 19 Statut Membre
     
    Est-ce que par la suite je peux supprimer les programmes que j'ai installer pour faire tout sa??
    0
  11. Utilisateur anonyme
     
    Les programmes utilisés seront supprimé a la fin de la désinfection.

    ==================================================
    1/
    * rends toi sur ce site : https://www.virustotal.com/gui/
    ==>Analyse ce fichier:
    ----------------------------------------------------------------------
    C:\Windows\is-FPRDE.exe

    ----------------------------------------------------------------------
    * Cliquez sur "Choose File".. :
    * Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
    * Cliquez ensuite sur "Scan It":

    s'il a déjà été analysé, demande une nouvelle analyse.

    * Copies le lien dans la barre d'adresse de la page VirusTotal et colles ce même lien dans ta prochaine réponse .
    =============================================
    2/

    1/ Copie/colle les lignes suivantes en gras:
    2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
    3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

    ----------------------------------------------------------
    O44 - LFC:[MD5.A103FDF7348130EF3F3FEF56B1700A27] - 2012-08-17 - 19:48:20 ---A- . (...) -- C:\END [9]
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O4 - Global Startup: C:\Users\Stéphanie\Desktop\Ordinateur.lnk - Clé orpheline
    [MD5.00000000000000000000000000000000] [APT] [{2C992F5C-C756-47A3-8A60-0C76958D004F}] (...) -- C:\Users\Stéphanie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B0XJI4E7\install_flashplayer11x32ax_gtbd_aih[1].exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{36279584-1DCB-4B9E-9424-0B427560532B}] (...) -- C:\Users\Stéphanie\Desktop\trilogyi.exe (.not file.)
    [MD5.00000000000000000000000000000000] [APT] [{A49A6BDE-7E4B-44EF-BD3B-C58D3C033DD4}] (...) -- C:\Users\Stéphanie\Desktop\colorcubesviz.exe (.not file.)
    M3 - MFPP: Plugins - [Stéphanie] -- C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\searchplugins\conduit.xml
    M2 - MFEP: prefs.js [Stéphanie - vs0ieh80.default\{8e5025c2-8ea3-430d-80b8-a14151068a6d}] [] 01NET.com v10.10.20.14 (.Conduit Ltd..)
    R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com
    [HKCU\Software\AppDataLow\Software\Smartbar] => Toolbar.Agent
    [HKLM\Software\Conduit]
    O43 - CFD: 2012-08-17 - 20:48:03 - [0,609] ----D C:\Program Files (x86)\Conduit
    O43 - CFD: 2012-08-17 - 21:04:16 - [0] ----D C:\Users\Stéphanie\AppData\Local\Conduit
    O43 - CFD: 2012-08-17 - 20:48:03 - [0,609] ----D C:\Program Files (x86)\Conduit
    O69 - SBI: C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\searchplugins\conduit.xml
    O69 - SBI: prefs.js [Stéphanie - vs0ieh80.default] user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"http://storage.conduit.com/bankimages/iconsGallery/24/46693806336[...]
    O69 - SBI: prefs.js [Stéphanie - vs0ieh80.default] user_pref("CT3128284.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");
    O69 - SBI: prefs.js [Stéphanie - vs0ieh80.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");
    [MD5.36FE4A4A003601A29DFC1DDA9DE2E577] [SPRF][2012-03-27] (.Conduit - Pas de description.) -- C:\Users\Stéphanie\AppData\Local\Temp\conduitinstaller.exe [205543]
    [MD5.B43952DB3F3382B16F341FCC1FFA61FD] [SPRF][2012-07-05] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Stéphanie\AppData\Local\Temp\tb01NE.dll [4398408]
    C:\Program Files (x86)\Conduit
    C:\Users\Stéphanie\AppData\Local\Conduit
    C:\Users\Stéphanie\AppData\LocalLow\Conduit
    C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\SearchPlugins\conduit.xml
    [MD5.B69A230CED0F2666B46AFF4B28E366AE] [SPRF][2012-07-09] (.Conduit - 01NET.com Toolbar.) -- C:\Users\Stéphanie\AppData\Local\Temp\CT3128284_ie.exe [2143696]

    EmptyTemp
    FirewallRaz

    --------------------------------------------------------

    - Clique sur le bouton « GO » pour lancer le nettoyage,
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    0
  12. Steph69 Messages postés 19 Statut Membre
     
    Je ne trouve pas le fichier is-FPRDE.exe

    La seule que je vois dans windows c'est isRS-000.tmp
    0
  13. Steph69 Messages postés 19 Statut Membre
     
    Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2012-08-18-13-35-53.txt
    Run by Stéphanie at 2012-08-18 13:35:53
    Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Web site : http://nicolascoolman.skyrock.com/

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Users\Stéphanie\AppData\Local\Temp\conduitinstaller.exe
    SUPPRIME Memory Process: C:\Users\Stéphanie\AppData\Local\Temp\CT3128284_ie.exe

    ========== Module(s) mémoire ==========
    SUPPRIME Memory Module: C:\Users\Stéphanie\AppData\Local\Temp\tb01NE.dll

    ========== Clé(s) du Registre ==========
    SUPPRIME Key*: HKCU\Software\AppDataLow\Software\Smartbar
    ABSENT Key: HKLM\Software\Conduit

    ========== Valeur(s) du Registre ==========
    ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :
    Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

    ========== Préférences navigateur ==========
    SUPPRIME Mozilla Pref: user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"http://storage.conduit.com/bankimages/iconsGallery/24/46693806336[...]
    SUPPRIME Mozilla Pref: user_pref("CT3128284.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");
    SUPPRIME Mozilla Pref: user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
    SUPPRIME Reboot Folder**: C:\Program Files (x86)\Conduit
    SUPPRIME Folder: C:\Users\Stéphanie\AppData\Local\Conduit
    SUPPRIME Folder: c:\users\stéphanie\appdata\locallow\conduit
    SUPPRIME Temporaires Windows:

    ========== Fichier(s) ==========
    SUPPRIME Reboot c:\end
    SUPPRIME File: c:\users\stéphanie\desktop\ordinateur.lnk
    ABSENT Folder/File: c:\users\stéphanie\appdata\local\microsoft\windows\temporary internet files\content.ie5\b0xji4e7\install_flashplayer11x32ax_gtbd_aih
    SUPPRIME File: c:\users\stéphanie\appdata\roaming\mozilla\firefox\profiles\vs0ieh80.default\searchplugins\conduit.xml
    ABSENT File: c:\users\stéphanie\appdata\roaming\mozilla\firefox\profiles\vs0ieh80.default\searchplugins\conduit.xml
    SUPPRIME File: c:\users\stéphanie\appdata\local\temp\conduitinstaller.exe
    SUPPRIME File: c:\users\stéphanie\appdata\local\temp\tb01ne.dll
    ABSENT Folder/File: c:\users\stéphanie\appdata\local\conduit
    ABSENT Folder/File: c:\users\stéphanie\appdata\roaming\mozilla\firefox\profiles\vs0ieh80.default\searchplugins\conduit.xml
    SUPPRIME File: c:\users\stéphanie\appdata\local\temp\ct3128284_ie.exe
    SUPPRIME Temporaires Windows:

    ========== Tache planifiée ==========
    SUPPRIME Task: {2C992F5C-C756-47A3-8A60-0C76958D004F}
    SUPPRIME Task: {36279584-1DCB-4B9E-9424-0B427560532B}
    SUPPRIME Task: {A49A6BDE-7E4B-44EF-BD3B-C58D3C033DD4}

    ========== Récapitulatif ==========
    2 : Processus mémoire
    1 : Module(s) mémoire
    2 : Clé(s) du Registre
    4 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    5 : Dossier(s)
    11 : Fichier(s)
    3 : Préférences navigateur
    3 : Tache planifiée

    End of clean in 00mn 38s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 2012-08-18 13:35:53 [3541]
    0
  14. Utilisateur anonyme
     
    Clic sur démarrer====> tous les programmes====> accessoires=====> explorateur windows.

    L'explorateur s'ouvre. Cliquer sur Organiser, puis sur Options des dossiers et de recherche

    Dans l'onglet Affichage

    1 cocher la case Afficher les fichiers, dossiers et lecteurs cachés, pour rendre visible les fichiers et dossiers cachés

    2 - décocher la case Masquer les extensions des fichiers dont le type est connu, pour rendre visible toutes les extensions

    3 - décocher la case Masquer les fichiers protégés du système d'exploitation, pour rendre visible les fichiers système protégés

    Cliquer sur Appliquer.

    A présent regardes si le fichier apparait.

    C:\Windows\is-FPRDE.exe
    0
  15. Steph69 Messages postés 19 Statut Membre
     
    Je ne vois toujours pas le fichier..
    0
  16. Utilisateur anonyme
     
    Ok

    Ton pc est maintenant propre.
    Voici quelques conseils.

    Windows Licence : Inconnue (Unknown) => Version Windows non officielle

    Pense a officialiser windows..........

    * Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes pour bloquer les publicités: adblock plus

    * WOT - Extension pour ton navigateur internet :
    Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
    Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
    Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
    =============================================
    Je conseille de mettre a jour internet explorer même si vous ne l'utilisé jamais. Les MAJ systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité.
    * Télécharger IE9 : ici
    =============================================

    ==============================================
    Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
    Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.

    Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.

    Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.

    * Un conseil : n'installe pas les BETA

    ===============================================
    Pour éliminer les programmes de désinfections.

    * Téléchargez : DelFix sur votre bureau.
    * Lancez le, cliquez sur suppression.
    * Patientez pendant le scan jusqu'à l'ouverture du rapport.
    * Postez le contenu du rapport dans votre prochaine réponse sur le forum.

    * Note : Le rapport se trouve sous C:\DelFixSearch.

    ===============================================
    ==================================================
    Désactiver/Réactiver la restauration système de seven

    https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

    * Pensé a vider la corbeille.
    ==================================================
    Attention, aux idées reçues :

    Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

    Les anti-spywares ne servent à rien et n'oublie pas que la meilleure manière de protéger ton ordinateur c'est toi !
    ================================================
    Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/
    0
    1. Steph69 Messages postés 19 Statut Membre
       
      Parfait merci beaucoup a toi :)
      0
    2. Steph69 Messages postés 19 Statut Membre
       
      # DelFix v8.9 - Rapport créé le 18/08/2012 à 18:39:23
      # Mis à jour le 27/07/12 par Xplode
      # Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
      # Nom d'utilisateur : Stéphanie - STÉPHANIE-PC (Administrateur)
      # Exécuté depuis : C:\Users\Stéphanie\Desktop\delfix.exe
      # Option [Suppression]


      ~~~~~~ Dossiers(s) ~~~~~~

      Supprimé : C:\Qoobox
      Supprimé : C:\Combofix
      Supprimé : C:\ZHP
      Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
      Supprimé : C:\Program Files (x86)\ZHPDiag

      ~~~~~~ Fichier(s) ~~~~~~

      Supprimé : C:\AdwCleaner[S1].txt
      Supprimé : C:\ComboFix.txt
      Supprimé : C:\Users\Stéphanie\Desktop\adwcleaner.exe
      Supprimé : C:\Users\Stéphanie\Desktop\ComboFix.exe.exe
      Supprimé : C:\Users\Stéphanie\Desktop\ZHPDiag.txt
      Supprimé : C:\Users\Stéphanie\Desktop\ZHPDiag2.exe
      Supprimé : C:\Users\Stéphanie\Desktop\ZHPFixReport.txt
      Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
      Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
      Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
      Supprimé : C:\Windows\grep.exe
      Supprimé : C:\Windows\PEV.exe
      Supprimé : C:\Windows\NIRCMD.exe
      Supprimé : C:\Windows\MBR.exe
      Supprimé : C:\Windows\SED.exe
      Supprimé : C:\Windows\SWREG.exe
      Supprimé : C:\Windows\SWSC.exe
      Supprimé : C:\Windows\SWXCACLS.exe
      Supprimé : C:\Windows\Zip.exe

      ~~~~~~ Registre ~~~~~~

      Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
      Clé Supprimée : HKLM\SOFTWARE\Swearware
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
      Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

      ~~~~~~ Autres ~~~~~~

      -> Prefetch Vidé

      *************************

      DelFix[S1].txt - [1680 octets] - [18/08/2012 18:39:23]

      ########## EOF - C:\DelFix[S1].txt - [1804 octets] ##########
      0