Cheval de troie system32!! Résolu/Fermé

Question

Bonjour, 

Depuis quelques jours mon anti virus (AVG) m'affiche toujours une fenêtre et sa me dis que j'ai un cheval de troie dans C: Windows/system32/services.exe et je ne peux pas le supprimer ni le mettre en quarantaine.. Je ne sais pas quoi faire.. Merci de votre aide :)


Configuration: Windows 7 / Firefox 14.0.1

Utilisateur anonyme · Answer

Bonjour

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.   
* Héberge le rapport C:\Combofix.txt  sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum 
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : Tuto Combofix

Steph69 · Answer

Ma question va peut-être paraitre niaiseuse lol mais je suis pas super bonne en informatique.. Comment je fais pour désactiver les Antispywares?! :$ Merci!!
Pour le reste j'ai tout compris :)

Utilisateur anonyme · Answer

Ma question va peut-être paraitre niaiseuse lol mais je suis pas super bonne en informatique..
Pas du tout et il est préférable de poser les bonnes questions pour éviter les bêtises.

  Faire un clic droit sur l'icône de ton antivirus ou antispyware! Image dans la SysBarre (à coté de l'horloge)
    Cliquer sur Désactiver !

Steph69 · Answer

Voila le lien du scan j'espère que tout est bien la!!

https://pjjoint.malekal.com/files.php?id=20120817_15o6m11l8m8

J'attend votre réponse, merci!!

Utilisateur anonyme · Answer

Trés bien ;)

 Normalement Avg ne t'afficheras plus son petit message.
Par contre il reste quelques infections que l'on va traiter immédiatement.

Prét ===> Go :)

* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)

*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton  «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)

Steph69 · Answer

Voila le rapport!!

 https://pjjoint.malekal.com/files.php?id=20120817_n15j13y10r7f10

Et puis sa dit quoi?? :)

Utilisateur anonyme · Answer

* Télécharge et installe : Malwarebyte's Anti-Malware 
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée 
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme) 
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher" 
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen" 
* A la fin du scan, clique sur Afficher les résultats 
* Coche tous les éléments détectés puis clique sur Supprimer la sélection 
* Enregistre le rapport 
* S'il t'est demandé de redémarrer, clique sur Yes 
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.) 
* Si tu as besoin d'aide regarde ce tutorial  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Steph69 · Answer

Bon désolée c'étais super long mais j'en suis venue a bout!! Voila:

 https://pjjoint.malekal.com/files.php?id=20120817_h12g9y7e7i12

Utilisateur anonyme · Answer

On va faire une analyse de ton systéme.  


* Télécharge ZHPDiag  ( de Nicolas coolman ).  
ou 
ZHPDiag  
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe 

                                                  *********************** 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, (icône en forme de parchemin) exécuter en tant qu'Administrateur /!\  
* Laisse toi guider lors de l'installation  
* Il se lancera automatiquement à la fin de l'installation  
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)  
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles  puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

Steph69 · Answer

C'est vraiment nécessaire de faire tout sa??

Steph69 · Answer

Merci pour l'explication :) Je vous reviens avec le rapport bientot :)

Steph69 · Answer

Voila ses fait!!

 https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120818_k11t9u10p14n5

Steph69 · Answer

Est-ce que par la suite je peux supprimer les programmes que j'ai installer pour faire tout sa??

Utilisateur anonyme · Answer

Les programmes utilisés seront supprimé a la fin de la désinfection.

==================================================
1/
* rends toi sur ce site : https://www.virustotal.com/gui/ 
==>Analyse ce fichier:
----------------------------------------------------------------------
 C:\Windows\is-FPRDE.exe    

----------------------------------------------------------------------
* Cliquez sur  "Choose File".. :
* Sélectionnez le fichier que vous voulez analyser et cliquez sur Ouvrir :
* Cliquez ensuite sur "Scan It": 

s'il a déjà été analysé, demande une nouvelle analyse.

* Copies le lien dans la barre d'adresse de la page VirusTotal et colles ce même lien dans ta prochaine réponse .
=============================================
2/

1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
O44 - LFC:[MD5.A103FDF7348130EF3F3FEF56B1700A27] - 2012-08-17 - 19:48:20 ---A- . (...) -- C:\END   [9]      
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    
O4 - Global Startup: C:\Users\Stéphanie\Desktop\Ordinateur.lnk - Clé orpheline      
[MD5.00000000000000000000000000000000] [APT] [{2C992F5C-C756-47A3-8A60-0C76958D004F}] (...) -- C:\Users\Stéphanie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\B0XJI4E7\install_flashplayer11x32ax_gtbd_aih[1].exe (.not file.)   
[MD5.00000000000000000000000000000000] [APT] [{36279584-1DCB-4B9E-9424-0B427560532B}] (...) -- C:\Users\Stéphanie\Desktop	rilogyi.exe (.not file.)    
[MD5.00000000000000000000000000000000] [APT] [{A49A6BDE-7E4B-44EF-BD3B-C58D3C033DD4}] (...) -- C:\Users\Stéphanie\Desktop\colorcubesviz.exe (.not file.)    
M3 - MFPP: Plugins - [Stéphanie] -- C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\searchplugins\conduit.xml    
M2 - MFEP: prefs.js [Stéphanie - vs0ieh80.default\{8e5025c2-8ea3-430d-80b8-a14151068a6d}] [] 01NET.com  v10.10.20.14 (.Conduit Ltd..)   
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com    
[HKCU\Software\AppDataLow\Software\Smartbar]    => Toolbar.Agent  
[HKLM\Software\Conduit]    
O43 - CFD: 2012-08-17 - 20:48:03 - [0,609] ----D C:\Program Files (x86)\Conduit     
O43 - CFD: 2012-08-17 - 21:04:16 - [0] ----D C:\Users\Stéphanie\AppData\Local\Conduit      
O43 - CFD: 2012-08-17 - 20:48:03 - [0,609] ----D C:\Program Files (x86)\Conduit      
O69 - SBI: C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\searchplugins\conduit.xml    
O69 - SBI: prefs.js [Stéphanie - vs0ieh80.default] user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"http://storage.conduit.com/bankimages/iconsGallery/24/46693806336[...]    
O69 - SBI: prefs.js [Stéphanie - vs0ieh80.default] user_pref("CT3128284.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");     
O69 - SBI: prefs.js [Stéphanie - vs0ieh80.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");    
[MD5.36FE4A4A003601A29DFC1DDA9DE2E577] [SPRF][2012-03-27] (.Conduit - Pas de description.) -- C:\Users\Stéphanie\AppData\Local\Temp\conduitinstaller.exe   [205543]  
[MD5.B43952DB3F3382B16F341FCC1FFA61FD] [SPRF][2012-07-05] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Stéphanie\AppData\Local\Temp	b01NE.dll   [4398408]  
C:\Program Files (x86)\Conduit   
C:\Users\Stéphanie\AppData\Local\Conduit    
C:\Users\Stéphanie\AppData\LocalLow\Conduit      
C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\SearchPlugins\conduit.xml    
 [MD5.B69A230CED0F2666B46AFF4B28E366AE] [SPRF][2012-07-09] (.Conduit - 01NET.com Toolbar.) -- C:\Users\Stéphanie\AppData\Local\Temp\CT3128284_ie.exe   [2143696]      

EmptyTemp
FirewallRaz 
--------------------------------------------------------

- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Steph69 · Answer

Je ne trouve pas le fichier is-FPRDE.exe 

La seule que je vois dans windows c'est isRS-000.tmp

Steph69 · Answer

Rapport de ZHPFix 1.2.07 par Nicolas Coolman, Update du 20/07/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2012-08-18-13-35-53.txt
Run by Stéphanie at 2012-08-18 13:35:53
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Stéphanie\AppData\Local\Temp\conduitinstaller.exe
SUPPRIME Memory Process: C:\Users\Stéphanie\AppData\Local\Temp\CT3128284_ie.exe

========== Module(s) mémoire ==========
SUPPRIME Memory Module: C:\Users\Stéphanie\AppData\Local\Temp	b01NE.dll

========== Clé(s) du Registre ==========
SUPPRIME Key*: HKCU\Software\AppDataLow\Software\Smartbar
ABSENT Key: HKLM\Software\Conduit

========== Valeur(s) du Registre ==========
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("CT3128284.RSS_Pub_Config", "{\"settings\":{\"icon\":\"http://storage.conduit.com/bankimages/iconsGallery/24/46693806336[...]
SUPPRIME Mozilla Pref: user_pref("CT3128284.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");
SUPPRIME Mozilla Pref: user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT3128284&SearchSource=2&q=");

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Stéphanie\AppData\Roaming\Mozilla\Firefox\Profiles\vs0ieh80.default\extensions\{8e5025c2-8ea3-430d-80b8-a14151068a6d}
SUPPRIME Reboot Folder**: C:\Program Files (x86)\Conduit
SUPPRIME Folder: C:\Users\Stéphanie\AppData\Local\Conduit
SUPPRIME Folder: c:\users\stéphanie\appdata\locallow\conduit
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
SUPPRIME Reboot c:\end
SUPPRIME File: c:\users\stéphanie\desktop\ordinateur.lnk
ABSENT Folder/File: c:\users\stéphanie\appdata\local\microsoft\windows	emporary internet files\content.ie5\b0xji4e7\install_flashplayer11x32ax_gtbd_aih
SUPPRIME File: c:\users\stéphanie\appdataoaming\mozilla\firefox\profiles\vs0ieh80.default\searchplugins\conduit.xml
ABSENT File: c:\users\stéphanie\appdataoaming\mozilla\firefox\profiles\vs0ieh80.default\searchplugins\conduit.xml
SUPPRIME File: c:\users\stéphanie\appdata\local	emp\conduitinstaller.exe
SUPPRIME File: c:\users\stéphanie\appdata\local	emp	b01ne.dll
ABSENT Folder/File: c:\users\stéphanie\appdata\local\conduit
ABSENT Folder/File: c:\users\stéphanie\appdataoaming\mozilla\firefox\profiles\vs0ieh80.default\searchplugins\conduit.xml
SUPPRIME File: c:\users\stéphanie\appdata\local	emp\ct3128284_ie.exe
SUPPRIME Temporaires Windows:

========== Tache planifiée ==========
SUPPRIME Task: {2C992F5C-C756-47A3-8A60-0C76958D004F}
SUPPRIME Task: {36279584-1DCB-4B9E-9424-0B427560532B}
SUPPRIME Task: {A49A6BDE-7E4B-44EF-BD3B-C58D3C033DD4}


========== Récapitulatif ==========
2 : Processus mémoire
1 : Module(s) mémoire
2 : Clé(s) du Registre
4 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
5 : Dossier(s)
11 : Fichier(s)
3 : Préférences navigateur
3 : Tache planifiée


End of clean in 00mn 38s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 2012-08-18 13:35:53 [3541]

Utilisateur anonyme · Answer

Clic sur démarrer====> tous les programmes====> accessoires=====> explorateur windows.


L'explorateur s'ouvre. Cliquer sur Organiser, puis sur Options des dossiers et de recherche

Dans l'onglet Affichage

1 cocher la case Afficher les fichiers, dossiers et lecteurs cachés, pour rendre visible les fichiers et dossiers cachés

2 - décocher la case Masquer les extensions des fichiers dont le type est connu, pour rendre visible toutes les extensions

3 - décocher la case Masquer les fichiers protégés du système d'exploitation, pour rendre visible les fichiers système protégés

Cliquer sur Appliquer. 

A présent regardes si le fichier apparait.

C:\Windows\is-FPRDE.exe

Steph69 · Answer

Je ne vois toujours pas le fichier..

Utilisateur anonyme · Answer

Ok

Ton pc est maintenant propre. 
Voici quelques conseils.
 
Windows Licence : Inconnue (Unknown)    => Version Windows non officielle

Pense a officialiser windows..........

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox Une fois que c'est fait, lance le et installe l' extension de sécurité suivantes pour bloquer les publicités: adblock plus 

* WOT - Extension pour ton navigateur internet :  
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :  
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/  
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp   
=============================================
Je conseille de mettre a jour internet explorer  même  si vous ne l'utilisé  jamais. Les MAJ  systéme se font par le biais de IE. Par conséquent on évite les failles de sécurité. 
* Télécharger  IE9 : ici 
=============================================

==============================================
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour  
Installe le avec les paramètres par défaut en cliquant chaques fois sur Suivant.  

 Une fois installé, patiente quelques secondes et tu verras apparaître une icône verte dans ta barre des tâches te signalant qu'il y a des mises à jour disponibles.  

Double-cliques sur l'icône pour être redirrigé sur le site de téléchargement des mises à jour.  

* Un conseil : n'installe pas les BETA  
                               

===============================================
Pour éliminer les programmes de désinfections. 

* Téléchargez : DelFix sur votre bureau.
* Lancez le, cliquez sur suppression.
* Patientez pendant le scan jusqu'à l'ouverture du rapport.
* Postez le contenu du rapport dans votre prochaine réponse sur le forum.

* Note : Le rapport se trouve sous C:\DelFixSearch.

===============================================
==================================================
Désactiver/Réactiver la restauration système de seven

https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

* Pensé a vider la corbeille. 
==================================================
Attention,  aux idées reçues :

Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

Les anti-spywares ne servent à rien et n'oublie pas que la meilleure manière de protéger ton ordinateur c'est toi !
================================================
Tu peux mettre ton problème en résolu !!https://www.commentcamarche.net/infos/25917-forum-ccm-mode-d-emploi-marquer-mon-sujet-comme-resolu/

Cheval de troie system32!!

19 réponses

Discussions similaires