PC infecté par multiples trojan

Fermé
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012 - Modifié par Vinception le 12/10/2012 à 23:19
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 15 oct. 2012 à 20:41
Bonjour,

J'ai un très gros souci. Ayant été très négligent au niveau de la sécurité de mon ordinateur pendant un bon moment, et pensant à tort qu'un formatage de temps en temps nettoierait efficacement mon pc, je me retrouve avec de multiples trojans et autres joyeusetés très dangereuses et inquiétantes (car quelqu'un a manifestement eu accès à mes données). Je sais maintenant que j'aurais dû installer un bon antivirus et un firewall (choses que je n'avais pas faites), mais c'est trop tard maintenant.

Spywarefighter m'a signalé que j'avais 1155 fichiers infectés sur mon ordi (sur plus de 100.000), avec notamment comme saloperies:

- Trojan.Agent2!P6ger7pKD+M
- HackTool.Binder!uc8D13KnW4
- Trojan.Agent!gl5xusj6cw0;Tr
- Trojan.Scar!SvAe30nybFg
- Trojan.miniUPnP!L9xsRhGGfN
- Trojan.MicroFake!y1liveI/1E/s
- Backdoor.Agent!dS6+abiwLIU
- Backdoor.Curioso.Gen
- Trojan.Neglemir!pS5vTDVM+
- Trojan.CL.VBScobb!QRbStDO

Un formatage ne sert à rien, car la restauration du système a elle-même été infectée.
J'avoue que je ne sais pas quoi faire, et devant l'ampleur de la tâche, j'ai carrément envisagé de faire appel directement à un professionnel, mais la réparation risque de me coûter plus cher que l'ordi lui-même...

Si quelqu'un ici serait assez sympa et compétent pour me donner des conseils avisés afin de me débarrasser définitivement de ces trojans (et des personnes qui sont susceptibles d'être derrière tout ça), ce serait top.
Merci d'avance aux courageux qui se dévoueront !

Vince
A voir également:

21 réponses

Salut Vinception,

Bienvenue ici.

Pour t'aider, j'ai besoin d'un diagnostic :

Utilise ce logiciel de diagnostic :



--> Télécharge ZHPDiag (de Nicolas Coolman) :

-->>>> ZHPDiag


--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Clique droit sur le raccourci de ZHPDiag et choisis Exécuter en tant qu'administrateur.

--> Clique sur le bouton "UAC".

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.

--> Pour me transmettre le rapport, utilise le>>> site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.


L'infection détectée par ton AV est due à un composant d'une barre d'outil infectieuse que tu as installée sur ton pc en même temps qu'un autre programme. Quand tu installe un programme prend le temps de décocher la case empêchant l'installation d'une telle barre d'outil avant de cliquer sur suivant.

Voici la suite :


Lance, Adwcleaner

> Si tu utilises Avira et son Webguard,
> Clique sur le point d'interrogation, puis sur options
>Coche la case ASK

NB : Sans détection de la toolbar Ask : en effet, si elle est supprimée, tu perdras la protection résidente d'Avira.

Clique sur OK

(Pour vista et seven => clic droit "executer en tant qu'administrateur")


clique sur suppression et poste son rapport

adblock https://www.commentcamarche.net/telecharger/web-internet/25023-adblock-plus/ plus est un module pour firefox il marche trés bien

Tu vas poursuivre avec ce programme généraliste :

* Télécharge et installe Malwarebytes' Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin de l'analyse qui est relativement longue, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur OK
* héberge sur ci-joint le rapport apparaissant après la suppression et envoies le lien dans ta prochaine réponse stp

Pour me transmettre les rapport, utilise le>>> site http://pjjoint.malekal.com/
@+
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
13 oct. 2012 à 18:18
Bonjour fraci13, et merci de prendre le temps de m'aider. J'apprécie beaucoup le coup de main !

J'ai suivi toutes tes indications, sauf que je n'ai pas trouvé le bouton UAC dans ZHPDiag. Mais sinon j'ai tout suivi à la lettre.

Voilà les différents rapports:

ZHPDiag: https://pjjoint.malekal.com/files.php?id=ZHPDiag_20121013_w5y11z6r11o5

Adwcleaner: https://pjjoint.malekal.com/files.php?id=20121013_f9q9h5g6o12
https://pjjoint.malekal.com/files.php?id=20121013_t15m7r10k7j14

Malwarebytes' Anti-Malware : https://pjjoint.malekal.com/files.php?id=20121013_s6s5u14u12e13


Que cela t'inspire-t-il ? Ai-je progressé au niveau du nettoyage ? Au vu du rapport de malwarebytes, j'aurais tendance à dire oui, mais j'aimerais être certain de ne plus avoir de virus/trojan/rat sur mon ordi.
Merci d'avance !

PS: je suis sous XP au fait.
0
Salut,

ok: Déjà moins à supprimer.

1- Redémarrer le PC en MSE=Mode sans Echec ?

Voici comment faire http://www.chantal11.com/2010/05/demarrer-en-mode-sans-echec/

Sous ce mode, relancer Adw-Cleaner et choisir [Suppression]
Poste le rapport.
Le rapport est également sauvegardé sous C:\AdwCleane [R1].txt [S2].txt [S3].txt [S9].txt

Puis redémarre normalement le PC.

Après tu fais ça >

2- *Télécharger sur le bureau RogueKiller (par tigzy)
*Quitter tous les programmes en cours
*Lancer RogueKiller.exe
* Attendre la fin du Prescan ...
*Cliquer sur Scan.
*A la fin du scan Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse
Pour t'aider

3- dans Malwarebyte Anti-Malware
vider la quarantaine et supprimé tu.



Évitez d'utiliser SpyBot ou Ad-aware, ils sont dépassés et inefficaces.
Privilégiez plutôt:> Malwarebyte Anti-Malware <
Pensez à marquer comme résolu si vous considérez que votre problème l'est, merci
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
14 oct. 2012 à 01:12
Ok, j'ai suivi toutes tes nouvelles instructions.

Voilà les nouveaux rapports:

AdwCleaner: https://pjjoint.malekal.com/files.php?id=20121014_x8r13m9s6y10

RogueKiller: https://pjjoint.malekal.com/files.php?id=20121014_d5l12n14o14d14

Qu'en penses-tu ?
0
Utilisateur anonyme
14 oct. 2012 à 15:01
je pense que y a rien dans ce cote la !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
14 oct. 2012 à 06:59
slt

normalement y a 2 rapport de RogueKiller (RKreport[1].txt ; RKreport[2].txt )

mais manque RKreport[2].txt !!!


Évitez d'utiliser SpyBot ou Ad-aware, ils sont dépassés et inefficaces.
Privilégiez plutôt:> Malwarebyte Anti-Malware <
Pensez à marquer comme résolu si vous considérez que votre problème l'est, merci
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
14 oct. 2012 à 11:16
Pas de trace d'un RKreport[2].

Je vais réessayer la manip...
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
14 oct. 2012 à 11:20
J'ai obtenu ça, mais ça me semble être sensiblement le même contenu que le rapport1:

RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : fl [Droits d'admin]
Mode : Recherche -- Date : 14/10/2012 11:17:52

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

85.68.128.161 1604
127.0.0.1 1604


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 +++++
--- User ---
[MBR] ee290dc5f1f19a96f874ee5ef61dfded
[BSP] 2fef4ddd73b69112b61e0ad80d216728 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 7169 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 14684160 | Size: 145456 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Utilisateur anonyme
14 oct. 2012 à 12:54
ok refais le scan et clic sur Suppression .

et poste le rapport Suppression stp

merci


Évitez d'utiliser SpyBot ou Ad-aware, ils sont dépassés et inefficaces.
Privilégiez plutôt:> Malwarebyte Anti-Malware <
Pensez à marquer comme résolu si vous considérez que votre problème l'est, merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 oct. 2012 à 13:44
Bonjour,

ok refais le scan et clic sur Suppression . 
Que va supprimer RogueKiller ici ?

****

Des malwares présents sur le système étaient des stealers, il faudrait lui dire de changer tous ses mots de passe depuis un autre ordinateur sain.
0
@kalimusic merci pour ton coup de main

com... dit > kalimusic il faudrait penser changer tous tes mots de passe depuis un autre ordinateur sain.
Stealer : Trojan de catégorie Stealer qui comme son nom l'indique dérobe vos informations.
Les trojans peuvent être décliné en Trojan-PWS dans le cas où le but est simplement de voler des mots de passe.

Évitez d'utiliser SpyBot ou Ad-aware, ils sont dépassés et inefficaces.
Privilégiez plutôt:> Malwarebyte Anti-Malware <
Pensez à marquer comme résolu si vous considérez que votre problème l'est, merci
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
14 oct. 2012 à 19:31
Voilà le rapport de suppression:

RogueKiller V8.1.1 [03/10/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Website: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : fl [Droits d'admin]
Mode : Suppression -- Date : 14/10/2012 19:16:27

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

85.68.128.161 1604
127.0.0.1 1604


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 +++++
--- User ---
[MBR] ee290dc5f1f19a96f874ee5ef61dfded
[BSP] 2fef4ddd73b69112b61e0ad80d216728 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 7169 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 14684160 | Size: 145456 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt




A votre avis, que reste-t-il à faire ? Reste-t-il des menaces sur mon ordi ?
Concernant les mots de passe, j'ai commencé à les changer sur un ordi sain il y a quelques jours, car je me suis rendu compte que quelqu'un avait eu accès à des infos privées sur mon compte facebook.

J'attends vos avis. Même ceux d'autres personnes qui auraient d'autres choses à me suggérer.
0
refais-moi un scan avec ZHPDiag Mode sans Echec >

ouvre ZHPDiag Clique sur le image tournevis à droite et dans les Options clic sur tous

cliquez sur l'icône loupe refais-moi un scan
poste le rapport stp.




Évitez d'utiliser SpyBot ou Ad-aware, ils sont dépassés et inefficaces.
Privilégiez plutôt:> Malwarebyte Anti-Malware <
Pensez à marquer comme résolu si vous considérez que votre problème l'est, merci
0
Utilisateur anonyme
14 oct. 2012 à 21:03
@kalimusic

Je vais laisser kalimusic reprendre la main il faut un helper qualifié .
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 oct. 2012 à 22:23
Bonsoir à tous,

Vinception, toujours des alertes de ton antivirus ?

A +
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
Modifié par Vinception le 14/10/2012 à 22:36
Merci de ton coup de main fraci13.

Bonsoir kalimusic: AVG Anti-Virus 2013 ne détecte plus rien, mais je ne suis pas entièrement sûr de son jugement. Je vais lancer une analyse avec spywarefighter (c'est un bon logiciel selon vous ?), mais ça risque de prendre un moment.

De quelle façon puis-je être sûr que je n'ai plus de trojan/virus sur mon ordi ?
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
Modifié par kalimusic le 14/10/2012 à 22:38
On va regarder et faire le point.


Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

msconfig 
netsvcs 
showhidden
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

Aide : Tutorial OTL (par Malekal)

A +

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
14 oct. 2012 à 23:23
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
14 oct. 2012 à 23:41
ok,

Malwarebytes a été drôlement efficace, il ne reste plus qu'un détournement du fichier hosts et quelques résidus.
Compte tenu de la situation de départ, c'est pas mal.

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

== == == == == == == == == == == == == == == == == == == == == ==

1. Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles

2. Télécharge aswMBR sur ton Bureau.

● Lance aswMBR.exe
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.

3. Relance OTL

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.

4. Poste les liens des 3 rapports.

A +
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
15 oct. 2012 à 00:26
Merci du temps que tu me consacres !

Voilà les 3 rapports:

OTL correction: https://pjjoint.malekal.com/files.php?id=20121015_l11l8o7v8g9
aswMBR: https://pjjoint.malekal.com/files.php?id=20121015_t5c10w13q7m12
OTL analyse: https://pjjoint.malekal.com/files.php?id=20121015_r10q11m14v11j9

Je n'ai cette fois pas coché la case "Tous les utilisateurs" dans OTL, vu que tu n'avais pas précisé. J'espère que j'ai bien fait...
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
15 oct. 2012 à 07:46
ok,

== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation

2. Désinstalle ZHPDiag (en passant par Panneau de configuration > Programmes)

3. Lance OTL

● Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

4. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau

5. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant


== == == == == == == == == == MISES A JOUR == == == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation
0
Vinception Messages postés 12 Date d'inscription vendredi 12 octobre 2012 Statut Membre Dernière intervention 15 octobre 2012
15 oct. 2012 à 16:27
Merci beaucoup kalimusic ! Donc si je comprends bien, mon pc est 100% clean ? Sûr sûr ?

Je vais faire le nettoyage des outils ce soir quand je rentrerai du boulot.

J'ai lu le topic "La sécurité de son PC, c'est quoi ?", et j'ai bien compris qu'il n'y a pas d'antivirus miracle et que ça dépend de notre utilisation personnelle d'internet, mais pourrais-tu quand même m'en conseiller un ou deux de performants ? Idem pour un firewall, si ce genre d'outils s'utilise encore (je ne suis plus du tout à la page)...
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
15 oct. 2012 à 17:49
Bonjour,

Si j'avais pris le topic au début, je t'aurais sans doute demandé si tu préfèrais formater compte tenu des éléments présents.
Mais comme je l'ai dit avant Malwarebytes a particulièrement bien fait son boulot et les scans de contrôle réalisés ensuite ne montrent plus rien.

Tu as bien saisi le sens de l'article.
Antivirus gratuit ou payant ?

A +
0