trojan windows installer Fermé

Question

Bonjour, 

mon pc : asus n75s, windows 7 64 bits, ie9..
j'ai un souci de trojan dans windows installer.

j'ai fait avast, Spybot - Search & Destroy, Malwarebytes Anti-Malware, CCleaner malgre ca ils sont toujours là !!! impossible de les supprimer.

Je ne sais plus quoi faire.
Merci pour vos aides !  !

ci joint rapport de malwarebytes

 
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.12.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Rodolphe :: RODOLPHE-PC [administrateur]

14/10/2012 21:03:16
mbam-log-2012-10-14 (21-03-16).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 226721
Temps écoulé: 3 minute(s), 

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 9
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U\000000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U\80000000.@ (Rootkit.0Access.64) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U	rz5FE8.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U	rz60B4.tmp (Rootkit.0Access.64) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U	rz7853.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U	rz797C.tmp (Rootkit.0Access.64) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U	rz96C5.tmp (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\Installer\{28cedf71-f5e2-13ef-cc83-6f3af454c121}\U	rzB84C.tmp (Rootkit.0Access.64) -> Mis en quarantaine et supprimé avec succès.

(fin)

kalimusic · Answer

Bonsoir,

Tu es infecté par Sirefef, c'est assez coriace.

A noter que Ccleaner ne désinfecte pas.
Et que Spybot est un outil devenu obsolète.

== == == == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
 == == == == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge  ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermées.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération (sous XP)
&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 

 Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

Notes :

&#9656; Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
&#9656; Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
&#9656; Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.

Aide : Comment utiliser ComboFix

2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +

daresprag · Answer

bonjour,

Merci de m'avoir repondu c'est sympa.

Voici le lien vers le rapports :


https://www.cjoint.com/?0Jpn3IP2l91

merci de ton analyse

Rodolphe

kalimusic · Answer

Bonjour, 

ComboFix a supprimé l'infection principale, il reste quelques résidus et des traces d'adwares, faisons un diagnostic pour voir les actions à mener. 


Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe, l'interface principale s'ouvre.
&#x25CF;  Coche la case Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.exe 
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
&#9656; &#9656; OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
http://threat-rc.com/ 
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

Aide : Tutorial OTL (par Malekal)

A +
  
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

daresprag · Answer

re

voici les deux liens :
https://www.cjoint.com/?0JpsIgBB2Kt
https://www.cjoint.com/?0JpsIFZaIFU

a+

kalimusic · Answer

re,

1. Désinstalle :

ToolbarFR (adware)
Uniblue DriverScanner (éditeur peu recommandable)
SUPERAntiSpyware (inutile avec Avast! + Malwarebytes)
Aide : Comment désinstaller un programme

2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.   
&#x25CF; Lance  AdwCleaner
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Ferme impérativement le navigateur ainsi que les applications en cours.
&#x25CF; Clique sur Suppression 
&#x25CF; Patiente le temps du scan, accepte de redémarrer si l'outil le demande
&#x25CF; Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt 

== == == == == == == == == == == == == == == == == == == == == ==

Si la protection en temps réel de Malwarebytes Anti-Malware est activée (version PRO ou période d'essai de la version gratuite). Il faut absolument la désactiver temporairement par clic-droit "Quitter" sur son icône prés de l'heure avant de faire la correction OTL.

 == == == == == == == == == == == == == == == == == == == == == ==

Avis aux utilisateurs de l'antivirus Avast! , ne pas exécuter OTL dans la sandbox.

 == == == == == == == == == == == == == == == == == == == == == ==

3. Relance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle les instructions hébergées ici 
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque dans ce dossier : C:\_OTL\MovedFiles 
 
4. Relance OTL 

&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

5. Héberge les 3  rapports et donne moi les liens.

A +

R4i-SDHC · Answer

Essaye ça:
http://www.microsoft.com/fr-fr/download/details.aspx?id=16

Je pense que c'est le bon lien..

En fait je fais d'abord une réstauration système sur un point de restauration avant d'avoir attrapé un virus, puis je lance ce detecteur, et il les supprime..

Dans mon cas, récemment, il avait supprimé "en partie" le trojan, mais les fichiers n'étaient toujours pas là, et j'ai remarqué qu'ils étaient cachés.. C'est à dire en "mode caché"..

daresprag · Answer

bonjour

voici les trois rapport : 
adw cleaner : https://www.cjoint.com/?0Jql6D22XsJ

otl correction : https://www.cjoint.com/?BJql7dXlx6u

analyse rapide otl : https://www.cjoint.com/?0Jql75qu4p6

encore merci  pour tous

a+

kalimusic · Answer

Bonjour,


1. Fait le ménage dans les extensions/modules complémentaires de tes navigateurs.

Google Chrome : Paramétrage moteur de recherche et suppression d'extensions

Désinstaller un programme et extensions Firefox
 
2. Lance Malwarebytes (qui est déjà installé sur ton ordinateur)
Effectue la mise à jour, lance un examen rapide et supprime les éléments trouvés.
Tuto :

daresprag · Answer

bonjour, 

pc redevenu comme avant plus de pb detecté

un grand merci

a+

kalimusic · Answer

Bonjour,

Alors, fait ceci pour terminer :

 == == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner en tant qu'administrateur
&#x25CF; Clique sur Désinstallation  

2. Ouvre la commande Exécuter en pressant Windows + R 
&#x25CF; Dans la boite de dialogue, tape ComboFix /Uninstall 
&#x25CF; Valide par Ok puis suivre les invites à l'écran.
&#x25CF; Un message confirme que ComboFix a été désinstallé. 

3. Lance OTL

&#x25CF; Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]
&#x25CF; Clique sur le bouton Correction. 

4. Relance OTL 
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
&#x25CF; Supprime les outils et les rapports restants éventuellement sur ton Bureau


== == == == == == == == == == MISES A JOUR == == == == == == == == == ==

Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !! 

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html


 == == == == == == == == == == == == == == == == == == == == == ==

 La sécurité de son PC, c'est quoi ? (par Malekal)    

 == == == == == == == == == == == == == == == == == == == == == ==
 
Bonne continuation

Trojan windows installer

10 réponses