Comment se débarasser d'un cheval de troie?

Fermé
jenniferseuru Messages postés 5 Date d'inscription lundi 17 décembre 2012 Statut Membre Dernière intervention 30 juillet 2013 - 17 déc. 2012 à 18:09
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 19 déc. 2012 à 15:24
Bonjour,


Depuis quelques jours j'ai plusieurs "cheval de troie" sur mon ordinateur. J'ai beau les mettre en quarentaine sur Avast rien n'y fait le cheval de troie réapparait. Pourriez-vous m'aider car j'ai peur que cela endommage mon ordinateur.

Merci beaucoup
A voir également:

14 réponses

jenniferseuru Messages postés 5 Date d'inscription lundi 17 décembre 2012 Statut Membre Dernière intervention 30 juillet 2013 1
17 déc. 2012 à 18:55
Bonjour
Il y a deux fichier :
Win32:Sirefef-AO [Rtk]
Win64:Sirefef-A [Trj]

Qu'entendez vous par répertoire? (désolée je ne m'y connais vraiment pas en informatique)Voila ce que la fenêtre indique:
Nom du fichier: C:\$RECYCLE.BIN\S-1-5-18\$1ed107c5ccdf153defb265da935564b7\U\800000cb.@
Nom du logieciel malveillant: Win32:Sirefef-AO [Rtk]
type de logiciel malveillant: Rootkit

et pour le deuxiemee virus:
Nom du fichier:C:\$RECYCLE.BIN\S-1-5-18\$1ed107c5ccdf153defb265da935564b7\U\80000000.@
Nom du logieciel malveillant: Win64:Sirefef-A [Trj]
type de logiciel malveillant: Cheval de Troie

Meme en les mettant en quarentaine, ils reviennent
1
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
17 déc. 2012 à 18:39
Bonjour,

Quel est le nom du fichier désigné comme étant un cheval de troie ?
Dans quel répertoire est-il situé ?

A +
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
17 déc. 2012 à 20:25
re,

Tu as bien répondu, c'est ce que je voulais savoir.
Il s'agit de la dernière variante de zeroaccess/sirefef.

== == == == == == == == == == == == == == == == == == == == == ==
Par précaution, sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==

1. Télécharge ComboFix de sUBs.
TRÈS IMPORTANT : Enregistre ComboFix.exe sur le Bureau.

IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire, sinon se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

Si besoin, imprime les instructions, car ensuite toutes les fenêtres doivent être fermées.

● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération (sous XP)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.

Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

Notes :

▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
▸ Si après le redémarrage, ComboFix indique des erreurs au sujet d'éléments à supprimer, redémarrer à nouveau le système.


Aide : Comment utiliser ComboFix

2. Héberge le rapport sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

A +
0
jenniferseuru
17 déc. 2012 à 22:29
RE,

Voilà le lien que j'ai obtenu après avoir hébergé le rapport sur l'un des sites que tu m'as donné:

http://pjjoint.malekal.com/files.php?id=20121217_w6n7z12j15m5

Merci pour ton aide.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
17 déc. 2012 à 22:35
ok,

Tu n'as pas réussi à désactiver l'antivirus Avast! avant de lancer ComboFix ?

1. Désinstalle AVG Secure Search

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants :

2. Télécharge OTL (de OldTimer) sur ton Bureau.

Ferme toutes tes applications en cours

● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.*
winsock.*
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT 

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

Aide : Tutorial OTL (par Malekal)

A +
0
jenniferseuru
18 déc. 2012 à 11:38
Voilà j'ai suivi les instructions, voici les deux liens:

http://pjjoint.malekal.com/files.php?id=20121218_i14g14f6f8x14
http://pjjoint.malekal.com/files.php?id=20121218_x12g13f10j15r5

Merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
18 déc. 2012 à 18:10
Bonsoir,

1. Désinstalle AskToolbar


2. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
▸ Sous XP double-clic sur l'icône pour lancer l'outil.
▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
Ferme impérativement le navigateur ainsi que les applications en cours.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt


== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.

== == == == == == == == == == == == == == == == == == == == == ==


3. Relance OTL

● Dans la partie "Personnalisation", copie/colle les instructions suivantes :

:instructions
:OTL
IE - HKU\S-1-5-21-4090235919-3352641028-539915237-1000\..\URLSearchHook: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (Ask)     
IE - HKU\S-1-5-21-4090235919-3352641028-539915237-1000\..\SearchScopes,bProtectorDefaultScope = {0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}     
IE - HKU\S-1-5-21-4090235919-3352641028-539915237-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=117116&tt=4512_2&babsrc=SP_ss&mntrId=f4386cac0000000000000017c47e1b2a     
IE - HKU\S-1-5-21-4090235919-3352641028-539915237-1000\..\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=fr_FR&apn_ptnrs=LH&apn_dtid=YYYYYYYYFR&apn_uid     
IE - HKU\S-1-5-21-4090235919-3352641028-539915237-1000\..\SearchScopes\{70D46D94-BF1E-45ED-B567-48701376298E}: "URL" = http://127.0.0.1:4664/search&s=3mG3lVIkAeTB2_Ecy_PQlHeeUSg?q={searchTerms}     
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.     
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.     
O4 - HKLM\..\Run: [ROC_roc_ssl_v12] "C:\Program Files\AVG Secure Search\ROC_roc_ssl_v12.exe" / /PROMPT /CMPID=roc_ssl_v12 File not found     
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present 
[10 C:\Users\Jennifer\AppData\Local\Temp\*.tmp files -> C:\Users\Jennifer\AppData\Local\Temp\*.tmp -> ] 
@Alternate Data Stream - 129 bytes -> C:\ProgramData\Temp:35759C73 
@Alternate Data Stream - 125 bytes -> C:\ProgramData\Temp:CE0A077E 
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:B623B5B8 
@Alternate Data Stream - 124 bytes -> C:\ProgramData\Temp:814B9485 
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:CDFF58FE 
@Alternate Data Stream - 123 bytes -> C:\ProgramData\Temp:ADE16379 
@Alternate Data Stream - 122 bytes -> C:\ProgramData\Temp:E1982A23 
@Alternate Data Stream - 119 bytes -> C:\ProgramData\Temp:DCAF903C 
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:BB24555F 
@Alternate Data Stream - 115 bytes -> C:\ProgramData\Temp:9E22BBE8 
@Alternate Data Stream - 108 bytes -> C:\ProgramData\Temp:798A3728 
@Alternate Data Stream - 106 bytes -> C:\ProgramData\Temp:3B3A35EC 
@Alternate Data Stream - 105 bytes -> C:\ProgramData\Temp:B203B914 
@Alternate Data Stream - 104 bytes -> C:\ProgramData\Temp:131C0EE9 
@Alternate Data Stream - 101 bytes -> C:\ProgramData\Temp:ABE89FFE 
@Alternate Data Stream - 100 bytes -> C:\ProgramData\Temp:5A437AC3 
:Files
C:\Users\Jennifer\AppData\Local\Google\Chrome\User Data\Default\Extensions\dhdepfaagokllfmhfbcfmocaeigmoebo
ipconfig /flushdns /c
:Commands 
[emptytemp]

Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.

Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles


4. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

● Laisse cochées les cases : Mettre à jour Malwarebytes Anti-Malware et Lancer Malwarebytes Anti-Malware, puis clique sur Terminer.
● Si une mise à jour est trouvée, il va télécharger et installer la dernière version.
● Une fois le programme chargé, sélectionne "Effectuer un examen rapide", puis clique sur le bouton Rechercher.
● Lorsque l'analyse est terminée, clique sur OK, puis Afficher les résultats.
● Vérifie que toutes les cases soient cochées, puis clique sur Supprimer la sélection.
● Quand la désinfection est terminée, un rapport s'ouvre dans le Bloc-notes.
● Si des éléments sont difficiles à supprimer, Malwarebytes l'indiquera, clique sur OK, laisse l'outil poursuivre la désinfection.
● Accepte de redémarrer l'ordinateur si nécessaire.

Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb

Les rapports sont automatiquement enregistrés et peuvent être consultés en cliquant sur l'onglet rapports/logs


5. Héberge les 3 rapports et poste les liens obtenus


A+
0
jenniferseuru
18 déc. 2012 à 19:20
Voilà les liens des trois rapports:



http://pjjoint.malekal.com/files.php?id=20121218_b5x10d12u5w11
http://pjjoint.malekal.com/files.php?id=20121218_h8g12x15o12s8
http://pjjoint.malekal.com/files.php?id=20121218_c11p10j15o13n14

A+
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
18 déc. 2012 à 20:57
re,


1. Relance OTL

● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note

2. Télécharge Farbar Service Scanner sur ton Bureau.
● Lance l'outil puis coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services

● Clique sur "Scan".
● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

3 Héberge les rapports et poste les liens


A +
0
jenniferseuru
19 déc. 2012 à 13:34
Bonjour, j'ai lancé OTL et voici le lien pour le rapport:

http://pjjoint.malekal.com/files.php?id=20121219_o10q5v10r9f10

Ensuite j'ai tenté de télécharger Farbar Service Scanner mais lors du téléchargement une fenêtre est apparue disant que ce programme n'est pas fréquemment téléchargé et qu'il risque de nuire à mon ordinateur. Du coup je n'ai pas été plus loin. Que me conseille tu de faire? De le télécharger quand même?

Merci
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
19 déc. 2012 à 14:02
Bonjour,

Farbar Service Scanner est un logiciel que je connais bien et sans risque.
Il ne modifie rien, il sert à vérifier que les services vitaux de Windows n'ont pas été endommagés par certaines infections dont celle que tu as eu.

A +
0
jenniferseuru
19 déc. 2012 à 14:08
Ah d'accord. C'est fait. Voici les liens:

http://pjjoint.malekal.com/files.php?id=20121219_v13d15p8e15p14
http://pjjoint.malekal.com/files.php?id=20121219_t5l6u9r14l12


Voilà.

A+
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
19 déc. 2012 à 14:16
tout est ok,

Bonjour,

== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==

1. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation

2. Ouvre la commande Exécuter en pressant Windows + R
● Dans la boite de dialogue, tape ComboFix /Uninstall
● Valide par Ok puis suivre les invites à l'écran.
● Un message confirme que ComboFix a été désinstallé.

3. Lance OTL

● Dans la partie "Personnalisation", copie/colle :

:commands
[clearallrestorepoints]

● Clique sur le bouton Correction.

4. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau

5. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant


== == == == == == == == == MISES A JOUR == == == == == == == == ==


Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :

Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update

!! Décoche les cases proposant des logiciels partenaires pendant les installations !!

Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html

== == == == == == == == == == == == == == == == == == == == == ==

La sécurité de son PC, c'est quoi ? (par Malekal)

== == == == == == == == == == == == == == == == == == == == == ==

Bonne continuation

0
jenniferseuru
19 déc. 2012 à 15:15
Génial, merci beaucoup pour ton aide et pour le temps que tu as consacré pour m'aider car toute seule ça n'aurait pas été facile.

Bon courage a toi
0
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 3 027
19 déc. 2012 à 15:24
Merci et bonne journée :)
0