Trojan.Droper.BCMiner-Rootkik.0Access-trojan.clicker Résolu/Fermé

Question

Bonjour, 

J'ai besoin d'aide !
Depuis quelques jours, je me bats sur mon PC avec ces fameux chevaux de troie dont pas mal de gens parlent sur différents forums... 

J'ai un antivirus (McAfee) qui a détecté 1, puis 4, puis 3, puis 11 chevaux de troie - toujours le même : ZeroAccess.hi - impossible à supprimer, même en redémarrant comme proposé par McAfee. Ils restent invisible (même en affichant les dossiers câchés) à l'emplacement : C\windows\assembly\GAC_32_Desktop.ini et GAC_64.

J'ai téléchargé Malwarebytes qui, après un scan complet, a trouvé Trojan.Droper.BCMiner + Rootkik.0Access + trojan.clicker. Il les a mis en quarantaine et en redémarrant, semblait les avoir supprimés. Ils reviennent et en force ! 

Le pare feu de mon antivirus se désactive tout le temps, parfois parallélement, McAfee semble dire que tout est OK et mon ordinateur protégé, puis envoit des messages d'alertes et un nombre de fois considérable le même message :  Cheval de Troie détécté, redémarrer immédiatement ! ll semble complètement impuissant !

Les autres pb rencontrés : le logiciel Word ne peut s'ouvrir, les mises à jour windows ne se font plus et je ne peux rien contrôler. Le pare feu windows ne marche pas non plus. Internet est d'une grande lenteur, quand ça ne plante pas complètement ou me redirige vers des sites non souhaités... ce qui semble être une des caractéristiques de ces trojans.

J'ai lu sur des foums qu'il y avait "Combofix" qui semble efficace, mais dangerux et pas facile à utiliser sans l'aide de quelqu'un plus expérimenté que moi, qui ne le suis pas. J'ai perdu beaucoup de temps en essayant des tas de choses inéfficaces. 
Je cherche une solution gratuite et efficace (j'ai déjà acheté Norton, remplacé par McAfee).

Merci de votre aide à venir
 
Configuration: Windows 7 / Internet Explorer 9.0

JFCMAT · Answer

Bonjour,

As-tu essayé ADWCLEANER

je te conseille également ce site 

https://www.pcastuces.com/logitheque/default.htm

tu auras peut-être ta réponse
Bon courage

clothilde66 · Answer

Bonjour,

Je vais essayer... Je te remercie

juju666 · Answer

Bonjour,

AdwCleaner sur ZA et Clicker? lol

clothilde66 :

 &#9654 Télécharge ici :  RogueKiller 
&#9654 Enregistre et ferme tous les programmes en cours
&#9654 Lance RogueKiller et attend que le Prescan ait fini
&#9654 Accepte l'EULA puis clique sur Scan. 
&#9654 Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.

clothilde66 · Answer

ok, j'essaye aussi, ça semble + "killer" !
Juste, c'ets quoi l'EULA ?

juju666 · Answer

la licence d'utilisation qui s'affichera.

clothilde66 · Answer

La 1ère tentative na pas marché, la 2ème a planté l'ordi. La fonction ctrl alt suppr ne marchait même pas. J'ai dû forcer l'extinction pour redémarrer.
Au redémarrage, windows a tenté de réparer les ficiers endommagés... ce qui a pris du temps.
J'ai essayé de poursuivre la discussion depuis mon téléphone, via intenet, en vain.
Ce n'est pas simple !!!!

Que dois-je faire ? Mon ordi est mon outil de travail, je ne peux pas me permettre d'installer n'importe quoi dessus.
Le programme roguekiller est toujours installé, dois-je le déésinstaller ?

Que faire avec mon anti virus qui me harcèle pour redémarrer mon ordi immédiatement ?

juju666 · Answer

Un rapport ?

juju666 · Answer

La 1ère tentative na pas marché, la 2ème a planté l'ordi. 

Ben fallait pas sans demander hein.

Surtout que je n'ai pas demandé de suppression ou que sais-je, juste le pre_scan de RogueKiller.

Non, on ne désinstalle pas roguekiller, il est "portable", ne nécessite pas d'installation. Suffit de virer le binaire !

Vous avez une autre idée, plus, comment dire... sûre ?
Je vais alerter le concepteur de RogueKiller ;)

Il n'a pas fait de dossier RKQuarantine ? 
Y'a quoi dedans ?

clothilde66 · Answer

J'ai juste fait le pré-scan qui s'est interrompu, comment, je ne sais pas?
Le 2ème a planté l'ordi. Je n'ai pas fait de "suppresion"

Dans le dossier, il y a l'EULA
Que faire ?

juju666 · Answer

Même pas un rapport debug ? 

&#9654 Télécharge ici :OTL et lance-le

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM (ils sont trop longs)

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

clothilde66 · Answer

Merci pour votre aide, mais j'aimerai bien que vous m'expliquiez un peu ce que c'est et ce que vous chezchez à travers ces rapports ? Comment ça marche ?

Je n'ai pas tellement envie de continuer à télécharger des tas de trucs sans savoir, ni comprendre.

J'ai bcp de mal à écrire parce que mon clavier marche mal et internet est très ralenti

juju666 · Answer

C'est un diagnostic.
Après je lui donnerais d'autres instructions pour faire une suppression partielle.

juju666 · Answer

Rapport incomplet envoie-le sur https://www.cjoint.com/ stp

[00:00:0031] Has crashed before : Yes  
 
Je préviens Tigzy :]

juju666 · Answer

Bref et le RKReport ?

clothilde66 · Answer

je t'ai posté un lien 2 lignes au-dessus !

juju666 · Answer

Naaan ça c'est le debug :)
pas le RKReport ;)

clothilde66 · Answer

Ecoute, moi c'est pas mon truc, mais plutôt le tien apparament !!!
Je ne sais pas ce que c'est, ni où il est ou doit être ????
Dans le dossier RK_quarantaine il n'y a que ça !

juju666 · Answer

Meuh oui :> Bon on l'attaque de plein front alors ▶ Télécharges ici: mbar ▶ Décompresses le contenu du dossier vers le bureau. ▶ Ouvrir le dossier et exécuter mbar.exe<.gras> (Sous Vista/7 : exécuter en tant qu'administrateur) ▶ La fenêtre suivante annonce que cette version sera valide un mois et que l'utilisation se fait aux risques et périls de l'utilisateur. ▶ Clic sur Next ▶ La nouvelle fenêtre te propose de faire la mise a jour. Clic sur Update et une fois terminé clic sur next ▶ Pour lancer l'analyse clic sur scan ▶ Cliques sur le bouton Nettoyage (cleanup) pour supprimer toutes les menaces et redémarrer si tu es invité à le faire. ▶ Patiente pendant le processus de nettoyage qui peut être long. ▶ Lorsque terminé, envois les deux rapports qui se trouvent dans le dossier MBAR : mbar-log.txt et log.txt

juju666 · Answer

Bonjour :)

Oui ce sont des problèmes qui font suite à ZeroAccess.

Tigzy me demande de faire ceci concernant le soucis que tu as eu avec RogueKiller :

Télécharge et lance RegToolExport (Xplode)

 Copie colle ceci dans le cadre : 

HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES

et clique sur EXPORTER 

Voir capture : https://dl.dropbox.com/u/22950063/Forum/CCM/regtoolexport.PNG

Choisis comme destination le bureau et clique sur Enregistrer.
Une fichier au nom Export_date_heure.reg sera créé sur le bureau.

Clic droit dessus -> envoyer vers -> dossier compressé.

Envoie Export_date_heure.ZIP sur https://www.cjoint.com/ et poste le lien.

clothilde66 · Answer

ah, bien... ! Merci

Je vois que les affaires reprennent !
Bon je fais tout ça.

Ne t'étonnes pas si ça prend un peu de temps...

juju666 · Answer

OK, le service de windows update a été effacé, c'est pour ça que tu n'as plus les mises à jour :)

&#x25CF; Télécharge Service Repair (Eset) sur ton Bureau.

&#x25CF; Exécute le, clique sur Yes dans la boite de dialogue.
&#x25CF; A la fin, clique sur Yes pour autoriser le redémarrage.
&#x25CF; L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
&#x25CF; Héberge le rapport CC Support\Logs\SvcRepair.txt sur FEC Upload et poste le lien obtenu en échange

juju666 · Answer

Normalement c'est bon maintenant ? :)

clothilde66 · Answer

Alors vraiment Un très grand MERCI SUPER
je vais pouvoir reprendre ma recherche d'emploi tranquillement !
Merci beaucoup pour ta précieuse aide :)

juju666 · Answer

Attend lol

Confirme moi que tout est revenu à la normale !

Et y'a au moins le final à faire : https://www.forums-fec.be/entraide/viewtopic.php?f=11&t=229

Trojan.Droper.BCMiner-Rootkik.0Access-trojan.clicker

24 réponses

Discussions similaires