Besoin d'aide pour éradiquer un Trojan svp Fermé

Question

Bonjour !

Mon pc était étrangement lent depuis quelques temps et ni Avast ni MalwareBytes ne trouvaient rien jusqu'à ce que je remarque que je pouvais cocher une case en plus pour le scan d'Avast (LPIs-Logiciels malveillants si je me souviens bien). Et là trois virus dont deux qui sont allés dans la zone de quarantaine sans soucis, et un Trojan que je n'arrive pas à supprimer ni rien. Je n'y connais pas grand chose, quand j'ai tenté de le virer, Avast m'a proposé de redémarrer et j'ai bien galéré à simplement redémarrer mon pc et retrouver ma session (j'ai dû faire une restauration système au final).
Mais le trojan est toujours là et je n'ose plus toucher à rien :\

Je vous passe deux captures d'écran suite au nouveau scan, il a retrouvé un virus comme vous le verrez en plus du Trojan, et il y a aussi toutes les lignes d'erreur au milieu, mais ça me semble moins urgent :)

http://i.imgur.com/OT6ICpF.png
http://i.imgur.com/cHG9Xp7.png

Voilà, si quelqu'un comprend mieux que moi ce qui se trame et comment je peux régler tout ça, un peu d'aide serait la bienvenue !
N'hésitez pas s'il y a besoin de plus de détails, je reviens dans l'après-midi.

Merci d'avance !

Configuration: Windows 7 / Firefox 18.0

Malekal_morte- · Answer

Salut,

C'est pas très grave ce qui est détecté.


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Lily · Answer

Salut ! Merci pour ta réponse :)
Et tant mieux si ce n'est pas grave mais dès que je vois "trojan" j'imagine la fin du monde... Et puis ça ralentit quand même mon pc si c'est bien ça.

Voilà le rapport :

# AdwCleaner v2.112 - Rapport créé le 18/02/2013 à 15:22:37
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium (32 bits)
# Nom d'utilisateur : Coralie - MULOT
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Coralie\Downloads\adwcleaner0.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Babylon
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\Coralie\AppData\Local\Babylon
Dossier Supprimé : C:\Users\Coralie\AppData\LocalLow\SweetIM
Dossier Supprimé : C:\Users\Coralie\AppData\Roaming\Babylon
Dossier Supprimé : C:\Users\Coralie\AppData\Roaming\Mozilla\Firefox\Profiles\lgthe716.default\SweetIMToolbarData
Dossier Supprimé : C:\Users\Coralie\AppData\Roaming\OpenCandy
Dossier Supprimé : C:\Users\Coralie\AppData\Roaming\pdfforge
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml
Fichier Supprimé : C:\user.js

***** [Registre] *****

Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4EAF-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\dhkplhfnhceodhffomolpfigojocbpcb
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.7600.17197

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v18.0.2 (fr)

Fichier : C:\Users\Coralie\AppData\Roaming\Mozilla\Firefox\Profiles\lgthe716.default\prefs.js

Supprimée : user_pref("extensions.BabylonToolbar.bbDpng", 5);
Supprimée : user_pref("extensions.BabylonToolbar.cntry", "FR");
Supprimée : user_pref("extensions.BabylonToolbar.firstRun", false);
Supprimée : user_pref("extensions.BabylonToolbar.hdrMd5", "C525F2AF1AA990BA1177CDDA8EE080A6");
Supprimée : user_pref("extensions.BabylonToolbar.lastActv", "5");
Supprimée : user_pref("extensions.BabylonToolbar.lastDP", 5);
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?babsrc=SP_ss&mntrId=3ed7899b000000000000c446195[...]
Supprimée : user_pref("sweetim.toolbar.highlight.colors", "#FFFF00,#00FFE4,#5AFF00,#0087FF,#FFCC00,#FF00F0");
Supprimée : user_pref("sweetim.toolbar.logger.ConsoleHandler.MinReportLevel", "7");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.FileName", "ff-toolbar.log");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MaxFileSize", "200000");
Supprimée : user_pref("sweetim.toolbar.logger.FileHandler.MinReportLevel", "7");
Supprimée : user_pref("sweetim.toolbar.mode.debug", "false");
Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "chrome://browser-region/locale/region.properties"[...]
Supprimée : user_pref("sweetim.toolbar.search.external", "<?xml version=\"1.0\"?><TOOLBAR><EXTERNAL_SEARCH engin[...]
Supprimée : user_pref("sweetim.toolbar.search.history.capacity", "10");
Supprimée : user_pref("sweetim.toolbar.simapp_id", "{14462AF7-E2BD-11DF-ACCB-002454AD16DF}");
Supprimée : user_pref("sweetim.toolbar.version", "1.0.0.10");

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\Coralie\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.55] : icon_url = "hxxp://www.babylon.com/favicon.ico",
Supprimée [l.58] : keyword = "babylon.com",
Supprimée [l.61] : search_url = "hxxp://search.babylon.com/?q={searchTerms}&AF=110021&tt=290312_bexdll&babsrc=SP[...]

-\\ Opera v12.2.1578.0

Fichier : C:\Users\Coralie\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [4977 octets] - [18/02/2013 15:22:37]

########## EOF - C:\AdwCleaner[S1].txt - [5037 octets] ##########

Malekal_morte- · Answer

Voila on a viré des programmes paraistes.

Les détections Avast! ça peux être des installeurs qui embarquent ces m*rdes.
vu qu'une bonne partie sont dans ton dossier Downloads.

NTUSER.dat faut surtout ne pas y toucher.

Donc en fait, les détections sont pas graves.
Par contre, ce qui est un peu navrant c'est qu'Avast! n'a pas l'air d'avoir détectés ceux qui sont actifs et qu'AdwCleaner a virés \o

Lily · Answer

Merci !
Tiens j'en reviens pas d'avoir des toolbars comme ça, j'ai jamais accepté d'installer ces trucs là... M'enfin tant mieux si c'est parti !
Donc NTUSER.dat j'y touche pas, mais il n'est plus infecté ? En gros là tout est censé être bon ?

Je ne sais pas s'il est possible de rendre les scans d'Avast plus performants... Mais la dernière fois que j'ai tenté un autre anti-virus ça a été plutôt catastrophique et on m'a dit que dans les gratuits Avast! était quand même un des meilleurs :\
Du coup je garde AdwCleaner sous la main et là je relance quand même un scan Avast! parce que le truc hpmonitor est revenu à mes deux scans. Si tout est bon je t'embête plus :)

Lily · Answer

Le scan d'Avast est fini et ntuser.dat est toujours signalé comme un virus.
J'ai bien vu que tu disais que ce n'était pas grave mais  Avast me dit quand même "sévérité : haute" et moi je n'ose pas aller voir mon compte ou passer une commande en ayant un fichier système que me dit "trojan"... Est-ce que je suis censée laisser ça comme ça ?

Malekal_morte- · Answer

Cest pas faux ta remarque sur le [TRJ] et [PUP :)

Après pour vérifier on peux faire ça :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

Lily · Answer

Oh ok ! Le scan est lancé.

Hop les rapports :

OTL.txt : http://pjjoint.malekal.com/files.php?id=OTL_20130218_d13z12b15h8s12
Extra.txt : http://pjjoint.malekal.com/files.php?read=OTL_Extras_20130218_v7n9j10m12k7

J'espère avoir bien fait, j'ai vu des "error" dans le deuxième.

Malekal_morte- · Answer

ca a l'air ok.

Juste ce fichier est bizarre : C:\Users\Coralie\ideas.exe

Tu peux le scanner sur https://www.virustotal.com/gui/ et donner le lien du scan pour voir ?

Lily · Answer

https://www.virustotal.com/fr/file/f55cb925d5301a59f65c3c54757181e541d96c7f04a48e51bcb8ad63528602f3/analysis/1361212558/

C'est un émulateur pour Nintendo DS je crois, je savais pas que je l'avais encore mais il a pas l'air méchant ^^

Malekal_morte- · Answer

Well,
Tout est OK alors!

Bravooo !

Lily · Answer

Cool !
Merci !! :)
Donc même si Avast! me signale encore NTUSER.dat comme [trj] je l'ignore ?

Besoin d'aide pour éradiquer un Trojan svp

11 réponses

Discussions similaires