Cheval de Troie

ventrail Messages postés 43 Statut Membre -  
g3n-h@ckm@n Messages postés 14350 Statut Membre -
Bonjour,
Aujourd'hui en allumant l'ordinateur, windows 7 ne voulais pas marcher en mode normal, j'ai du le faire fonctionner en mode sans échec. Après de l'acharnement j'ai regarder pour la détection de virus sur votre site, problème Détection de cheval de Troie dans Java/Exploit.agent.NYG

C:\Users\All Users\MagniPic\5126c0745019a.dll une variante de Win32/Adware.MultiPlug.I Application
C:\Users\All Users\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll une variante de Win32/Adware.Yontoo.B Application
C:\Users\All Users\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll une variante de Win32/Adware.Yontoo.B Application
C:\Program Files (x86)\Yontoo\YontooIEClient.dll une variante de Win32/Adware.Yontoo.A Application nettoyé par suppression - mis en quarantaine
C:\ProgramData\MagniPic\5126c0745019a.dll une variante de Win32/Adware.MultiPlug.I Application nettoyé par suppression - mis en quarantaine
C:\ProgramData\Tarma Installer\{361E80BE-388B-4270-BF54-A10C2B756504}\_Setupx.dll une variante de Win32/Adware.Yontoo.B Application nettoyé par suppression - mis en quarantaine
C:\ProgramData\Tarma Installer\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}\_Setupx.dll une variante de Win32/Adware.Yontoo.B Application nettoyé par suppression - mis en quarantaine
C:\Users\Babas\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcmaebidpalcjkbegginphlbafknllke\1\5126c0744ff609.38426153.js Win32/Adware.MultiPlug.H Application nettoyé par suppression - mis en quarantaine
C:\Users\Babas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\68XVTZ4O\5126c074686bc[1].exe menaces multiples nettoyé par suppression - mis en quarantaine
C:\Users\Babas\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\68XVTZ4O\yontoosetup[1].exe menaces multiples nettoyé par suppression - mis en quarantaine
C:\Users\Babas\AppData\Local\Temp\is1668783924\yontoo-c4.exe menaces multiples nettoyé par suppression - mis en quarantaine
C:\Users\Babas\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\20\113aad4-5730065d Java/Exploit.Agent.NGY cheval de troie nettoyé par suppression - mis en quarantaine

C'est un peut illisible désolé mais il est dit de copier ceci là. J'espère que la mise en quarantaine le rends inactif et que je peut me servir de mon ordinateur, sinon comment le retirer ce cheval ?

Merci de vos réponses cordialement.

57 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème récurrent après démarrage : Windows 7 refuse le mode normal et ne s’exécute qu’en mode sans échec, avec des détections de cheval de Troie Java/Exploit.Agent.NGY et d’adware variés.
Plusieurs éléments de réponse indiquent d’exécuter l’analyse antivirus en mode sécurisé, de vérifier les extensions et fichiers suspects, puis d’utiliser Malwarebytes et des outils de nettoyage complémentaires pour mettre en quarantaine et supprimer les menaces.
Des propositions complémentaires évoquent l’usage de Combofix après désactivation temporaire des protections, ainsi que Defogger pour éviter les conflits, puis de redémarrer et de vérifier que les infections n’apparaissent pas à nouveau.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    c'est bien pour ca que je conseille de le desactiver des navigateurs

    ==

    ca sert à rien de payer un antivirus tu seras pas mieux protégé si tu fais n importe quoi avec le pc
    1
  2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    salut

    Télécharge et enregistre ADWCleaner sur ton bureau :

    Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

    clique sur suppression et poste C:\Adwcleaner[Sx].txt

    ============

    Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
    Attention !!! : cet outil peut etre détecté à tort comme virus
    Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

    Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://www.archive-host.com (renommé winlogon)

    ou

    http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

    si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
    http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut que des fenêtres noires clignotent , laisse-le travailler.

    Laisse l'outil redemarrer ton pc.

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
    0
  3. ventrail Messages postés 43 Statut Membre
     
    Voilà pour AdwCleaner je fais la seconde étape

    # AdwCleaner v2.112 - Rapport créé le 23/02/2013 à 14:43:00
    # Mis à jour le 10/02/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Babas - BABAS-PC
    # Mode de démarrage : Mode sans échec avec prise en charge réseau
    # Exécuté depuis : C:\Users\Babas\Downloads\adwcleaner0.exe
    # Option [Suppression]

    ***** [Services] *****

    Arrêté & Supprimé : DefaultTabUpdate

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Program Files (x86)\Yontoo
    Dossier Supprimé : C:\ProgramData\clsoft ltd
    Dossier Supprimé : C:\ProgramData\InstallMate
    Dossier Supprimé : C:\ProgramData\Premium
    Dossier Supprimé : C:\ProgramData\Tarma Installer
    Dossier Supprimé : C:\Users\Babas\AppData\Local\SwvUpdater
    Dossier Supprimé : C:\Users\Babas\AppData\Roaming\DefaultTab
    Fichier Supprimé : C:\Users\Babas\AppData\Roaming\Mozilla\Firefox\Profiles\dhx5ajak.default\extensions\addon@defaulttab.com.xpi
    Fichier Supprimé : C:\Users\Babas\AppData\Roaming\Mozilla\Firefox\Profiles\dhx5ajak.default\searchplugins\Searchab.xml
    Fichier Supprimé : C:\Users\Babas\AppData\Roaming\Mozilla\Firefox\Profiles\dhx5ajak.default\searchplugins\search-here.xml
    Fichier Supprimé : C:\windows\Tasks\AmiUpdXp.job

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\AppDataLow\Software\DefaultTab
    Clé Supprimée : HKCU\Software\AppDataLow\SProtector
    Clé Supprimée : HKCU\Software\Conduit
    Clé Supprimée : HKCU\Software\Default Tab
    Clé Supprimée : HKCU\Software\DefaultTab
    Clé Supprimée : HKCU\Software\InstallCore
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKCU\Software\StartSearch
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{CFDAFE39-20CE-451D-BD45-A37452F39CF0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\YontooIEClient.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A0EE0278-2986-4E5A-884E-A3BF0357E476}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{D372567D-67C1-4B29-B3F0-159B52B3E967}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Updater.AmiUpd
    Clé Supprimée : HKLM\SOFTWARE\Classes\Updater.AmiUpd.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Api.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers
    Clé Supprimée : HKLM\SOFTWARE\Classes\YontooIEClient.Layers.1
    Clé Supprimée : HKLM\Software\Default Tab
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKLM\Software\SP Global
    Clé Supprimée : HKLM\Software\SProtector
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{67BD9EEB-AA06-4329-A940-D250019300C9}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7E84186E-B5DE-4226-8A66-6E49C6B511B4}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\niapdbllcanepiiimjjndipklodoedlc
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7F6AFBF1-E065-4627-A2FD-810366367D01}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{99C91FC5-DB5B-4AA0-BB70-5D89C5A4DF96}
    Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\DefaultTab
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{10DE7085-6A1E-4D41-A7BF-9AF93E351401}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{1AD27395-1659-4DFF-A319-2CFA243861A5}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9EDC0C90-2B5B-4512-953E-35767BAD5C67}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{889DF117-14D1-44EE-9F31-C5FB5D47F68B}
    Clé Supprimée : HKLM\SOFTWARE\Tarma Installer
    Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = c:\progra~2\magnipic\sprote~1.dll

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16464

    Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://searchab.com/?aff=7&uid=72748976-7c85-11e2-b944-3085a9f1be36 --> hxxp://www.google.com
    Remplacé : [HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main - Start Page] = hxxp://searchab.com/?aff=7&uid=72748976-7c85-11e2-b944-3085a9f1be36 --> hxxp://www.google.com

    -\\ Mozilla Firefox v19.0 (fr)

    Fichier : C:\Users\Babas\AppData\Roaming\Mozilla\Firefox\Profiles\dhx5ajak.default\prefs.js

    C:\Users\Babas\AppData\Roaming\Mozilla\Firefox\Profiles\dhx5ajak.default\user.js ... Supprimé !

    Supprimée : user_pref("aol_toolbar.default.homepage.check", false);
    Supprimée : user_pref("aol_toolbar.default.search.check", false);
    Supprimée : user_pref("browser.startup.homepage", "hxxp://searchab.com/?aff=7&uid=72748976-7c85-11e2-b944-3085a9[...]
    Supprimée : user_pref("extensions.BabylonToolbar.prtkDS", 0);
    Supprimée : user_pref("extensions.BabylonToolbar.prtkHmpg", 0);
    Supprimée : user_pref("keyword.URL", "hxxp://searchab.com/?aff=7&uid=72748976-7c85-11e2-b944-3085a9f1be36&q=");
    Supprimée : user_pref("sweetim.toolbar.previous.browser.search.defaultenginename", "");
    Supprimée : user_pref("sweetim.toolbar.previous.browser.search.selectedEngine", "");
    Supprimée : user_pref("sweetim.toolbar.previous.browser.startup.homepage", "");
    Supprimée : user_pref("sweetim.toolbar.previous.keyword.URL", "");
    Supprimée : user_pref("sweetim.toolbar.scripts.1.domain-blacklist", "");
    Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_DS", "");
    Supprimée : user_pref("sweetim.toolbar.searchguard.UserRejectedGuard_HP", "");
    Supprimée : user_pref("sweetim.toolbar.searchguard.enable", "");

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\Babas\AppData\Local\Google\Chrome\Us
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. ventrail Messages postés 43 Statut Membre
     
    Ce que je craint c est que mes fichier du second disque serait il infecter si je formate l ordinateur ?
    Et si je formate l ordinateur sera t il encore la ?
    Pour détecter le cheval j ai utiliser le truc en ligne de nod32 et il l'a "placé sous quarantaine"
    0
  6. ventrail Messages postés 43 Statut Membre
     
    J'attends là suite à tout ceci ;) En espérant avoir une solution
    0
  7. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    relance l'outil , clique sur diag et heberge le rapport pre_diag et donne le lien
    0
    1. ventrail Messages postés 43 Statut Membre
       
      L'outil pre_scan ?
      0
    2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      oui
      0
  8. rando40 Messages postés 7 Statut Membre
     
    telecharge MALWAREBYTES ANTI MALWARE je m'en suis servie pour enlever ce genre de choses, c'est vraiment très bien
    0
    1. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      malwarebytes n'est pas un poudre magique ni la solution à tous les problemes .

      il faut utiliser les outils ce pourquoi ils sont faits.
      0
  9. ventrail Messages postés 43 Statut Membre
     
    Hum en fait j'ai oublier une étape dans le pre_scan scan/kill j'ai pas fait je le fait alors ?
    0
  10. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    nan
    0
  11. ventrail Messages postés 43 Statut Membre
     
    0
    1. ventrail Messages postés 43 Statut Membre
       
      Voilà le lien de ce que tu 'as dit de faire :)
      0
    2. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
       
      ok j'étudie ca :)
      0
    3. ventrail Messages postés 43 Statut Membre
       
      Merci :) Sinon peut tu répondre à mes questions précédemment ?
      0
  12. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    sélectionne ce texte , puis CTRL + C

    Kill::

    Key::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]|[Wireless Console 3]
    [HKLM\SOFTWARE\wow6432Node\Microsoft\Windows\CurrentVersion\Run]|[Wireless Console 3]
    [HKU\S-1-5-21-2112331864-226880099-2771721900-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]|[Report]
    [HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE]
    [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{9E5D05C3-21D7-420F-BD30-C6E4879607F2}]
    [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[{9D91EC5C-3633-46F0-A8CB-88C01A4C31A3}]

    File|Fold::
    C:\Users\Babas\AppData\Roaming\Mozilla\Firefox\Profiles\dhx5ajak.default\extensions\addon@keydownload.com
    C:\Users\Babas\Downloads\ESE*
    C:\Users\Babas\Downloads\Skyr*
    C:\windows\System32\Tasks\AmiUpdXp

    Driver::
    MFEAPFK
    MFEAVFK
    MFEAVFK01
    MFEFIREK
    MFEHIDK
    MFEWFPK

    Clean::

    MBR::

    Reboot::


    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  13. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    nan on va avoir fini

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  14. ventrail Messages postés 43 Statut Membre
     
    Ok ok par contre quand il se redémarre avant il mettre pas le message veuillez patienter sa vient de pré scan ou adw... ? Je finis le scan je supprime et je r envoie le rapport
    Je suis en mode sans échec sa marchera comme meme ?
    0
  15. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    j'ai rien compris
    0
  16. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    qu'est-ce qui te fait dire ca ?
    0
  17. ventrail Messages postés 43 Statut Membre
     
    Je ne sais pas mais quand je lance windows normalement il bug.. Peut être devrais je formater pour plus de sécurité ?
    0
  18. g3n-h@ckm@n Messages postés 14350 Statut Membre 949
     
    il beug comment ? donne un max de precisions

    ¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
    0
  • 1
  • 2
  • 3