Trojan

Carmina -  
 Carmina -
Bonjour,

Microsoft essentials vient de me trouver un trojan "grave" me dit-il :
JS/IframeREf.
Il l'a mis en quarantaine et je l'ai détruit.
J'ai fait Malwarebytes sous F8 et il n'y a rien.

Que faire d'autre ?
Par avance, merci beaucoup.

32 réponses

  • 1
  • 2
Résumé de la discussion

Une détection par Microsoft Security Essentials signale un Trojan JS/IframeRef sur un ordinateur Windows XP, mis en quarantaine et prétendument supprimé, suscitant des demandes d’étapes supplémentaires de nettoyage. Plusieurs outils et rapports sont évoqués, notamment RogueKiller et ZHPFix, avec des détails sur les entrées de registre affectées, le fichier hosts et des vérifications du MBR. Des conseils portent sur la mise à jour Java vers 7 update 17, la suppression des anciennes versions et l’usage d’outils comme ZHPDiag et RogueKiller pour nettoyer les résidus. D'autres échanges évoquent des difficultés de téléchargement et des doutes sur ZHPDiag bloqué à 89 %, signalant des contraintes liées à la stabilité de la ligne et à la fiabilité des outils.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour,

    On va vider le cache Java, pour cela va sur ce lien: https://www.java.com/fr/download/help/plugin_cache.html

    Ensuite fais la Mise à jour Java 7 update 17 ==> https://www.java.com/fr/download/
    Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
    Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 et Java 7 dont l'update est inférieur à 17

    Smart
    0
  2. Carmina
     
    Bonjour,

    Merci beaucoup.
    Je viens de faire cela.

    IL y a quelque temps j'avais eu un trojan MD3 aussi.
    Gen Hackman avait commencé à travailler dessus en fait, mai j'avais laissé un grand temps pour répondre.
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Vu . Je ne suis pas sûr que Gen va répondre, car son pseudo a changé entre-temps

    Smart
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Carmina
     
    Bonjour Smart, merci.
    Dois-je faire quelque chose d'autre ?
    Merci.
    0
  6. Carmina
     
    Bonjour ,
    Merci de ton mail.

    Oui, je t'avais répondu :
    "Carmina 10 mars 2013 à 04:11
    Bonjour,

    Merci beaucoup.
    Je viens de faire cela. "


    Au fait comment fait-on remonter un sujet ?

    Par avance merci.
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK est-ce que MSE détecte toujours le trojan ?
    Est-ce que ton PC a des symptôme particuliers ?

    Smart
    0
  8. Carmina
     
    Non, il ne le détecte plus.

    Apparemment non, sauf que souvent des publicités intempestives montrent le bout de leur nez, et que certaines images sont remplacées par une croix rouge.

    Merci beaucoup.
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On va faire un diagnostic de ton PC

    Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista, Windows 7 et Windows 8 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
    - Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe avec le "+" pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
    - Clique sur Parcourir et cherche le répertoire C:\ZHP
    - Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
    - Ensuite Clique sur "Envoyer le fichier".
    - Copie le lien obtenu dans ta réponse.

    Smart
    0
  10. Carmina
     
    Bonjour,

    Merci.

    J'ai tenté deux ou trois fois ZHP diag, et il est resté bloqué chaque fois à 89 %,
    au moment où il vérifiait les "détournements de DNS".

    La dernière fois que je l'ai fait, au bout de deux heures et demie d'attente cet après-midi, j'ai débranché l'ordinateur ( je ne pouvais plus rien faire avec la souris, car c'était bloqué), car je pensais que ce n'était pas normal.

    Il faut dire que j'ai en ce moment des baisses de débit sur la ligne, vérifiés in situ lundi par un technicien d'un opérateur qui me dit que cela sera réparé dans trois jours sur la ligne de France Télécom.

    Tout à l'heure, comme je n'étais plus connectée, j'ai branché et rebranché tous les câbles, et donc là, c'est bon je suis reconnectée.
    Mais j'hésite un peu à retenter ZHP diag... J'ai l'impression qu'il va me refaire des siennes à 89 % de l'analyse au moment de la vérification du DNS.

    Que dois-je faire ?

    Merci.
    0
  11. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Relance ZHPDiag, clique sur le bouton représentant un tournevis en haut a à droite, dans la liste coche toutes les cases exceptée la 89 et refais un scan

    Si tu as toujours le problème, tu vas faire ceci:

    * Télécharge sur le bureau RogueKiller (par tigzy)
    * Quitte tous les programmes en cours
    * Lance RogueKiller.exe.
    * Si tu possèdes Avast comme antivirus, à l'alerte choisis "lancer normalement" et coche la case "Se souvenir de mon choix"
    * Attendre la fin du Prescan ...
    * Clique sur Scan.
    * A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  12. Carmina
     
    Bonjour et merci.

    J'ai refait sans le 89.
    Au bout de deux heures, il était toujours bloqué sur le MBR Check.

    J'ai refait, mais toutes les cases n'étaient pas cochées :
    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130313_v7q10f11m15u12

    Je vais faire roguekiller du coup et retenter.
    0
  13. Carmina
     
    Voici le rapport de Roguekiller :

    RogueKiller V8.5.3 [Mar 13 2013] par Tigzy
    Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur :
    Mode : Suppression -- Date : 13/03/2013 16:37:39
    | ARK || FAK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 2 ¤¤¤
    [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
    [HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: Maxtor 6Y080M0 +++++
    --- User ---
    [MBR] 8d30dc0ab3210ba573813f1314b9c9d9
    [BSP] 0c29782cdff10de68e11f099fe76a0b2 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Termine : << RKreport[2]_D_13032013_163739.txt >>
    RKreport[1]_S_13032013_163634.txt ; RKreport[2]_D_13032013_163739.txt

    Merci.
    0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. On va supprimer les restes:

    A l'attention de ceux qui parcourent le sujet:
    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    - Ferme toutes tes applications en cours
    - Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
    - Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
    - Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
    - Copie/colle les lignes en gras suivantes :

    ----------------------------------------------------------
    [HKLM\Software\Classes\CLSID\{35b8892d-c3fb-4d88-990d-31db2ebd72bd}]
    [HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]
    [HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}]
    [HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]
    [HKCU\Software\YahooPartnerToolbar]
    O43 - CFD: 10/12/2012 - 16:15:36 - [0] ----D C:\Documents and Settings\Ecodair\Application Data\searchresultstb
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}]
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    C:\Documents and Settings\Ecodair\Application Data\searchresultstb
    EmptyTemp
    EmptyFlash
    FirewallRAZ


    ----------------------------------------------------------
    - Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
    - Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
    - Clique sur le bouton « GO » pour le lancer le nettoyage
    - Copie/colle la totalité du rapport dans ta prochaine réponse

    Et redémarre le PC

    Smart
    0
  15. Carmina
     
    Merci beaucoup.

    Voici le rapport que j'ai eu, j'espère que c'est ce rapport-là que tu veux.

    Merci.

    Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-13-03-2013-17-44-02.txt
    Run by Ecodair at 13/03/2013 17:44:02
    High Elevated Privileges : OK
    Windows XP Professional Service Pack 3 (Build 2600)

    Corbeille vidée

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKLM\Software\Classes\CLSID\{35b8892d-c3fb-4d88-990d-31db2ebd72bd}
    SUPPRIME Key: HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}
    SUPPRIME Key: HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}
    SUPPRIME Key: HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}
    SUPPRIME Key: HKCU\Software\YahooPartnerToolbar
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{898EA8C8-E7FF-479B-8935-AEC46303B9E5}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}
    SUPPRIME Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

    ========== Valeur(s) du Registre ==========
    SUPPRIME FirewallRaz (SP) : %windir%\Network Diagnostic\xpnetdiag.exe
    SUPPRIME FirewallRaz (SP) : %windir%\system32\sessmgr.exe
    SUPPRIME FirewallRaz (DP) : %windir%\Network Diagnostic\xpnetdiag.exe
    SUPPRIME FirewallRaz (DP) : %windir%\system32\sessmgr.exe
    Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Documents and Settings\Ecodair\Application Data\searchresultstb
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Fichier(s) ==========
    ABSENT Folder/File: c:\documents and settings\ecodair\application data\searchresultstb
    SUPPRIME Temporaires Windows
    SUPPRIME Flash Cookies

    ========== Récapitulatif ==========
    11 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    3 : Dossier(s)
    3 : Fichier(s)

    End of clean in 00mn 02s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 13/03/2013 17:44:02 [2282]
    0
  16. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    C'est le bon rapport :-)

    Maintenant tu vas faire ceci:

    * Télécharge et installe Malwarebytes
    * A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
    * Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
    * Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
    * Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
    * A la fin de l'analyse, clique sur "Afficher les résultats"
    * Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
    * Enregistre le rapport
    * S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
    * Un rapport apparait après la suppression : poste le dans ta prochaine réponse.

    Smart
    0
  17. Carmina
     
    Merci, c'est fait.
    Malwarebytes n'a rien trouvé ; il n'avait rien trouvé non plus avant que je fasse Roguekiller.
    Il n'y a donc pas de rapport de suppression.

    Pourquoi ZHPDiag n'arrive pas à faire certaines options de recherche ?
    Que fais-je maintenant ?

    Merci beaucoup.
    0
  18. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Peux-tu poster quand même le rapport ?
    Tu lances MBAM et tu vas dans l'onglet Rapports/logs

    Smart
    0
  19. Carmina
     
    Bonjour,

    Le voici :

    Malwarebytes Anti-Malware 1.70.0.1100

    Version de la base de données: v2013.03.14.06

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    [administrateur]

    14/03/2013 14:13:03
    mbam-log-2013-03-14 (14-13-03).txt

    Type d'examen: Examen complet (A:\|C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
    Options d'examen désactivées:
    Elément(s) analysé(s): 221753
    Temps écoulé: 34 minute(s), 48 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  • 1
  • 2