Trojan

Fermé
Carmina - 10 mars 2013 à 01:02
 Carmina - 1 avril 2013 à 10:38
Bonjour,

Microsoft essentials vient de me trouver un trojan "grave" me dit-il :
JS/IframeREf.
Il l'a mis en quarantaine et je l'ai détruit.
J'ai fait Malwarebytes sous F8 et il n'y a rien.

Que faire d'autre ?
Par avance, merci beaucoup.
A voir également:

32 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
14 mars 2013 à 15:22
En fait je voulais voir si la bade antivirale de MBAM était à jour.

Refais un scan ZHPDiag et poste le rapport via pjjoint.
Ensuite on va passer à la phase finale. Il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart
0
Voici le rapport du scan ZHP diag ( Celui au tournevis, si tu veux un autre, j'essaie d'en refaire un autre) :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130314_e13p12j7j12d6

Je trouve aussi sur mon bureau deux blocs-note de MBR check... Je présume qu'ils datent de quelques jours ; en voici un :

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:
Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x0000000d

Kernel Drivers (total 117):
0x804D7000 \WINDOWS\system32\ntoskrnl.exe
0x80700000 \WINDOWS\system32\hal.dll
0xF7987000 \WINDOWS\system32\KDCOM.DLL
0xF7897000 \WINDOWS\system32\BOOTVID.dll
0xF75A7000 ACPI.sys
0xF7989000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
0xF7596000 pci.sys
0xF75F7000 isapnp.sys
0xF7A4F000 PCIIde.sys
0xF7707000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
0xF798B000 intelide.sys
0xF7607000 MountMgr.sys
0xF74D7000 ftdisk.sys
0xF798D000 dmload.sys
0xF74B1000 dmio.sys
0xF770F000 PartMgr.sys
0xF7617000 VolSnap.sys
0xF7499000 atapi.sys
0xF7627000 disk.sys
0xF7637000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
0xF7479000 fltMgr.sys
0xF7467000 sr.sys
0xF743B000 MpFilter.sys
0xF7424000 KSecDD.sys
0xF7B52000 Ntfs.sys
0xF786A000 NDIS.sys
0xF740A000 Mup.sys
0xF7667000 \SystemRoot\system32\DRIVERS\intelppm.sys
0xB9C73000 \SystemRoot\system32\DRIVERS\ialmnt5.sys
0xB9C5F000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
0xF7817000 \SystemRoot\system32\DRIVERS\usbuhci.sys
0xB9C3B000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
0xF781F000 \SystemRoot\system32\DRIVERS\usbehci.sys
0xB9C14000 \SystemRoot\system32\DRIVERS\e100b325.sys
0xF7677000 \SystemRoot\system32\DRIVERS\i8042prt.sys
0xF773F000 \SystemRoot\system32\DRIVERS\kbdclass.sys
0xF7747000 \SystemRoot\system32\DRIVERS\fdc.sys
0xB9C03000 \SystemRoot\system32\DRIVERS\serial.sys
0xBA7E0000 \SystemRoot\system32\DRIVERS\serenum.sys
0xB9BEF000 \SystemRoot\system32\DRIVERS\parport.sys
0xF7687000 \SystemRoot\system32\DRIVERS\cdrom.sys

Merci beaucoup.
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
15 mars 2013 à 09:09
Désinstalle par ajout/suppression de programmes Java 6 update 29

Vérifie les mises à jour de tes programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : http://www.filehippo.com/updatechecker/UpdateChecker.exe
et lis ceci: Pourquoi tenir ses programmes a jour

Optimisation:

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie les lignes en gras suivantes :

----------------------------------------------------------
OPT:O4 - HKCU\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-3327544969-3578926789-2850667741-1003\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe


----------------------------------------------------------
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Vérifis que la case "Supprimer les outils de désinfection" soit cochée
- Clique sur Exécuter


2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.

3. Désactiver la restauration système et créer un point de restauration
- Dans la barre des tâches de Windows, clique sur Démarrer.
- Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés.
- Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système"
- Clique sur Appliquer.
- Ensuite décoche "Désactiver la restauration du système"
- Clique sur appliquer puis OK

Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils système => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan.


WOT - Extension pour ton navigateur internet :
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC :
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent des adwares[ http://www.malekal.com/HOSTS_filtre/HOSTS_Anti-Adware.exe HOSTS Anti-PUPs/Adware]
Voici un tutoriel pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller plus tard HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu peux aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commandel


- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up pibcitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart
0
Bonjour Smart,

Merci beaucoup.

Lorsque je veux désinstaller par ajout/suppression de programmes Java 6 update 29, un message s'affiche qui dit :
"Erreur irrécupérable à l'installation"
Et rien ne se produit.

Par avance, merci.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Rebonjour :

En attendant tes conseils pour me dire comment enlever les dernières versions de Java, j'ai utilisé Javara version 1.16. Mais le Java 6 update 29 est toujours là.
( Et le 6 update 22 aussi, mais tu ne m'as pas demandé de l'enlever).

Et puis j'ai fait ZHPfix.
C'est bizarre, il met fin de nettoyage en 0 minute et 0 seconde. N'aurait-il rien fait ?

Cela pourrait-il venir des difficultés de connexion que j'ai en ce moment ( France Télécom est censé réparer ma ligne dans les prochains jours) ?
Ainsi j'ai du mal à télécharger des éléments, car parfois un téléchargement s'arrête en disant que le temps est dépassé. Enfin, j'ai quand même réussi à télécharger certaines mises à jours.

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre :
Run at 15/03/2013 14:57:28
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Corbeille vidée

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: CTFMON.EXE

========== Autre ==========
NON TRAITE O4 - HKUS\S-1-5-19\


========== Récapitulatif ==========
1 : Valeur(s) du Registre
1 : Autre


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 14/03/2013 17:44:02 [2334]
C:\ZHP\ZHPFix[R2].txt - 15/03/2013 14:57:29 [596]
0
Comme de plus j'avais une image qui ne s'effaçait pas sur mon bureau ( de téléchargement d'Adobe), j'ai fait Roguekiller qui m'a enlevé cette image et le lien suspect lié à Adobe.
De plus il a remplacé à nouveau deux entrées de registre qu'il avait déjà enlevées précédemment et qui donc seraient revenues.
Voici le rapport.


RogueKiller V8.5.3 [Mar 13 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur :
Mode : Suppression -- Date : 15/03/2013 15:35:19
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6Y080M0 +++++
--- User ---
[MBR] 8d30dc0ab3210ba573813f1314b9c9d9
[BSP] 0c29782cdff10de68e11f099fe76a0b2 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 76324 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_15032013_153519.txt >>
RKreport[1]_S_13032013_163634.txt ; RKreport[2]_S_15032013_153427.txt ; RKreport[3]_D_15032013_153519.txt
0
Oui, ce sont les mêmes entrées de registre : les précédentes étaient :les mêmes :
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
15 mars 2013 à 22:08
Il ne faut pas non plus être parano :-) Il n'y avait rien d'infectieux

Pour désinstaller les anciennes versions de Java il faut aller dans le panneau de configuration puis ajout/suppression de programmes.

Pour ZHPFix c'est OK.

Smart
0
Bonsoir Smart,

- Comme je te le disais dans mon avant-dernier post :

"Lorsque je veux désinstaller par ajout/suppression de programmes Java 6 update 29, un message s'affiche qui dit :
"Erreur irrécupérable à l'installation"
Et rien ne se produit. "
Comment fais-je alors ?

- j'ai toujours des croix rouges à la place des images : quel logiciel me manquerait-il ?



Par avance, merci beaucoup.
0
PS : j'ai refaif le ZHdiag avec le tournevis, mais :
- sans le 89: détournenement de DNS, qui se bloquait chaque fois
- sans le 80 qui se bloquait aussi chaque fois.

Le rapport comporte encore beaucoup de lignes en couleur bleue et deux trois en couleur verte :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130315_q15c13h15w7f8

Merci beaucoup
0
Rebonsoir,

Pour ce qui concerne le fait d'enlever le programme Java 6 update 29, j'ai cherché un programme de désinstallation et j'ai trouvé Revouninstaller.
Qu'en penses-tu ?

Celui-ci me dit que le programme Java 6 update 29 a le même chemin que le Java 6 Update 15
et que donc il faut être certain de vouloir enlever le programme Java 6 Update 15 aussi
.

Que dois-je faire ?
Pär avance, merci beaucoup.
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
16 mars 2013 à 12:46
La dernière version de Java est java 7 update 17
Tu peux cons désinstaller toute les version antérieurs m^me avec Revo
Pour l'update 17 normalement tu l'as déjà installée., en débute de ctte discussion.

Pour les crois rouges sur les images, je ne vois pas ce que tu veux dire. Ce sont les icônes ou les images en elle-mêmes


Smart
0
Bonsoir Smart,

Merci.

1 - Ca y est J'ai désinstallé les anciennes versions de Java avec Revo.

- Pour ce qui concerne les entrées

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnablELUA (0) -> REMPLACÉ (1)

J'ai l'impression que j'ai vu ces entrées dans le logiciel Auslogik Defrag.

2 - Sinon, j'avais précédemment refaif le ZHdiag avec le tournevis, mais :
- sans le 89: détournement de DNS, qui se bloquait chaque fois
- sans le 80 qui se bloquait aussi chaque fois.

Le rapport comporte encore beaucoup de lignes en couleur bleue et deux trois en couleur verte ; Cela veut dire quoi ?

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130315_q15c13h15w7f8

Cela veut dire quoi ?

3 - Pour les croix rouges, elles remplacent parfois des images ou des icônes sur des sites.
Et quand une page internet s'installe sur l'écran elle saute parfois.

4- J'ai également des fichiers que je ne peux pas ouvrir et pourlesquels une bulle me demande de choisir un programme pour ouvrir le fichier, mais je ne sais pas lequel, ou de chercher un programme sur le Web.

5 - sur le bureau j'ai un petit cadre blanc qui s'appelle MBR Check
et qui quand je clique dessus me dit :
Windows XP MBR code detected
Size Device Name MBR Status
Et ensuite des lettres et des chiffres.

Par avance, merci beaucoup
0
6 - Et puis parfois, l'ordinateur me dit :
"Internet ne peut pas ouvrir cette page."

Merci beaucoup pour tes réponses à ces 6 éléments. J'espère que je n'ai rien oublié.
Bonne soirée.
0
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 326
19 mars 2013 à 09:48
Pour la 1
C'est RK qui a fait son travail

Pour la 2
O89 ==> Détournement DNS de ta Box ou du routeur
O80 ==> Diagnostic du MBR (module de démarrage qui permet le démarrage du pC depûis le disque)
Il arrive que que ZHPdiag bloque sur ces lignes
Les lignes vertes ==> C'est légitimes
Les lignes bleues ==> soit inutiles soit superflues, je ne touche que celles que je connais bien. La plupart doivent être supprimées par DelFix

Pour la 3
Pour les croix rouges, je ne suis toujours pas sûr d'avoir compris. Si ce sont des images dans des pages internet, il se peut que ce soient des publicités bloquées par AD-Block si tu l'as installé.

Pour la 4
C'est quels types de fichier que tu veux ouvrir ?

Pour la 5.
Il ne faut pas cliquer sur un programme sans le connaitre. ON réfléchit et on clique ensuite.
MBRCheck est un programme installé par ZHPDiag qui va permettre de vérifier le MBR de ton PC.
Si tu sélectionnes un des chiffres proposés, tu vas modifier le MBR alors que tu ne sais pas si le MBR est infecté ou corrompu, tu risques d'empêcher le démarrage de ton PC.
Normalement ce programme aurait dû être désinstallé par Delfix

Pour la 6
Il peut y avoir plusieurs explications:
- Soit le site n'est pas disponible
- Soit il est bloqué par Anti PUP/adware

Le dernier rapport montre plus rien d'infectieux

Smart
0
Bonjour Smart, :o)

et merci.


- Entrées rouges : Dois-je alors désinstaller et réinstaller Auslogik, si les entrées rouges proviennent effectivement de lui ?

- Croix rouges : Non ces croix routes étaient antérieures, et je n'ai pas encore installé vraiment - je crois- AD block, car cela me paraît très compliqué. J'ai son petit logo je crois dans la barre de mon bureau mais c'est tout.
Et parfois les croix rouges sont dans des mails que l'on m'envoie. Je pensais qu'il me manquait un logiciel d'images...

- Fichiers à ouvrir : quels fichiers je ne peux pas ouvrir : l'un est le fichier d'installlation de la quickcam. Je ne vois plus les autres fichiers auxquels je pensais, sauf les archives du logiciel de décompression IZARC, mais là je vais devoir réinstaller IZARC apparemment pour les ravoir ? ah si un fichier est de type lock.DDS.doc

- MBR Check : c'est quelque chose qui appartient à ZHDIAG, je n'ai rien fait avec lui (! :o)), mais il était là et si je cliquais dessus il y avait une fenêtre noire de commande qui apparaissaitt. Il a disparu avec Delfix que je viens de faire

- autres questions :
1 ) au démarrage, mon ordi parfois affiche une page noire avec des éléments dont l'un me dit que pour démarrer l'ordinateur je dois faire F2. D'où cela vient-il s'il te plaît ?
2) comment vérifier si ma carte réseau est correcte ?

Bon Je vais faire Ccleaner, point 3 de ta prescription.

Merci beaucoup Smart
0
PS : - croix rouge : il y en a une pour moi par exemple à l'endroit où je télécharge Delfix, écrite juste avant le mot "Télécharger" dans le cadre sur lequel on clique pour le téléchargement
- Cleaner, je l'avais déjà : comment puis-je savoir si j'ai la toolbar ou pas ?
- Delfix : il n'y avait que la première case de cochée. Ca va ?

Merci beaucoup par avance.
0
Bonjour Smart,

J'ai créé le point de restauration système.

Par ailleurs, s-tu des idées pour les questions que je t'avais posées dans mes deux messages précédents ?

Par avance, merci beaucoup.

Bonne journée à toi.
0