Cheval de troie rouge bloqué par avast; AIDE SVP

Question

Bonjour, 

 
Depuis avant hier,  mon pc m'affiche un message de cheval de troie rouge bloqué par avast suivi d'un rootkit bloqué de la même couleur. Avast me dit qu'il les a mis en quarantaine et qu'il n'y a rien à faire ( effectivement quand je vais vois la boite de quarantaine j'ai des tonnes de virus: windows32/installer... et plein de variantes) 
Ce message apparaît toutes les 30 secondes, j'ai besoin d'aide svp.

Surement que cette question vous a déjà été posée, mais je suis vraiment nul en informatique et je suis en pleine période d'examens, je n'ai donc pas énormément de temps à consacrer aux virus.

Qu'est ce que je peux faire???? 
Merci de votre aide..

David

g3n-h@ckm@n · Answer

salut

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau  :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html  (renommé winlogon)

ou , si le lien n'est pas fonctionnel :

http://www.archive-host.com (renommé winlogon)
http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra  à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Davidou7 · Answer

Merci déjà de votre aide,
Après 2 heures d'analyses, le logiciel a enfin rendu ses conclusions.
Les voici:   http://cjoint.com/data3/3Egv3zh2Y5S.htm
Je suis à votre écoute pour la suite.
Merci beaucoup :)

g3n-h@ckm@n · Answer

bien deja avast doit moins couiner :)

==

relance l outil , clique sur diag , puis heberge le rapport pre_diag et donne le lien

g3n-h@ckm@n · Answer

ah si c'est obligé !

g3n-h@ckm@n · Answer

winlogon.exe ou pre_scan.exe

g3n-h@ckm@n · Answer

tu dois pas desactiver tes protections à mon avis...

la sandbox d'avast est bien désactivée ?

g3n-h@ckm@n · Answer

ca sent l injector...

==

 &#9654 Télécharge : Gmer clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections : https://forum.pcastuces.com/default.asp

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.

Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

ensuite :

fais bien attention que toutes les cases à droites soient cochées , puis clique sur scan 

j'attends donc deux rapports hébergés

g3n-h@ckm@n · Answer

pas de soucis bonne soirée :)

g3n-h@ckm@n · Answer

re

 Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

g3n-h@ckm@n · Answer

desinstalle ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

desinstalle claro toolbar
desinstalle tout java
desinstalle software version updater

========

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKLM\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = https://uk.ask.com{searchterms}&l=dis&o=HPNTDF     
IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091 
IE - HKU\S-1-5-21-2435003663-4121240086-3612324425-1000\..\SearchScopes\{2fa28606-de77-4029-af96-b231e3b8f827}: "URL" = https://uk.ask.com{searchterms}&l=dis&o=HPNTDF     
IE - HKU\S-1-5-21-2435003663-4121240086-3612324425-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091 
IE - HKU\S-1-5-21-2435003663-4121240086-3612324425-1000\..\SearchScopes\{FB941A1E-BA61-4F9F-9FAC-13088351B4D6}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=&apn_ptnrs=UJ&apn_dtid=YYYYYYYYFR&apn_uid=225404b1-963f-41b7-a725-76c52b48971e&apn_sauid=67ADD10D-1FC3-46E4-A7E6-9007CD2B98BB 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O2 - BHO: (Claro LTD Helper Object) - {000F18F2-09EB-4A59-82B2-5AE4184C39C3} - C:\Program Files (x86)\Claro LTD\claro\1.6.4.1\bh\claro.dll (Montera Technologeis LTD) 
O3 - HKLM\..\Toolbar: (Claro LTD Toolbar) - {9E131A93-EED7-4BEB-B015-A0ADB30B5646} - C:\Program Files (x86)\Claro LTD\claro\1.6.4.1\claroTlbr.dll (Montera Technologeis LTD) 
O3 - HKU\S-1-5-21-2435003663-4121240086-3612324425-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found
O4 - HKU\S-1-5-21-2435003663-4121240086-3612324425-1000\..\Run: [AdobeBridge]  File not found
O4 - HKU\S-1-5-21-2435003663-4121240086-3612324425-1000\..\Run: [HideMyIP] C:\Program Files (x86)\Hide My IP\HideMyIP.exe File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)     
O16 - DPF: {CAFEEFAC-0016-0000-0037-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37) 
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_37-windows-i586.cab (Java Plug-in 1.6.0_37)     
[2013/04/10 01:39:44 | 000,000,000 | ---D | C] -- C:\ProgramData\Tarma Installer     
[2013/04/10 01:39:38 | 000,000,000 | ---D | C] -- C:\Users\hp\AppData\Local\SwvUpdater     
[18 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ] 
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Davidou7 · Answer

Je crains ne pas comprendre. Après avoir désinstaller ce que vous me demandez que suis je censé faire?

g3n-h@ckm@n · Answer

lire et executer ce qui est demandé

Davidou7 · Answer

Oui j'ai lu mais ou est ce que je trouce OLT.exe?

Davidou7 · Answer

au temps pour moi je le fais :)

Davidou7 · Answer

Je pense avoir fait ce que vous m'avez demandé: http://cjoint.com/?3EiaHitdvIA

g3n-h@ckm@n · Answer

ok 1.2  de gagnés

quels soucis persistent ?

Davidou7 · Answer

Je ne sais pas si cela est une coïncidence, mais j'imagine, depuis que le cheval de Troie est arrivé sur mon ordi, je n'arrive plus a me connecter sur mon wifi mais uniquement avec le fil internet...

g3n-h@ckm@n · Answer

messages d'erreur à la connection ?

g3n-h@ckm@n · Answer

tu peux faire une capture ?

Davidou7 · Answer

Si ça peut vous aidez à décortiquer ma situation: http://cjoint.com/data3/3EibnBiqJTf.htm

g3n-h@ckm@n · Answer

ca le fait avec tous les navigateurs ou uniquement google chrome ?

Davidou7 · Answer

ça me le fait partout , une fois que j'ai débranché le cable internet, outlook ne marche plus, skype non plus...

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Davidou7 · Answer

Alors alors, 
Après pas moins de 6h de scan (je sais pas si c'est normal), le logiciel m'a trouvé 7 fichiers que j'ai supprimé, puis redémarrer mon ordi.  Voici le lien du rapport: http://cjoint.com/data3/3Eiq7HlGm88.htm
Pourtant mon ordi n'arrive toujours pas à se connecter en wifi au réseau de mon appart...

g3n-h@ckm@n · Answer

refais un OTL stp

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-2435003663-4121240086-3612324425-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - No CLSID value found.
O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll File not found
O4 - HKLM\..\Run: [AdobeCS5.5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe" -launchedbylogin File not found
O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe File not found
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 10.0.0.138 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{C8BB3F64-8B8A-4FA3-9F78-9F6F869D2D44}: DhcpNameServer = 10.0.0.138 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{FB4361FD-EEEB-4DFC-91F9-AF02AEC2F745}: DhcpNameServer = 10.0.0.138 
O33 - MountPoints2\{3874cdac-3527-11e1-b73c-2c27d7c5f3f2}\Shell - "" = AutoRun 
O33 - MountPoints2\{af44baeb-6ab4-11e1-b087-2c27d7c5f3f2}\Shell - "" = AutoRun 
@Alternate Data Stream - 974 bytes -> C:\Users\hp\AppData\Local\ai30Yg4OUIDG:d3koVlV8M3Xr51oRm7EViw0ev 

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
   
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Davidou7 · Answer

Je n'ai même pas besoin de poster le rapport car mon wifi marche de nouveau.
Je ne sais pas ce que vous m'avez fait faire, mais je vous remercie.
Merci beaucoup :)

g3n-h@ckm@n · Answer

je te demande quand meme le rapport , on a pas fini

Cheval de troie rouge bloqué par avast; AIDE SVP

28 réponses

Votre réponse

Discussions similaires

Newsletters