Visiblement infecté par un cheval de troie

theswitch Messages postés 11 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,
si je viens vous demander de l'aide aujourd'hui, c'est parce que j'ai tout essayé et que rien ne marche...
Mon ordinateur est visiblement infecté par un cheval de troie... comment je le sais? Avast me le dit plus de 200x par jour (oui oui, plus de 200x (il en était à 38 mise en quarantaine consécutive au début du mail et est déjà à 50 maintenant, en 3 phrases...)
J'ai donc demander à avast de supprimer les fichiers, il l'a fait mais rien ne fait, ils reviennent... J'ai donc essayé avec Malwaresbytes qui les détectes aussi et les supprime aussi mais rien n'y fait. j'ais alors essayé le scan avast avant démarrage de windows, rien ne change et j'ai fini par tenter les scans sur internet (secuzer et autres). Ca n'a rien fait si ce n'est empirer les choses (j'ai 10X plus d'alertes, au point ou mon ordinateur rame à cause de ces alertes...

Ces fichiers, ce sont selon Avast:
C:\User\Me\Appdata\localsetting\Temp\izwizard\dwme.exe
C:\User\Me\Appdata\localsetting\Temp\izwizard\wuaudit.exe

Voici le rapport de Malwaresbytes:
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.01.04

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16580
bertrand :: PC_BERTRAND [administrateur]

01-06-13 23:16:48
mbam-log-2013-06-01 (23-16-48).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 216263
Temps écoulé: 11 minute(s), 36 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\bertrand\AppData\Local\Temp\iswizard\iswizard.7z (Trojan.BitcoinMiner) -> Suppression au redémarrage.

(fin)
Mon ordinateur est un Asus X401U avec Windows 8 dessus...

Pouvez vous m'aider? je n'en peux plus de la voix de la madame d'Avast

Merci d'avance

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Y a pas besoin de formaté, ce sont problament des bots.
    Ca se désinfecte facilement.

    Il faut aussi changer ses mots de passe, ils ont été volés.

    Pour désinfecter :

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
    3
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Tous.

    Désinstalle :
    Carambis Driver Updater
    WinZip Registry Optimizer

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    O4 - HKU\S-1-5-21-4209437470-1120707370-2905747984-1001..\Run: [MSIDLL] C:\Windows\SysWow64\msisbc32.dll ()

    * redemarre le pc sous windows et poste le rapport ici

    ~~~

    Zip le dossier C:\_OTL
    Ouvre Mon Ordinateur / Poste de travail => Disque C
    Clic droit / Envoyer vers dossier compressé.
    Cela va créer un fichier C:\_OTL.zip
    Envoie ce fichier _OTL.zip sur http://upload.malekal.com

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    2
    1. theswitch Messages postés 11 Statut Membre 2
       
      Je dois encore faire quelque chose?
      0
  3. theswitch Messages postés 11 Statut Membre 2
     
    Ok bah je vais changer mes codes ;)

    ========== OTL ==========
    Registry value HKEY_USERS\S-1-5-21-4209437470-1120707370-2905747984-1001\Software\Microsoft\Windows\CurrentVersion\Run\\MSIDLL deleted successfully.
    C:\Windows\SysWOW64\msisbc32.dll moved successfully.

    OTL by OldTimer - Version 3.2.69.0 log created on 06022013_122101

    Pour le premier, jet je viens d'envoyer le rapport mais j'ai rien comme lien, c'est normal?
    Sinon, peut-être rien a voir mais j'ai 2 fichier "Desktop.ini" sur mon bureau, normal?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    j'ai envie de dire oui formatage.. mais quand j'utiliser Windows 7 j'étais très content de comodo internet security il est excellent quand il est bien paramétré, il contient un programme téléchargeable qui s'appelle "Comodo Cleaning Essentials" et qui recherche les virus/malware etc.. plus profondément qu'un examen complet du pc

    Si tu ne sais pas comment faire pour le formatage ici des personnes t'aiderons en plus de la doc :)

    Et si tu t'y connais un peu et que tu te débrouille pas mal, il y a une distribution linux abandonnée dont je ne me souvient plus le nom, mais qui est basée sur ubuntu qui comprend un antivirus windows il s'agit d'avg antivirus, que l'ont peut mettre à jour en live-cd et examiner la partition windows sans qu'un virus soit charger, ensuite prendre le relais par un autre antivirus sur ta session windows mais bien sure le mieux serai un

    Formatage
    -3
  6. Natsu19290 Messages postés 459 Statut Membre 3
     
    formatage ^^ = la solution ultime quand sa commence comme sa si tu formate pas tu en auras jamais fini x)
    -5