Orid infecté par plusieurs choses Trojan... Fermé

Question

PC infecté... Gros soucis!!!

Quelqu'un pourrait-il m'aider à virer mes fichiers infectés, virus, ...? Mon ordi a parfois du mal à s'allumer depuis quelques temps et j'ai vu qu'il était infecté grâce à des anti-virus en ligne... Je vais faire un Scan en ligne chez panda pour pouvoir poster le rapport sur ce forum.
A tout de suite et en espérant que quelqu'un pourra m'aider...
Je sais déjà qu'il y a des trucs louches : fancecile.exe par exemple (on m'a dit que c'était carpe diem, trojan,..., bref, je n'y comprend pas grand chose, mais ça a pas l'air bon).

nicolanimateur · Answer

Montorgueil était dans les certificats "éditeurs approuvés". Panda a déjà trouvé un virus... Je poste le scan dès qu'il est terminé...

papyber · Answer

poste ton rapport panda dès qu'il est terminé et fait aussi ceci
télécharge GenProc de Jean-Chretien1 et Narco4 sur ton bureau
 http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip 

dézippe le dossier, double-clique sur GenProc.bat et poste le contenu du rapport qui s'ouvre

Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
poste les rapports car parfois il faut ajouter des consignes à la manip pour que cela fonctionne parfaitement
télécharge et installe le logiciel HijackThis v1.99.1
http://pchelpbordeaux.free.fr/logiciels.html
poste son rapport

papyber · Answer

bien tu vas commencer comme ceci
ferme tout
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.

C:\WINDOWS\Downloaded Program Files\FanCecile.exe

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

Clique sur ce lien :
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
Clique sur navilog1.zip pour télécharger navilog1.exe.

Choisis Enregistrer

et enregistre-le sur ton bureau.

Ensuite double clique sur navilog1.exe pour lancer l'installation.
Une fois l'installation terminée, le fix s'exécutera automatiquement.
(Si ce n'est pas le cas, double-clique sur le raccourci Navilog1 présent sur le bureau).

Laisse-toi guider. Au menu principal, choisis 1 et valides.
(ne fais pas le choix 2,3 ou 4 sans notre avis/accord)

Patiente jusqu'au message :
*** Analyse Termine le ..... ***
Appuie sur une touche comme demandé, le blocnote va s'ouvrir.
Copie-colle l'intégralité dans une réponse. Referme le blocnote.
Le rapport est en outre sauvegardé à la racine du disque (fixnavi.txt)

papyber · Answer

Comment aller en Mode sans échec lettre C
https://forum.pcastuces.com/sujet.asp?f=25&s=3902

télécharge AVG Antispyware
https://www.avg.com/en-ww/free-antivirus-download

mode d'utilisation : 
Lance AVG Anti-Spyware, mets le à jour,
Clique sur le bouton « Analyse » onglet « paramètres »
Puis « Comment réagir », clique sur Actions recommandées. Sélectionne Quarantaine.

Télécharge : - CCleaner
https://www.pcastuces.com/logitheque/ccleaner.htm
("Download Latest Version", sur la droite).
 Ce logiciel va permettre de supprimer tous les fichiers temporaires. Avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires". Ensuite, Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. C'est tout.

redémarre en mode sans échec et copie ces consignes car tu n'auras pas accès à internet

lance ccleaner , nettoyeur, et supprime tout ce qu'il trouve
lance ccleaner , erreurs, et supprime tout ce qu'il trouve

lance Spybot et supprime tout ce qu'il trouve

Lance AVG Anti-Spyware
Retour à l'onglet Analyse. 
Clique sur Analyse complète du système.
A la fin du scan, choisis " Appliquer toutes les actions " 
Clique sur "Enregistrer le rapport". Le fichier texte se trouve dans le dossier Reports du dossier d'AVG Anti-Spyware

redémarre normalement et poste moi les rapports obtenus

papyber · Answer

lorsque tu lance ccleaner nettoyeur, il nettoie tout, relance le jusqu'à ce qu'il ne trouve plus rien!!
pour les erreurs tu cliques sur corriger et tu acceptes la sauvegarde , puis tu cliques sur corriger tout

pour Spybot désolé, je n'ai pas pris garde que tu ne l'as pas
spybot search and destroy
https://www.safer-networking.org/?page=download
un tuto pour le paramétrer
https://www.zebulon.fr/dossiers/securite/42-spybot.html

papyber · Answer

non fais le aussi en mode sans échec

nicolanimateur · Answer

j'ai un spybot search and destroy... Dois-je le mettre à jour???

papyber · Answer

oui bien sur

nicolanimateur · Answer

je n'ai pas accès à internet en mode sans échec

papyber · Answer

il faut le mettre à jour avant d'aller en mode sans échec

nicolanimateur · Answer

ok, j'y vais. Je le met à jour. Je retourne en mode sans échec et je continue à suivre tes conseils...

papyber · Answer

bon courage

nicolanimateur · Answer

J'ai mis à jour spybot (v1.4). J'ai redémarré en mode sans échec.
Je reprend la suite avec spybot et AVG

papyber · Answer

ok j'attends tes rapports

papyber · Answer

non

nicolanimateur · Answer

Puis-je récupérer un rapport de Spybot?
Est-ce utile ou celui de AVG suffira???

papyber · Answer

celui de avg va suffire, tu me dis simplement ce que spybot a trouvé

nicolanimateur · Answer

il en a trouvé deux... Je sais plus lesquels mais il y avait Montorgueil et un autre

papyber · Answer

tu regardes dans "sauvegardes" et tu les y vois
copie moi cela

nicolanimateur · Answer

avg a trouvé trojan.dialer.eg en risque élevé grrrr

nicolanimateur · Answer

il y a CarpeDiem Vars et GrokLoader dans la sauvegarde spybot

papyber · Answer

normal il a retrouvé celui que panda n'a pas supprimé et lui il va le détruire! si tu n'oublies pas "d'appliquer toutes les actions"

nicolanimateur · Answer

ok je vais y penser!!!
Je t'envoie le raport dans la foulée car il se termine

nicolanimateur · Answer

Voici le rapport AVG

---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

 + Créé à:	19:49:52 22/07/2007

 + Résultat de l'analyse:	



C:\_OTMoveIt\MovedFiles\WINDOWS\Downloaded Program Files\FanCecile.exe -> Trojan.Dialer.eg : Nettoyé et sauvegardé (mise en quarantaine).


Fin du rapport


Pour le Spybot, je te l'ai déjà donné.

Pour ccleaner. OK. Veux-tu les rapports intermédiaires???

papyber · Answer

c'est tout bon, c'est dans la sauvegarde de OTMoveIT il est "mort"
clic double sur OTMoveIt.exe pour le lancer
Clic sur le bouton CleanUp! destiné a supprimer  toutes traces des programmes qui ont servi à la désinfection
OTMoveIt s'auto-supprime aussi.
la manoeuvre nécessitera un reboot initié par le programme.

faire un scan antivirus en ligne avec internet explorer et accepter l'activex 
poster le rapport ici ensuite
https://www.bitdefender.fr/ 

En bas, à gauche de la fenêtre, clique sur BitDefender SCAN ONLINE 
Dans la nouvelle fenêtre, clique sur I agree 
La fenêtre change encore, clique sur Click here to scan 
Les signatures se chargent, etc. 

tuto en image
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

nicolanimateur · Answer

ok... Bitdefender est en cours d'analyse. Je te poste le rapport dès que possible.

nicolanimateur · Answer

temps restant estimé 46 minutes, mais ça décroit assez vite... Je dirai plutôt 15 minutes.

nicolanimateur · Answer

il y a déjà windows\system32\ActiveScan\pskahk.dll qui a été viré

nicolanimateur · Answer

et maintenant C:\Documents and Settings\Nicolas\Bureau\ccsetup141.exe a été supprimé

nicolanimateur · Answer

Et encore 4 dans C:\System Volume Information\restore{............ qui ont été supprimés et ça se termine dans deux minutes.

nicolanimateur · Answer

et c:\ProgramFiles\CCleaner\uninst.exe aussi éradiqué

nicolanimateur · Answer

Maintenant, il dit qu'il reste 15 heures et il en est au fichier 77400 sur 71149???

nicolanimateur · Answer

Il a terminé... Voici le rapport d'analyse:

BitDefender Online Scanner
  
  
 
Rapport d'analyse généré à: Sun, Jul 22, 2007 - 21:22:25
 
 
  
  
 
Voie d'analyse: C:\;D:\;E:\;F:\;
  
  
 
 
  
  
 
Statistiques
 
Temps
 00:53:31
 
Fichiers
 273052
 
Directoires
 6961
 
Secteurs de boot
 4
 
Archives
 7058
 
Paquets programmes
 8430
 
  
  
 
Résultats
 
Virus identifiés
 3
 
Fichiers infectés
 7
 
Fichiers suspects
 0
 
Avertissements
 0
 
Désinfectés
 0
 
Fichiers effacés
 7
 
  
  
 
Info sur les moteurs
 
Définition virus
 639915
 
Version des moteurs
 AVCORE v1.0 (build 2410) (i386) (Jun 12 2007 21:08:27)
 
Analyse des plugins
 14
 
Archive des plugins
 38
 
Unpack des plugins
 6
 
E-mail plugins
 6
 
Système plugins
 1
 
  
  
 
Paramètres d'analyse
 
Première action
 Désinfecté
 
Seconde Action
 Supprimé
 
Heuristique
 Oui
 
Acceptez les avertissements
 Oui
 
Extensions analysées
 *;
 
Excludez les extensions
  
 
Analyse d'emails
 Oui
 
Analyse des Archives
 Oui
 
Analyser paquets programmes
 Oui
 
Analyse des fichiers
 Oui
 
Analyse de boot
 Oui
 
  
  
 
  Fichier analysé
  Statut
 
C:\WINDOWS\system32\ActiveScan\pskahk.dll
 Infecté par: Generic.Malware.SIMDWYNVdprn.D9407F4E
 
C:\WINDOWS\system32\ActiveScan\pskahk.dll
 Echec de la désinfection
 
C:\WINDOWS\system32\ActiveScan\pskahk.dll
 Supprimé
 
C:\Documents and Settings\Nicolas\Bureau\ccsetup141.exe
 Infecté par: Trojan.Downloader.Zlob.AADO
 
C:\Documents and Settings\Nicolas\Bureau\ccsetup141.exe
 Echec de la désinfection
 
C:\Documents and Settings\Nicolas\Bureau\ccsetup141.exe
 Supprimé
 
C:\Program Files\CCleaner\uninst.exe
 Infecté par: Trojan.Downloader.Zlob.AADO
 
C:\Program Files\CCleaner\uninst.exe
 Echec de la désinfection
 
C:\Program Files\CCleaner\uninst.exe
 Supprimé
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083620.exe
 Infecté par: Trojan.Dialer.EG
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083620.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083620.exe
 Supprimé
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083638.dll
 Infecté par: Generic.Malware.SIMDWYNVdprn.D9407F4E
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083638.dll
 Echec de la désinfection
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083638.dll
 Supprimé
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083639.exe
 Infecté par: Trojan.Downloader.Zlob.AADO
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083639.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083639.exe
 Supprimé
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083640.exe
 Infecté par: Trojan.Downloader.Zlob.AADO
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083640.exe
 Echec de la désinfection
 
C:\System Volume Information\_restore{A65CAB81-8F87-4280-8ABC-C81056D754CC}\RP223\A0083640.exe
 Supprimé

papyber · Answer

attends encore un peu

nicolanimateur · Answer

Ouais j'ai vu... Ca y est lol

papyber · Answer

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe

clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
C:\WINDOWS\system32\ActiveScan\pskahk.dll
C:\Documents and Settings\Nicolas\Bureau\ccsetup141.exe 
C:\Program Files\CCleaner\uninst.exe 

clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\_OTMoveIt\MovedFiles.

il te sera peut-être demander de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

Clic sur le bouton CleanUp! destiné a supprimer  toutes traces des programmes qui ont servi à la désinfection
OTMoveIt s'auto-supprime aussi.
la manoeuvre nécessitera un reboot initié par le programme.

si tout va bien supprime tout ce qu'on a utilisé car ce ne sera plus utile désormais

défragmente

pense à bien te protéger, j'ai découvert ce lien qui est plutôt pas mal à ce sujet

https://forum.pcastuces.com/default.asp

désactive ta restauration
clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer
redémarre ton PC
clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer
démarrer/tous les programmes/ outils système/ restauration du système/ créer un point de restauration


la sécurité c'est très important mais ne remplace pas l'internaute, un surf prudent en évitant le crack, les sites "chauds", permet déjà d'éviter bien des soucis, le P2P lui aussi est source d'infections...
 
 
et bon surf

nicolanimateur · Answer

Il me met Cannot create file C:\_OTMoveIt\MovedFiles\07222007_214522.log.

nicolanimateur · Answer

Ceci dit, dans le cadre de droite, j'ai:

File/Folder C:\WINDOWS\system32\ActiveScan\pskahk.dll not found.
File/Folder C:\Documents and Settings\Nicolas\Bureau\ccsetup141.exe not found.
File/Folder C:\Program Files\CCleaner\uninst.exe not found.
 
Created on 07/22/2007 21:45:22

nicolanimateur · Answer

Je continue???

nicolanimateur · Answer

Mon ordi rame un max au démarrage... Est-ce normal??? Dois-je refaire un anti-virus pour vérifier que tout est parti???
En attendant, je lance la défragmentation...

papyber · Answer

oui
à  demain

nicolanimateur · Answer

ok... Bon il rame grave. Je serai là seulement le soir demain. Tiens moi au courant si tu es dispo. En tout cas, merci pour ton aide. On verra s'il y a quelque chose à faire.
@+

papyber · Answer

POUR CE SOIR 
tu refais un scan en ligne mais ici
faire un scan antivirus en ligne avec internet explorer et accepter l'activex 
poster le rapport ici ensuite 
http://pandasoftware.fr
 pas le nanoscan, le scan complet

nicolanimateur · Answer

je le lance et je serai là vers 15 heures en fait donc si t'es dispo, j'aurai certainement besoin d'aide :-)

papyber · Answer

je serai de toute façon là dans l'après midi, si mes gamins de retour de vacances ne squattent pas le PC

nicolanimateur · Answer

ca y est... Je suis là...

Voila le résultat du scan qui a l'air plutôt bon...

;***********************************************************************************************************************************************************************************
ANALYSIS: 2007-07-23 17:24:10
PROTECTIONS: 1
MALWARE: 1
SUSPECTS: 1
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description                                  Version                       Active    Updated
;===================================================================================================================================================================================
Symantec Antivirus Corporate Edition         8.0                           No        Yes
;===================================================================================================================================================================================
MALWARE
Id        Description                        Type                Active    Severity  Disinfectable  Disinfected Location
;===================================================================================================================================================================================
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\Program Files\Navilog1\Process.exe
00139535  Application/Processor              HackTools           No        0         Yes            No           C:\WINDOWS\SYSTEM32\Process.exe
;===================================================================================================================================================================================
SUSPECTS
Location
;===================================================================================================================================================================================
C:\Documents and Settings\Nicolas\Cookies
icolas@apres-le-taf[2].txt
;===================================================================================================================================================================================

papyber · Answer

c'est bon
supprime ceci
C:\Program Files\Navilog1
C:\WINDOWS\SYSTEM32\Process.exe

papyber · Answer

oui tout ce qui a servi à la désinfection

nicolanimateur · Answer

Je pense que c'est fait sauf Spybot Search and Destroy qui ne veut pas partir... Je dois bien tout virer et après je réinstallerai tout ce qu'il faut pare-feu, antivirus, ...

papyber · Answer

pourquoi veux tu le virer? il est très utile
regarde ici un lien sur la sécurisation des PC
https://forum.pcastuces.com/default.asp

nicolanimateur · Answer

donc je garde spybot, AVG, et ...

papyber · Answer

spybot AVG un bon antivirus, un bon pare feu (pas celui de windows, sauf si tu as un pare feu matériel intégré comme avec la livebox ou certains modems) spywareblaster pour naviguer tranquillement avec internet explorer..cela fait déjà une belle panoplie, firefox ou opera comme navigateur, thunderbird en messagerie...

mais la première sécurité se tient entre le clavier et l'écran....pas de surf sauvage sur des sites olé olé...pas de crack ni de P2P et tu es en principe à peu près tranquille!!pas cliquer sur n'importe quel lien..
bon surf sécure!!!!!!!! lol !!!!!!!!!! mdr !!!!!!!!!!!

nicolanimateur · Answer

que me conseilles-tu comme antirus et pare-feu en téléchargement gratuit???
Ma boite est chez laposte... Puis-je me protéger en gardant cette adresse???

papyber · Answer

antivirus gratuit tu as Antivir, léger et très recommandé par les forums de sécurité, le télécharger chez l'éditeur
https://www.avira.com/en/prime
un tuto pour le paramétrer
http://mr.dodo.perso.cegetel.net/tuto21.htm

pare feu tu as zone Alarm ou kério
https://www.zonealarm.com/
tuto
http://securite-facile.ovh.org/zonealarm.php

oui la poste est pas mal,
thunderbird c'est pour remplacer outlook express, mais ce n'est pas obligatoire!!

nicolanimateur · Answer

ok je fais tout ça et je te tiens au courant quand j'ai terminé...

nicolanimateur · Answer

Bon. Ca a l'air mieux. Il ne bugge plus.
Il rame beaucoup au démarrage.
Zone Alarm bloque tout mais ca ira mieux quand les programmes récurrents seront autorisés ou refusés si j'ai bien compris.
Il va falloir que je défragmente, mais j'ai pas tout compris : quand créer le point de restauration, décocher et recocher l'option???
On verra si ça va mieux après???

papyber · Answer

Restauration système
Désactive ta restauration
Clique droit sur poste de travail/propriétés/coche la case désactiver la restauration, appliquer, OK
Réactive ta restauration
Redémarre ton PC et réactive ta restauration système
Clique droit sur poste de travail/propriétés/décoche la case désactiver la restauration, appliquer, OK

Nettoyage et Défragmentation de tes Disques
Nettoyage
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général"
Clique sur le bouton "nettoyage de disque", OK
tu le fais pour chacun de tes disques

Vérifications des erreurs
Clic droit sur "poste de travail" ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil"
"Vérifier maintenant", une boîte s'ouvre, cocher les cases
réparer automatiquement les erreurs...
rechercher et tenter une récupération...
Démarrer, ok
tu le fais pour chacun de tes disques

ensuite toujours dans le même onglet tu choisis
Défragmentation
"défragmenter maintenant", OK
une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK
tu le fais pour chacun de tes disques

nicolanimateur · Answer

merci pour tout... Je fais ça dans la nuit et je te retiendrai au courant quoi qu'il arrive... Encore mille mercis. Je te poste un état des lieux dès demain. Merci pour ta disponibilité et ta gentiellesse et ta patience avec un p'tit novice lol.

papyber · Answer

j'ai aussi été novice!!
normal de prendre le temps qu'il faut!

nicolanimateur · Answer

Je suis en train de faire tout ça... Pour C, c'est déjà baucoupp mieux et pour D j'ai pas encore commencé... C'est une opération à renouveler souvent???

Pour aujourd'hui et certainement demain, je vais continuer à faire tout ça et je te retiendrai au courant. Il rame encore pas moment pour l'instant (en fait quand je lance une application ou Internet, au début, il a du mal à l'ouvrir). On verra quand tout sera nettoyé et défragmenté :-).

Merci encore pour tout et je te retiens au courant dès que possible.

J'ai des travaux à faire dans ma future maison et ce soir, c'est ping... Je m'occupe de l'entraînement du mardi donc je dois y être présent. Comme ces actions prennent du temps, je les lance et je regarde le résultat après.

A bientôt

Orid infecté par plusieurs choses Trojan...

60 réponses

Discussions similaires