Trz8D.tmp cheval de troie
Résolu
vicman
Messages postés
47
Statut
Membre
-
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,
Hier, avast a détecté un cheval de troie sur mon ordi, qui a mon avis était au départ sur ma clé USB sous forme de dossiers DATA, FLASH, impossibles à ouvrir et surtout impossible à supprimer.
Après avoir utilisé Ad Aware, Spy Boat, Ccleaner et après avoir fait un scan au démarrage avec Avast (qui trouve une quinzaine de fichiers de type DATA.exe, ou trz8D.tmp), il me semble que mon ordi soit à peu près clean mais rien de sûr.
Mon autre problème c'est que mes clés USB sont infectées, impossible à formater et que j'ai peur d'avoir aussi infecté mon second pc (via clé USB) que je n'utilise que pour l'image et le son et qui n'a donc ni internet ni anti-virus...
Quelqu'un peut-il m'aider?
Merci par avance!
Vicman
Hier, avast a détecté un cheval de troie sur mon ordi, qui a mon avis était au départ sur ma clé USB sous forme de dossiers DATA, FLASH, impossibles à ouvrir et surtout impossible à supprimer.
Après avoir utilisé Ad Aware, Spy Boat, Ccleaner et après avoir fait un scan au démarrage avec Avast (qui trouve une quinzaine de fichiers de type DATA.exe, ou trz8D.tmp), il me semble que mon ordi soit à peu près clean mais rien de sûr.
Mon autre problème c'est que mes clés USB sont infectées, impossible à formater et que j'ai peur d'avoir aussi infecté mon second pc (via clé USB) que je n'utilise que pour l'image et le son et qui n'a donc ni internet ni anti-virus...
Quelqu'un peut-il m'aider?
Merci par avance!
Vicman
A voir également:
- Trz8D.tmp cheval de troie
- Antivirus cheval de troie gratuit - Télécharger - Antivirus & Antimalwares
- Ordinateur bloqué cheval de troie - Accueil - Arnaque
- Qu'est ce que le cheval au poker - Forum Virus
- Comment se débarrasser d'un cheval de troie ✓ - Forum Virus
- Retrouver son cheval skyrim - Forum Jeux PC
84 réponses
Bonjour!!
Merci de reprendre contacte!
J'ai copié Rav et Hijackthis sur ma clé qui avait été formatée. Je l'ai ensuite branchée sur mon autre pc.
J'ai alors découvert sur la clé un nouveau dossier Flashy et un nouveau dossier Recycled.
J'ai tout de suite lancé Rav qui détecte autorun.inf sur c:\ et la même chose sur e:\ sauf que ça ne s'arrête plus. Toutes les 5 secondes Rav retrouve le même fichier sur e:\ Et ça ne s'arrête plus.
Flashy et Recycled sont toujours sur la clé et je ne peux donc plus la brancher sur mon ordi principal.
Que faire?
J'installe Hijackthis et je copie un rapport? Le problème c'est que j'ai peur de réinfecter le premier ordi en faisant cette manip'
Merci
Merci de reprendre contacte!
J'ai copié Rav et Hijackthis sur ma clé qui avait été formatée. Je l'ai ensuite branchée sur mon autre pc.
J'ai alors découvert sur la clé un nouveau dossier Flashy et un nouveau dossier Recycled.
J'ai tout de suite lancé Rav qui détecte autorun.inf sur c:\ et la même chose sur e:\ sauf que ça ne s'arrête plus. Toutes les 5 secondes Rav retrouve le même fichier sur e:\ Et ça ne s'arrête plus.
Flashy et Recycled sont toujours sur la clé et je ne peux donc plus la brancher sur mon ordi principal.
Que faire?
J'installe Hijackthis et je copie un rapport? Le problème c'est que j'ai peur de réinfecter le premier ordi en faisant cette manip'
Merci
Re,
copie Rav et hijackthis sur l'ordi infecté et essaye de formatter la clé.
essaye ça : ouvre le bloc-note, copie y aaaaaa.
Enregistre le fichier sous autorun.inf (dans la clé et sur l'ordi) (coche tous les fichiers et pas .txt).
Il devrait protester parce que le fichier existe déjà. réponds que tu veux le remplacer;
quand tu as fait les 2, vérifie et refais passer RAV.
Si la clé est saine, exécute Hijackthis et copie le rapport sur la clé.
copie Rav et hijackthis sur l'ordi infecté et essaye de formatter la clé.
essaye ça : ouvre le bloc-note, copie y aaaaaa.
Enregistre le fichier sous autorun.inf (dans la clé et sur l'ordi) (coche tous les fichiers et pas .txt).
Il devrait protester parce que le fichier existe déjà. réponds que tu veux le remplacer;
quand tu as fait les 2, vérifie et refais passer RAV.
Si la clé est saine, exécute Hijackthis et copie le rapport sur la clé.
Bonjour!
J'ai copié Rav et Hijackthis sur l'ordi. J'ai ensuite formaté la clé, ce qui a tout supprimé sauf les éternels dossiers Flashy et Recycled...
J'ai ensuite ouvert le bloc note, copié aaaaaa (c'est bien ça qu'il faut faire ? ça parrait tellement bizarre...;) ) et ensuite, en voulant enregister le fichier sous autorun.inf sur la clé, le messae suivant est apparu :
"Ce fichier existe avec un attribut de lecture seule. Veuillez utiliser un nom de fichier différent"
Et là je suis coincé.
Je n'ai pas essayé de copier le fichier sur l'ordi car en fait je ne sais pas où le copier exactement.
Merci pour la patience!!!
J'ai copié Rav et Hijackthis sur l'ordi. J'ai ensuite formaté la clé, ce qui a tout supprimé sauf les éternels dossiers Flashy et Recycled...
J'ai ensuite ouvert le bloc note, copié aaaaaa (c'est bien ça qu'il faut faire ? ça parrait tellement bizarre...;) ) et ensuite, en voulant enregister le fichier sous autorun.inf sur la clé, le messae suivant est apparu :
"Ce fichier existe avec un attribut de lecture seule. Veuillez utiliser un nom de fichier différent"
Et là je suis coincé.
Je n'ai pas essayé de copier le fichier sur l'ordi car en fait je ne sais pas où le copier exactement.
Merci pour la patience!!!
Re,
ouvre l'explorateur Windows, recherche le fichier autorun.inf sur la clé (s'il le faut afficher ...)
clic droit sur le fichier et propriétés.
As tu l'onglet Sécurité ?
Si oui, Sécurité, tu choisis ta session, paramètres avancés et tu essayes de donner le contrôle total.
Si non, démarrage en mode sans échec, tu choisis la session administrateur et même manipulation.
Tu essayes de nouveau de recopier autorun.inf.
Pour l'ordi, fais rechercher sur autorun.inf. Si tu n'en as qu'un, pas de soucis, tu écrases celui-là. Si tu en as plusieurs, donne moi les noms complets.
ouvre l'explorateur Windows, recherche le fichier autorun.inf sur la clé (s'il le faut afficher ...)
clic droit sur le fichier et propriétés.
As tu l'onglet Sécurité ?
Si oui, Sécurité, tu choisis ta session, paramètres avancés et tu essayes de donner le contrôle total.
Si non, démarrage en mode sans échec, tu choisis la session administrateur et même manipulation.
Tu essayes de nouveau de recopier autorun.inf.
Pour l'ordi, fais rechercher sur autorun.inf. Si tu n'en as qu'un, pas de soucis, tu écrases celui-là. Si tu en as plusieurs, donne moi les noms complets.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Dans l'explorateur windows, impossible de trouver autorun.inf. Je n'ai tjs que Flashy et Recycled.
J'ai essayé de faire apparaitre les fichiers cachés mais en suivant la procédure j'ai eu un petit problème.
Dans le menu "Outils" du poste de travail, "Option des dossiers..." où je doit cliquer n'apparait pas...
J'essaye en mode sans echec ?
Dans l'ordi j'ai trouvé deux fichiers autorun qui date de 2004...
Leurs noms :
AUTORUN dans c:\utilitaires\Adobe Photoshop Cs 8.0
autorun dans c:\utilitaires\WinDVD
Merci!
Dans l'explorateur windows, impossible de trouver autorun.inf. Je n'ai tjs que Flashy et Recycled.
J'ai essayé de faire apparaitre les fichiers cachés mais en suivant la procédure j'ai eu un petit problème.
Dans le menu "Outils" du poste de travail, "Option des dossiers..." où je doit cliquer n'apparait pas...
J'essaye en mode sans echec ?
Dans l'ordi j'ai trouvé deux fichiers autorun qui date de 2004...
Leurs noms :
AUTORUN dans c:\utilitaires\Adobe Photoshop Cs 8.0
autorun dans c:\utilitaires\WinDVD
Merci!
Re,
Tout est exactment identique en mode sans échec.
Dans l'explorateur, je ne vois que Flashy et Recycled et je n'ai tjs pas "Options des dossiers..." dans le menu Outils du poste de travail.
Il m'est aussi toujours impossible d'enregister le nouveau fichier autorun.inf...
Tout est exactment identique en mode sans échec.
Dans l'explorateur, je ne vois que Flashy et Recycled et je n'ai tjs pas "Options des dossiers..." dans le menu Outils du poste de travail.
Il m'est aussi toujours impossible d'enregister le nouveau fichier autorun.inf...
re,
et par clic droit sur un fichier ou dossier ?
Pas de Sécurité et partage dans la liste qui s'affiche ni par Propriétés ?
Sinon, à l'ancienne :
démarrer, exécuter, cmd et OK
attrib -r -h nom_complet_de_autorun.inf et entrée
comme indiqué ici :
http://www.infoprat.net/astuces/windows2k_xp/commandes/attrib.php
et par clic droit sur un fichier ou dossier ?
Pas de Sécurité et partage dans la liste qui s'affiche ni par Propriétés ?
Sinon, à l'ancienne :
démarrer, exécuter, cmd et OK
attrib -r -h nom_complet_de_autorun.inf et entrée
comme indiqué ici :
http://www.infoprat.net/astuces/windows2k_xp/commandes/attrib.php
Re,
Lorsque je vais dans Propiété de tous les dossiers, un onglet sécurité est alors bien visible sauf dans le cas de la clé, où dans Propriété de Flashy et Recycled, j'ai le choix entre Général et Compatibilité.
J'ai donc essayé attrib -r -h nom_complet_de_autorun.inf et entrée.
La réponse st la suivante :
"Fichier système non remis à zero - E:\autorun.inf
Lorsque je vais dans Propiété de tous les dossiers, un onglet sécurité est alors bien visible sauf dans le cas de la clé, où dans Propriété de Flashy et Recycled, j'ai le choix entre Général et Compatibilité.
J'ai donc essayé attrib -r -h nom_complet_de_autorun.inf et entrée.
La réponse st la suivante :
"Fichier système non remis à zero - E:\autorun.inf
Re,
je suppose que , après cmd,
format e:\ ne donne rien de mieux ?
Essaye ren E:\autorun.inf E:\atuer.inf
puis ren E:\aaaa.inf E:\autorun.inf
après avoir créé aaaa.inf avec le contenu aaaaa
je suppose que , après cmd,
format e:\ ne donne rien de mieux ?
Essaye ren E:\autorun.inf E:\atuer.inf
puis ren E:\aaaa.inf E:\autorun.inf
après avoir créé aaaa.inf avec le contenu aaaaa
Re,
Désolé je ne comprend pas bien tes indications.
Format e:\ veut dire que je dois essayer de formater e:\ ? En fait, j'ai essayé de formater en restant en mode ss échec et les dossiers Flashy et Recycled ont disparu. J'ai alors relancé Rav qui a de nouveau trouvé Autorun.inf sur c:\ ainsi que sur e:\ je ne sais combien de fois.
Maintenant je voudrais faire ce que tu me conseilles mais je ne comprend pas ce que tu veux dire par "ren E:\autorun.inf E:\atuer.inf" et "ren E:\aaaa.inf E:\autorun.inf". Ren est une commande à faire dans cmd ?
Je suis vraiment désolé! Ca devient un peu technique et je ne comprend pas bien...
MERCI!
Désolé je ne comprend pas bien tes indications.
Format e:\ veut dire que je dois essayer de formater e:\ ? En fait, j'ai essayé de formater en restant en mode ss échec et les dossiers Flashy et Recycled ont disparu. J'ai alors relancé Rav qui a de nouveau trouvé Autorun.inf sur c:\ ainsi que sur e:\ je ne sais combien de fois.
Maintenant je voudrais faire ce que tu me conseilles mais je ne comprend pas ce que tu veux dire par "ren E:\autorun.inf E:\atuer.inf" et "ren E:\aaaa.inf E:\autorun.inf". Ren est une commande à faire dans cmd ?
Je suis vraiment désolé! Ca devient un peu technique et je ne comprend pas bien...
MERCI!
Re,
on essaye comme ça :
tu crées un fichier sous le bloc notes avec seulement aaaa dedans, tu te prépares à l'enregistrer sous E:\autorun.inf mais tu ne le fais pas.
Tu formates la clé.
Dés la fin du formatage, tu enregistres le fichier autorun.inf.
Si il le prend, c'est gagné pour la clé. Tu vérifies en ouvrant le fichier que tu viens de sauvegarder et tu sors en faisant annuler.
Sinon, oui, ren est à faire sous cmd. C'est une abréviation de la commande DOS rename. J'essaye de contourner l'interdiction sur le fichier.
on essaye comme ça :
tu crées un fichier sous le bloc notes avec seulement aaaa dedans, tu te prépares à l'enregistrer sous E:\autorun.inf mais tu ne le fais pas.
Tu formates la clé.
Dés la fin du formatage, tu enregistres le fichier autorun.inf.
Si il le prend, c'est gagné pour la clé. Tu vérifies en ouvrant le fichier que tu viens de sauvegarder et tu sors en faisant annuler.
Sinon, oui, ren est à faire sous cmd. C'est une abréviation de la commande DOS rename. J'essaye de contourner l'interdiction sur le fichier.
Re,
J'ai tapé "ren E:\autorun.inf E:\atuer.inf" dans cmd et il me dit que la syntaxe de la commande est incorrecte.
Faut-il taper DOS rename ?
( J'ai tenté d'enregistrer un Autorun.inf juste après le formatage et ça n'a pas marché. J'ai obtenu le même message.)
J'ai tapé "ren E:\autorun.inf E:\atuer.inf" dans cmd et il me dit que la syntaxe de la commande est incorrecte.
Faut-il taper DOS rename ?
( J'ai tenté d'enregistrer un Autorun.inf juste après le formatage et ça n'a pas marché. J'ai obtenu le même message.)
Re,
as tu un graveur de Cd rom sur l'ordi sain et un lecteur de Cd rom sur l'ordi infecté ?
et un CD réinscriptible ?
as tu un graveur de Cd rom sur l'ordi sain et un lecteur de Cd rom sur l'ordi infecté ?
et un CD réinscriptible ?
Re,
J'ai effectivement un graveur sur l'ordi sain et un lecteur sur l'ordi infecté.
Et j'ai des cd vierges mais pas réinscriptibles... Il faut qu'il le soit ou c'est juste pour ne pas perdre un cd?
J'ai effectivement un graveur sur l'ordi sain et un lecteur sur l'ordi infecté.
Et j'ai des cd vierges mais pas réinscriptibles... Il faut qu'il le soit ou c'est juste pour ne pas perdre un cd?
Re,
oui, c'est uniquement pour ne pas perdre un CD.
On va télécharger des outils dans un répertoire, graver ce répertoire et installer les outils sur l'ordi malade.
1) Créé un répertoire C:\Infection
2) Télécharge dans ce répertoire :
Télécharge QQPass-RjumpStinger.zip ici :
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
Télécharge RAV ANTIVIRUS par Evosla
:
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
telecharge kill_autorun_vbs.dat
http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16
double click sur kill_autorun_vbs.bat et laisse le faire le boulot
L'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Tu ouvres ce lien pour télécharger clamwin
http://www.zebulon.fr/dossiers/64-2-lancement-clamwin-portable.html
3) Tu graves le répertoire. Choisis un multi session.
4) Tu ouvres le CD
Dézippe QQPass-RjumpStinger.zip dans dans le dossier QQPass-RjumpStinger.
Connecte tous tes périphériques externes (DD, clés USB, ipod, ...).
Double clic sur le fichier Stinger.exe.
Si les lettres attribuées à chaque périphérique externe n'apparaissent pas automatiquement dans la liste des emplacements à scanner, rajoute-les manuellementde cette manière:
Clic sur Browse et selectionne le périphérique que tu souhaites rajouter à l'analyse.
Clique sur "Scan Now" pour lancer l'analyse.
Une fois le scan terminé, clique sur "File" dans le menu et clique sur "Save report to file" pour sauvegarder le rapport d'analyse.
Ce rapport est généré et sauvegardé dans le dossier QQPass-RjumpStinger sous le nom stinger.txt.
fais un copier/coller pour le mettre dans ta prochaine réponse.
=================
--- Décompresse- RAV ANTIVIRUS (clic droit >> Extraire ici) et double cliquer sur le fichier RAV.exe
--- Branche tes disques amovibles (clef usb,stick memoire,disque externe,............);
--- une fois RAV ANTIVIRUS lancé laisse le réagir , il scanne automatiquement tous les lecteurs (Disques fixes et amovibles).
--- si un virus est trouvé, un log s'établira, sinon rien ne va se passer et le soft affichera "Votre Ordinateur est Sain".
--- Retire les disques amovible et redémarrez l'ordinateur.
=============================================
Copie kill_autorun_vbs.bat sur le bureau
double click sur kill_autorun_vbs.bat et laisse le faire le boulot
===================================================
Utilisation :
Enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyez sur "Ok", pour faire réapparaitre le bureau.
('c'est lui qui créé autorun.inf avec un texte sans danger pour empêcher l'infection) :
Tu exécutes aussi clamwin après l'avoir copié sur le bureau (de l'ordi infecté).
Tu me tiens au courant.
oui, c'est uniquement pour ne pas perdre un CD.
On va télécharger des outils dans un répertoire, graver ce répertoire et installer les outils sur l'ordi malade.
1) Créé un répertoire C:\Infection
2) Télécharge dans ce répertoire :
Télécharge QQPass-RjumpStinger.zip ici :
http://download.nai.com/products/mcafee-avert/QQPass-RjumpStinger.zip
Télécharge RAV ANTIVIRUS par Evosla
:
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
telecharge kill_autorun_vbs.dat
http://www.monwebperso.info/modules.php?name=Downloads&d_op=getit&lid=16
double click sur kill_autorun_vbs.bat et laisse le faire le boulot
L'outil Flash_Disinfector de sUBs:
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe
Tu ouvres ce lien pour télécharger clamwin
http://www.zebulon.fr/dossiers/64-2-lancement-clamwin-portable.html
3) Tu graves le répertoire. Choisis un multi session.
4) Tu ouvres le CD
Dézippe QQPass-RjumpStinger.zip dans dans le dossier QQPass-RjumpStinger.
Connecte tous tes périphériques externes (DD, clés USB, ipod, ...).
Double clic sur le fichier Stinger.exe.
Si les lettres attribuées à chaque périphérique externe n'apparaissent pas automatiquement dans la liste des emplacements à scanner, rajoute-les manuellementde cette manière:
Clic sur Browse et selectionne le périphérique que tu souhaites rajouter à l'analyse.
Clique sur "Scan Now" pour lancer l'analyse.
Une fois le scan terminé, clique sur "File" dans le menu et clique sur "Save report to file" pour sauvegarder le rapport d'analyse.
Ce rapport est généré et sauvegardé dans le dossier QQPass-RjumpStinger sous le nom stinger.txt.
fais un copier/coller pour le mettre dans ta prochaine réponse.
=================
--- Décompresse- RAV ANTIVIRUS (clic droit >> Extraire ici) et double cliquer sur le fichier RAV.exe
--- Branche tes disques amovibles (clef usb,stick memoire,disque externe,............);
--- une fois RAV ANTIVIRUS lancé laisse le réagir , il scanne automatiquement tous les lecteurs (Disques fixes et amovibles).
--- si un virus est trouvé, un log s'établira, sinon rien ne va se passer et le soft affichera "Votre Ordinateur est Sain".
--- Retire les disques amovible et redémarrez l'ordinateur.
=============================================
Copie kill_autorun_vbs.bat sur le bureau
double click sur kill_autorun_vbs.bat et laisse le faire le boulot
===================================================
Utilisation :
Enregistrez Flash_Disinfector.exe sur votre bureau.
Double cliquez sur Flash_Disinfector.exe pour le lancer.
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra :
Connectez votre clé USB et périphériques USB externes susceptibles d'avoir été infectés.
Puis cliquez sur Ok
Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!"
Appuyez sur "Ok", pour faire réapparaitre le bureau.
('c'est lui qui créé autorun.inf avec un texte sans danger pour empêcher l'infection) :
Tu exécutes aussi clamwin après l'avoir copié sur le bureau (de l'ordi infecté).
Tu me tiens au courant.
