Votre question

[résolu] Cheval de troie

Tags :
  • Système d'exploitation
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Août 2011 20:45:20

Bonjour, j'ai en antivirus gratuit AVG,et il m'a detecté un cheval de troie que malheureusement,il ne peut mettre en quarantaine,car il me dit que le fichier est inexistant.
La fenetre s'ouvre regulierement.
Comment le supprimer?

Ps:avant AVG,j'avais Avast,mais lui ne detecté pas le cheval de troie,par contre une fenetre internet s'ouvrait...

Merci d'avance

Autres pages sur : resolu cheval troie

a b 8 Sécurité
29 Août 2011 23:22:36

Bonsoir, tu as le rapport AVG ?


__________________


Pour le bon déroulement de la désinfection :[/#ff]


  • Utilise le moins possible ton PC pendant la procédure, afin de faciliter la désinfection.

  • Suis les procédures données, mais ne tente rien par toi-même : si il y a un souci pendant une procédure, fais-m'en part plutôt que de cliquer au hasard et provoquer une panne sur ton système.

  • Si tu suis déjà une procédure sur un autre forum, merci de le signaler, il est important de ne suivre qu'une seule désinfection à la fois.

  • Même si les symptômes de l'infection ont disparu, le PC n'est pas forcément clean : attends bien que l'on t'ait dit que le PC est désinfecté avant de l'utiliser à nouveau.

  • Même si les désinfections sont faites par des personnes ayant des connaissances approfondies dans la désinfection, il est toujours possible que ton PC plante. Pense à bien sauvegarder tes données ;) 

    __________________


    Si tu es prêt(e), allons-y :

    [#ff9000]Diagnostic :


  • Télécharge OTL (de [#ff9000]OldTimer[/#ff]) sur ton Bureau.

  • Si tu es sous XP, double-clique dessus pour le lancer, si tu es sous Vista/7, fais un clic droit dessus et fais Exécuter en tant qu'administrateur pour le lancer.

  • Une fenêtre apparaît.

  • Coche la case : Tous les utilisateurs

  • Coche les cases correspondant à la Recherche LOP et à la Recherche Purity (En bleu vers le bas de la fenêtre).

  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %systemroot%\*. /mp /s
    %systemroot%\System32\config\*.sav
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\system32\*.dll /lockedfiles
    /md5start
    explorer.exe
    winlogon.exe
    Userinit.exe
    svchost.exe
    iexplore.exe
    /md5stop
    CREATERESTOREPOINT


  • Enfin, clique sur le bouton Analyse. Pendant la durée du scanne, ne touche à rien. Le scan prendra quelques temps.

  • A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

    Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    m
    0
    l
    Contenus similaires
    a b 8 Sécurité
    30 Août 2011 18:50:06

    Bonsoir,

    Citation :
    tu as le rapport AVG ?


    Y a du Eorezo, et plus si affinité...

  • Désinstalle Spybot S&D qui va gêner la désinfection.


    Scan Ad-Remover

  • Télécharge Ad-Remover (de C_XX[/#ff]) sur ton Bureau.

    [#ff0000]Déconnecte-toi et ferme toutes applications en cours[/#ff]


  • Double-clique sur AD-R présent sur ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

  • Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Scanner. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

    [#ff0000]Laisse travailler l'outil [/#ff]


  • Une fenêtre contenant le rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    Ensuite clique sur Quitter pour fermer Ad-Remover.

    Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-SCAN

    [#ff9d00]Pour t'aider :
  • Tuto sur AD-R

    [#ff9000]Analyse en ligne[/#ff]

  • Va sur le site Virustotal , un site qui analyse des fichiers avec tous les antivirus présents sur le marché.

  • Clique sur Choisissez un fichier .

  • Dans la fenêtre qui s'ouvre alors, en bas, il est marqué Nom du fichier . Mets alors
    C:\Install.exe
    (copie et colle avec Ctrl+V)

  • Appuie sur Ouvrir , puis clique sur Envoyer le fichier .

  • Attends quelques secondes. Si c'est marqué que le fichier a déjà été analysé, clique sur Reanalyser le fichier maintenant .

  • Ton fichier est alors analysé. Attends bien que ce soit marqué Situation actuelle : terminé .

  • Sélectionne le tableau (avec les anti-virus, la version, la dernière mise à jour, le résultat), et Colle-le dans ta prochaine réponse stp .
    m
    0
    l
    30 Août 2011 21:29:52

    Bonsoir
    et voici le rapport apres qvoir suivi vos recommandations....
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files (x86)\Ad-remover\main.exe (SCAN [1]) -> Lancé à 21:27:05 le 30/08/2011, Mode normal

    Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X64)
    Laure et Tophe@ZOZOETYANIS (HP-Pavilion FJ393AA-ABF a6543.fr)

    ============== RECHERCHE ==============


    Dossier trouvé: C:\Program Files (x86)\Ask.com
    Dossier trouvé: C:\Users\Laure et Tophe\AppData\Local\Conduit
    Dossier trouvé: C:\ProgramData\PopCap Games
    Dossier trouvé: C:\Users\Laure et Tophe\AppData\LocalLow\PriceGong
    Dossier trouvé: C:\Users\Laure et Tophe\AppData\Local\SpiderMessenger
    Dossier trouvé: C:\Program Files (x86)\SpiderMessenger
    Dossier trouvé: C:\ProgramData\Trymedia
    Dossier trouvé: C:\Users\Laure et Tophe\AppData\Roaming\EoRezo

    Clé trouvée: HKLM\Software\Conduit
    Clé trouvée: HKLM\Software\EoRezo
    Clé trouvée: HKLM\Software\PopCap
    Clé trouvée: HKLM\Software\Trymedia Systems
    Clé trouvée: HKLM\Software\Winsudate
    Clé trouvée: HKCU\Software\EoRezo
    Clé trouvée: HKCU\Software\PopCap
    Clé trouvée: HKCU\Software\SpiderMessenger
    Clé trouvée: HKCU\Software\Winsudate
    Clé trouvée: HKCU\Software\AppDataLow\Software\PriceGong
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
    Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
    Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
    Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1
    Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
    Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

    Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|SpiderMessengerHelper@spidermessenger.com
    Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
    Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


    ============== SCAN ADDITIONNEL ==============

    **** Internet Explorer Version [9.0.8112.16421] ****

    HKCU_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cndt
    HKCU_Main|Search bar - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Start Page - hxxp://www.google.fr/
    HKLM_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cndt
    HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://www.nixud.com/
    HKCU_URLSearchHooks|{c44f9e21-d93f-490c-b41c-b3548bdd19fc} (x)
    HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "Ask Search" (hxxp://websearch.ask.com/redirect?client=ie&tb=LMW2&o=16050&src=crm&q={searchTer...)
    HKCU_SearchScopes\{88e710b5-783d-49d1-8e26-4674d090a941} - "Searcheo" (hxxp://www.searcheo.fr/france?search&q={searchTerms})
    HKCU_SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} - "Productivity 2.1 Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
    HKCU_SearchScopes\{B490E83A-0563-4EE9-B877-EFFF00611E78} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
    HKLM_SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} - "Productivity 2.1 Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
    HKLM_SearchScopes\{B490E83A-0563-4EE9-B877-EFFF00611E78} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
    HKCU_Toolbar\WebBrowser|{724D43A0-0D85-11D4-9908-00400523E39A} (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll)
    HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
    HKCU_Toolbar\WebBrowser|{C44F9E21-D93F-490C-B41C-B3548BDD19FC} (x)
    HKLM_Toolbar|{724d43a0-0d85-11d4-9908-00400523e39a} (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll)
    HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
    HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (x)
    HKLM_Extensions\{320AF880-6646-11D3-ABEE-C5DBF3571F46} - "Remplir" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll,880)
    HKLM_Extensions\{320AF880-6646-11D3-ABEE-C5DBF3571F49} - "Enregistrer" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll,873)
    HKLM_Extensions\{724d43aa-0d85-11d4-9908-00400523e39a} - "Barre RoboForm" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll,900)
    BHO\{64F56FC1-1272-44CD-BA6E-39723696E350} (?)
    BHO\{724d43a9-0d85-11d4-9908-00400523e39a} - "?" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll)
    BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype Browser Helper" (C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

    ========================================

    C:\Program Files (x86)\Ad-remover\Quarantine: 0 Fichier(s)
    C:\Program Files (x86)\Ad-remover\Backup: 0 Fichier(s)

    C:\Ad-Report-SCAN[1].txt - 30/08/2011 21:27:09 (5720 Octet(s))

    Fin à: 21:28:16, 30/08/2011

    ============== E.O.F ==============
    m
    0
    l
    a b 8 Sécurité
    31 Août 2011 10:42:53

    Bonsoir, ok pour le rapport, par contre, ça serait bien si tu avais le rapport d'AVG à me montrer pour que je voie quel fichier il détecte... Merci.

    En plus du scan virustotal à faire, fais ceci :

    Fix Ad-Remover

    Déconnecte-toi et ferme toutes applications en cours[/#ff]


  • Relance Ad-Remover. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

  • Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Nettoyer. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

    [#ff0000]Laisse travailler l'outil [/#ff]


  • Une fenêtre contenant un nouveau rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
    ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
    Ensuite clique sur Quitter pour fermer Ad-Remover.

    Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-CLEAN

    [#ff9d00]Pour t'aider :
  • Tuto sur AD-R



    m
    0
    l
    31 Août 2011 23:15:07

    Bonsoir, j'ai un gros soucis,car apres un scan complet avec AVG pour donner le rapport,il me dit qu'il n'y a rien d'infecté...
    Par contre une fenetre s'ouvre regulierement en me disant qu'il y a une menace:
    voici ce qu'il me note:
    c:\Users\Laure et Tophe\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV\4.0.0.2422324\su_fr.exe
    c'est tout ce que j'ai sous la main...
    m
    0
    l
    a b 8 Sécurité
    1 Septembre 2011 11:14:17

    Hello,

    Ah ! Bon ben ce n'est pas grave du tout, lance le fix Ad-Remover comme demandé et normalement l'alerte ne se reproduira plus :) 
    m
    0
    l
    1 Septembre 2011 17:19:33

    Hello, bon je lance l'opération et je te tiens au courant en te remerciant dejà par avance :) 
    m
    0
    l
    1 Septembre 2011 20:39:07

    Bon jusqu'a la plus rien ne s'est passé....Plus de fenetres intempestives qui s'ouvrent... :) 
    Merci encore
    m
    0
    l
    a b 8 Sécurité
    1 Septembre 2011 21:27:57

    Ok on a presque fini :

    Analyse et suppression des logiciels malveillants

  • Télécharge Malwarebytes' Anti-Malware (MBAM) (de Marcin Kleczynski et Bruce Harriss).

  • Installe-le, puis mets bien à jour le programme à la fin de l'installation.

  • Une fois l'opération terminée, MBAM se lance. Vérifie que la case Examen rapide est bien cochée, puis appuye sur Rechercher (encadré en rouge dans l'image ci-dessous )



  • A la fin de l'analyse, un message va s'afficher :
    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ou bien :
    L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté.


  • Clique sur OK pour continuer. Si MBAM n'a rien trouvé, fais-le moi savoir et quitte le programme.

  • Si il a trouvé des malwares (donc si tu obtiens le message "Afficher les résultats' pour afficher tous les objets trouvés"), continue :

    Ferme toutes les applications en cours (à part MBAM) [/#ff]

  • Clique sur Afficher les résultats.

  • Coche toutes les cases et clique sur Supprimer la sélection. Ainsi, les malwares vont être mis en quarantaine.

  • Un rapport va s'afficher. Colle ce rapport dans ta prochaine réponse stp ;) 

    [#ffb200]Pour t'aider
  • : Tuto sur MBAM

    Enfin, poste un nouveau rapport OTL.
    m
    0
    l
    2 Septembre 2011 16:54:42

    Bonjour,voici le rapport de MBAM:
    Malwarebytes' Anti-Malware 1.51.1.1800
    www.malwarebytes.org

    Version de la base de données: 7637

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 9.0.8112.16421

    02/09/2011 16:53:23
    mbam-log-2011-09-02 (16-53-23).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 188776
    Temps écoulé: 11 minute(s), 36 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 1
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    c:\programdata\microsoft\Windows\start menu\Programs\coolplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

    Fichier(s) infecté(s):
    c:\programdata\microsoft\Windows\start menu\Programs\coolplay\uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.
    m
    0
    l
    a b 8 Sécurité
    2 Septembre 2011 17:40:24

    Ok c'est good. Encore des alertes AVG ?

    Si ce n'est pas le cas, suite et fin dans l'ordre :

    1)

    Important : purge de la restauration du système[/#ff]


    --> Il y a toujours des virus dans tes points de restauration. Suis ce tuto pour la purger.

    N'oublie pas de créer un nouveau point de restauration une fois l'opération effectuée (en appuyant sur le bouton créer)

    2)

    [#0033ff]
    Prévention



    Les menaces diverses sur Internet étant de plus en plus nombreuses, je te conseille vivement de consulter ces liens, afin de mieux te protéger sur le Net :



    Les dangers du P2P (comme emule, limewire...) : http://forum.zebulon.fr/index.php?showtopic=85544

    Pour télécharger gratuitement et légalement, je te conseille Beezik , qui a pour avantages :

  • Une meilleure qualité de son

  • Pas de virus !

    Les dangers des cracks, des keygens : http://forum.malekal.com/danger-des-cracks-t893.html

    Rappels sur les OS piratés : http://redirectingat.com/?id=1402X522807&xs=1&url=http%...

    ********************************

    Logiciels de sécurité conseillés :

    Anti-virus : Avast 6.0

    Pour scanner tes fichiers : MBAM

    ********************************

    Attention, contrairement aux idées reçues :

  • Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

  • Les anti-spywares ne servent à rien !!

  • Je te conseille fortement de ne pas installer des packs de "transformation', qui donnent par exemple l'allure de Windows Vista à un Windows XP. Ce genre de programmes posent beaucoup de problèmes !!!

    Enfin, n'oublie pas que la meilleure protection de ton ordinateur, c'est toi !


    3)

    Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre de ton sujet :

  • Clique, dans ton premier message, sur le bouton Editer .

  • Ajoute [Résolu] devant le titre.

  • Clique ensuite sur Valider votre message.

    Sois plus vigilant(e) sur Internet ! ;) 

    A+ sur Tom's Guide :hello: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS