attaques répétées de chevaux de troie, Help!!Résolu/Fermé

Question

Bonjour, 
J'ai des attaques que mon anti virus bloque, mais le Pc est déjà infecté. 
Pour info, peut on remonter à la source de ses attaques car vols de données sensibles sur mon PC. 
Dans tous les cas il faut que je désinfecte. 
Merci de votre aide
Al

Xplode · Answer

Bonjour et bienvenue sur CommentCaMarche !

&#9672; Suis la procédure jusqu'au bout. Même si le PC semble aller mieux, ce n'est pas pour autant qu'il est totalement désinfecté !

&#9672; Si tu as des difficultés pour effectuer une procédure ou bien une simple question, n'hésite pas à me demander.


&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; ZHPDiag &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Nous allons effectuer un diagnostic de ton ordinateur, pour ce faire, télécharge ZHPDiag ( de Nicolas Coolman ).

&#9672; Exécute l'installateur -> /!\ Coche la case " créer une icône sur le bureau " /!\ 

&#9672; Lance le en double cliquant sur l'icône ZHPDiag qui se trouve sur ton bureau.

Note : Sous Vista/Seven : Clic droit sur l'icône -> " Exécuter en tant qu'administrateur "

&#9672; Clique sur l'icône en forme de loupe en haut à gauche ( Lancer le diagnostic ).

&#9672; Une fois l'analyse terminée, clique sur l'icône en forme de disquette bleue puis sauvegarde le fichier sur ton bureau.

&#9672; Rend toi sur cjoint puis clique sur " Parcourir ".

&#9672; Sélectionne le fichier ZHPDiag.txt présent sur ton bureau, puis clique sur " Ouvrir ".

&#9672; Clique ensuite sur " Créer le lien cjoint " puis copie/colle dans ta prochaine réponse le lien créé.

al · Answer

Re 
Ca commence bien, il me demande de saisir un rapport avant de commencer l'analyse. Quand j'essaie de créer un fichier rapport, y veut pas .

al · Answer

Re 
attend je crois que j'ai trouve , je lance l'analyse a toute.

al · Answer

Voici le lien,
https://www.cjoint.com/?3coqKeBiJrj 
pour info il arrete l'analyse à 43% car "argument incorrect pour encodage de date"

Xplode · Answer

Ouep ça peut arriver les erreurs comme ça.. Bon on va se contenter de ce piètre morceau de rapport pour l'instant étant donné que je vois déjà par quoi t'es infecté..

Fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; Combofix &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge ComboFix ( de sUBs ) à cette adresse. 

/!\ Ferme toutes les fenêtres de programme ouvertes /!\ 

/!\ Désactive temporairement toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\ 

&#9672; Double clique sur " Combofix.exe " 

&#9672; Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le.

&#9672; Pendant le scan, ne touche à rien ( souris, clavier ) 

&#9672; Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

al · Answer

re , 
j'ai tel combo fix mais il ne s'exécute pas complètement en me disant que c'est un fichier dangereux à fermer!!
si cela marche le scan dure combien de temps environ?
Je réessaye. Peux tu me préciser par quoi et par qui je suis infecté.

al · Answer

bonjour, 
Désolé, ,je viens juste de récupérer une connexion internet depuis hier soir. 
meme en renommant le fichier il me dit"some installation files are corrupt,, please dowload a fresh copy of combo fix.exe"

Xplode · Answer

Es-tu sûr de le renommer avant le téléchargement ?

Fais le avec Internet Explorer :

Tu cliques sur le lien
Tu cliques sur [Enregistrer]
Tu te places dans le bureau et dans la partie " Nom du fichier " tu mets al.exe
Ensuite tu fais [Enregistrer]

Si cela ne fonctionne pas, fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; OTL - Analyse &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge OTL ( d'Old Timer ) sur ton bureau.

&#9672; Lance le, coche la case "Tous les utilisateurs" puis clique sur le bouton [Analyse]

&#9672; Patiente jusqu'à l'ouverture des deux rapports OTL.txt et Extras.txt

&#9672; Rends toi sur cjoint et clique sur [Parcourir]

&#9672; Sélectionne le fichier OTL.txt et clique sur [Ouvrir]

&#9672; Enfin, clique sur [Créer le lien cjoint] et copie/colle le lien créé dans ta prochaine réponse.

Note : Fais de même avec le rapport Extras.txt

al · Answer

re, 
j'ai réessayé comme tu l'as dit pour combo: meme message, 
pour otl : 
message: C/.../OTL.exe n'est pas une application Win 32 valide.

Xplode · Answer

Bizarre :/ Essaie ça :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; Findykill - Recherche &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge Findykill ( d'El desaparecido ) sur ton bureau.

/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\

&#9672; Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).

&#9672; Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.

&#9672; Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.

&#9672; A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\FyK.txt

al · Answer

Ci joint rapport 

############################## | FindyKill V5.052 |

# User : Compaq_Propriétaire (Administrateurs) # NOM-EB85C523610
# Update on 23/10/2010 by El Desaparecido
# Start at: 14:59:34 | 15/02/2011
# Website : http://www.teamxscript.org/
# Contact : eldesaparecido@teamxscript.org

#               Intel(R) Pentium(R) 4 CPU 2.93GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# C:\ # Disque fixe local # 226,88 Go (34,91 Go free) [PRESARIO] # NTFS
# D:\ # Disque fixe local # 5,99 Go (2,34 Go free) [PRESARIO_RP] # FAT32
# E:\ # Disque CD-ROM
# F:\ # Disque amovible
# G:\ # Disque amovible
# H:\ # Disque amovible
# I:\ # Disque amovible
# M:\ # Disque fixe local # 149,01 Go (112,44 Go free) [My Passport] # FAT32

################## | Eléments infectieux |


################## | Registre |


################## | Etat |

# Affichage des fichiers cachés : OK
 
# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) 
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 ) 
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 ) 
# SharedAccess -> Start = "Start" ( Good = 2 | Bad = 4 ) 
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) 

################## | ! Fin du rapport # FindyKill V5.052 ! |

Xplode · Answer

Bon je sais pas d'où elles viennent tes erreurs win32 mais c'est pas bagle en tout cas..

Essaie ceci :

Télécharge DDS ici : https://download.bleepingcomputer.com/sUBs/dds.scr 
Lance le, patiente pendant le scan puis héberge les deux rapports qui s'ouvriront ( attach.txt et l'autre ) sur cjoint -> https://www.cjoint.com/

al · Answer

ci joint les liens
bonne reception
https://www.cjoint.com/?3cpprsbYCMx
https://www.cjoint.com/?3cppsaIhvfr

Xplode · Answer

Ok en effet ton PC est sur-infecté , pas étonnant que quasiment tout les outils de diagnostic passent pas.. on va faire ça en plusieurs étape. Pour commencer, fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; TDSSKiller &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau.

&#9672; Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

&#9672; Clique sur [Start Scan] pour démarrer l'analyse.

&#9672; Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

&#9672;  Un rapport s'ouvrira au redémarrage du PC.

&#9672; Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

Ensuite ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; OtMoveIt &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge OtMoveIt sur ton bureau.

&#9672; Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".



:processes

dwm.exe
conhost.exe

:reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"=""

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
"ProxyServer"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
"{0d6e11e3-3feb-43ed-a5aa-702e71ae5929}"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AMService"=-
"conhost"=-

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\syncdcl]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ungzpw]

:files

c:\windows	emp\*.*
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Microsoft\conhost.exe 
c:\windows\system32\alk162.dll 
c:\windows\system32\setup.exe

:commands

[emptytemp]
[emptyflash]



&#9672; Clique maintenant sur " MoveIt! "

&#9672; Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

Note : Le rapport est également sauvegardé sous C:\_OTM\MovedFiles

==============================================================================================================

+ Un nouveau rapport DDS après que tu aies fait tout ça.

J'attends donc : Le rapport TDSSKiller , le rapport OTM et le nouveau rapport DDS.

al · Answer

pas de possibilité d'exécuter tdskiller meme reponse que pour OTL. Je l'ai renommé mais pas possible non plus.

al · Answer

J'ai essayé3 fois. Au moment de cliquer sur move it ça plante tout et l'ordinateur s'éteint. 
et pas d'analyse

Xplode · Answer

Bon on va devoir faire autrement, parce que là ton PC est trop infecté pour qu'on puisse faire quelque chose directement dessus :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; OTLPENet &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


Note : Ce fichier est assez volumineux, on utilisera donc ton lecteur CD/DVD et un CD vierge sur ta machine.
Un Périphérique USB serait pratique également.

[x] Télécharge OTLPENet sur ton bureau.

[x] Insère dans ton lecteur/graveur CD/DVD , un CD vierge puis lance OTLPENet.

[x] Une fenêtre s'ouvrira pour te demander si tu souhaites graver le CD, clique sur [Oui].

[x] Patiente pendant la gravure. Une fois le CD gravé, insère le dans le lecteur CD/DVD du PC infecté.

Note : Maintenant que le CD est gravé, il faut faire redémarrer le PC sur le lecteur CDROM.
Un tutoriel est disponible ici.

[x] Une fois le CD lancé, Windows se charge et tu arrives sur le bureau REATOGO-X-PE

[x] Double clique sur OTLPE

[x] Une fenêtre s'ouvre : Do you wish to load the remote registry , Clique sur [YES].
[x] Une seconde : Do you wish to load remote user profile(s) for scanning , Clique sur [YES].
[x] Veille à ce que la case Automatically Load All Remaining Users soit cochée et appuye sur [OK].

[x] OTL va se lancer. Dans la partie " Custom Scan " , copie/colle le texte en gras ci dessous :


netsvcs
drivers32
msconfig 
safebootminimal 
safebootnetwork 
activex 
c:\windows\*.* /U
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /s
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv" /v ImagePath /c
reg query "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS" /v ImagePath /c
HKLM\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS
HKCU\SOFTWARE\Microsoft\Internet Explorer|FEATURE_BROWSER_EMULATION /RS


[x] Clique sur [Run Scan] pour démarrer l'analyse.

[x] Une fois l'analyse terminée, le fichier est sauvegardé sur ton disque dur C:\OTL.txt.

[x] Copies le fichier sur une clé usb si tu n'as pas accès à Internet.

[x] Poste le contenu du rapport OTL.txt dans ta prochaine réponse.

al · Answer

ci joint le rapport
https://www.cjoint.com/?3cpsKkFunh6

Xplode · Answer

Relance OTLPE et copie/colle ceci sous " Custom Scan "

:OTL

SRV - File not found [Auto] --  -- (AMService) 
SRV - File not found [Auto] --  -- (hcdvukdg)  
DRV - File not found [Kernel | Boot] --  -- (akmstkvzsnlktt)
DRV - File not found [Kernel | Boot] --  -- (hbrtqevzlfevi)
DRV - File not found [Kernel | Boot] --  -- (ctunaffr)
DRV - File not found [Kernel | Boot] --  -- (vyhhn)
DRV - File not found [Kernel | Auto] --  -- (Scutum50)
DRV - File not found [Kernel | On_Demand] --  -- (rt2870)
DRV - [2004/08/05 07:00:00 | 000,023,424 | ---- | M] () [Kernel | Boot] -- C:\WINDOWS\system32\drivers\hgycytxi.sys -- (hgycytxi) 
IE - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 1      
IE - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:53939   
O2 - BHO: () - {0D6E11E3-3FEB-43ED-A5AA-702E71AE5929} -  File not found
O2 - BHO: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found.  
O3 - HKLM\..\Toolbar: (no name) - {4daac69c-cba7-45e2-9bc8-1044483d3352} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\Microsoft\conhost.exe () 
O4 - HKLM..\Run: [AMService] C:\WINDOWS\system32\setup.exe (Microsoft Corporation)  
O4 - HKLM..\Run: [WOOTASKBARICON]  File not found
O4 - Startup: C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Menu Démarrer\Programmes\Démarrage\Notification de cadeaux MSN.lnk =  File not found
F3 - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C WinNT: Load - (C:\DOCUME~1\COMPAQ~1.NOM\LOCALS~1\Temp\csrss.exe) - C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Local Settings\Temp\csrss.exe ()    
O20 - HKU\Compaq_Propriétaire.NOM-EB85C523610_ON_C Winlogon: Shell - (C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe) - C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe ()    
O20 - Winlogon\Notify\syncdcl: DllName - syncdcl.dll -  File not found
O20 - Winlogon\Notify\ungzpw: DllName - ungzpw.dll -  File not found
NetSvcs: hcdvukdg -  File not found
NetSvcs: SSHNAS -  File not found

:files

C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Bureau\Setup.exe 
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dwm.exe
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\dsuxh2vslbztfxhaillttlzhiobjdjx2  
C:\Documents and Settings\Compaq_Propriétaire.NOM-EB85C523610\Application Data\xssend2  
C:\Documents and Settings\LocalService\Application Data\OfferBox 
C:\Documents and Settings\NetworkService\Application Data\OfferBox 

:commands

[emptytemp] 

Clique sur [Run Fix] et poste moi le rapport.

al · Answer

ci joint le rapport
https://www.cjoint.com/?3cpxxSH6naA

Xplode · Answer

Bonjour Al, 

Tu es sûr de ne pas avoir cliqué deux fois sur Run Fix ? 

Peux-tu me refaire un rapport OTLPE et ensuite essaie de redémarrer ton PC normalement pour voir comment il se porte 
Xplode - Contributeur sécurité.

al · Answer

Bonjour 
je crois bien que jai clique 2 fois
 ci joint le rapport du scan< Je redemarre pr voir
https://www.cjoint.com/?3cqm5SWLFFx

al · Answer

re, 
redemarrage, ouf clavier français. 
Au bout de 2 mn de navigation. 
attaque de logiciel malveillant. 
Pas d'accés au pare feu windows???

al · Answer

re,

VBS/Dldr.Agent.aal

dernier agent infectieux. 
aie je craque!!!!

Xplode · Answer

Evite de trop te servir de ton PC, surtout pour naviguer sur internet hormis les consignes que je te donne :-)

A priori là le PC devrait un peu plus respirer. Peux-tu réessayer la première procédure ( ZHPDiag ) et me fournir le rapport ?

al · Answer

ci joint, 
https://www.cjoint.com/?3cqofSUk4wG 
arret à 43% avec message "encodage..."

Xplode · Answer

Fais ceci :

&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655;&#9654;&#9655; Malwarebytes' Anti-Malware &#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;&#9665;&#9664;


&#9672; Télécharge Malwarebytes' Anti-malware sur ton bureau.

&#9672; Installe le en suivant les instructions. Coche "Créer une icône sur le bureau"

&#9672; A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.

&#9672; Une fois lancé, clique sur "Exécuter un examen complet" puis sur [Rechercher]

&#9672; Sélectionne tout tes disques locaux et amovibles.

&#9672; Patiente pendant toute la durée du scan, puis clique sur [Ok] une fois l'analyse effectuée.

&#9672; Clique ensuite sur [Afficher les résultats] puis sur [Supprimer la sélection]. Valide ensuite par [Ok].

&#9672; MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

&#9672; Tu peux ensuite vider la quarantaine de MBAM.

Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.

&#9672; Si tu as des soucis, un tutoriel est disponible à cette adresse.

al · Answer

https://www.cjoint.com/?3cqrV8cxbLO

Xplode · Answer

Ok, désinstalle ZHPDiag via ajout/suppression de programmes. Ensuite re-télécharge le à cette adresse : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Installe le et essaie de relancer un scan. Dis moi si tu as toujours le message d'erreur

al · Answer

toujours le meme message d'erreur. 
Quand je telecharge, il m'indique un dossier de destination qui m'étonne avec des~compact~....

Xplode · Answer

Ok laisse tomber ZHPDiag alors \o/

Refais cette procédure : https://forums.commentcamarche.net/forum/affich-20857056-attaques-repetees-de-chevaux-de-troie-help#13 

On se contentera d'OTL ;-)

al · Answer

j'ai essayé dans un autre dossier de destination, meme message d'erreur.

al · Answer

https://www.cjoint.com/?3cqsDyLlm7S 
https://www.cjoint.com/?3cqsEQLXPSD
bonne réception

Xplode · Answer

Hello,

Ok. Réessaie de télécharger et d'exécuter Combofix s'il te plait.

al · Answer

Bonjour, 
voici le lien
https://www.cjoint.com/?3croi6lEY5m 
bonne reception

Xplode · Answer

Eh ben dis donc t'avais une palanquée d'infection sur ton PC.. ! 

Il y a encore des restes d'infection : 

?????????? CFScript ?????????? 


/!\ Attention : Cette procédure n'est valable que pour Al /!\ 

? Copie le texte en gras ci dessous : 

 
KillAll:: 

NetSvc:: 

hcdvukdg 

FireFox:: 

FF - prefs.js: network.proxy.http_port - 53939       
FF - prefs.js: network.proxy.type - 1   
FF - prefs.js: network.proxy.http - 127.0.0.1 

DDS:: 

uInternet Settings,ProxyServer = http=127.0.0.1:53939  
 

? Ouvre le bloc-note puis colle le texte ci dessus dedans. 

? Enregistre ce fichier sur ton bureau ( appelle le CFScript.txt ). 

? Fais un glisser/déposer de ce fichier sur combofix.exe comme expliqué ici. 

? Combofix va se lancer, patiente le temps du scan. 

/!\ Ne fais rien pendant le scan ( clavier/souris ) /!\ 

? Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse. 

Et fais moi également ceci : 

?????????? TDSSKiller ?????????? 


? Télécharge TDSSKiller ( de Kaspersky Labs ) sur ton bureau. 

? Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

? Clique sur [Start Scan] pour démarrer l'analyse. 

? Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

?  Un rapport s'ouvrira au redémarrage du PC. 

? Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt. 
Xplode - Contributeur sécurité.

al · Answer

re, 
ci joint 1 rapport
 https://www.cjoint.com/?3crpiQHRpCl 
pour killer 
aucun element trouve
ci joint rapport:
 https://www.cjoint.com/?3crplIwSGQk
qd j'ai telechargé kill il a indiqué le meme dossier de destination compact~...
bizarre!!!!
pr info le pare feu est revenu. 
c'est une pandemie carrèment!!!!
merci de ton aide. Vivement que je termine mes congés!!!!

Xplode · Answer

Ok à priori c'est nettement plus clean maintenant.

Pour TDSSKiller c'est ok, je pensais que combofix n'avais pas fait son travail la première fois en restaurant le driver mais visiblement, il s'en ai bien sorti ;-)

Fais un scanner en ligne ici : https://www.eset.com/int/home/online-scanner/

Suis les instructions et poste moi le rapport

al · Answer

ok !!!
voila le rapport
https://www.cjoint.com/?3crrI4zpes4 
dans le fichier d'eset il y a des docs en quarantaine pas une palanquée mais quand meme!!!

Xplode · Answer

Bonjour,

Comment se porte le PC maintenant ?

al · Answer

bonjour à toi
cela va très bien. 
Tout à l'heure le parefeu windows m'a demandé d'installer des mises à jour. 
Ce que j'ai fait mais j'ai annulé car les mises à jour sont automatiques et cela m'a paru louche!!!!. Faut dire j'ai la trouille now.
Le dernier scan était bon???

al · Answer

re, 
mon antivir a fait un scan
ci joint le rapport.
https://www.cjoint.com/?3csqcGUKQIz
 Il reste encore des trucs, que dois je faire?

Xplode · Answer

Bonjour, La détection d'antivir s'est faite dans la quarantaine de Combofix, donc le fichier était déjà inactif ( puisque renommé en .vir ) On va faire le ménage de toute les outils qu'on a utilisé : -+-+-+-+-> DelFix <-+-+-+-+- [x] Télécharge DelFix sur ton bureau. [x] Lance le et appuie sur [Suppression] [x] Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) [x] Une fois le rapport posté sur le forum, relance DelFix et appuie sur [Désinstallation]. -+-+-+-+-> Purger la restauration système <-+-+-+-+- [x] La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème. [x] Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant. [x] Tutoriels : - Windows XP - Windows Vista - Windows 7

al · Answer

re, 
ci joint le rapport
https://www.cjoint.com/?3csrvRP8bzd  
bonne réception
al

Xplode · Answer

Impeccable. Relance un dernier scan Antivir et poste moi le rapport. Ensuite je mettrais ce sujet en [résolu].

al · Answer

bonsoir, 
ci joint le dernier scan:
https://www.cjoint.com/?3csuJkjW8pH 
merci beaucoup à toi. 
Je ne sais pas si j'ai compris tout ce que j'ai fait mais j'ai appris beaucoup de choses et on a réussi à tuer j'espère toutes ces petites bestioles,la palanquée entière!!!!!
Pourrais je faire un don ou envoyer quelque chose pour toi ou le site sans passer par ma CB bien sur!!!!
encore merci beaucoup de ton aide et de ta disponibilité.
Al

al · Answer

Re,
pour info j'ai une vingtaine de mises à jour à chaque fois que j'éteins l'ordi!!!!
est ce normal?

Xplode · Answer

Bonjour vous deux,

En effet pour les mises à jour c'est normal. Par contre il faut prendre soin d'installer toutes celles qui te sont proposées.

Pourrais je faire un don ou envoyer quelque chose pour toi ou le site sans passer par ma CB bien sur!!!! 

Nous sommes tous bénévoles ici, et je ne peux me permettre d'accepter ceci. Désinfecter les PC reste une passion, ce n'est pas un travail. ;-)

@+

Attaques répétées de chevaux de troie, Help!!

48 réponses

Discussions similaires

Newsletters