Chaval de Troie: Patched_c.mis ! comment le supprimer? [Fermé]

Signaler
Messages postés
71
Date d'inscription
lundi 23 juillet 2012
Statut
Membre
Dernière intervention
26 octobre 2013
-
 Utilisateur anonyme -
Bonjour,
J"ai découvert à l'aide de on antivirus que mon ordinateur est infecté en détéctant la présence d'un cheval de troie du type Patched_c.MIS , apres quelque temps mon ordunateur commece a ralentir jusqu'a devenir inutilisable je me rends compte plus tard que ça vient du cheval de troie et que la situation pourrais s'aggraver encore plus. Qulequ'un pourrait m'aider à le sppriemr ? merci d'avance


9 réponses


Bonjour

[*] Télécharger sur le bureau RogueKiller (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

Messages postés
71
Date d'inscription
lundi 23 juillet 2012
Statut
Membre
Dernière intervention
26 octobre 2013
1
RogueKiller V8.5.1 [Feb 12 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur : HP [Droits d'admin]
Mode : Suppression -- Date : 16/02/2013 12:40:18
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] FacebookMessenger.exe -- C:\Users\HP\AppData\Local\Facebook\Messenger\2.1.4651.0\FacebookMessenger.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 7 ¤¤¤
[TASK][SUSP PATH] ROC_REG_JAN_DELETE.job : C:\ProgramData\AVG January 2013 Campaign\ROC.exe /DELETE_FROM_SYSTEM=1 [7] -> SUPPRIMÉ
[TASK][SUSP PATH] ROC_REG_JAN_DELETE : C:\ProgramData\AVG January 2013 Campaign\ROC.exe /DELETE_FROM_SYSTEM=1 [7] -> SUPPRIMÉ
[STARTUP][SUSP PATH] Facebook Messenger.lnk @HP : C:\Users\HP\AppData\Local\Facebook\Messenger\2.1.4651.0\FacebookMessenger.exe [7] -> SUPPRIMÉ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\Users\HP\AppData\Local\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\n.) [x] -> REMPLACÉ (C:\Windows\system32\shell32.dll)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\Windows\Installer\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\@ [-] --> SUPPRIMÉ AU REBOOT
[ZeroAccess][FILE] @ : C:\Users\HP\AppData\Local\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\Windows\Installer\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\U\00000001.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\U --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\Users\HP\AppData\Local\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\U\00000001.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\Users\HP\AppData\Local\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\U\80000000.@ [-] --> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\Users\HP\AppData\Local\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\U\800000cb.@ [-] --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\HP\AppData\Local\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\L --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\Users\HP\AppData\Local\{1b8a4a92-c4e9-7675-229d-68e71a0a73e8}\L --> SUPPRIMÉ
[Susp.ASLR][FILE] services.exe : C:\Windows\system32\services.exe [x] --> REMPLACÉ AU REBOOT (C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_2b54b20ee6fa07b1\services.exe)

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK3261GSYN +++++
--- User ---
[MBR] 01e768f10f29e3e9b54aa0719a48fec0
[BSP] 074bbe1f7f03806d09f52ce5a1475ec1 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 159310 Mo
2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 326676480 | Size: 132356 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 597741568 | Size: 13378 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_16022013_124018.txt >>
RKreport[1]_S_16022013_123702.txt ; RKreport[2]_D_16022013_124018.txt

Bonjour

Télécharge Malwaresbytes anti malware ici
http://www.commentcamarche.net/download/telecharger-34055379-malwarebytes-anti-malware


* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

* Potasse le tuto pour te familiariser avec le prg :

http://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+
Messages postés
71
Date d'inscription
lundi 23 juillet 2012
Statut
Membre
Dernière intervention
26 octobre 2013
1
Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.17.02

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
HP :: HP-PC [administrateur]

Protection: Activé

17/02/2013 10:21:17
mbam-log-2013-02-17 (10-21-17).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 478621
Temps écoulé: 13 heure(s), 9 minute(s), 55 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 7
HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{CAC42510-9B41-42c1-9DCD-7282A2D07C61} (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{3AC7D000-0444-4011-A43C-D7796E97E0D1} (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{334C6DE3-3FE2-4ED4-9D51-538C3A55E706} (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CAC42510-9B41-42C1-9DCD-7282A2D07C61} (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{CAC42510-9B41-42C1-9DCD-7282A2D07C61} (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{CAC42510-9B41-42C1-9DCD-7282A2D07C61} (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Program Files (x86)\BitAccelerator (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 1
C:\Program Files (x86)\BitAccelerator\BitAccelerator.dll (Trojan.BHO) -> Mis en quarantaine et supprimé avec succès.

(fin)

Bonjour

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

http://telechargement.zebulon.fr/zhpdiag.html

Ou

http://www.commentcamarche.net/telecharger/download-34066799-zhpdiag

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé,

Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload
http://cjoint.com


Regarde sur le bureau

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

@+
Messages postés
71
Date d'inscription
lundi 23 juillet 2012
Statut
Membre
Dernière intervention
26 octobre 2013
1

re

Commence par mettre à jour Windows via Windows update

poste moi ensuite un nouveau rapport ZHPDiag

Merci

@+
Messages postés
71
Date d'inscription
lundi 23 juillet 2012
Statut
Membre
Dernière intervention
26 octobre 2013
1
Quand je cliques sur chercher des mises à jour on me dit : windows Update ne peut pas rechercher actuellement des mises à jour car le service n'est pas en cours d'exécution. Il vous faudra peut etre redemarrer votre ordinateur

et Quand je redémarre ça ne change rien à ma situation