PC infécté (un de plus...), ne s'en sort pasFermé

Question

Bonsoir à tous, 

comme de nombreuses personnes ici apparement, j'ai des problèmes de troyens (sans doute). 

Je vais tenter de m'expliquer le plus clairement possible : 

Je dispose d'un PC, sous Windows XP SP2, avec 2 disques durs (un interne où Windows et mes logiciels sont installés, puis un externe via port USB, où je stock tous mes fichiers [fichiers personnels etc...]). N'ayant pas beaucoup d'argent, je ne dispose que d'Avast, avec le pare-feu de windows désactivé (il est plutot génant je trouve) et pas d'autre pare-feu (à par ma livebox ? Ca laisse passer beaucoup de choses tout de même).

Mon PC était infécté par plusieurs troyens j'imagine, que je n'arrivais pas à éliminer (Avast, Ad-Aware, bidouillage de la base de registre etc...), j'ai donc décidé de formater mon DD interne puis de réinstaller Windows XP complétement. Manque de chance, je viens tout juste de le réinstaller en prenant soins de ne pas rebrancher ni internet, ni mon DD externe avant d'avoir installer le SP2 et Avast, et après avoir rebrancher mon DD externe, les problèmes sont tout de suite revenus.. j'en conclu donc que même mon DD externe est infécté :( et ça m'embette beaucoup.

Passons maintenant à la déscription des problèmes perçus : 

- Je ne peux pas lancer le gestionnaire des tâches (crtl-alt+suprr), quand je veux le lancer, il ne s'ouvre pas, mais le petit icone vert comme quoi il est ouvert apparaît quand même dans la barre de tâche mais disparaît dès que je passe la souris dessus. 
- A chaque fois que j'ouvre un dossier, un fichier *.exe se créer, en fichier caché, avec le nom du dossier. (Par exemple, j'ouvre le dossier D:\Musique et un fichier D:\Musique\Musique.exe se créer)
- Un message d'erreur apparaît régulierement, soit disant une "Alerte De Securite De Windows" m'avertissant que je suis victime de spyware, et me demande de cliquer sur "Oui" pour le résoudre" mais vu la mauvaise traduction du message, je n'y crois pas donc je refuse à chaque fois. (Ce message aparaît même quand je débranche internet)
- J'ai réinstaller Ad-Aware, mais après intallation, impossible de le lancer, un message d'erreur apparaît : "System error: 1810 has occured. Description: Service is not online. Application terminates"
- J'ai remarquer également que quand je clique droit sur le disque C: dans l'explorateur, dans le menu déroulant qui apparaît, entre la fonction "Ouvrir" est remplacée par des caractères étranges tels que "Îoêàû^ü..", pareil pour mon DD externe. 
- et de nombreux autres petits bugs...

Tout cela même pas une heure après formatage et réinstallation complète de Windows XP. 

Si quelqu'un peut m'aider... j'accepte volontier :). 

Bonne soirée

Darkkiller · Answer

Salut,

En lisant ton post j'en déduis plusieurs infections, on va voir ça :

Clique sur ce lien 
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe 
pour télécharger le fichier d'installation d'HijackThis.

Enregistre HJTInstall.exe sur ton bureau.  

Double-clique sur HJTInstall.exe pour lancer le programme

Par défaut, il s'installera là : 
C:\Program Files\Trend Micro\HijackThis

Accepte la license en cliquant sur le bouton "I Accept"

Choisis l'option "Do a system scan and save a log file"

Clique sur "Save log" pour enregistrer le rapport qui s'ouvrira avec le bloc-note

Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport

Colle le rapport que tu viens de copier sur ce forum

Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement


Tutoriaux : http://pageperso.aol.fr/balltrap34/demohijack.htm (ne fixe rien pour le moment !!)
              http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm 

Bonne soirée !!

GNRhic · Answer

Merci pour ton aide. 

Je crois que l'on va galerer... je viens de téléchercher et d'intaller Hijackthis. Il s'est intallé correctoment, mais au moment de le lancer. RIEN :(, rien ne s'ouvre, rien de se passe. Pareil en mode sans-echec...

Darkkiller · Answer

Salut,

Ok passe cette étape, Essayes ceci :

Télécharge Flash_Disinfector de sUBs ici 
: 
http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe 

Enregistre le sur ton bureau.

Double clique sur Flash_Disinfector.exe pour le lancer
. 
Quand le message : "Plug in yours flash drive & clic Ok to begin disinfection" apparaitra : 
Connecte les clés USB et périphériques USB externes susceptibles d'avoir été infectés.

Puis clique sur Ok 

Les icônes sur le bureau vont disparaitre jusqu'à l'apparition du message: "Done!!" 

Appuye sur "Ok", pour faire réapparaitre le bureau[

GNRhic · Answer

Merci. 

Je viens de faire ce que tu m'a dt, tout s'est passé comme tu l'as décrit.

Mais aucun problème n'est résolu...

Darkkiller · Answer

Re,

As-tu branché ton DDE avant de faire la manipulation avec Flash desinfector ?

GNRhic · Answer

Je l'ai branché juste avant de cliquer sur "OK" (et j'ai attendu qu'il demarre etc..)

Darkkiller · Answer

Re,

Ok !

Maintenant, laisse ton DDE branché.
Et fais ceci : (cela risque de prendre un peu de ton temps ;))

Scan kaspersky https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr 

Clic sur l'image Kaspersky Online Scanner 
Clic sur J'accepte 
Installes le ActiveX 
Tu attends que la mise à jour se termine, une fois terminé, 
clic sur Suivant 
Clic sur Paramètres d'analyse 
Coche la case Étendue >> Ok 
Clic sur Poste de travail pour faire un scan complet 
Une fois le scan fini à 100%, clic sur Enregistrer rapport 
sous... 
Enregistrer le rapport au format .txt (en nom tu mets rapport ou 
ce que tu veux et en type tu choisis fichier texte (*.txt) 
Tu ouvres le fichier que tu viens de sauvegarder, copie et colle 
le rapport ici si tu es infecté 

A bientôt !

GNRhic · Answer

Merci, je fais ça de suite, si c'est trop long je ferais ça demain et je poste le resultat ;)

Merci encore !

Darkkiller · Answer

Ok pas de problème !

GNRhic · Answer

Bonjour, après 4h15 d'analyse, c'est enfin terminé ! En ce qui concerne le rapport.. cela ne va pas être pratique.. 8386 fichiers infectés, il est donc interminable est pas adapté pour le coller sur le forum. Par contre je peux donner les noms des differents virus (il m'en detetce 8 mais j'en trouve que 6 different dans tout le rapport, j'ai mis du temps à triller les 8386) : 

- Trojan-PSW.Win32.QQPass.aom : pour tous les fichiers *.exe créer quand j'ouvre un dossier. C'est ce qui a touché 90% des 8386 fichiers trouvés inéctés. A mon avis, dès que le logiciel d'analyse a tenter d'analyser un dossier, un fichier s'est créer a chaque fois, d'où le nombre important de detection...
- C:\WINDOWS\system32\winsos.exe	Infecté : Trojan-Downloader.Win32.Small.gye
- C:\WINDOWS\system32\userv32.dat	Infecté : not-a-virus:AdWare.Win32.Agent.zo	ignoré
- C:\WINDOWS\murka.dat	Infecté : Backdoor.Win32.Small.cbo	ignoré
- C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0006979.exe	Infecté : Trojan-Downloader.Win32.Small.gye 
- C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0004758.exe	Infecté : Trojan-Dropper.Win32.Small.bdf

Il y a une petite centaine de fichier infecté dont le nom du virus n'est pas marqué, exemple : 
- C:\WINDOWS\WindowsUpdate.log	L'objet est verrouillé	ignoré

Voilà tout !

Darkkiller · Answer

Re,

Ca :

Il y a une petite centaine de fichier infecté dont le nom du virus n'est pas marqué, exemple : 
- C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré 

Ce n'est rien du tout, le fichier n'est pas infecté ;).

Mais parcontre il faudrait absolument que je vois TOUT le rapport en entier, serait-il possible que tu l'uploades ? Car a ce que je vois tu es HYPER infecté, (sans te faire peur)

Merci d'avance !

GNRhic · Answer

Ca ne me fait pas peur t'inquiète pas. 
Tu ne trouvera rien de plus de ce que j'ai mis ici sur le forum.. car j'ai passé un temps fou a tout lire et faire le tri. Tu comprendra que le troyens qui créer un fichier *.exe infécté dans chaque dossier ouvert, et vu que le scan a ouvert tous les fichiers, il a donc détecté un fichier infécté par dossier.. d'où le nombre important de fichier infecté, mais ce que je veux comprendre c'est que dans le rapport, il y a donc tous les dossiers sans exceptions de mon PC de divulgués... je n'ai pas trop envie d'en faire part à quelqu'un... Mais serieusement, tu ne trouvera rien d'autre de ce que j'ai donné. 

Par contre, je peux te donner le resultat qu'il reste, en enlevant tous les "L'objet est vérouillé" et les fichiers *.exe infécté par "Trojan-PSW.Win32.QQPass.aom" (c'est-à-dire, comme je l'ai dis plus haut, 90€ des 8386 fichiers inféctés), et il ne reste plus que cela : 

Paramètres d'analyse:
	Analyser avec la base antivirus suivante: étendue
	Analyser les archives: vrai
	Analyser les bases de messagerie: vrai

Cible de l'analyse - Poste de travail:
	A:\
	C:\
	D:\
	E:\
	F:\
	G:\
	H:\

Statistiques de l'analyse:
	Total d'objets analysés: 126216
	Nombre de virus trouvés: 8
	Nombre d'objets infectés: 8386 / 0
	Nombre d'objets suspects: 0
	Durée de l'analyse: 04:14:26

Nom de l'objet infecté / Nom du virus / Dernière action


C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0003757.exe	Infecté : Trojan-Downloader.Win32.Small.gye	ignoré
C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0004757.dll	Infecté : Trojan-Downloader.Win32.Small.hga	ignoré
C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0004758.exe	Infecté : Trojan-Dropper.Win32.Small.bdf	ignoré
C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0004759.exe	Infecté : Trojan-Downloader.Win32.Small.gye	ignoré
C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0004760.exe	Infecté : Trojan-Downloader.Win32.Small.gye	ignoré
C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0004979.exe	Infecté : Trojan-Downloader.Win32.Small.gye	ignoré
C:\System Volume Information\_restore{29206DC2-94B7-442D-96C7-6F3291E2D4E1}\RP12\A0006979.exe	Infecté : Trojan-Downloader.Win32.Small.gye	ignoré
C:\WINDOWS\murka.dat	Infecté : Backdoor.Win32.Small.cbo	ignoré
C:\WINDOWS\system32\userv32.dat	Infecté : not-a-virus:AdWare.Win32.Agent.zo	ignoré
C:\WINDOWS\system32\winsos.exe	Infecté : Trojan-Downloader.Win32.Small.gye	ignoré

Analyse terminée.

Darkkiller · Answer

Salut,

ON va essayer de cette manière !

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe 
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.
Déroule la liste des instructions ci-dessous :
• Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le scrïpt.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du scrïpt et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

GNRhic · Answer

Bah.. désolé, comme pour Hijackthis, quand je l'éxecute, rien ne se passe et aucun dossier n'est crée dans C:\...

Darkkiller · Answer

Tu l'as bien fait en mode sans échec ?

GNRhic · Answer

Oui..

Darkkiller · Answer

Re,

On passe a autre chose !

Suis ce tuto :

https://www.malekal.com/tutorial-escan-antivirus-toolkit/

Et fais ce qu'il y est indiqué !

truli · Answer

salut j'ai ce probleme , j'ai fait un autre topic pour avoir une aide merci a vous

Darkkiller · Answer

Ok, merci !

PC infécté (un de plus...), ne s'en sort pas

19 réponses

Newsletters