[résolu] Cheval de troie

Bonsoir

Va plutôt dans la section sécurité/virus >> http://www.infos-du-net.com/forum/forum-11.html

Tu aura un helper qui te prendra en charge

De rien

Ce sujet a été déplacé de la catégorie Systèmes d'exploitation (Windows, Mac OS, Linux...) vers la catégorie Sécurité - Virus par Guigui0001

Bonsoir, tu as le rapport AVG ?

Utilise le moins possible ton PC pendant la procédure, afin de faciliter la désinfection.

Suis les procédures données, mais ne tente rien par toi-même : si il y a un souci pendant une procédure, fais-m'en part plutôt que de cliquer au hasard et provoquer une panne sur ton système.

Si tu suis déjà une procédure sur un autre forum, merci de le signaler, il est important de ne suivre qu'une seule désinfection à la fois.

Même si les symptômes de l'infection ont disparu, le PC n'est pas forcément clean : attends bien que l'on t'ait dit que le PC est désinfecté avant de l'utiliser à nouveau.

Même si les désinfections sont faites par des personnes ayant des connaissances approfondies dans la désinfection, il est toujours possible que ton PC plante. Pense à bien sauvegarder tes données  

__________________

Si tu es prêt(e), allons-y :

[#ff9000]Diagnostic :

Télécharge OTL (de [#ff9000]OldTimer[/#ff]) sur ton Bureau.

Si tu es sous XP, double-clique dessus pour le lancer, si tu es sous Vista/7, fais un clic droit dessus et fais Exécuter en tant qu'administrateur pour le lancer.

Une fenêtre apparaît.

Coche la case : Tous les utilisateurs

Coche les cases correspondant à la Recherche LOP et à la Recherche Purity (En bleu vers le bas de la fenêtre).

Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

netsvcs
msconfig
drivers32
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
%systemroot%\System32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\system32\*.dll /lockedfiles
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
/md5stop
CREATERESTOREPOINT

Enfin, clique sur le bouton Analyse. Pendant la durée du scanne, ne touche à rien. Le scan prendra quelques temps.

A la fin du scan, deux rapports s'ouvriront : OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.

Pour les rapports, qui ont tendance à être trop longs pour le forum, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

http://www.cijoint.fr/cjlink.php?file=cj201108/cij1nySF...
http://www.cijoint.fr/cjlink.php?file=cj201108/cijZrMc1...
Bonjour voici (en espérant que cela fonctionne ) les 2 raccourcis de l'ensemble des rapports...Merci d'avance pour l'aide...

Bonne soiree

Bonsoir,



Y a du Eorezo, et plus si affinité...

Désinstalle Spybot S&D qui va gêner la désinfection.


Scan Ad-Remover

Télécharge Ad-Remover (de C_XX[/#ff]) sur ton Bureau.

[#ff0000]Déconnecte-toi et ferme toutes applications en cours[/#ff]

Double-clique sur AD-R présent sur ton bureau. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Scanner. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

[#ff0000]Laisse travailler l'outil [/#ff]

Une fenêtre contenant le rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Ensuite clique sur Quitter pour fermer Ad-Remover.

Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-SCAN

[#ff9d00]Pour t'aider :

Tuto sur AD-R

[#ff9000]Analyse en ligne[/#ff]

Va sur le site Virustotal , un site qui analyse des fichiers avec tous les antivirus présents sur le marché.

Clique sur Choisissez un fichier .

Dans la fenêtre qui s'ouvre alors, en bas, il est marqué Nom du fichier . Mets alors

C:\Install.exe

(copie et colle avec Ctrl+V)

Appuie sur Ouvrir , puis clique sur Envoyer le fichier .

Attends quelques secondes. Si c'est marqué que le fichier a déjà été analysé, clique sur Reanalyser le fichier maintenant .

Ton fichier est alors analysé. Attends bien que ce soit marqué Situation actuelle : terminé .

Sélectionne le tableau (avec les anti-virus, la version, la dernière mise à jour, le résultat), et Colle-le dans ta prochaine réponse stp .

Bonsoir
et voici le rapport apres qvoir suivi vos recommandations....
======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-remover\main.exe (SCAN [1]) -> Lancé à 21:27:05 le 30/08/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X64)
Laure et Tophe@ZOZOETYANIS (HP-Pavilion FJ393AA-ABF a6543.fr)

============== RECHERCHE ==============


Dossier trouvé: C:\Program Files (x86)\Ask.com
Dossier trouvé: C:\Users\Laure et Tophe\AppData\Local\Conduit
Dossier trouvé: C:\ProgramData\PopCap Games
Dossier trouvé: C:\Users\Laure et Tophe\AppData\LocalLow\PriceGong
Dossier trouvé: C:\Users\Laure et Tophe\AppData\Local\SpiderMessenger
Dossier trouvé: C:\Program Files (x86)\SpiderMessenger
Dossier trouvé: C:\ProgramData\Trymedia
Dossier trouvé: C:\Users\Laure et Tophe\AppData\Roaming\EoRezo

Clé trouvée: HKLM\Software\Conduit
Clé trouvée: HKLM\Software\EoRezo
Clé trouvée: HKLM\Software\PopCap
Clé trouvée: HKLM\Software\Trymedia Systems
Clé trouvée: HKLM\Software\Winsudate
Clé trouvée: HKCU\Software\EoRezo
Clé trouvée: HKCU\Software\PopCap
Clé trouvée: HKCU\Software\SpiderMessenger
Clé trouvée: HKCU\Software\Winsudate
Clé trouvée: HKCU\Software\AppDataLow\Software\PriceGong
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé trouvée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\SoftwareUpdate_is1
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SoftwareUpdate_is1
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64F56FC1-1272-44CD-BA6E-39723696E350}

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|SpiderMessengerHelper@spidermessenger.com
Valeur trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Eorezo
Valeur trouvée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cndt
HKCU_Main|Search bar - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=83&bd=Pavilion&pf=cndt
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://www.nixud.com/
HKCU_URLSearchHooks|{c44f9e21-d93f-490c-b41c-b3548bdd19fc} (x)
HKCU_SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - "Ask Search" (hxxp://websearch.ask.com/redirect?client=ie&tb=LMW2&o=16050&src=crm&q={searchTer...)
HKCU_SearchScopes\{88e710b5-783d-49d1-8e26-4674d090a941} - "Searcheo" (hxxp://www.searcheo.fr/france?search&q={searchTerms})
HKCU_SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} - "Productivity 2.1 Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
HKCU_SearchScopes\{B490E83A-0563-4EE9-B877-EFFF00611E78} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKLM_SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B} - "Productivity 2.1 Customized Web Search" (hxxp://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT...)
HKLM_SearchScopes\{B490E83A-0563-4EE9-B877-EFFF00611E78} - "Kelkoo" (hxxp://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromfor...)
HKCU_Toolbar\WebBrowser|{724D43A0-0D85-11D4-9908-00400523E39A} (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll)
HKCU_Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (x)
HKCU_Toolbar\WebBrowser|{C44F9E21-D93F-490C-B41C-B3548BDD19FC} (x)
HKLM_Toolbar|{724d43a0-0d85-11d4-9908-00400523e39a} (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{A6E2003F-95C5-4591-BA9A-0093080FDB5C} - C:\Program Files (x86)\Common Files\Oberon Media\OberonBroker\1.0.0.63\OberonBroker.exe (x)
HKLM_Extensions\{320AF880-6646-11D3-ABEE-C5DBF3571F46} - "Remplir" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll,880)
HKLM_Extensions\{320AF880-6646-11D3-ABEE-C5DBF3571F49} - "Enregistrer" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll,873)
HKLM_Extensions\{724d43aa-0d85-11d4-9908-00400523e39a} - "Barre RoboForm" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll,900)
BHO\{64F56FC1-1272-44CD-BA6E-39723696E350} (?)
BHO\{724d43a9-0d85-11d4-9908-00400523e39a} - "?" (C:\Program Files (x86)\Siber Systems\AI RoboForm\roboform.dll)
BHO\{AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - "Skype Browser Helper" (C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll)

========================================

C:\Program Files (x86)\Ad-remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-remover\Backup: 0 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 30/08/2011 21:27:09 (5720 Octet(s))

Fin à: 21:28:16, 30/08/2011

============== E.O.F ==============

Bonsoir, ok pour le rapport, par contre, ça serait bien si tu avais le rapport d'AVG à me montrer pour que je voie quel fichier il détecte... Merci.

En plus du scan virustotal à faire, fais ceci :

Fix Ad-Remover

Relance Ad-Remover. (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA/7)

Patiente jusqu'à l'apparition du menu principal. A partir de là, clique sur Nettoyer. On te demandera de confirmer, clique sur Oui et patiente jusqu'à la fin du scan.

[#ff0000]Laisse travailler l'outil [/#ff]

Une fenêtre contenant un nouveau rapport va s'ouvrir, poste-moi le rapport dans ta prochaine réponse.
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )
Ensuite clique sur Quitter pour fermer Ad-Remover.

Note : Le rapport que Ad-Remover viens de générer se trouve ici : C:\Ad-Report-CLEAN

[#ff9d00]Pour t'aider :

Tuto sur AD-R

Bonsoir, j'ai un gros soucis,car apres un scan complet avec AVG pour donner le rapport,il me dit qu'il n'y a rien d'infecté...
Par contre une fenetre s'ouvre regulierement en me disant qu'il y a une menace:
voici ce qu'il me note:
c:\Users\Laure et Tophe\AppData\Roaming\EoRezo\SoftwareUpdate\Download\itsTV\4.0.0.2422324\su_fr.exe
c'est tout ce que j'ai sous la main...

Hello,

Ah ! Bon ben ce n'est pas grave du tout, lance le fix Ad-Remover comme demandé et normalement l'alerte ne se reproduira plus  

Hello, bon je lance l'opération et je te tiens au courant en te remerciant dejà par avance  

Bon jusqu'a la plus rien ne s'est passé....Plus de fenetres intempestives qui s'ouvrent...  
Merci encore

Ok on a presque fini :

Analyse et suppression des logiciels malveillants

Télécharge Malwarebytes' Anti-Malware (MBAM) (de Marcin Kleczynski et Bruce Harriss).

Installe-le, puis mets bien à jour le programme à la fin de l'installation.

Une fois l'opération terminée, MBAM se lance. Vérifie que la case Examen rapide est bien cochée, puis appuye sur Rechercher (encadré en rouge dans l'image ci-dessous )

A la fin de l'analyse, un message va s'afficher :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

ou bien :

L'examen s'est terminé normalement. Aucun élément nuisible n'a été détecté.

Clique sur OK pour continuer. Si MBAM n'a rien trouvé, fais-le moi savoir et quitte le programme.

Si il a trouvé des malwares (donc si tu obtiens le message "Afficher les résultats' pour afficher tous les objets trouvés"), continue :

Ferme toutes les applications en cours (à part MBAM) [/#ff]

Clique sur Afficher les résultats.

Coche toutes les cases et clique sur Supprimer la sélection. Ainsi, les malwares vont être mis en quarantaine.

Un rapport va s'afficher. Colle ce rapport dans ta prochaine réponse stp  

[#ffb200]Pour t'aider

: Tuto sur MBAM

Enfin, poste un nouveau rapport OTL.

Bonjour,voici le rapport de MBAM:
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7637

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

02/09/2011 16:53:23
mbam-log-2011-09-02 (16-53-23).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 188776
Temps écoulé: 11 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\EoRezo (Rogue.Eorezo) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\programdata\microsoft\Windows\start menu\Programs\coolplay (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\programdata\microsoft\Windows\start menu\Programs\coolplay\uninstall.lnk (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Et voici le lien pour le rapport OTL  
http://www.cijoint.fr/cjlink.php?file=cj201109/cij6NpYz...

Ok c'est good. Encore des alertes AVG ?

Si ce n'est pas le cas, suite et fin dans l'ordre :

1)



--> Il y a toujours des virus dans tes points de restauration. Suis ce tuto pour la purger.

N'oublie pas de créer un nouveau point de restauration une fois l'opération effectuée (en appuyant sur le bouton créer)

2)

[#0033ff]
Prévention

Les dangers du P2P (comme emule, limewire...) : http://forum.zebulon.fr/index.php?showtopic=85544

Pour télécharger gratuitement et légalement, je te conseille Beezik , qui a pour avantages :

Une meilleure qualité de son

Pas de virus !

Les dangers des cracks, des keygens : http://forum.malekal.com/danger-des-cracks-t893.html

Rappels sur les OS piratés : http://redirectingat.com/?id=1402X522807&xs=1&url=http%...

********************************

Logiciels de sécurité conseillés :

Anti-virus : Avast 6.0

Pour scanner tes fichiers : MBAM

********************************

Attention, contrairement aux idées reçues :

Ne jamais avoir deux anti-virus avec la protection en temps réelle activée, c'est la meilleure façon de créer des conflits. Plusieurs anti-virus actifs peuvent s'entraver, et, au final, le PC que l'on croyait plus sécurisé devient une vraie passoire...

Les anti-spywares ne servent à rien !!

Je te conseille fortement de ne pas installer des packs de "transformation', qui donnent par exemple l'allure de Windows Vista à un Windows XP. Ce genre de programmes posent beaucoup de problèmes !!!

Enfin, n'oublie pas que la meilleure protection de ton ordinateur, c'est toi !


3)

Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre de ton sujet :

Clique, dans ton premier message, sur le bouton Editer .

Ajoute [Résolu] devant le titre.

Clique ensuite sur Valider votre message.

Sois plus vigilant(e) sur Internet !  

A+ sur Tom's Guide