Bonjour,
 
J'utilise un PC avec Windows 7 à jour. Malwarebytes a détecté un cheval de Troie sur mon PC sans parvenir à l'identifier et je n'arrive pas à le supprimer. Voici ce que je sais :
 
- il existe un fichier microsoft.exe dans le répertoire <user>\AppData\Local\Temp qui s'exécute au démarrage.
- la base de registre contient deux enregistrements pour lancer ce fichier dans les répertoire RUN de HKEY_LOCAL_MACHINE et HKEY_CURRENT_USER.
-quand je veux arrêter le processus microsoft.exe via le gestionnaire des taches, une fenêtre s'ouvre, indiquant l’arrêt de ce processus nécessite le redémarrage du PC. Une case à cocher apparait en bas du message pour confirmer le redémarrage. Je n'avais encore jamais vu de fenêtre de ce genre dans windows...
-l’arrêt du PC provoque un écran bleu et un vidage mémoire. Idem quand j'appuie sur l'interrupteur du PC.
-j'ai pu supprimé le fichier et les références dans la base de registre en étant en mode sans échec, mais le fichier est recréé lors du démarrage suivant.
-j'ai également supprimé tout les enregistrements des dossiers "run" de la base de registres en étant en mode sans échec, après un redémarrage brutal (reset matériel), mais le maudit fichiers est réapparu, il doit donc y avoir un autre fichier à supprimer mais je n'arrive pas à l'identifié ou à savoir comment il se lance.
 
Nod32 et windows defender ne détectent rien.
 
Mes recherches sur le net ne m'ont pas permis de l'identifier, pourriez-vous m'aider?
 
Merci!
Luc

 
 
Et bien tu vas ici :  
 
http://forum.malekal.com/virus-aid [...] ijack.html
 
tu regarde les messages pour voir comment ca se passe, tu  exposes ton problème, tu sera pris en charge par une seule personne et tu n'as qu'à suivre ce qui te sera indiqué

Merci!
 
En lisant les conseils qu'ils donnent avant de poster sur le forum j'ai redécouvert HijackThis que je n'avais pas utilisé depuis des années. Et j'ai pu résoudre mon problème.
 
Voici les deux lignes importantes du rapport d'HijackThis :
O4 - HKCU\..\Run: [13cf9d8bf1b79e8de8ac0fe37a6739fe] "C:\Users\Luc\AppData\Local\Temp\Microsoft.exe" ..
O4 - Startup: 13cf9d8bf1b79e8de8ac0fe37a6739fe.exe
 
La première montre l'enregistrement dans la base de registre qui lance le fichier microsoft.exe que j'avais repéré, et la clé de cet enregistrement est le nom d'un second fichier qui se trouve dans le menu "démarrage" de windows. Il a suffit que je les supprime tous les deux en mode sans échec pour résoudre le problème.
 
En espérant que cela pourra être utile aux futur infectés!

Je mettrai un bémol quand meme pour l'utilisation d'HijackTHis ; il n'est plus aussi efficace qu'avant pour certaines classes d'infection, c'est à dire que le log d'Hijackthis ne montrera.. RIEN

Evidemment pour ce qui est antérieur ou plus classique il fera son travail, mais il vaut mieux laisser tomber cet outil. Il y a mieux en terme d'efficacité. On ne l'utilises plus depuis déjà de nombreux mois

Ensuite, et c'est pour cela qu'il y a une prise en charge individuelle, sur le site Malekal et qu'il est bien précisé que les solutions apportées ne sont pas à reproduire si on a la meme infection  car ce qui est valable pour toi peut ne pas l'etre pour une autre personne
Bon évidemment sur les infections anciennes on peut se débrouiller tout seul car les éditeurs d'AV ou les personnes qui oeuvrent dans la sécu arrivent à sortir des outils non seulement d'éradication, mais aussi de nettoyage, et parfois des compléments pour remettre le PC d'aplomb

Edit : Preuve en est qu'il faut éviter d'utiliser des outils d'analyse ou d éradication tout seul dans son coin.

https://smokeys.wordpress.com/2013/ [...] ity-virus/

C'est récent et les helpeurs le savent