Pb de trojan

Pb de trojan - Virus/Spywares - Windows & Software

Marsh Posté le 26-05-2010 à 13:39:37    

Salut à tous, alors voila depuis quelques jours kaspersky me trouve en permanence des trojan, il les enleves pour la plupart mais ça continus toujours. de plus depuis que j'ai ces trojans je ne peux plus utiliser firefox (les pages ne se chargent pas). Je connait pas grand chose en software (moi a part monter un ordi je ne sait pas faire grand chose). Alors voila ça fait déjà 6 ans que je paye pour kaspersky et avant je n'avait pas eu de problème (d'ailleurs je crois que je n'avais jamais eu de virus); mais la je suis déçu de kaspersky, j'ose même plus aller voir mes comptes . J'ai chercher sur le net mais il semble que le trojan qui me pose le plus de problème est : Trojan.JS.Agent.ath c'est le seul ou il me marque état infecté (pas supprimé ou en quarantaine). das objet il me donne une url : 3W.ticketobserver.fr... (attention n'aller pas voir dessus c'est de la que viens le virus apparemment).  
Voila si quelqu'un de beaucoup plus calé que moi pouvais m'aider ce serai sympa .  
Merci  :hello:  


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 26-05-2010 à 13:39:37   

Reply

Marsh Posté le 27-05-2010 à 16:37:42    

m@rtiou a écrit :

kaspersky me trouve en permanence des trojan, il les enleves pour la plupart mais ça continus toujours.Voila si quelqu'un de beaucoup plus calé que moi pouvais m'aider ce serai sympa . Merci  :hello:


 
bonjour m@rtiou,
 
Kaspersky est pourtant un très bon firewall/antivirus.
 
Que faire?
moi pas très calé. Je branche le dd en externe sur un PC propre et bien protégé dont l'antivirus et l'antispyware sont à jour, çà je sais faire. Vous pouvez faire çà chez vous, chez un ami?
Pour les analyses et nettoyages en profondeur, attendez l'aide d'un spécialiste des logiciels délicats, ZHPDiag ou Combofix ou autre (consultez déjà le forum à ce sujet), je n'ose intervenir sur ces logiciels.
 
Conseils:
Pas de point de restauration à reprendre, ils sont peut-être pourris, il vaut mieux les supprimer.
Pas de branchement de clé usb ou autre support avant que votre système ne soit protégé, l'infection reviendrait probablement.
(et gaffe dorénavant aux téléchargements  :D  Le meilleur pare-feu est entre la chaise et le clavier.)
 
Un spécialiste devrait bientôt vous aider, j'espère.
 
bon courage,
 
S.


---------------
Windows XP Home, Windows XP Pro, until...
Reply

Marsh Posté le 27-05-2010 à 20:54:23    

Merci je vais voir ça :).


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 28-05-2010 à 01:04:49    

Salut,
 
    Utilise ce logiciel de diagnostic :
 
    • Télécharge ZHPDiag
    • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    • Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
 
Par contre ne supprime pas tes points de restauration, en cas de problème ils pourront être utiles même s'ils sont infectés !!
 

Citation :

et gaffe dorénavant aux téléchargements  :D  Le meilleur pare-feu est entre la chaise et le clavier


 
 :D , c'est bien vrai ça, on ne le répétera jamais assez  :heink:

Reply

Marsh Posté le 28-05-2010 à 11:46:15    

Voila le rapport : http://www.cijoint.fr/cjlink.php?f [...] 6bNuTQ.txt.
Merci beaucoup pour ton aide parce que ça me gonfle là kaspersky n'arrive à rien sur le coup là :/. Au fait d'ailleurs il a bloquer le programme à la fin car il tenter de telecharger un truc cependant je vois un truc sur les trojan donc je le met ;).
PS : je crois que le virus viens de la clef usb d'un pote (j'en suis même quasiment sur).
En tout cas merci beaucoup c'est cool :).
 


Message édité par m@rtiou le 28-05-2010 à 18:39:23

---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 28-05-2010 à 16:57:35    

Salut,
 
Kaspersky a empêché ZHPDiag d'utiliser un programme du nom de MBR.exe, qui permet notamment de contrôler sur tu n'as pas d'infection sur le secteur zéro.  
 
Dans un premier temps, édite ton post et supprime le rapport HijackThis que tu as collé, la charte du forum interdit de copié/collé les rapports directement dans les posts.
 
Ensuite, tu vas faire ceci :
 

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
  • tutoriel recherche
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
  • Choisis l'option 1 (recherche)
  • Laisse travailler l'outil
  • Ensuite héberges  le rapport UsbFix.txt qui apparaîtra sur ci-joint
  • Note : le rapport UsbFix.txt est sauvegardé a la racine du disque[/list]

   
 
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
              Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
              Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus
 
et tout de suite après le redémarrage de ton pc :
 

  • Télécharge et installe Malwarebytes
  • Un tutoriel pour t'aider à l'utiliser
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse en cliquant sur "Exécuter un examen rapide"
  • Lance une analyse complète en cliquant sur "Exécuter un examen rapide"
  • Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
  • Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
  • Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc-notes... Héberges ce rapport sur Ci-joint


  • Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


tu vas donc m'envoyer deux liens ci-joint, celui de usbfix en mode recherche et celui de MBAM en mode rapide.
 
A plus tard !

Reply

Marsh Posté le 28-05-2010 à 18:41:31    

Merci pour ton aide. Voila le rapport de malwarebyte : http://www.cijoint.fr/cjlink.php?f [...] 7oeHwq.txt
Je n'ai pas fait usbfix car je n'ai plus la clef.
Merci beaucoup pour ton aide c'est très sympa ;).
Edit : 1min après redémarrage de l'ordi kaspersky me retrouve un virus. J'en ai marre :/.


Message édité par m@rtiou le 28-05-2010 à 18:49:52

---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 28-05-2010 à 19:00:41    

Re,
 
Passes tout de même usbfix, c'est important, si tu as tes propres supports amovibles n'hésites pas à les connecter.
 
J'attends le rapport.
 
Merci.

Reply

Marsh Posté le 28-05-2010 à 19:29:29    

Je ne suis pas chez moi ce soir mais demain je le fais et je te donnerai le rapport. Crois tu qu'on vas réussir à virer ces trojan ou vais-je devoir formater?
Edit : Tu vois comment me débarrasser de ce que malwarebyte n'a pas trouvé?


Message édité par m@rtiou le 28-05-2010 à 19:37:38

---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 29-05-2010 à 13:56:13    

Salut,  
 
la désinfection n'est pas terminée, pas d'inquiétude on va y arriver.
 
Peux tu me donner les noms et chemins d'accès des alertes virales que te donne ton antivirus ?

Reply

Marsh Posté le 29-05-2010 à 13:56:13   

Reply

Marsh Posté le 29-05-2010 à 17:51:10    

Oui il les détecte dans le répertoire temp(document and setting etc..\temp) seulement j'avais déjà virer le dossier temp c'est donc pas là qu'il est à la base. Je t'en dit plus tout à l'heure quand je rentre chez moi.
Encore merci :).


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 29-05-2010 à 18:45:06    

Alors le dernier en date de trojan après l'analyse malwarebyte kaspersky l'a repéré (et apparemment enlevé) ici : C:\Document and settings\Proprietaire\Application data\SystemProc\lsass.exe.
Sinon il en avait enlevé d'autre ici :  
C:\Document and settings\Proprietaire\Locals settings\Temp\10BB.tmp  
C:\Document and settings\Proprietaire\Locals settings\Temp\11.tmp ainsi que plein d'autre dans temps
Puis au début il en avait trouvé ici : C:\System Volume Information\restore{...}.exe
Sinon il me met des programme etat suspect dedans il y a des programme avec trojan(C:\WINDOWS\SYSTEM32\D3DX9_3032.DLL), je fais ajouter aux exclusions ou placer en quarantaine?
Edit : Il me retrouve ce trojan : Trojan.win32.Swisyn.afxb
Edit2 : Je n'ai pas de claf usb ni de disque dur externe, est-ce que je fais quand même un usbfix?  
Merci beaucoup pour tout ce que tu fais


Message édité par m@rtiou le 29-05-2010 à 19:27:48

---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 30-05-2010 à 16:25:21    

Salut,
 
ok, merci pour ces infos, avant de passer à USBFix, tu vas faire ceci stp :
 
/!\ Désactive tous tes logiciels de protection /!\
 

  • Télécharge ComboFix (de sUBs) sur ton Bureau
  • Double-clique sur ComboFix.exe afin de le lancer.
  • Il va te demander d'installer la console de récupération : accepte.
  • Ne touche à rien pendant le scan.
  • Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) syr ci-joint et envoies moi le lien de lecture.


Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
 
 
 

Reply

Marsh Posté le 30-05-2010 à 17:12:34    

Je l'avais déjà fait, voici le rapport : http://www.cijoint.fr/cjlink.php?f [...] f66DwQ.txt


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 30-05-2010 à 17:34:07    

Salut,
 
Passes USBFix comme je te l'ai demandé précédement stp.

Reply

Marsh Posté le 30-05-2010 à 18:12:33    

Ok normalement mon ordi est saint maintenant mais je vais passer usbfix ;).


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 30-05-2010 à 18:21:42    

Voila le rapport d'usbfix avec une clé usb : http://www.cijoint.fr/cjlink.php?f [...] OOVB51.txt


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 30-05-2010 à 19:12:44    

Re,
 
Tu vas maintenant passe à la suppression des éléments infectieux et à la vaccination de tes supports. Cette vaccination met tes supports amovibles à l'abri d'une infection.
 

  • tutoriel nettoyage
  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix présent sur ton bureau
  • choisis l'option 2 ( Suppression )
  • Ton bureau disparaîtra et le pc redémarrera .
  • Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
  • Ensuite héberges le rapport UsbFix.txt qui apparaîtra avec le bureau sur Ci-joint .


  • Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
  • ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


  • /!\ UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php
  • Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
  • Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

Reply

Marsh Posté le 30-05-2010 à 19:27:30    

Mon pc n'a pas redémarrer. Voici le rapport :  http://www.cijoint.fr/cjlink.php?f [...] qAKt0a.txt
Merci :)
Edit : Il ne m'a pas non plus demander d'uploader un dossier quelque conque.


Message édité par m@rtiou le 30-05-2010 à 19:28:42

---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 30-05-2010 à 19:34:00    

okay, pas grave.  
 
Tes supports, disques et partitions sont maintenant désinfectés et vaccinés.
 
Peux tu faire une nouvelle analyse avec combofix et m'envoyer le lien ci-joint.
 
J'ai aussi besoin d'un nouveau rapport généré avec ZHPDiag, là aussi envoies le lien ci-joint stp.
 
@+

Reply

Marsh Posté le 30-05-2010 à 19:44:32    

Voila pour ZHDiag : http://www.cijoint.fr/cjlink.php?f [...] JWvcJQ.txt
Pour combofix je vais le lancer


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 30-05-2010 à 20:01:23    

Et voila le rapport combofix : http://www.cijoint.fr/cjlink.php?f [...] G1RP7y.txt
Merci pour ton aide


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le 30-05-2010 à 20:23:33    

okay,
 
supprimes la quarantaine de malwarebytes.
 
Lances ton antivirus, supprime la quarantaine, mets le à jour et effectues une nouvelle analyse. Si tu as encore des alertes, merci de me faire parvenir les chemins d'accès stp.


Message édité par Profil supprimé le 30-05-2010 à 20:24:49
Reply

Marsh Posté le 30-05-2010 à 20:53:17    

Ok j'ai lancé une analyse complète kaspersky, cependant il ne me trouvait jamais rien pendant l'analyse complète c'était juste a des moments qu'il remarquait des virus (pendant le scan qu'il y a en permanence).


---------------
Selon différents témoignages convergents, il semblerait que le Père Noël préfère les gosses de riches
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed