attaque d'un trojan dans mon système informatique

[bernard53]

Pas de soucis prends ton temps.

Bonne soirée

[Laevany]

Bonjour,

J'ai réalisé la plupart de ce que tu m'avais demandé mais j'ai rencontré quelques petits soucis :
- Dans le "starter" j'ai coché les lignes annoncées sauf 2 que je n'ai pas trouvé :
"O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') "

- Pour Avast, j'avais par le passé déjà essayé de le désinstaller mais n'y avais pas réussi. J'ai lancé le programme que tu m'as conseillé et il m'indique :

- Pour la désinstalation de Norton OK mais malgré une recherche je n'ai pas retouvé le programme "Live Update".

- Pour mon disque dur en fait cela a été de très courte durée car en fait des qu'il chauffe il se déconnecte. Je vais donc l'envoyer en répération

Merci de ton aide

[bernard53]

OK pas de soucis pour les deux lignes non trouvées.

Pour Avast ::

1-Mets bien l'utilitaire sur ton bureau.
2-lance le mais en mode sans échec.

[Laevany]

Ok j'ai enfin réussi par contre le "centre alerte sécurité" de mon PC m'affiche maintenant que je n'ai pas de protection contre les programmes malveillants. Que faut ils que je fasse ?

Merci

[bernard53]

bon très bien. pour la désinstallation.

Ensuite vas dans le centre de sécurité puis valide dans protection "Antivir."

[Laevany]

cela dois venir de la configuration d'avira car voici ce qu'il m'indique :


Les autres options sont :



Merci

[bernard53]

Valide : je dispose d'un programme anti virus que je contrôle moi même.

[Laevany]

Mais dans ce cas je ne suis plus protégé contre les virus

[bernard53]

Si et heureusement car il est bien entendu que tu as un anti virus.

S'il continu a ne rien reconnaitre, vu que tu avais installé plusieurs Antivirus, il faut purger le centre de sécurité pour qu'il ne reconnaisse plus que AntiVir que tu as garder.

Fait ceci dans ce cas.


-Tous les programmes --> Accessoires --> Clic droit sur Invite de commandes --> "Exécuter en tant qu'administrateur".
Tape les commandes suivantes :

net stop winmgmt ===> Entrée et accepter en entrant o et Entrée
cd wbem ===> Entrée
rd /s repository ===> Accepter par o et Entrée
net start winmgmt ===> Entrée

(o pour oui, ce n'est pas le chiffre zéro)

Redémarres le pc et constater si cela fonctionne.

Sinon


2-Tous les programmes --> Accessoires --> Clic droit sur Invite de commandes --> "Exécuter en tant qu'administrateur".
Tape les commandes suivantes :

net stop winmgmt
cd /d %WINDIR%\system32\wbem
rd /s Repository
net start winmgmt

Vista devrait travailler environ une minute pour récupérer les informations WMI.

Fermer la fenêtre d'Invite de commandes en tapant exit et redémarrer le PC.

[bernard53]

bonsoir Laevany

J'ai une petite question en supplément.

Dans l'analyse de Malwarebytes il est dis que 5 fichers sont infectés et supprimer je pense.

Par contre il manque cette partie du rapport. Peux tu juste me mettre cette partie des fichiers pour savoir ou il se situaient.

Merci à toi

Bonne soirée

[Laevany]

bonjour,

désolé je n'ai pas eu le temps de repasser hier soir ni dans la journée,

J'ai encore quelques petits problèmes que j'ai pu repérer :

- au lancement d'internet 1 fois sur 2 il rame et je suis obligé de le relancer

- Corel Paint shop pro X2 très long au démarrage, mais cela est peut etre normal car il y a beaucoup de modules externes y étant associés.

- impossible de reconnecter Gigatribe

Mais pour commencer le rapport que tu m'a demandé, merci de me dire si c'est le bon :

Malwarebytes' Anti-Malware 1.34
Version de la base de données: 1749
Windows 6.0.6001 Service Pack 1

11/03/2009 17:12:27
mbam-log-2009-03-11 (17-12-27).txt

Type de recherche: Examen complet (C:\|D:\|K:\|)
Eléments examinés: 310530
Temps écoulé: 2 hour(s), 10 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 12
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{df780f87-ff2b-4df8-92d0-73db16a1543a} (Adware.PopCap) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a26f07f-0d60-4835-91cf-1e1766a0ec56} (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ADP (Rogue.Multiple) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{00073901-d3b3-426e-a26c-d041d5c1c693}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{00073901-d3b3-426e-a26c-d041d5c1c693}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{5c9bb10b-0941-4bf3-aa9e-a86f67c059f9}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{00073901-d3b3-426e-a26c-d041d5c1c693}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{00073901-d3b3-426e-a26c-d041d5c1c693}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{5c9bb10b-0941-4bf3-aa9e-a86f67c059f9}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{00073901-d3b3-426e-a26c-d041d5c1c693}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{00073901-d3b3-426e-a26c-d041d5c1c693}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Tcpip\Parameters\Interfaces\{5c9bb10b-0941-4bf3-aa9e-a86f67c059f9}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.76,85.255.112.81 -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\Eurobarre\eb.exe (Adware.Eurobarre) -> Quarantined and deleted successfully.
C:\Program Files\Eurobarre\uninstall.exe (Adware.Eurobarre) -> Quarantined and deleted successfully.
C:\autorun.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-8-3-19-100021197-100014153-100029887-9262.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\gaopdxcxqnemnv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

[bernard53]

Bonjour Laevany

Merci pour le rapport. C'est OK.


Puisque tout vas bien coté infection fait ceci.

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

double-clique dessus pour lancer le programme

Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

Poste-moi le rapport qui apparait

Ensuite::

Bon maintenant on va mettre la restauration du système propre.
Pour cela:
1- Valides les touches Windows et Pause en même temps.

Puis cela:

Sur cette fenêtre décoche cette case et Valides :

Toujours sur cette même fenêtre :
Il te faut donc maintenant recrée un nouveau point de restauration.
Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »


Puis ceci :


Ensuite création de ce point de restauration.

Et Confirmation.


Vous pouvez maintenant fermer toutes les fenêtres.

Dis moi si tout vas très bien .

[Laevany]

je suis bloqué, voilà ce qu'il m'affiche :

[bernard53]

Essai en clique droit puis Exécuter en tant qu"Administrateur.

[Laevany]

Je n'ai pas eu de rapport et en plus mon écran "bureau" s'est modifié, mes barres d'outil sont parties à droite. comment les remettre à leur place c'est à dire en haut :