Cheval de troie sur mon pc

[steve]

Bonjour, Je suis absolument perdu et je viens vous demander de l'aide.

Voilà que depuis jeudi soir j'ai un cheval de troie (voir 2) sur mon pc, je n'ai plus aucune icône sur mon bureau, ma liste des programmes est vide, je n'ai plus "ajouter /supprimer programme" et j'ai un message en anglais qui s'affiche toutes les 5 minutes




J'étais tranquillement sur myspace et une fenetre s'est ouverte, j'ai cliquer sur "NON" et la plein de fenêtres se sont ouvertes et puis à bloqué mon PC.
Mon anti-virus "Avast" la repéré de suite mais ne peut le supprimer car le dossier est "actif".
J'ai ensuite essayé en mode sans echec mais c'est la même chose. et le message en anglais est toujours là aussi (tous les 5 minutes c'est insupportable)

En mode normal j'ai essayé avec l'antivirus en ligne Secuser.com . qui trouve les fichiers antiviruspro2007 et antispyware2007
Evidement si je passe par explorer ses 2 fichiers sont invisibles.




Aprés plusieurs lecture sur le net j'ai essayé aussi avec "AVG antispyware" "Ccleaner" (qui m'a supprimé bcp de cookies) et "rogue remover" (celui là il est en anglais, et donc je ne comprend pas, il tourne pendant 30 secondes et et ne trouve rien ?) en mode sans echec evidement.. je viens de telecharger hijackthis mais c'est en anglais et je ne comprends rien de rien.

Quand je vais dans mon bureau est que je clique sur "ajouter ou supprimer des programmes" j'ai le message suivant qui s'affiche : "cette opération a été annulée en raison de restriction en rigueur sur cet ordinateur. merci de contacter votre administrateur systeme."


et avec tout ça, je precise que je ne suis pas super fort avec l'informatique !
J'espère que vous pourrez m'aider car depuis 3 jours je suis à 2 doigts de la dépression......

mon rapport : http://cjoint.com/?hDt1Qk5oxp


dans l'attente...
Bizz

Steve

ha aussi...
J'ai voulu faire une restauration de mon pc à une date interieur mais ça ne marche pas. ce satané virus m'a bloqué de partout

SVPPPPPPPPPPPPPP

[jjcojax]

Bonsoir,

En attendant une réponse de ceux qui savent quel programme convient le mieux pour un problème précis, ICI tu trouveras d'autres outils de désinfection

On te demanderas de toutes façon un log Hijackthis (via un lien cjoint)

Kapersky nettoie bien les virus, et Spybot mis à jours est toujours un bon détecteur de programmes espions et ce dernier fonctionne aussi en mode sans échec.

[steve]

Merci je vais essayer.

[steve]

voici le rapport que fait hijackthis en moins d'1 minute. (c'est normal que ce soit si rapide ?)

http://cjoint.com/?hDwQwfO0vC
que dois je faire ? je ne retrouve pas les virus dans le rapport. ?

[igor51]

Bonsoir,

oui montre moi le rapport de Hijackthis et fais ceci en plus

Télécharge DiagHelp.zip sur ton bureau

• Ne double-clic pas dessus !! Fais un clic droit sur le fichier et "extraire tout"
  
• Un nouveau dossier va être créé , il se nomme DiagHelp
  
• Ouvre le et double-clique sur go.cmd (le .cmd peut ne pas apparaître)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  
• A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
  
• Poste le rapport qui s'affiche dans ton prochain post.
  

Bponne soirée

[steve]

MERCI

le rapport hijack est mis dans mon post au dessus,

ça y est j'ai utilisé DiagHelp.zip en mode normal (pas "sans echec") par contre je n'ai pas eteint le PC mais le rapport s'est quand même affiché :
http://cjoint.com/?hDw5c4GoyI

voila.

a vous de jouer

[steve]

Et à présent que dois-je faire ?
le fait d'avoir eteint et rallumer le pc j'ai l'icône de DiagHelp.zip qui a disparus (toujours pas d'icône sur mon bureau, seulement "internet" "la corbeille" "poste de travail" et "mes documents")

[igor51]

Bonjour,

Télécharge FindAWF:
http://noahdfear.net/downloads/FindAWF.exe

Sauvegarde le fichier sur ton Bureau.
Double-clique sur l'icône FindAWF. Appuie sur une touche pour poursuivre le lancement de l'outil.

Si une alerte de sécurité apparait, autorise le programme à s'exécuter.
Comme indiqué, presse une touche pour continuer.
Choisis l'option suivante : Press 1 then Enter to scan for bak folders
Le scan peut prendre un peu de temps, donc soit patient.

Quand il a fini, un rapport Find AWF report est généré.
Poste ce rapport Find AWF report dans ta prochaine réponse.

Bonne journée

[steve]

Merci igor 51 pour la réponse. je viens d'installer comme tu m'as dit "find awf" mais ça ne marche pas.
Voici le message d'erreur qui se met aprés que j'ai choisit l'action 1 :
http://cjoint.com/?hEmmegu2vE
j'ai cliqué sur "ignorer"
Et donc le rapport arrive de suite aprés : http://cjoint.com/?hEmkeL8pqe

Je vais finir par ne plus avoir de cheveux !
dans l'attente de vos conseils. (quelle idée aussi d'avoir un virus en plein milieu des vacances !)

Est-ce que mes autres rapports vous parle ?

[jjcojax]

Bonjour,

Pour le fichier détruit autoexec.nt (utile pour des pages DOS)

celui ici est foutu

C:\WINDOWS\system32\autoexec.nt -> supprime le

fait un copier coller de C:\WINDOWS\repair\autoexec.nt (copie de réserve) pour le mettre dans \system32
----
dans ton log Hijackthis

fixe ceci (car ceci t'inderdit d'utiliser l'éditeur de registre)

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

et aussi ceci (tu as accepter d'installer des controles activex douteux visibles dans C:\WINDOWS\Downloaded Program Files

O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} (PackageHTML) - http://acces.blonde.com/package/op/PackageHtmlCab.CAB
----
Question:

peux-tu accéder au site de kapersky (ton fichier Hosts est spécial)

[steve]

Bonjour, je rentre juste du boulot et je vais faire tout ce que tu dis, par contre j'aimerais quelques explications pour être sûr de ne pas faire de bêtises.

Quand tu me dis de supprimer "autoexec" on passe par ou ? par explorer c'est bon ?
peut importe le mode (sans echec ?) ?


pour répondre à ta question :
je n'ai pas encore été sur le site de Kapersky, c'était mon ancien anti--virus, et j'ai avast depuis quelques mois à présent.
Qu'est ce que mon fichier Hosts ????? je ne comprends pas du tout. En quoi il est spécial. ça m'inquiete tout ça......

je m'exuse mais je ne suis pas trés doués. Merci beaucoup.
bon je vais tenter d'executer tes conseils......

[steve]

Bon alors je viens de faire tout ce que tu m' as dis.

1) je n'ai pas trouver de autoexec a supprimer..... (?) j'ai quand même fait le copier/coller de c:\\WINDOWS\repair\autoexec.nt vers le systeme 32.
2)et puis j'ai supprimer les 3 fichiers dans "download program files", malgrés un message d'erreur ils ont bien disparus du dossiers.
jusque là ça va.

3)Ensuite je me suis déconnecté et je me suis mis en mode sans echec.
j'ai lançais le scan de "Hijackthis" (est ce normal que ça prenne si peu de temps ?) et j'ai coché les 3 que tu m'a dis et j'ai "fixé".
j'ai refait un scan et voici le rapport : http://cjoint.com/?hEtmcyE2cQ

ensuite en revenant en mode normal j'ai relancé le scan hijackthis...et les 2 " O7 " (O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 ) sont toujours là.

tandis que le O16 acces blonde a bel et bien disparus.

voici ce que ça donne : je coche les 2 "O7" et je clique sur "fix cheked" : http://cjoint.com/?hEttGFrsgD

et aprés : http://cjoint.com/?hEtt3jH6NE

je fait OUI ! ça disparait..maissi je rallume mon pc, ils reviennent.


Alors que dois-faire à present ?
Mon editeur de registre ne marche toujours pas
Pourrais-tu stp, répondre a mes questions du post précedent que je comprenne.
Je dois passer pour un gros nul, je m'en exuse....


d

[jjcojax]

Bonsoir,

Le scan Hijackthis est rapide car il ne fait que relever les programmes actifs et les points de registre suceptible de lancer des programmes au démarrage
---
DANS:

C:\WINDOWS\system32\drivers\etc
ou
C:\WINNT\system32\drivers\etc

Tu as normalement un fichier Hosts semblable à ceci (et pas hosts.txt)
-> Les étoiles ne font pas partie du fichiers Hosts

**************

# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost

**************
-> Les gaufres (#) indique une ligne de commentaire (non prise en compte)

plus bas que les gaufres commence une liste:

Une adresse IP suivie d'une adresse de site peut avoir comme effect:

Bonne adresse et bon lien -> site trouvé plus vite

Mauvaise adresse pour un site -> connexion va échouer

Si je met sous la ligne localhost:

127.0.0.1 www.google.fr

-> c'est plus possible d'aller sur www.google.fr mais bien sur www.google.be (et toc)

Chez toi,(un de tes rapports) je vois une grande liste d'antivirus courants renvoyé vers 192.168.200.3
-> C'est l'adresse d'un router ou une adresse invalide pour t'empècher de faire des scan online?

----
Pour le moment, il est possible que tes problèmes reviennent avec un redémarrage,
Peux-tu faire le test FindAWF: que Igor51 t'avais demandé
Si necessaire, tu remets à nouveau le fichier autoexec.nt en place (copié-collé)

on s'occuperas de l'accès au registre après.

Et on attend Igor

[igor51]

Bonsoir à tous les deux,

tu as quelques belles infections

On va commencer par le fichier Hosts

Télécharge R-Hosts de S!ri, http://siri.urz.free.fr/Softs/RHosts.exe double-clique dessus et choisis Restaurer.

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.


Essaye de refaire un scan avec Find AWf pour voir s'il marche et poste moi le rapport si cela a marché.

Bonne soirée

[steve]

Bonsoir jjcojax,
Merci enormément pour tes réponses.

L'analyse via le site de Kaspersky vient de se terminer.
Voici le rapport : http://cjoint.com/?hEvb4OmxbO

A present comment supprimer les virus qu'il trouve ?
copie ecran de ce qu'il m'affiche : http://cjoint.com/?hEveNrmJD2

allez maintenant j'attaque le test FindAWF, je reviens et on attend igor.