Infection par msa.exe et d.exe (trojan)

[invite94e0acf2]

Bonjour,
Ce matin mon antivirus (avast) a detecté un cheval de troie dans l'emplacement C:\WINDOWS\msa.exe (il est mis en quarantaine a l'heure qu'il est). J'ai fait des recherches sur internet pour savoir comment l'éradiquer et je suis tombée sur votre forum. J'ai fait la procédure demandée.
En parcourant le rapport j'ai remarqué d.exe qui était souvent mis en association avec msa.exe sur internet.
De plus je me doutais de quelque chose vu la lenteur inhabituelle de la machine ...
Si quelqu'un puovais me venir en aide, je le remercie d'avance.
Bonne journée
-----

[b marlow]

Salut,
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
puis poste le rapport final.

[invite94e0acf2]

Merci pour cette reponse si rapide !
Voila le rapport.

[b marlow]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Files
C:\Program Files\eoRezo
C:\Program Files\Search Settings
C:\Program Files\Dealio
C:\WINDOWS\trz2E2.tmp  
 
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{855F3B16-6D32-4fe6-8A56-BBB695989046}"=-
[-HKEY_CLASSES_ROOT\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[-HKEY_CLASSES_ROOT\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_CLASSES_ROOT\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[-HKEY_CLASSES_ROOT\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6A87B991-A31F-4130-AE72-6D0C294BF082}]
[-HKEY_CLASSES_ROOT\CLSID\{6A87B991-A31F-4130-AE72-6D0C294BF082}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{748E6C81-DC7D-4974-BE84-016C7A71A0D2}]
[-HKEY_CLASSES_ROOT\CLSID\{748E6C81-DC7D-4974-BE84-016C7A71A0D2}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E122EE66-95FD-4ACC-8098-C7FA521E5751}]
[-HKEY_CLASSES_ROOT\CLSID\{E122EE66-95FD-4ACC-8098-C7FA521E5751}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[-HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{855F3B16-6D32-4fe6-8A56-BBB695989046}"=-
[-HKEY_CLASSES_ROOT\CLSID\{855F3B16-6D32-4fe6-8A56-BBB695989046}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NI.UERSV_9999_N91S1912"=-
"SearchSettings"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NordBull"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\gebyx]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqrrop]
 
:Commands
[purity]
[emptytemp]
[Reboot]

Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapportsitué dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)


Ensuite je te conseille de changer d'antivirus, avast est à la traine dans les antivirus gratuits
>AntiVir< est bien meilleur, il est en français aussi. Si tu changes d'av ce qui est souhaitable,
désinstalle avast avant l'installation d'AntiVir. Configure-le comme sur le tuto puis fais un scan.
S'il détecte un problème poste le rapport.

(Microsoft Security Essentials est très bien aussi)

[A voir en vidéo sur Futura]

[invite94e0acf2]

C'est incroyable, j'en avais presque oublié la rapidité normale de la navigation ...
Merci pour tout, je vais suivre ton conseil et installer AntiVir dés ce soir !
Bonne fin de journée

[b marlow]

Ok, quand tu veux pour le rapport antivirus. ensuite tu feras une défragmentation
car on a supprimé pas mal de fichiers temporaires.Ton ordi t'en remerciera

[invite94e0acf2]

Le scan a été fait dimanche dans la nuit, et la défragmentation lundi.
Voilà donc le rapport

Encore merci pour ton aide !
Bonne journée !

[b marlow]

Si ce n'est pas toi qui a installé le programme cain sur l'ordi supprime-le
sinon restaure de la 40aine d'AntiVir le fichier Winrtgen.exe puis indique
lui par l'onglet Exceptions le fichier pour qu'il ne le détecte plus.

Ouvre OTM puis clique sur le bouton CleanUp! cela nettoiera l'ordi des
restants de fichiers/dossiers qui ont servi au nettoyage.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

[invite94e0acf2]

J'ai suivi tous tes conseils, effectivement je ne suis pas le seul utilisateur de l'ordinateur donc j'ai aussi supprimé Cain.

Merci beaucoup de m'avoir suivi depuis le début !

[b marlow]

De rien, Bon surf.