Comment supprimer un cheval de troie?

[invitea2ccb6e8]

Bonjour, après avoir effectué un scan avec malwarebytes anti-malware, il semblerait qu'un cheval de troie est présent dans mon ordi.
J'ai pris le temps de consulter la procédure préliminaire.
Je vous remercie d'avance pour l'aide que vous fournirez.

[chantal11]

Bonjour,

Tu peux poster en pièce jointe le rapport Malwarebytes ?

Il se trouve dans Malwarebytes -> onglet Rapports/Logs.

@+

[invitea2ccb6e8]

Re: merci pour votre rapidité: voici comme convenu le rapport

[chantal11]

Re,

OK pour le rapport Malwarebytes.

On continue.

---------------------------------------------------------------------------------------------

AdwCleaner - Suppression :

• Sur cette page, télécharge AdwCleaner de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
• Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
• A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner(S).txt

Tutoriel d'utilisation AdwCleaner en images

---------------------------------------------------------------------------------------------

Est attendu le rapport AdwCleaner(S).txt en PJ

@+

[A voir en vidéo sur Futura]

[invitea2ccb6e8]

Voici le rapport Adw cleaner

[chantal11]

Re,

OK pour le rapport.

Nous allons contrôler le système avec cet outil, suis bien les instructions indiquées :

OTL :

• Télécharge OTL de OldTimer et enregistre le sur le Bureau
• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Coche la case Tous les utilisateurs
• Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  msconfig
  /md5start
  explorer.exe
  wininit.exe
  winlogon.exe
  userinit.exe
  svchost.exe
  services.exe
  /md5stop
  %SYSTEMDRIVE%\*.exe
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %systemroot%\*. /mp /s
  %systemroot%\Tasks\*.* /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  CREATERESTOREPOINT

• Clique ensuite sur Analyse et patiente le temps du scan
  
  
  
• A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent. Poste ces rapports en PJ dans ta prochaine réponse.
  Les rapports sont sauvegardés sur le Bureau.

@+

[invitea2ccb6e8]

Voici les rapports OTL

[chantal11]

Bonjour,

OK, une infection plus coriace en a profité pour s'installer aussi.

---------------------------------------------------------------------------------------------

Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :

McAfee Security Scan Plus (inutile)

---------------------------------------------------------------------------------------------

Tu ne peux avoir 2 antivirus actifs sur ton système.
Non seulement, cela ne t'apporte aucune protection supplémentaire (la preuve, le système est lourdement infecté), mais c'est une source de conflits et de dysfonctionnements.

Il te faut donc choisir entre avast! Free Antivirus et Kaspersky Anti-Virus 2012 et désinstaller l'un des deux.

---------------------------------------------------------------------------------------------

TDSSKiller :

• Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
• Double-clique sur TDSSKiller.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
  Il faut le valider en cliquant sur Reboot now.
• Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
  L'outil TDSSKiller se relance.
• Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
• Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
• En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
  - Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
  - Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
  - Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
  - Si Suspicious object est indiqué, l'option Skip soit cochée
• Clique ensuite sur Continue, puis clique sur Reboot computer
• Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_ log.txt dans ta réponse sur le forum
  Le rapport TDSSKiller.Version_Date_Heure_ log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heu re_log.txt

Tutoriel d'utilisation TDSSKiller en images

---------------------------------------------------------------------------------------------

OTL :

• Ferme toutes les autres fenêtres et double-clique sur OTL.exe
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne :OTL) (Sélectionner -> Clic-droit -> Copier)
  
  Code:

  :OTL
  FF - HKLM\Software\MozillaPlugins\@checkpoint.com/FFApi: C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\npFFApi.dll File not found
  O3 - HKU\S-1-5-21-2914446858-3974078516-2631202795-1000\..\Toolbar\WebBrowser: (no name) - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No CLSID value found.
  O3 - HKU\S-1-5-21-2914446858-3974078516-2631202795-1000\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
  O9 - Extra Button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - Reg Error: Key error. File not found
  MsConfig - StartUpFolder: C:^Users^Rakya^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^ESET Smart Security.lnk -  - File not found
  MsConfig - StartUpReg: swg - hkey= - key= -  File not found
  MsConfig - StartUpReg: wltpi713.exe - hkey= - key= -  File not found
  [1 C:\*.tmp files -> C:\*.tmp -> ]
  [2012/01/27 13:38:25 | 000,008,644 | ---- | C] () -- C:\Users\Rakya\AppData\Roaming\8537cbd7
  [2012/01/27 13:38:25 | 000,008,611 | ---- | C] () -- C:\Users\Rakya\AppData\Local\3f1de839
  [2012/01/27 13:38:25 | 000,008,550 | ---- | C] () -- C:\ProgramData\22cd857d
  @Alternate Data Stream - 48 bytes -> C:\Windows:39BC38D1BA10E525
  @Alternate Data Stream - 16 bytes -> C:\Users\Rakya\Downloads:Shareaza.GUID
  @Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:CB0AACC9
  
  :files
  C:\WINDOWS\tasks\At*.job
  ipconfig /flushdns /c
  
  :Commands
  [EMPTYTEMP]
  [CREATERESTOREPOINT]

• Colle l'intégralité du script dans le cadre Personnalisation
• Clique ensuite sur le bouton Correction
  
  
  
• L'outil lance la suppression, ne pas l'interrompre
• Si l'outil te demande de redémarrer le PC, tu acceptes
• Poste le rapport situé dans C:\_OTL\MovedFiles\********_** ****.log dans ta prochaine réponse
  les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

----------------------------------------------------------------------------------------------

Sont attendus les rapports en PJ :

• TDSSKiller.Version_Date_Heure_ log.txt
• C:\_OTL\MovedFiles\********_** ****.log

@+

[invitea2ccb6e8]

Bonjour, j'ai effectué le scan avec TDSSKiller mais en fin de scan après avoir cliquer sur continuer sa ne me propose pas "reboot computer" mais de nouveau "start scan"

[chantal11]

Re,

Ce n'est pas grave, poste quand même le rapport TDSSKiller.Version_Date_Heure_ log.txt qui est sous C:

Et fais la suite avec OTL.

@+

[invitea2ccb6e8]

Voici le rapport je continue avec OTL