toujours infectée par trojan.heur.pt

[EmmaMML]

Bonjour,

 

Je reviens de chez le réparateur, délestée de 70 euros et j'ai les mêmes symptomes...

Cela fait suite au sujet : http://forum.zebulon.fr/infecte-par-trojan...pt-t170104.html

 

L'ordi me demande, à l'ouverture de la session un mot de passe. Or je n'en ai jamais mis et je n'en ai pas.

Je tape "entrer" et là, il ferme l'application userinit et je n'accède plus à mon bureau ni à aucune fonctionnalité.

Il me dit aussi que 5.tmp doit fermer.

 

Le réparateur avait travaillé avec Hijackthis et des applications d'un certain Franck "...."kis.

Il semblait avoir tout nettoyé.

 

Cette demande de mot de passe semblait être le premier symptome du virus.

 

Y'a-t-il un moyen de le contourner pour ensuite aller le nettoyer davantate?

 

Merci d'avance

Modifié le 17 novembre 2009 par EmmaMML

[Thanos]

salut EmmaMML

 

Comme je te disait dans le précédent topic, la plupart des réparateurs ne connaissent malheureusement rien à la sécurité pc...ce n'est ceci dit pas le cas de tous bien sûr.

 

Est ce que tu parviens à utiliser le Mode sans échec avec prise en charge du réseau: essaie comme ceci >>

 

• Au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement.
  
• Tapote par alternance les touches [F8] et [F5] jusqu'à l'affichage du menu des options avancées de Windows.
  
• Sélectionne "Mode sans échec avec prise en charge du réseau" et appuie sur la touche [Entrée].
  
• Clique sur le bouton Oui à l'apparition du message.
  

Si Windows ne te réclame pas de mot de passe pour accéder à la session, lance la procédure que je t'avais conseillé dans le précédent sujet >>

 

1°) Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Branche tous les supports amovibles que tu possèdes avant de faire ce scan (clé usb/disque dur externe etc)

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complêt"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
  

2°) Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

• Double-clique sur RSIT.exe afin de lancer RSIT.
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  
• Si tu ne vois pas ces deux rapports, tu les trouveras dans le dossier C:\rsit
  

Poste ces 3 rapport stp.

Modifié le 17 novembre 2009 par Thanos

[EmmaMML]

Alors, pour le mode sans échec, F5 etF8 ne marchaient pas : j'ai fait esc puis choisi 'unit?ATAPI CD/DVD Rom

Mon PC ne se connecte à aucun site antivirus, ils sont tous bloqués.

J'ai pu installer MBAM mais seulement depuis la clé USB (je l'ai téléchargé via un autre ordi), par contre, je n'ai pas pu le mettre à jour puisque site bloqué.

 

J'ai copié le log sur la clé USB, heureusement car je n'accède plus au mode sans échec. Quand je fais la procédure de ci-dessus, windows se met en route normalement, puis me demande un mot de passe que je ne connais pas et ferme tout.

 

En mettant la clé USB pour t'envoyer le log, je viens de contaminer mon autre ordi avec trojan.autorun.alk!!!

Comment je fais? Je ne vais quand même pas mettre la clé infectée sur l'ordi sain pour la nettoyer???

 

cata...

 

Sinon, le log indiquait une quarantaine de worms et virus différents....

Modifié le 17 novembre 2009 par EmmaMML

[EmmaMML]

supprimé

Modifié le 17 novembre 2009 par EmmaMML

[Thanos]

salut

 

Misère...! Dis moi EmmaMML: est ce que tu possèdes le cd de Windows XP ?

Si oui, tente la réparation de Windows sans perte de données comme indiqué ici => http://www.commentcamarche.net/faq/sujet-3...arer-windows-xp

Pour lancer la Console de Récupération depuis le CD, suis les indications ici >> http://www.zebulon.fr/dossiers/61-3-demarr...cuperation.html

Ensuite utilise la commande winnt32 /unattend comme indiqué.

Tente ensuite d'ouvrir ta session normalement et dis moi ce qu'il en est.

En mettant la clé USB pour t'envoyer le log, je viens de contaminer mon autre ordi avec trojan.autorun.alk!!!

Comment je fais? Je ne vais quand même pas mettre la clé infectée sur l'ordi sain pour la nettoyer???

N'utilise plus cette clé pour le moment. Si un trojan.autorun a été détecté à temps, il n'aura peut être pas eu le temps d'infecter le pc sain. On vérifiera le pc sain après pour s'en assurer

[EmmaMML]

Alors, malheureusement, je n'ai pas le CD de windows... car il n'était pas livré avec ma cochonnerie d'HP.

Il m'a proposé de faire moi-même les CD de restauration mais mon graveur déconne et je ne les ai jamais faites...

 

 

Sinon, j'ai vérifié l'ordi sain avec MBAM et il n'a rien trouvé.

 

Snif Comment je fais sans les CD de windows?

 

D'après le réparateur, la fonction F10 (qui permettait de reformater) ne marche plus.

J'ai l'impression que je peux tenter les choses une seule fois, ensuite, le(s) malware(s) s'adapte....

Modifié le 17 novembre 2009 par EmmaMML

[Thanos]

Il serait bon que tu puisses en récupérer un

Tu n'as plus accès au mode sans échec donc ? un mot de passe est aussi demandé ?

[EmmaMML]

Non, pas de mot de passe.

Il se met en route normalement, malgré ma procédure.

Et donc arrive sur mon bureau, et là, il me demande un mot de passe et ferme userinit.exe

 

J'ai entendu dire que les CD windows et HP n'étaient pas très copains, car HP a des trucs propriétaires incompatibles avec les CD du commerce.

C'est vrai?

 

Je me procure où le CD?

Chez HP ou dans un magasin classique ou chez un ami qui n'a pas un HP?

Modifié le 17 novembre 2009 par EmmaMML

[Thanos]

Une chose à tenter même si je pense que cette fonction a été désactivée... >>

redémarre le pc, accède au mode sans échec, mais à l'écran des choix qui te demande si tu veux continuer à travailler en mode sans échec, tape Non afin de lancer la Restauration système >>

(crédit: Pc-Loisirs)

Si ca fonctionne (ce qui m'étonnerait car pas mal de malwares s'attaquent à la restauration système), il faudra choisir un point de restauration créé à une date ou ce problème n'existait pas. Lance la restauration à cette date et tente d'ouvrir ta session de nouveau.

Pour utiliser un point de restauration si tu ne sait pas, c'est expliqué ici >> http://www.apprendre-informatique.com/tuto...de-restauration

Modifié le 17 novembre 2009 par Thanos

[EmmaMML]

Magie !

J'écris depuis mon ordi infecté !!!

 

windows a fait des réparations au démarrage puis je suis passée par une autre session... et hop, me voilà !!!

 

Voici le log de MBAM :

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 2775

Windows 5.1.2600 Service Pack 2 (Safe Mode)

 

17/11/2009 22:49:14

mbam-log-2009-11-17 (22-49-14).txt

 

Type de recherche: Examen complet (C:\|D:\|E:\|)

Eléments examinés: 312605

Temps écoulé: 1 hour(s), 3 minute(s), 45 second(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 2

Valeur(s) du Registre infectée(s): 5

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 1

Fichier(s) infecté(s): 31

 

Processus mémoire infecté(s):

C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\tcpsr (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\photo_id (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\taskman (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Regedit32 (Trojan.Agent) -> Delete on reboot.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

C:\Program Files\podmena (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

C:\WINDOWS\system32\photo_id.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\Documents and Settings\Emma.PC563316784159\Local Settings\Temporary Internet Files\Content.IE5\9AJJYBZH\st[2].txt (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\KP6T4VWJ\st[1].txt (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\Emma\Application Data\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\9.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\A.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\B.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\C.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\D.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\F.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Emma.PC563316784159\oashdihasidhasuidhiasdhiashdiuasdhasd (Malware.Trace) -> Quarantined and deleted successfully.

C:\Documents and Settings\Emma.PC563316784159\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\zaponce53560.dat (Worm.Koobface) -> Quarantined and deleted successfully.

C:\WINDOWS\zaponce53584.dat (Worm.Koobface) -> Quarantined and deleted successfully.

C:\WINDOWS\zaponce53652.dat (Worm.Koobface) -> Quarantined and deleted successfully.

C:\WINDOWS\010112010146115110.dat (Worm.KoobFace) -> Quarantined and deleted successfully.

C:\WINDOWS\010112010146118114.dat (Worm.KoobFace) -> Quarantined and deleted successfully.

C:\WINDOWS\0101120101465452.dat (Worm.KoobFace) -> Quarantined and deleted successfully.

C:\WINDOWS\0101120101465749.dat (Worm.KoobFace) -> Quarantined and deleted successfully.

C:\WINDOWS\bf23567.dat (Worm.KoobFace) -> Quarantined and deleted successfully.

C:\WINDOWS\Explorer.exe:userini.exe (Rootkit.ADS) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\tcpsr.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

Modifié le 18 novembre 2009 par EmmaMML