Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Ordinateur infecté par des trojans


Messages recommandés

Bonjour,

 

Suite à 2 scans (l'un de Kaspersky et l'autre de Malwarebytes AntiMalware), j'ai découvert que mon pc était infecté. Malgré le nettoyage de ces 2 logiciels, j'ai découvert 5 fichiers (.exe) dans le dossier WINDOWS. En les analysant avec ViruTotal, certains antivirus les considérent comme étant des trojans.

J'ai relancé une analyse de Malwarebytes mais il n'a rien détécté malgré la présense de ces 5 exécutables.

Quelle est la marche à suivre afin d'éradiquer ces menaces ? Merci à vous !

Modifié par Av3n4s
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

1) postez les rapports de Virus Total

 

2)Lancez cet outil de diagnostic:

Zhpdiag 1.30

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

zhp0710.png

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

120403104704343592.jpg

 

Cliquez sur le bouton 12040309492645704.jpg en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton 120403100123645840.jpg en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

1) postez les rapports de Virus Total

 

2)Lancez cet outil de diagnostic:

Zhpdiag 1.30

 

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

zhp0710.png

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

120403104704343592.jpg

 

Cliquez sur le bouton 12040309492645704.jpg en haut, à droite et choisissez Tous

Pour éviter un blocage, décochez 045 et 061

 

Clic sur la Loupe en haut, à gauche pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Cliquez sur ce bouton 120403100123645840.jpg en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

Bonjour,

 

Merci pour votre retour.

 

Voilà les rapports de VirusTotal de certains exécutables (ces fichiers se trouvent dans le dossier WINDOWS, ils ont des noms

comme 86.exe, conhost.exe, dnothing.exe, x86.exe, dx86.exe, d86.exe)

 

Rapport 1

Rapport 2

Rapport 3

Rapport 4

Rapport 5

Rapport 6

 

J'ai aussi un autre soucis. Le dossier WINDOWS est à présent invisible. Pour qu'il apparaisse, je dois obligatoirement décocher la case " Masquer les fichiers protegés....". Je ne peux pas changer son attribut, la case "masquée" est grisé.

 

A présent voilà le rapport de l'outil ZHPDiag

Modifié par Av3n4s
Lien vers le commentaire
Partager sur d’autres sites

Conhost .exe n'est pas un virus ,

C'est un exécutable de Microsoft caché qui s'occupe d'ouvrir une console lors de la mise à niveau de Vista vers Windows 7

il se trouve à : C:\windows\system32\conhost.exe

 

Je n'ai rien trouvé de plus et Zhpdiag non plus.

 

4026412_exe

dnothing.exe

dx86.exe

x86.exe

d86.exe

 

1)Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

zhp0710.png

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H- PanelHelper.jpg

 

O4 - Global Startup: C:\Users\AzZar0\Desktop\Revealer Keylogger Free Edition.lnk . (...) -- C:\Program Files\rkfree\rkfree.exe (.not file.) => Infection Keylog (Keylogger.Logixoft)

O43 - CFD: 02/04/2012 - 18:01:54 - [0,714] ---AD C:\ProgramData\rkfree => Infection Keylog (Keylogger.Logixoft)

[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] => Infection BT (Adware.BHO)

C:\ProgramData\rkfree => Infection Keylog (Keylogger.Logixoft)

O4 - Global Startup: C:\Users\AzZar0\Desktop\Périphériques et imprimantes - Raccourci.lnk - Orphean Key => Orphean Key not necessary

O87 - FAEL: "{3BADC1D9-48E7-478E-B9E5-C0DE81505E92}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{E8ED424F-4DE8-4F33-AF92-A0A1BB01CDA5}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://searchya.com

 

 

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

110926125340285987.jpg

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

110515101159971677.jpg

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Capture1Rapport.JPG

Si le rapport n'apparait pas,cliquer surPanelRapport.jpg

Copier-coller le rapport de suppression dans la prochaine réponse.

 

2)Très simple à utiliser,Kaspersky Virus Removal Tool n'est pas un antivirus ou un outil de surveillance,

Il n'y a pas non plus de mise-à-jour automatique, il vous faudra donc télécharger la nouvelle version, qui est quotidiennement mise à jour, et l'installer à chaque fois que vous désirez l'utiliser.

Sous Xp;

Poste de Travail->Propriétés->Restauration Système.

Cocher la case "Désactiver la Restauration sur tous les lecteurs".

Vous la décocherez par la suite et Redémarrerez après la procédure VRT.

Un nouveau point de restauration sera créé au redémarrage.

SousVista/ Win7:

desactiver-reactiver-la-restauration-systeme-de-windows-7

 

 

Redémarrez en Mode Sans Echec

 

Sous Vista/Win7, désactivez l'UAC

Télécharger Kaspersky Virus Removal Tool(VRT)

Le fichier fait + de 70M°, soyez patient.

 

Cliquer sur le fichier téléchargé pour installer VRT.

 

A On threat détection (si un malware est détecté)

Choisissez, en bas Disinfect,delete if cannot disinfected

Sélectionner les fichiers ou répertoires à analyser (disque dur, périphériques ou documents spécifiques) puis de lancer le processus Start Scan.

 

A la fin du scan:

Cliquer sur"Report" pour voir et enregistrer le rapport à poster.

Ensuite taper sur Exit pour désinstaller l'outil

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Comme dit plus haut, conhost.exe se trouve dans le dossier WINDOWS. J'ai 2 fichiers qui ont pour nom conhost.exe : celui qui se trouve dans le dossier system32 et l'autre qui se trouve dans le dossier WINDOWS. Je ne pense pas que celui qui se trpuve dans WINDOWS soit légitime.

Lien vers le commentaire
Partager sur d’autres sites

Suivez la procédure proposée plus haut, svp.

 

Je ne pense pas que celui qui se trpuve dans WINDOWS soit légitime.

 

Pour vous en assurer, faites le examiner chez Virus Total:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir(Choose File) pour trouver ces fichiers

c:\Windows\conhost.exe

et cliquez sur "envoyer le fichier"(Scan it)

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

 

Modifié par pear
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Oui bien sûr, je vais faire ce que vous avez demandé. J'ai déjà posé le rapport de ce fichier. C'était le rapport 2

Dès la procédure terminée, je posterai le rapport. Encore merci...

Lien vers le commentaire
Partager sur d’autres sites

  • 2 weeks later...

Bonjour,

 

J'ai lancé le scan avec Kaspersky Internet Security 2012. Celui que vous m'avez demandé d'utiliser ne voulait pas marcher. Voilà le rapport

Modifié par Av3n4s
Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...