Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection par Trojan.Win32.Generic

Sergio31

Par Sergio31
dans Analyses et éradication malwares

 Partager

Messages recommandés

Sergio31 Power Member

Sergio31

Posté(e)
Posté(e) (modifié)

Bonjour,

 

Après une manipulation hasardeuse dans le registre de la partition Vista de mon ordi en dual-boot Vista / 8, j'ai voulu restaurer le registre en exécutant le fichier sauvegarde.reg que j'avais créé avant la manipulation.

En cliquant sur ce fichier de restauration, Kasperspy a détecté un Trojan.Win32.Generic : l'antivirus m'a alors proposé une réparation que j'ai acceptée ; c'est alors que mon ordi est devenu "fou" en m'empêchant d'ouvrir tous les dossiers en m'indiquant à chaque tentative d'ouverture le message "ce n'est pas une application Win32 valide" acompagné d'une croix rouge.

J'ai réussi à redémarrer l'ordi, puis j'ai restauré le système à l'aide d'un point de restauration que j'avais créé juste avant l'exécution du fichier sauvegarde.reg : je sais donc que mon ordi contient maintenant un Trojan dont l'existence m'a été révélée par l'exécution du fichier sauv.reg.

Que dois-je faire ? Ce Trojan est-il dangereux ? Laisser l'ordi dans cet état ? Il fonctionne bien à l'exception du démarrage de l'OS infecté Vista qui est très lent. Y-a-t-il un moyen d'éradiquer ce cheval de Troie ?

Modifié par Sergio31

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour;

 

Tous les rootkits sont dangereux.

 

La première étape avant tout processus de suppression de rootkit doit être une sauvegarde de toutes vos données.
Selon l'infection , Malwarebytes peut faire des modifications dans le Master Boot Record et la Table des partitions de votre disque dur lors du nettoyage de votre ordinateur.
Comme une modification incorrecte de ces emplacements peut empêcher votre ordinateur de démarrer correctement, il est toujours sage d'effectuer une sauvegarde complète de toutes vos données avant d'effectuer une suppression de rootkit.

Télécharger Malwarebytes Anti-Rootkit

Décompresser sur le bureau
Ouvrir le dossier et clic droit mbar.exe pour Exécuter avec droits Administrateur
Mettre à jour la base de définition virale.
en cliquant sur le bouton Update.
Suivez les instructions de l'assistant
Vérifier que les éléments à analyser Drivers (Pilotes), Sectors (Secteurs), et System (Système) sont sélectionnés puis cliquer sur le bouton Scan (Analyser).
scan-system.png
Patientez le temps de la recherche.
ceci apparait:
scan-results.png
Assurez vous que tout soit bien coché
Cliquez sur le bouton Cleanup(Nettoyage)pour supprimer toutes les menaces et redémarrez si vous êtes invité à le faire.
Attendez que le système s'arrête et que le processus de nettoyage soit effectué.
Relancez une analyse avec Malwarebytes Anti-Rootkit pour vérifier qu'il ne reste aucune menace .
S'il en restait, cliquez sur Cleanup(Nettoyage) une fois de plus et répétez le processus.
S'il n'y a pas d'autres menaces trouvées, vérifier que le système fonctionne maintenant normalement, en s'assurant que les éléments suivants sont fonctionnels:
Accès Internet
Windows Update
Pare-feu Windows
S'il ya des problèmes supplémentaires avec votre système, comme l'un des processus ci-dessus ou autre ,
Cliquez mbar->plugin->"fixdamage '
appuyer sur la touche Y du clavier et le programme va effectuer toutes les corrections nécessaires.
A la fin, un message dira d'appuyer sur n'importe quelle touche pour quitter.
Pour que les modifications prennent effet, redémarrer l'ordinateur.
Vérifier ensuite que le système fonctionne normalement.
Envoyer en réponse les deux rapports d'exécution créés par l'outil,
mbar-log-AAAA-MM-JJ (hh-mn-ss).txt et system-log.txt, qui se trouvent dans le dossier mbar.

Comment poster les rapports

Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Sergio31 Power Member

Sergio31

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonsoir,

 

Voici les rapports demandés :

 

http://cjoint.com/?CKmslwl8Tpg

 

http://cjoint.com/?CKmsmuubqIl

 

Aucun trojan détecté ; juste un rogue.

 

Normal ?

 

J'ai redémarré le système, et juste avant la matérialisation du bureau sur l'écran, une fenêtre noire vide cmd.exe s'est ouverte. Normal ?

 

Rapport system.log :

 

http://cjoint.com/?CKmwQoQ7zd1

Modifié par Sergio31
pear Devil Member !

pear

Posté(e)
Posté(e)

Désolé pour le retard!

 

Téchargement de Zhpdiag
Autre lien en cas de défaiillance du précédent

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.
23371020131028165113.png

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur
14137620131028164159.png
Cliquer Configurer
Cliquez sur le bouton12040309492645704.jpg
et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Sergio31 Power Member

Sergio31

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

L'analyse avec ZHPDiag est impossible : elle s'arrête à 4 % avec le message "violation d'accès à l'adresse 776D9826 dans le module 'ntdll.dll'. Ecriture de l'adresse 00407700".

pear Devil Member !

pear

Posté(e)
Posté(e)

Démarrer->Tous les Programmes->Accessoires.
Clic droit sur Invite de commande
et cliquez Exécuter en tant qu'administrateur.
Chkdsk /f/r

il l y a un espace après le k.

Windows vous dira qu'il ne peut executer cette commande car le disque est en "application"
et il vous proposera d'effectuer chkdsk au prochain redémarrage,
tapez O pour accepter, puis valider. et redémarrez le pc
La fonction chkdsk s'exécutera alors automatiquement.

Démarrer->Tous les)Programmes->Accessoires -> Invite de commandes.
Choisissez Exécuter en tant qu'Administrateur.
Copiez-collez dans la fenêtre de commandes,:
sfc /scannow
Patientez le temps de l'analyse.
Windows vous dira s'il a pu réparer ou non
Redémarrer

 

Si tout s'est bien passé:

 

Utiliser l'administrateur caché de Vista

Relancez Zhpdiag

Sergio31 Power Member

Sergio31

Posté(e)
  • Auteur
Posté(e) (modifié)

Scannow en fin d'analyse m'a indiqué que les erreurs de disque détectées avaient pu être réparées.

 

Message exact : "Windows a trouvé des fichiers endommagés et a pu les réparer."

Modifié par Sergio31
pear Devil Member !

pear

Posté(e)
Posté(e)

Très bien.

 

Si vous ne pouvez toujours pas utiliser Zhpdiag:

 

Télécharger OTL sur le bureau
Double cliquer sur l'icône
otlicon.gif

20110121104042.jpg

Si la protection en temps réel de Malwarebytes Anti-Malware est activée..
Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs (scan all users)
Sous Rapport (output)
Cliquez ----------------------------->Rapport Standard (Standard Output)
Sous Régistre Standard(Standard Registry) cocher Tous(All)
Cochez------------------------------> Lop check et Purity check

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:


SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
afd.sys
ahcix86s.sys
atapi.sys
iaStor.sys
iastorv.sys
ipsec.sys
netbt.sys
tcpip.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
explorer.exe
ntoskrnl.exe
services.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT

Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports
Aller sur le site :Ci-Jointicne2cjoint.png
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...