Infection récalcitrante (trojan downloader)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Sebquick

Infection récalcitrante (trojan downloader)

par Sebquick »

Bonjour à tous,
je viens vous demander de l'aide pour une infection que je n'arrive pas à supprimer.

Replaçons les choses, j'ai choppé des vilaines choses par USB (à l'imprimerie du coin... ) que j'ai eu du mal à supprimer avec USBFix, mais je m'en suis sorti (merci pour votre super tuto à ce propos!) en désinfectant mon pc d'un côté, et les clés USB d'un autre car ensemble ça déconnait.
Suite à ça, d'autres problèmes sont survenus comme des redirections intempestives sur mozilla et chrome sur une irl qui ne marche pas, le pc qui s'éteint tout seul en plein milieu de jeux vidéos faisant suite -ou non- à une petite fenêtre disant que le pc allait s'éteindre dans 1 minute...

En alliant mon antivirus Antivir, MBAM et Adwcleaner, j'ai cru avoir tout supprimé et les problèmes semblent résolus, du moins pour l'instant (hier soir encore des trucs bizarres comme des redirections internet).

Pourtant, quand je lance MBAM pour vérification, Antivir se réveille pour me dire que mon pc est infecté par "TR/Agent.VB.3368" et MBAM détecte "Trojan downloader", que j'ai beau supprimer, il revient à chaque analyse.

Du coup je demande votre aide d'expert pour éradiquer définitivement ces problèmes ! Je pense qu'une bonne analyse ferait du bien car le pc étant utilisé par plusieurs personnes, il risque d'y avoir de mauvaises surprises :x

Un lien de la dernière analyse MBAM http://pjjoint.malekal.com/files.php?re ... k9e5i15c15
(j'ai aussi les analyses USBfix, Adwcleaner et Antivir si besoin)

Par avance, merci.
Malekal_morte
Messages : 113189
Inscription : 10 sept. 2005 13:57

Re: Infection récalcitrante (trojan downloader)

par Malekal_morte »

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
Sebquick

Re: Infection récalcitrante (trojan downloader)

par Sebquick »

Avatar de l’utilisateur
angelique
Messages : 31842
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection récalcitrante (trojan downloader)

par angelique »

Image relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION
:OTL
PRC - [2013/10/23 02:36:22 | 085,470,352 | ---- | M] (Intel Corporation) -- C:\Users\Public\jusched.exe
O4:64bit: - HKLM..\Run: [iTunesHelper] wscript.exe //B "C:\Users\SEB\AppData\Local\Temp\iTunesHelper.vbe" File not found
O4 - HKLM..\Run: [iTunesHelper] wscript.exe //B "C:\Users\SEB\AppData\Local\Temp\iTunesHelper.vbe" File not found
O4 - HKU\S-1-5-21-161891714-475122061-3863532623-1000..\Run: [iTunesHelper] wscript.exe //B "C:\Users\SEB\AppData\Local\Temp\iTunesHelper.vbe" File not found
O4 - Startup: C:\Users\SEB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5z1z.lnk = C:\Users\Public\iAStorIcon.exe (Intel Corporation)
O4 - Startup: C:\Users\SEB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe ()
O4 - Startup: C:\Users\SEB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jusched.exe (Intel Corporation)
[2013/10/24 13:14:22 | 000,000,658 | ---- | M] () -- C:\Users\SEB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\5z1z.lnk
[2013/10/23 02:36:22 | 085,470,352 | ---- | M] (Intel Corporation) -- C:\Users\SEB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\jusched.exe
[2013/10/15 11:37:09 | 069,558,261 | ---- | M] () -- C:\Users\SEB\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\iTunesHelper.vbe
:commands
[emptytemp]
» Un rapport texte apparrait au redemarrage du pc .


> refait un scan rapide mbam et poste le rapport
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Sebquick

Re: Infection récalcitrante (trojan downloader)

par Sebquick »

C'est fait.

Rapport OTL suite au redémarrage: http://pjjoint.malekal.com/files.php?re ... 13l5t15j14

Rapport MBAM: http://pjjoint.malekal.com/files.php?re ... r14h15g6s5

Problème réglé? :)
Pas d'autres soucis?
Avatar de l’utilisateur
angelique
Messages : 31842
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: Infection récalcitrante (trojan downloader)

par angelique »

ça parait OK

. supprime c:\_OTL



==> Prendre le temps de lire :: http://forum.malekal.com/les-exploits-s ... t3563.html


Image Lire sécuriser FireFox:: https://www.malekal.com/securiser-le-na ... firefox-2/

Il est nécessaire de surfer avec un navigateur non propriétaire, pour encore une fois des questions de fiabilité, de sécurité et pour que celui ci ne transmette pas directement un ensemble de données que vous utilisez/visualisez (comme c’est le cas de Chrome avec Google). Il est fortement recommandé d’utiliser Firefox, pour ces raisons et pour son aspect modulable, fonctionnant avec des modules comme Ad-block ( comme son nom l’indique, bloquer les publicités ), NoScript pour gérer JavaScript, flash et\ou Iframe pourries sur sites compromis potentiellement générateur d'infections !!


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

Mettre "actif" d'un clic les modules ci dessous qui apparraissent apres installation de ADBlock

Image

List FR + EasyList << à mettre à jour regulièrement ainsi que les autres



Image

NOTE POUR Adblock :
Certains sites abusent des publicités, dont leurs pages peuvent en être inondées (cela ralentit la navigation etc). Mais notez que les publicités sont parfois le seul revenus des sites WEB.
Filtrer toutes les publicités peuvent, par exemple, pénaliser ces sites, c’est notamment le cas de malekal.com
Si vous pensez que certains sites le méritent, vous pouvez les ajouter en liste blanche.



• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Un p'tit Don à Angélique PDT_018 Merci.
Image
Sebquick

Re: Infection récalcitrante (trojan downloader)

par Sebquick »

Merci beaucoup pour votre aide très efficace !

Je suis déjà sous Firefox avec Adblock plus, je vais regarder NoScript maintenant :)
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »