Résolu Cheval de troie impossible à exterminer

Misandrop

Nouveau membre
#1
Bonjour à tous, voilà maintenant 4 jours que j'essaye de supprimer un virus sur mon pc sans succès, j'ai tout testé (malwarebyte, adw, rogue, etc). J'ai conscience que c'est entièrement de ma faute si j'en suis là... si quelqu'un peut m'aider je lui en serais éternellement reconnaissant. je sais à peu près ce que je dois faire (frst, transmettre le résultat etc)
merci d'avance :)
 

longaripa

Helper
#2
Meilleure réponse
Bonjour , Misandrop

Je vous donne la procédure pour FRST:

Nous allons commencer par établir un diagnostic du PC . Pour cela ,
Télécharger Farbar Recovery Scan Tool (de Farbar) sur le Bureau.(IMPORTANT)
Attention: Il faut lancer la version compatible avec le système : 32 ou 64bits.
Cliquer ici pour la version 32 bits
Cliquer ici pour la version 64 bits

Info : comment savoir quelle version de Windows j'utilise ?
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Faire un click droit sur l'outil, puis executer en tant qu'administrateur pour le lancer. Quand l'outil se lance, cliquer sur Oui pour accepter le disclaimer.
  • Cliquer sur le bouton Analyser.


  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt.
Poster les deux rapports générés.

[*]Pour les rapports, merci d'utiliser ce service de rapport en ligne : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
Une aide à l'utilisation ici



Sont attendus les rapports :
frst.txt
addition.txt
 

longaripa

Helper
#4
Je regarde les rapports.

En attendant,
Pourriez-vous préciser ce que vous entendez par "J'ai conscience que c'est entièrement de ma faute si j'en suis là.. "?
Et qu'est-ce qui vous fait dire que vous hébergez un cheval de Troie?
Pouvez vous poster un rapport de Malwarebytes ?
 

longaripa

Helper
#6
Re

Il y a des taches qui lancent php.exe, qui se trouve sur le bureau.
C'est volontaire ? (Je n'y touche pas pour le moment)

Le correctif à appliquer :


FRST - Correctif :

  • Fermer toutes les applications, y compris le navigateur
  • Exécuter FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Copier la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier) de ce correctif hébergé ici -> https://textup.fr/355418eP
  • Inutile de le coller , ca sera fait automatiquement par le programme. Il faut juste copier .
  • Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction
  • Accepter le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la prochaine réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

1 rapport à poster
Fixlog.txt.
------------------------------------------------------------------------------------------------------------------------
Autre scan :

Malwarebyte's antimalware Mode analyse uniquement

Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.
Clique-droit sur le fichier mbam-setup.exe > exécuter en tant qu'administrateur pour lancer l'installation

A la fin de l'installation:
  • Clique sur Terminer. Malwarebyte's s'ouvre
  • Dans l'onglet parametres >> protection , Positionnez les parametres comme sur la photo
  • Lancer l'examen >> Analyse Maintenant
  • Attendez que l'examen se termine
  • Cliquez sur l'onglet Comptes-rendus .
  • Faites un double clique sur comptre-rendu d'analyse qui vient d'être effectuée.
  • Cliquez sur Afficher Exporter.
  • Cliquez sur Fichier texte (*.txt)
  • Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
  • Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
  • Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
  • Cliquez sur OK
Hébergez le contenu du rapport sur ce service de rapport en ligne
Puis copie/colle le lien fourni dans votre prochaine réponse.
Tutoriel Malwarebytes en images
------------------------------------------------------------------------------------------------------------------------

AdwCleaner - Analyser :

  • Télécharger AdwCleaner de Malwarebytes et enregistrer le fichier sur le Bureau
    Patienter le temps que le navigateur propose le téléchargement à enregistrer, sans cliquer nulle part, surtout pas sur les sponsors de la page
  • Fermer toutes les applications, y compris le navigateur
  • Clic-droit -> Exécuter en tant qu'administrateur sur l'icône AdwCleaner.exe pour lancer l'outil
  • Sur le menu principal, cliquer sur Analyser
  • Les éléments détectés s'affichent dans les différents onglets. Cliquer sur Rapport
  • Un rapport AdwCleaner(Sx).txt s'ouvre. Poster ce rapport dans la prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Sx).txt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l'antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images


------------------------------------------------------------------------------------------------------------------------

3 rapports à poster
 

longaripa

Helper
#8
php.exe sert si par exemple vous hébergez un serveur WEB .

On verra apres les rapports de MBAM et AdwCleaner.
Je les supprimerai apres
Je ne serai pas dispo ce soir, je verrai ca demain matin
 

longaripa

Helper
#10
Re

MBAM ne detecte plus rien.
Faites le nettoyage avec AdwCleaner ;

AdwCleaner - Nettoyer :

  • Fermer toutes les applications, y compris le navigateur
  • Clic-droit -> Exécuter en tant qu'administrateur sur l'icône AdwCleaner.exe pour lancer l'outil
  • Sur le menu principal, cliquer sur Analyser
  • Les éléments détectés s'affichent dans les différents onglets. Cliquer sur Nettoyer et valider par OK la fermeture des programmes
  • Patienter le temps de l'analyse et valider le message d'information
  • Un redémarrage est demandé, valider par OK
  • Au redémarrage, un rapport AdwCleaner(Cx).txt s'ouvre. Poster ce rapport dans la prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner\AdwCleaner(Cx).txt (ou C:\Program Files (x86)\AdwCleaner)

Sous Internet Explorer et Edge, le filtre SmartScreen peut déclencher une alerte. Cliquer sur Actions ou Informations complémentaires puis sur Exécuter quand même

Si l'antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier AdwCleaner.exe est sûr)

Tutoriel d'utilisation AdwCleaner en images

En cas de perte de connexion internet après le passage de l'outil, appliquer une de ces procédures Perte de connexion internet après l'utilisation d'un outilhttp://forum.security-x.fr/tutoriels-317/perte-de-connexion-internet-apres-l%27utilisation-d%27un-outil-12204/
------------------------------------------------------------------------------------------------------------------------
Refaites l'analyse FRST, et postez les 2 rapports frst.txt et addition.txt
------------------------------------------------------------------------------------------------------------------------

3 rapports à poster
 

Misandrop

Nouveau membre
#11

longaripa

Helper
#12
Il manque le rapport addition.txt (le fixlog.txt a été mis a la place)
Il n'y a aucune raison pour que le systeme soit plus long au démarrage.
Il faudra voir apres un autre redémarrage.
 

Misandrop

Nouveau membre
#14
oui c'est bizarre que ça prenne autant de temps au démarrage d'autant que windows est sur un ssd
 

longaripa

Helper
#15
Ok.

Un nettoyage pour supprimer les taches programmées de lancement de php.exe(je ne supprime pas le fichier pour le moment)

FRST - Correctif :

  • Fermer toutes les applications, y compris le navigateur
  • Exécuter FRST64.exe par clic-droit -> Exécuter en tant qu'administrateur
  • Copier la totalité du contenu, de Start:: à End:: (clic-droit -> Sélectionner -> Copier) de ce correctif hébergé ici -> https://textup.fr/355670jE
  • Inutile de le coller , ca sera fait automatiquement par le programme. Il faut juste copier .
  • Sur le menu principal de FRST, cliquer une seule fois sur Corriger et patienter le temps de la correction
  • Accepter le redémarrage du système si demandé
  • L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la prochaine réponse.

/!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager Windows /!\

1 rapport à poster
Fixlog.txt.
 

longaripa

Helper
#17
Bon , ok.
C'est propre maintenant.

On va nettoyer les outils utilisés :

  • Désactiver temporairement l' antivirus
  • Télécharger KPRM (de Kernel-panik) sur le bureau : KPRM
  • Informations + Téléchargement : KPRM
  • Lancer l'exécution par clic-droit -> Exécuter en tant qu'administrateur
  • Cocher les cases : comme sur l'image ci dessous




Cliquer sur [Exécuter]...laisser travailler jusqu'au message indiquant la fin des opérations


Poster le rapport kprm.txt , qui se trouve sur le bureau

[*]Pour les rapports, merci d'utiliser ce service de rapport en ligne : déposer le fichier via "parcourir" et poster simplement les liens obtenus dans votre réponse.
Une aide à l'utilisation ici


Comment se comporte le PC, maintenant ?
 

Misandrop

Nouveau membre
#19
le pc est toujours aussi long au démarrage (environ 2min contre 30sec normalement)
 

longaripa

Helper
#20
Qu'est-ce qui est long ?
L'arrivée à la page d'accueil, pour entrer le login, ou après ?

Est-ce qu'un fois démarré, il réagit correctement ?

Il n'y a rien dans les actions réalisées qui explique ceci , à part le nettoyage des fichiers temporaires .
 
Vous devez vous inscrire ou vous connecter pour répondre ici.
Membres en ligne
  • mdj de normandie
  • hein
  • Faler
  • vaelis
  • CMs4mvs
Derniers messages publiés
Statistiques globales
Discussions
865 293
Messages
8 056 514
Membres
1 575 813
Dernier membre
SkyllerPotts
Partager cette page
Haut