[résolu]cheval de troie

Bonjour,

sur le pc d'un ami, avira détecte TR/Crypt.ZPACK.106554  et TR/Agent.65920.
Je lui ai demandé si il avait téléchargé des trucs et il me dit que non.
Comment faire pour lui virer svp?

Toyia

Bonsoir, dans quels fichiers sont détectés ces infections? tu peux avoir le rapport d'avira?

Pour plus d'informations demande lui de faire une analyse zhpdiag comme expliqué ici : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois

Coucou

voici le lien http://cjoint.com/?3LksPCrlBAa

un petit nettoyage à faire avec Malwarebytes Anti-Malware : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14657 suivi par Adwcleaner : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14319

Ca ne serait pas C:\Windows\system32\fsKMgr.dll qui est détecté par antivir?

pour malware, j'avais fait  une analyse mais il n'avait rien trouvé

passe adwcleaner alors

voilà le rapport de adwcleaner http://cjoint.com/?DLktlTmyi2L

et le scan avira http://www.cjoint.com/?DLktcohrmd9

Ok c'est bien ce que je pensais, avec malwarebytes, tu avais fait quel type de scan? tu avais coché l'analyse rootkit?

Passe Roguekiller maintenant pour voir : https://morbak-home.forumgratuit.org/t998p20-programmes-de-desinfection-les-modes-d-emplois#14675

Pour malware, rootkit n'était pas cochée.
POur le rapport de roguekiller http://cjoint.com/?DLktVjHhacT

coche toutes les cases dans les onglet registre et Tâches, puis clic sur suppression
Clique ensuite sur rapport et heberge le sur cjoint.

Ton ami sera bon pour changer tous ses mots de passe web (mail, facebook etc...) ils ont peut-être été volés.

http://cjoint.com/?DLkucGKpY7Y

dsl fausse manip de ma part

j'étais entrain de regarder le rapport zhpdiag et une chose m'a surpris :
O44 - LFC:[MD5.12E71DA845D76665B56753AD149E32B3] - 03/12/2014 - 18:50:06 ---A- . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Windows\System32\Drivers\48230029.sys   [110296]
O44 - LFC:[MD5.12E71DA845D76665B56753AD149E32B3] - 03/12/2014 - 18:53:36 ---A- . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Windows\System32\Drivers\550746D1.sys   [110296]
O44 - LFC:[MD5.8E2E9CCD873ABF180F48BCAEEEBE347D] - 03/12/2014 - 18:57:08 ---A- . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Windows\System32\Drivers\1AE4407D.sys   [114904]
O44 - LFC:[MD5.8E2E9CCD873ABF180F48BCAEEEBE347D] - 03/12/2014 - 18:57:32 ---A- . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Windows\System32\Drivers\0A8E40CB.sys   [114904]
O44 - LFC:[MD5.8E2E9CCD873ABF180F48BCAEEEBE347D] - 03/12/2014 - 19:01:32 ---A- . (.Malwarebytes Corporation - Malwarebytes Anti-Malware.) -- C:\Windows\System32\Drivers\672F43DB.sys   [114904]

j'ai malwarebytes en version pro, et je n'ai aucun fichier nommé de manière aléatoire qui soit signé par malwarebytes dans mon dossier drivers Demande voir à ton ami si il l'a téléchargé depuis le site officiel et si il est cracké/payé ou en version gratuite (on s'en fiche sur le forum mais ca peut amener ce genre d'infections justement et ca expliquerait qu'il n'ai rien vu lors de l'analyse).

je crois que c'est un numéro de série qu'il avait récupéré

Si les fichiers que j'ai indiqué sont encore présent dans le dossier c:\windows\system32\ fais en analyser un sur virustotal et donne le lien : https://morbak-home.forumgratuit.org/t644-comment-utiliser-virustotal

Si ils ont déjà été analysé, clique bien sur Réanalyser.

copie cette ligne :
[HKCU\Software\Microsof]

Puis :
Télécharger RegToolExport sur le bureau : https://toolslib.net/downloads/viewdownload/26-regtoolexport/
Coller les lignes précédemment copiées et cliquer sur Exporter.
Enregistrer le fichier sur le bureau.
L'heberger sur www.cjoint.com et donner le lien
Si besoin, changer l'extension .reg du fichier en .txt

Attention : Il n'y a pas de T au bout de Microsof, ca n'est pas une faute de frappe.

Et passe aussi ce fichier sur virustotal s'il est présent : C:\Windows\System32\C85203ECB4.sys

quand je fais exporter je ne retrouve pas lefichier

quand tu clic sur exporter, il te demande l'endroit ou tu souhaite enregistrer le fichier non?
Si tu l'as bien enregistré sur le bureau, clic droit/actualiser, ca pourrait le faire apparaitre. Sinon regarde dans le meme dossier que le programme si tu ne l'as pas téléchargé sur le bureau.

je fais enregistrer sous le bureau mais je ne le vois pas apparaitre

essaye clic droit sur le bureau/actualiser. Sinon essaye un autre dossier.

voilou http://cjoint.com/?DLkvnEmi5p3

Coucou,

faut que je me sauve. Si tu me réponds entre temps, je continuerai demain matin.
En attendant merci pour ton aide et ta patience

A demain

Toyia

pas de soucis, je te donne de quoi faire en avances

1 - Désinstalle java il n'est pas à jour

2 - passe ce fichier sur virustotal si il est présent et donne le lien : C:\Windows\System32\C85203ECB4.sys

3 - copie tout le contenu de ce lien : http://www.cjoint.com/data3/3LkwlzNCqxo_zhpfix.txt
passe zhpfix comme indiqué ici : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14664

4 - passe TDSSKiller comme expliqué ici : https://morbak-home.forumgratuit.org/t998p20-programmes-de-desinfection-les-modes-d-emplois#14697

5 - me donner des nouvelles du pc.

me revoilou

1) c'est fait
2) fichier non présent
3) http://cjoint.com/?DLlp6whBToc pour zhpfix
4) pour tdsskiller,il y a 3 fichiers txt, je te les ai compresser car je ne savais paslequel mettre http://cjoint.com/?DLlqcYaJH0f
5) te donner des nouvelles du pc c'est fait