Cheval de troie dans Google Chrome !

Cheval de troie dans Google Chrome ! - Virus/Spywares - Windows & Software

Marsh Posté le 04-12-2010 à 14:48:08    

Salut à tous ,
Depuis quelques temps lorsque je navigue sur internet j'ai une alerte Avast qui me dit qu'un cheval de troie a été détecté , l'alerte se répète 3 fois à la suite ...  
Je voudrais bien supprimer ce truc mais même un coup de Spybot n'y fait rien :/
De plus j'ai remarqué qu'un nouveau fichier est apparu dans C: , nommé boot.inf , lorsque je l'ouvre il n'y a rien et si je veux le supprimer ça me dit que le fichier est utilisé par un autre utilisateur .
Et aussi quand j'affiche les fichiers cachés , il y a un CheckUSB.exe avec le logo de MegaUpload , je le supprime mais il revient toujours ...
Regardez ce screen :
http://img4.hostingpics.net/pics/235379troiejpg.png

Reply

Marsh Posté le 04-12-2010 à 14:48:08   

Reply

Marsh Posté le 04-12-2010 à 15:15:35    

salut
l'objet bloqué par avast correspond à un téléchargement sur Archivehost qui est un hébergeur de fichier en ligne
as tu téléchargé quelque chose sur ce site?


Message édité par glops31 le 04-12-2010 à 15:15:49

---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 04-12-2010 à 15:47:16    

Euh non je ne me souviens absolument pas avoir téléchargé quelque chose sur ce site oO

Reply

Marsh Posté le 04-12-2010 à 19:23:44    

Je doute qu'il s'agisse de google chrome, à moins qu'il ait été corrompu
As tu vérifié quel était le fichier qu'il t'indique ? est ce réellement google chrome ? ou un exécutable qui s'applle juste "chrome.exe" ?


---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 04-12-2010 à 21:16:50    

L'arborescence n'est pas complète dans ce que Avast m'indique :/
Donc je peux pas aller voir.

Reply

Marsh Posté le 04-12-2010 à 21:41:31    

Par contre tu peux fouiller... Chercher... Explorer...


Message édité par o'gure le 04-12-2010 à 21:41:47

---------------
Relax. Take a deep breath !
Reply

Marsh Posté le 04-12-2010 à 22:40:08    

Ouais , j'ai fait une recherche Windows , mais il ne me trouve pas un seul chrome.exe -_-'
En plus j'ai l'impression que mon PC a changé , par moment , le pointeur de la souris passe sur le sablier même quand je fais rien , ça dure même pas une seconde  
Et aussi dans les processus j'ai deux explorer.exe ><

Reply

Marsh Posté le 04-12-2010 à 23:10:30    

Si tu veux faire une analyse utilises ZHPdiag
 

  • Télécharge ZHPDiag
  • clique sur l'icône téléchargée et Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

! sous vista/win7 => clic droit et "exécuter en tant qu'administrateur !

  • Clique ensuite sur l'icône représentant une loupe (« Lancer le diagnostic »)  
  • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  
  • Héberge le rapport ZHPDiag.txt sur cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.


ne colle pas le rapport complet sur ce forum ,c'est interdit
 
note: si le fichier est trop" lourd" tu devras le compresser au format *.Zip ou *.Rar pour pouvoir l'héberger sur cijoint.fr


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 04-12-2010 à 23:22:08    

Reply

Marsh Posté le 04-12-2010 à 23:47:52    

ton PC est très infecté et par plusieurs malwares, barre d 'outils piégées, Adwares,Trojans
tu vas commencer par faire un gros ménage avec MBAM que tu pourras conserver sur ton ordinateur et utiliser régulièrement
 
 

  • Télécharge Malwarebytes antimalware  
  • Tu auras ICI un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
  • Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
  • Lance une analyse complète en cliquant sur "Exécuter un examen complet"
  • Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
  • L'analyse est longue =>  patiente
  • Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    *si des malwares sont détectés ils s'affichent en Rouge

  • Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
  • Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport  héberge le sur cijoint.fr et poste le lien dans ta prochaine réponse sur le forum .
  • Il est possible que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée


 
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 04-12-2010 à 23:47:52   

Reply

Marsh Posté le 05-12-2010 à 15:15:38    

Analyse terminée , 36 éléments infectés et supprimés ^^
Voici le rapport MBAM :
http://www.cijoint.fr/cjlink.php?f [...] wlLUck.txt

Reply

Marsh Posté le 05-12-2010 à 16:06:37    

Malgré tout j'ai toujours une alerte oO
Un fichier nommé sssss.exe  
L'arborescence qu'Avast m'indique est fausse en plus , même en affichant les fichiers cachés je trouve pas ce qu'il m'indique ...

Reply

Marsh Posté le 05-12-2010 à 19:21:09    

Bonsoir, MBAM a fait son boulot mais ce n'est pas suffisant, pour continuer fais ceci:
 

  •   /!\ Déconnecte-toi d’internet et ferme toutes applications en cours /!\
  • Double-clique sur l'icône Ad-remover située sur ton Bureau.
  • Sur la page, clique sur le bouton « Nettoyer »
  • Confirme l'opération
  • Laisse travailler l’outil.
  • héberge  le rapport qui apparaît à la fin sur cijoint.fr et poste le lien fourni dans ta réponse


    (Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt
 
    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 05-12-2010 à 20:32:04    

Désolé mais je n'ai pas cette icône Ad-remover sur mon bureau :/
EDIT: Bon en fait j'ai compris , j'ai téléchargé le logiciel et fait le nettoyage puis redémarré .
J'attends de voir s'il y a de nouvelles alertes et je vous tient au courant , merci.
 
EDIT2: j'avais oublié le rapport ^^
Voici: http://www.cijoint.fr/cjlink.php?f [...] PIWKMy.txt


Message édité par Warl0ck3r le 05-12-2010 à 20:45:22
Reply

Marsh Posté le 05-12-2010 à 21:18:43    

oups ,j'ai oublié une partie du "canned" excuse moi
 
tu vas maintenant faire une recherche d'infection usb ,une ligne sur le rapport mbam est suspecte en ce sens
 
Ferme toutes tes applications et enregistre le travail en cours.
 
Munis toi de tous tes supports amovibles (clés usb,disque durs externes,etc...)
 

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau

sur la même page tu auras un tutoriel vidéo "recherche"  pour t'aider si besoin

  • Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
  • Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
  • Choisis:  recherche
  • Vérifie que  tous tes disques amovibles, clés USB sont connectés =>  puis cliquez sur OK.
  • Laisse travailler l'outil
  • Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur cijoint.fr et poste moi le lien qui te sera fourni
  • Note : le rapport UsbFix.txt est sauvegardé a la racine du disque


 
 
 
     
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 05-12-2010 à 21:54:30    

Reply

Marsh Posté le 05-12-2010 à 23:17:45    


l'infection a bien été repérée mais il ne faut pas faire la suppression :non: car des fichiers système sont présents    
 
C:\WINDOWS\system32\winlogon.exe(et ses copies) le supprimer t'empêcherait de te loger sur ta session
 
tu vas donc faire cette vérification Stp?, sur Virus total
 

C:\WINDOWS\system32\winlogon.exe
 

  • clique sur "envoyer le fichier"


Si le fichier a déjà été analysé par VirusTotal il te sera proposé de consulter immédiatement l'archive de cette analyse (le temps depuis lequel cette analyse a été faite est signalé). tu peux demander à ce que ce fichier soit ré-analysé,en cliquant sur "réanalyser le fichier"
 
 et poste moi ensuite le lien vers le rapport
 
recommence la manip pour
 
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
C:\WINDOWS\system32\dllcache\winlogon.exe
 
 
 
 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-12-2010 à 16:04:29    

Winlogon.exe (system32) : http://www.virustotal.com/file-sca [...] 291647292# ( pas trop de risques je pense ^^ )
 
Winlogon.exe ( servicepackfiles ) : http://www.virustotal.com/file-sca [...] 1291647641
 
Et pour le dernier fichier , je n'ai pas de dossier dllcache dans system32 :/
 

Reply

Marsh Posté le 06-12-2010 à 18:44:50    

à priori les fichiers ne sont pas infectés,la détection est étrange

 

je vais te demander de me zipper une copie de ces fichiers et de les héberger sur cijoint.fr puis de me donner le lien

 

bizarre que tu n'es pas de dllcache,t'es sûr?

 

ne fais surtout pas la suppression avec usbFix , j'ai contacté les concepteurs du log pour savoir pourquoi cette détection?
attends un peu Stp?

 

en attendant  teste ce fichier sur virus Total et montre moi le rapport obtenu

 

C:\WINDOWS\system32\drivers\oreans32.sys


Message édité par glops31 le 06-12-2010 à 18:48:35

---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 06-12-2010 à 21:21:24    

Voici l'analyse de oreans32.sys : http://www.virustotal.com/file-sca [...] 1291666056
 
Et je viens de revérifier , il n'y a pas de dossier dllcache dans system32 :/
 
Sinon voilà les fichiers en .rar , j'ai du les mettre sur Megaupload , j'espère que ça ne te dérange pas , cijoint n'accepte pas les .rar :/
http://www.megaupload.com/?d=W3FHU5XK

Reply

Marsh Posté le 06-12-2010 à 22:15:09    

ok ,merci je te tiens au courant dès que j'ai du nouveau
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 07-12-2010 à 16:36:00    

bonjour
 
voici ce que tu vas faire
 
déconnecte toi d'internet ,désactive toutes tes protections Antivirus et Antimalware
et refais une recherche avec USBFix
 
    * Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) succeptibles d'avoir été infectés sans les ouvrir
    * Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
    * Choisis:  recherche
    * Vérifie que  tous tes disques amovibles, clés USB sont connectés =>  puis cliquez sur OK.
    * Laisse travailler l'outil
    * Ensuite héberge  le rapport UsbFix.txt qui apparaîtra sur cijoint.fr et poste moi le lien qui te sera fourni
    * Note : le rapport UsbFix.txt est sauvegardé a la racine du disque


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 08-12-2010 à 13:33:28    

Bonjour ,
Voila j'ai fait ce que tu m'a dit :)
Le rapport: http://www.cijoint.fr/cjlink.php?f [...] W8t0e9.txt

Reply

Marsh Posté le 09-12-2010 à 13:12:30    

bonjour
 
de la même façon que pour le winlogon peux tu me zipper une copie ces trois fichiers?
 
 C:\WINDOWS\svchost.exe
 G:\msvcr71.dll
 C:\WINDOWS\install\temp.exe
 
et héberger sur cijoint (ou ailleurs)
 
merci!
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 09-12-2010 à 18:44:24    

Je ne trouve que le svchost.exe
Il n'y a pas les autres fichiers , j'ai bien recherché pourtant :/
 
Voici le lien de svchost : http://www.mediafire.com/?w9kbj1r21gc0a88

Reply

Marsh Posté le 09-12-2010 à 21:55:45    

as tu "affiché les fichiers et dossiers cachés" dans option des dossiers ainsi que les "fichiers protégés du système d'exploitation" ?


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 09-12-2010 à 22:05:24    

Effectivement ça fonctionne mieux comme ça ^^
J'ai tout trouvé :)
Voilà:
http://www.mediafire.com/?vz36064r6m516lg

Reply

Marsh Posté le 10-12-2010 à 09:24:51    

Bonjour
 
as tu le CD d'installation de XP ? nous allons avoir besoin de la console de récupération


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 10-12-2010 à 17:56:41    

Oula , oui je l'ai je viens de le retrouver.

Reply

Marsh Posté le 10-12-2010 à 21:09:42    

ok,il va falloir trouver des copies saines de winlogon (si elles existent car on ne peut pas se servir de ces deux là
C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
C:\WINDOWS\system32\dllcache\winlogon.exe infectées elles aussi
 
 tu vas utiliser SEAF
 

  • Télécharge SEAF (de C_XX)   sur ton Bureau.
  • Lance SEAF
  • Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".


  • Tape exactement ceci:  winlogon.exe  dans le champs de recherche, clique sur "Lancer la recherche" et patiente.


  • Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche,toujours en passant par cijoint.fr.


 
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 11-12-2010 à 11:41:09    

Reply

Marsh Posté le 11-12-2010 à 17:24:43    

Bonjour
 
Pas de copie saine du fichier => Nous allons nous servir de la console de récupération pour remplacer le fichier à partir de CD d'installation
 
Paramètre ton bios pour démarrer sur le lecteur CD et lancer la console de récup suis ce tutoriel
 
lorsque tu auras l'invite C:\WINDOWS>  
 
saisis ceci (en gras) en respectant l'orthographe et les espaces:
 
ren C:\WINDOWS\system32\winlogon.exe C:\Windows\system32\winlogon.back
"valide par entrée"
expand E:\i386\winlogon.ex_ C:\WINDOWS\system32
"valide par entrée"
exit
"entrée"  
 
E: étant la lettre de ton lecteur CD
 
ensuite redémarre ton ordinateur et refais une recherche avec UsbFix pour vérifier que le winlogon.exe n'est plus détecté
 


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le 11-12-2010 à 19:41:48    

Je ferais ça demain.
C'est normal que dans la 2ème commande c'est écrit " winlogon.ex_ " ?

Reply

Marsh Posté le 12-12-2010 à 00:40:16    

oui c'est normal car c'est comme ça que doivent être nommés les fichiers compressés sur le CD


---------------
Stop aux Malwares Une désinfection inachevée est inutile
Reply

Marsh Posté le    

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed