un cheval de troie sur mon ordinateur

[jahgirl041]

Bonsoir à tous,

Voilà mon antivirus antivir avira a détecté un cheval de troie nommé dropper.gen sur mon ordinateur !!
Je ne sais pas comment le supprimer ! J'ai fais appel à plusieurs de mes amis calés en informatique mais aucun d'entre eux n'a pu me donner une solution !!!!
Pouvez vous m'aider svppppp !! Merci

[H3bus]

Bonjour,

Un peu de lecture pour commencer, puis un helper va te prendre en charge.

Bonne soirée

[danakil]

Salut à tous!

H3Bus

jahgirl041,
Tu commences trés mal la désinfection de ton PC en postant sur plusieurs sites :
http://forum.hardware.fr/hfr/Discussion ... #t25779514

Il te faut choisir un Forum unique pour obtenir une désinfection propre sans courrir dans tous les sens et finir avec un PC complétement bloqué.

Tu as le choix entre ici ou l'autre Forum; Dans tous les cas tu devras avertir le Forum ne t'intéressant pas de ton choix afin d'éviter à des helpers de se pencher inutilement sur tes problèmes.

Si tu décides de rester ici, alors applique la procédure donnée en lien par H3Bus.

[jahgirl041]

D'accord, je suis en train de faire analyser ! Merci !!!

<je vous envoie le lien de téléchargement du texte OTL demandé ! merci encore

http://gx7zg1.alterupload.com/

Voici le lien de l'autre fichier http://i8awr9.alterupload.com/

J'ai sans cesse des publicités qui s'ouvrent sur mes pages internet et toutes les 30 secondes mon antivirus m'envoie ce message : un virus ou programme indésirable a été détecté : c\system volume information microsoft smss .exe contient le cheval de troie tr/dropper.gen ... je le supprime à chaqu fois sans résultat

[danakil]

Ferme toutes les fenêtres actives sur ton PC.
Relance OTL > Clic droit dessus > "Exécuter en tant qu'Administrateur".
Dans l'interface d'OTL, vérifie que la case "Rapport minimal" soit bien cochée.
Copie et colle le contenu de cette citation dans la fenêtre Personnalisation

:Otl
PRC - [2011/02/23 23:06:43 | 000,031,343 | ---- | M] () -- C:\System Volume Information\Microsoft\smss.exe
PRC - [2011/02/23 23:06:27 | 000,025,293 | ---- | M] () -- C:\System Volume Information\Microsoft\services.exe
PRC - [2010/10/22 12:38:04 | 001,965,912 | ---- | M] (Secure Digital Services Limited) -- C:\Program Files\OfferBox\OfferBox.exe
FF - HKLM\software\mozilla\Firefox\Extensions\\offerboxffx@offerbox.com: C:\Program Files\OfferBox\offerboxffx@offerbox.com [2010/11/11 09:16:41 | 000,000,000 | ---D | M]
O2 - BHO: (OfferBox) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - C:\Program Files\OfferBox\OfferBoxBHO.dll (Secure Digital Services Limited)
[2011/03/08 15:54:00 | 000,000,000 | ---D | M] -- C:\Users\Marie\AppData\Roaming\OfferBox
[2010/11/11 09:14:39 | 000,000,000 | ---D | M] -- C:\Users\Marie\AppData\Roaming\OpenCandy
[2010/11/11 09:14:44 | 000,349,296 | ---- | M] () -- C:\Users\Marie\AppData\Roaming\OpenCandy\OpenCandy_86704A9FCAEE47DEB8594FEAF4856BBB\DLMgr_3_1.6.87.exe
[2010/09/28 20:20:32 | 000,041,408 | ---- | M] () -- C:\Users\Marie\AppData\Roaming\OpenCandy\OpenCandy_86704A9FCAEE47DEB8594FEAF4856BBB\LaunchOfferbox.exe
[2010/11/11 09:15:16 | 000,297,496 | ---- | M] () -- C:\Users\Marie\AppData\Roaming\OpenCandy\OpenCandy_86704A9FCAEE47DEB8594FEAF4856BBB\OfferBoxSetupFR_wrp1v2.exe [2010/09/28 20:20:32 | 000,177,824 | ---- | M] () -- C:\Users\Marie\AppData\Roaming\OpenCandy\OpenCandy_86704A9FCAEE47DEB8594FEAF4856BBB\OfferBoxSetup_FR.exe
[2011/03/08 05:49:54 | 000,676,694 | ---- | M] () -- C:\Windows\System32\perfh00C.dat
[2011/03/08 05:49:54 | 000,594,224 | ---- | M] () -- C:\Windows\System32\perfh009.dat
[2011/03/08 05:49:54 | 000,126,514 | ---- | M] () -- C:\Windows\System32\perfc00C.dat
[2011/03/08 05:49:54 | 000,104,038 | ---- | M] () -- C:\Windows\System32\perfc009.dat

:files
c:\system volume information\microsoft\smss.exe
c:\system volume information\microsoft\services.exe
c:\program files\offerbox\offerbox.exe
c:\program files\offerbox\offerboxbho.dll
c:\users\marie\appdata\roaming\opencandy\opencandy_86704a9fcaee47deb8594feaf4856bbb\dlmgr_3_1.6.87.exe
c:\users\marie\appdata\roaming\opencandy\opencandy_86704a9fcaee47deb8594feaf4856bbb\launchofferbox.exe
c:\users\marie\appdata\roaming\opencandy\opencandy_86704a9fcaee47deb8594feaf4856bbb\offerboxsetupfr_wrp1v2.exe
c:\users\marie\appdata\roaming\opencandy\opencandy_86704a9fcaee47deb8594feaf4856bbb\offerboxsetup_fr.exe

:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]

Clique sur le bouton Correction.
Ne touche plus au PC avant son redémarrage.
A l'ouverture du PC un rapport va s'ouvrir --> OTL.txt ... Si ce n'est le cas tu le retrouveras sous le même nom sur le Bureau ou alors dans son dossier --> C:\OTL
Copie et colle ici en réponse le contenu de ce rapport.

[jahgirl041]

D'accord donc il faut que je déconnecte internet ?

[H3bus]

Re,

Pense à éditer tes messages, afin de ne pas poster plusieurs messages les uns à la suite des autres...

Merci d'avance.

[jahgirl041]

http://62p7n4.megadl.fr/

Que dois je faire maintenant ?? Pour le moment je n'ai plus les fenêtres qui s'affichent comme quoi j'ai un cheval de troie. Mais en faisant l'analyse avec mon antivirus, il y est toujours :s

[danakil]

jahgirl041!

Tu n'as pas appliqué la procédure de Correction que je t'ai posté à 19h24.
Tu n'as pas besoin de te déconnecter d'Internet sauf si je te le demande.
Tu m'as reposté le scan OTL d'analyses du PC. Donc il est normal que ton Antivirus le voit toujours.

Ce que tu vas faire :
1/ Ouvre Antivir (raccourci disponible dans la zone de notification - en bas à droite de ton écran - à côté de l'horloge).
> Ouvre la fenêtre "Administration" > dans l'onglet "Quarantaine" (fenêtre de droite) - Sur la première ligne dans la colonne Message <-- tu as le nom du Cheval de Troie --> copie et colle ici en réponse son nom.

2/ Question :
Combien d'antivirus utilises-tu?
Je vois Antivir et Panda; Les deux sont actifs?

3/ Reprends la procédure de 19h24 et poste moi le rapport de Correction.

[jahgirl041]

Bonjour monsieur Idefix/danakil !

1) TR/Dropper.gen
2) hmm panda n'est pas activé
3) http://hd476q.alterupload.com/

[danakil]

Salut!

Bon on a un souci Madame jahgirl041 --> le temps!
Tu as effectué la correction le 17/03 ( soit tu as recommencé la procédure soit tu viens de la faire ); Donc il s'est passé une semaine depuis la première demande de Correction. Je ne sais si ton PC s'est réinfecté dans ce laps de temps ...

On va procéder autrement et beaucoup plus vite afin que je puisse éradiquer définitivement les infections sur ton PC.

1/ Effectue un scan complet de ton PC avec MalWarebytes.
Procédure d'installation et de mise en oeuvre ici --> Mbam
Consigne importante :
N'oublie pas d'effectuer une mise à jour du logiciel avant de lancer le scan
> Poste moi le rapport de suppression en réponse.

Ensuite ...

Télécharge Combofix.exe de sUBs sur ton Bureau et pas ailleurs.

Important : Désactive ton Antivirus et antispyware avant le scan avec Combofix :
http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

Ferme toutes les fenêtres actives avant de lancer le scan.
Durant celui-ci, ne touche plus à ton PC tant que celui-ci ne sera pas terminé.
Il peut y avoir un redémarrage du PC afin de finaliser les suppressions.

> Double clique sur combofix.exe (ou clic droit > Exécuter en tant qu'administrateur) pour le lancer et valide par OUI
* Si l'installation de la Console est demandée > Valide!
* Le scan reprendra après son installation.

> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Tutoriel Combofix


...

On désinstallera proprement Panda en fin de procédure de désinfection.

[jahgirl041]

oki merci !!

voici le raport


Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Version de la base de données: 6090

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

17/03/2011 19:16:33
mbam-log-2011-03-17 (19-16-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 309109
Temps écoulé: 1 heure(s), 47 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
C:\System Volume Information\Microsoft\services.exe (Trojan.Cycler) -> No action taken.
C:\System Volume Information\Microsoft\smss.exe (Trojan.Cycler) -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\_OTL\MovedFiles\03102011_183747\C_Users\Marie\AppData\Roaming\OpenCandy\OpenCandy_86704A9FCAEE47DEB8594FEAF4856BBB\OfferBoxSetup_FR.exe (Trojan.Downloader) -> No action taken.
C:\System volume information\Microsoft\services.exe (Trojan.Cycler) -> No action taken.
C:\System volume information\Microsoft\smss.exe (Trojan.Cycler) -> No action taken.

Voici le rapport combofix : http://9lu8bi.pjointe.com/

[danakil]

Salut!

Je sais que cela n'est pas évident pour toi mais tu as loupé une étape en utilisant Mbam :

C:\System volume information\Microsoft\smss.exe (Trojan.Cycler) -> No action taken.

Tu as oublié de cocher les éléments et de cliquer sur le bouton "Supprimer la sélection".

Cela n'est pas trés grave car les éléments sont "contrôlés".

Fais ceci.

Purge de la Restauration Système :

Vista\Seven.

• Clique sur "Menu Démarrer", puis "Tous les programmes", puis "Accessoires", puis "Exécuter" .
  > Dans la fenêtre qui s'ouvre tape SystemPropertiesProtection, puis clique sur OK.

Une fois la fenêtre Propriétés système ouverte:

1: Décoche la case correspondant au disque système (en général C:\).
2: Accepte l'avertissement en cliquant sur Désactiver la restauration du système.
3: Clique sur Appliquer


3/ Crée un nouveau point de Restauration propre :

Vista\Seven.
> Menu Démarrer > Tous les programmes > Accessoires > Exécuter > dans le fenêtre qui s'ouvre tape SystemPropertiesProtection > puis clique sur OK.

Une fois la fenêtre Propriétés système ouverte :

1: Coche la case correspondant au disque système (en général C:\)
2: Clique sur Appliquer.
3: Clique sur Créer
4: Dans la fenêtre qui s'ouvre tape par exemple PC propre et clique sur Créer > patiente le temps de la création et ferme la fenêtre.


Ensuite ...

Télécharge pcnet sur ton Bureau.
Lance pcnet.exe > Clic droit dessus > Exécuter en tant qu'administrateur
> Suis les instructions en cliquant sur une touche ...
> Tu vas obtenir un rapport pcnet.txt > Copie et colle ici le contenu de ce rapport.
(Une sauvegarde de celui-ci se trouve ici --> C:\pcnet.txt)

[jahgirl041]

J'ai refait l'analyse et supprimer les éléments voici le rapport


Malwarebytes' Anti-Malware 1.46
http://www.malwarebytes.org

Version de la base de données: 6090

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943

18/03/2011 14:11:17
mbam-log-2011-03-18 (14-11-17).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 308877
Temps écoulé: 3 heure(s), 8 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\_OTL\MovedFiles\03102011_183747\C_Users\Marie\AppData\Roaming\OpenCandy\OpenCandy_86704A9FCAEE47DEB8594FEAF4856BBB\OfferBoxSetup_FR.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Je n'arrive pas a installer pcnet.exe : une fenêtre s'ouvre avec. "this file created with trial version of Quick [...] appuyer sur une touche pour continuer" donc j'appuie et une seconde fenêtre s'ouvre avec : "avertissements... Ce programme est en cours de tests... Veuillez nne pas l'utiliser sans l'avis d'un helper [...] Il supprme les logiciels de recherche et de desinfection devenus inutiles [...] Appuyez sur une touche pour continuer.." et là rien ne se passe

[danakil]

Salut!

Le dernier élément visible d'infection est dans la quarantaine de OTL, donc aucun risque pour ton PC. Justement c'est pcnet qui doit nettoyer tout cela.

C'est de ma faute, j'ai oublié de te préciser de désactiver l'UAC de ton Vista.
Voici la procédure en images --> http://www.commentcamarche.net/faq/8343 ... iver-l-uac

Après avoir redémarré le PC effectue un clic droit > Exécuter en tant qu'administrateur
> A la première fenêtre appuis sur une touche
> A la deuxième fait la même chose
> Tu obtiendras le rapport en quelques secondes
> Copie et colle ici ce rapport en réponse.