Connexion internet & Cheval de Troie

[fcbarcelone-10]

Bonjour,

Mon PC a été infecté par un cheval de troie et ma connnexion internet a été impossible depuis cette infection.
(Je vous écrit depuis un PC portable connecté en Wifi).

J'ai lancé un scan avec Malwarebytes et 60 fichiers ont dû être supprimé mais je n'ai toujours pas internet.

Que dois-je faire?

Merci

[bernard53]

Bonjour
Fait ceci pour voir plus.
* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers /s
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32 /s
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\drivers.desc /s
%temp%\smtmp\1\*.* /s
%temp%\smtmp\2\*.* /s
%temp%\smtmp\4\*.* /s
nslookup http://www.google.fr /c
SAVEMBR:0
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://cjoint.com/
ou.
http://www.1fichier.com/

[fcbarcelone-10]

Voici le 1er rapport: http://cjoint.com/?CAznndbKqUA

Voici le 2ème rapport: http://cjoint.com/?CAznqOExY8s

[bernard53]

ok ceci alors.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
IE - HKLM\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=67 ... 5750d66&q={searchTerms} => Infection PUP (Adware.Bandoo)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://search.autocompletepro.com/?si=10203&bi=400 => Infection BT (Adware.PredictAd)
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&affID=113357&babsrc=SP_ss&mntrId=94828474000000000000002215750d66 => Infection PUP (PUP.ClaroSearch)
IE - HKCU\..\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}: "URL" = http://startsear.ch/?aff=2&src=sp&cf=67 ... 5750d66&q={searchTerms} => Infection PUP (Adware.Bandoo)
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\crossriderapp1950@crossrider.com: C:\Documents and Settings\Propriétaire\Local Settings\Application Data\RewardsArcadeSuite\1950\Firefox [2012/01/20 20:42:10 | 000,000,000 | ---D | M] => Infection PUP (PUP.RewardsArcade)
O2 - BHO: (AC-Pro) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Program Files\AutocompletePro\AutocompletePro.dll File not found => Infection BT (Adware.PredictAd)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll File not found => Infection BT (Toolbar.Babylon)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll File not found => Infection BT (Toolbar.Babylon)
O3 - HKLM\..\Toolbar: (no name) - {99079a25-328f-4bd4-be04-00955acaa0a7} - No CLSID value found. => Infection PUP (Adware.Bandoo)
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - No CLSID value found.
PRC - C:\Program Files\Fichiers communs\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe () => Toolbar.AVGSearch
MOD - C:\Program Files\Fichiers communs\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe () => Toolbar.AVGSearch
MOD - C:\Program Files\Fichiers communs\AVG Secure Search\SiteSafetyInstaller\14.0.1\SiteSafety.dll () => Toolbar.AVGSearch
SRV - (vToolbarUpdater14.0.1) -- C:\Program Files\Fichiers communs\AVG Secure Search\vToolbarUpdater\14.0.1\ToolbarUpdater.exe () => Toolbar.AVGSearch
IE - HKCU\..\SearchScopes,DefaultScope = {95B7759C-8C7F-4BF1-B163-73684A933233} => Toolbar.AVGSearch
IE - HKCU\..\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}: "URL" = http://isearch.avg.com/search?cid={CAADB863-09E7-4FAA-8F45-888EEEF8AF75}&mid=fe8c3c46176f47d6a4a3d16b5391e495-c4230f7e3dfc0126527122a6456dd1b1cbf346a4&lang=fr&ds=AVG&pr=fr&d=2013-01 => Toolbar.AVGSearch
IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2269050&SSPV=TB_IEOB28 => Toolbar.Conduit
FF - HKLM\Software\MozillaPlugins\@avg.com/AVG SiteSafety plugin,version=11.0.0.1,application/x-avg-sitesafety-plugin: C:\Program Files\Fichiers communs\AVG Secure Search\SiteSafetyInstaller\14.0.1\\npsitesafety.dll () => Toolbar.AVGSearch
O2 - BHO: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.0.0.14\AVG Secure Search_toolbar.dll () => Toolbar.AVGSearch
O3 - HKLM\..\Toolbar: (AVG Security Toolbar) - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files\AVG Secure Search\14.0.0.14\AVG Secure Search_toolbar.dll () => Toolbar.AVGSearch
O18 - Protocol\Handler\viprotocol {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files\Fichiers communs\AVG Secure Search\ViProtocolInstaller\14.0.1\ViProtocol.dll () => Toolbar.AVGSearch
[2013/01/23 09:47:27 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Propriétaire\Local Settings\Application Data\AVG Secure Search => Toolbar.AVGSearch
[2013/01/23 09:47:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\AVG Security Toolbar => Toolbar.AVGSearch
[2013/01/23 09:47:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\AVG Secure Search => Toolbar.AVGSearch
[2013/01/23 09:47:07 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Propriétaire\Application Data\AVG Secure Search => Toolbar.AVGSearch
[2013/01/23 09:47:00 | 000,000,000 | ---D | C] -- C:\Program Files\Fichiers communs\AVG Secure Search => Toolbar.AVGSearch
[2013/01/23 09:46:59 | 000,000,000 | ---D | C] -- C:\Program Files\AVG Secure Search
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Search,Search Page = http://search.autocompletepro.com/?si=10203&bi=400
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\avg@toolbar: C:\Documents and Settings\All Users\Application Data\AVG Secure Search\FireFoxExt\14.0.0.14 [2013/01/23 09:47:13 | 000,000,000 | ---D | M]
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} http://dlm.tools.akamai.com/dlmanager/v ... .2.5.7.cab (DLM Control) => Akamai Download Manager ActiveX
[2013/01/25 13:00:00 | 000,001,068 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineUA.job => Google Update Task
[2013/01/25 09:03:32 | 000,001,064 | ---- | M] () -- C:\WINDOWS\tasks\GoogleUpdateTaskMachineCore.job
O4 - HKLM\..\Run: [NPSStartup] File not found
O4 - HKLM\..\Run: [Tutorials] File not found
O4 - HKLM\..\RunOnceEx: [Flag] Reg Error: Invalid data type. File not found
MsConfig - StartUpFolder: C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^Notification de cadeaux MSN.lnk - - File not found
MsConfig - StartUpReg: PlusService - hkey= - key= - File not found
[2013/01/25 09:03:30 | 000,000,322 | ---- | M] () -- C:\WINDOWS\tasks\omqjrrk.job
@Alternate Data Stream - 124 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:A29E7570
:Files
C:\WINDOWS\tasks\omqjrrk.job
:Commands
[emptytemp]
[createrestorepoint]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.
http://cjoint.com/
ou.
http://www.1fichier.com/

Ensuite si toujours pas de connexion internet.
>>Télécharge Winsockxpfix sur ton bureau
Fait un double clic sur l'icône de WinsockXPFix.

>>clique sur "Fix" > et si ton pc ne redémarre pas,redémarre le manuellement.

[fcbarcelone-10]

J'ai lancé la correction mais le curseur de la souris s'est changée en sablier et les icônes de mon bureau ont disparu, il ne reste que la fenêtre de OTL.

Est-ce normal?

[bernard53]

oui c'est normal et dès le redémarrage du pc tout va redevenir comme avant.

[fcbarcelone-10]

Cela fait presque 6h que mon PC est comme ça aussi.
En bas de la fenêtre de OTL, c'est toujours écrit "Killing processes. DO NOT INTERRUPT ...", il y a toujours le sablier et sans les icônes du bureau.

[bernard53]

ok regarde sur quel ligne cela bloque et enlève cette ligne du script de suppression.

[fcbarcelone-10]

Dès le début, il y a marqué "Killing processes. DO NOT INTERRUPT".

[bernard53]

Tu as bien fermer toutes les applications avant de lancer OTL?

[fcbarcelone-10]

Oui tout était fermé.

[fcbarcelone-10]

Je viens de réessayer et là ça marche, l'analyse est en cours.

[fcbarcelone-10]

Voici le rapport: http://cjoint.com/?CAAkM55cUYR

Je n'ai toujours pas internet.

[bernard53]

as tu une alerte dans le gestionnaire de périphérique?

Ceci.

Télécharge sur ton bureau
http://support.kaspersky.com/downloads/ ... killer.zip
dezippe le et execute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

tu as aussi directement l'executable là :
http://support.kaspersky.com/downloads/ ... killer.exe
A cette fenêtre lance le scan.



Tu peux récupérer le rapport en validant Report

Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.

INFO::
http://support.kaspersky.com/viruses/so ... =208280684

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.
• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.
• Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.
• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"
• Clique sur Continue puis sur Reboot now pour redémarrer le PC.

et:
Aller ici et télécharger, sur le Bureau, la dernière version de CAT ("Crisis Aversion Tool" par teamrocketops).
Double-cliquer sur CAT.exe (Vista/W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") pour lancer le programme.



Cliquer sur le menu Fixes et cocher les cases devant les lignes suivantes:

[*]Flush DNS Resolver Cache
[*]Reset All Networking Interfaces
[*]Reset Default Services Start States

Fermer toutes les fenêtres et applications ouvertes sauf CAT puis presser le bouton "Apply Checked Fixes". Fermer le programme et Redémarrer le PC.
A noter que le programme crée un dossier nommé "CAT-Logs" à la racine de la partition système (généralement C:\CAT-Logs). Penser à supprimer ce dossier à la fin du nettoyage.

[fcbarcelone-10]

J'ai lancé Kaspersky et CAT mais je n'ai toujours pas internet :(