Cheval de troie PITOU

[ototluc]

Bonjour à tous,

ESET me détecte bien un cheval de troie nommé PITOU, il n'arrive pas à le supprimer.

J'ai bien téléchargé Malwarebytes version libre, lui ne le détecte pas.

Auriez-vous une solution ?

Apparemment ce cheval de troie est assez méchant et j'aimerai m'en débarasser.

Un grand merci d'avance.

[zelandonii]

Bonjour @ototluc,

Je fais appel à nos spécialistes désinfection @Firebird et @Christian-S .

Sujet déplacé dans désinfection PC.

Modifié le 20 décembre 2020 par zelandonii

[Christian-S]

Hello @ototluc

Bienvenue à vous sur le Site Le Crabe.net en Section Désinfection PC

Merci de suivre mes instructions de la procédure de diagnostic jusqu’à que je vous dise que la Désinfection est terminée.
Ne pas vous faire aider ailleurs en ouvrant un sujet identique sur un autre Site, votre PC s'en portera mieux !!.

 

@Firebird ou moi même @Christian-S vous prendront en charge suivant disponibilité

 

En attendant :

\*/ Important \!/.

Votre Antivirus pourrait bloquer le lancement de ces outils, il s’agit bien évidemment d’un faux-positif
Désactiver le temporairement, le temps du téléchargement et de leur utilisation.

Télécharger ZHPSuite sur votre bureau !!

Ici > ZHPSuite

Clic droit " Exécuter en tant que en tant qu'administrateur sur ZHPSuite.exe

Acceptez la licence

 

Cliquer en bas à droite sur le bouton Options

 

Cliquer sur " Tout Cocher "

Puis
Décocher cette case :

Afficher le rapport

 

Cliquer ensuite sur Fermer
Cliquer sur Analyse

 

L'analyse se lance alors

En fin d'analyse
Le rapport se trouve sur votre Bureau.

Le rapport se trouvera aussi sous > %APPDATA%\ZHP\ZHPDiag.txt
Suffit de Coller dans la barre de Recherche

%APPDATA%\ZHP\ZHPDiag.txt 

ou

Appuyer simultanément sur les touches Windows + R

Dans la fenêtre Exécuter, 

Copier/coller :

  %APPDATA%\ZHP

Dans la fenêtre

Chercher le rapport

Tous les Rapports sont à Héberger et à transmettre sous forme de lien !!!
 
Pour les Héberger 

Hébergez le rapport  sur ce site, 
Ici >  http://cjoint.com

Choisir ces Options >  diffusion: privée, durée: 4 jours

Cliquer sur Parcourir
 Trouver > le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau   
Valider en cliquant sur > Créer le lien Cjoint 

 

Mettre le lien généré dans le prochain message.

et en plus faire :

Pour la version de FRST qui vous correspond

Voir en bas de page => Comment savoir si mon PC exécute la version 32 bits ou 64 bits de Windows

Télécharger Farbar Recovery Scan Tool 

Ici > FRST 64 Bits

ou

Ici > Frst 32 bits

Sur votre bureau et pas ailleurs
Clic droit " Exécuter en tant que en tant qu'administrateur " sur FRST64.exe ou FRST.exe
Acceptez les termes
A la fenêtre qui s’ouvre ,répondez  " oui "

 

 

Faites juste > une Analyse en cliquant sur le bouton > Analyser

 

 

Les rapports sont complets et permettent donc de déceler des infections.
Il est pratique de lister et supprimer des infections ou des programmes récalcitrants.
Farbar Recovery Scan Tool ne supprime rien, il lui faut un fichier script avec des commandes pour supprimer des éléments.

Les rapports FRST.txt et Addition.txt  seront générés.

Poster que le contenu de FRST.txt et celui de Addition.txt en lien en utilisant cet hébergeur de fichiers https://www.cjoint.com/

Hébergez les rapports  sur ce site, 
Ici >  http://cjoint.com

Choisir ces Options >  diffusion: privée, durée: 4 jours

Cliquer sur Parcourir
Trouver > le rapport que tu viens d'enregistrer qui doit par exemple être sur votre bureau   
Valider en cliquant sur > Créer le lien Cjoint

 

Mettre les liens générés dans le prochain message.

Note : Vous avez ces deux rapports à me faire parvenir.

 

Citation

PS: Si Windows SmartScreen vous bloque l’exécution de FRST
Cliquez sur => Informations Complémentaires
Puis sur Exécuter quand même.

 

Donc trois rapports a mettre dans votre prochain message !!!

Comment savoir si mon PC exécute la version 32 bits ou 64 bits de Windows ?

Citation

 

Appuyez simultanément sur les touches Windows + I du clavier pour ouvrir le menu Paramètres.
Cliquez sur Système (Affichage, notifications, alimentation).
Cliquez dans le menu de gauche sur Informations Système, 
Sur la ligne Type du système > à droite vous avez les infos.

ou

Appuyez simultanément sur les touches Windows + Pause du clavier pour ouvrir Panneau de configuration > Système
Sur la ligne Type du système > à droite vous avez les infos.

 

 

Vous pouvez réactiver votre Antivirus ou Suite

Christian-S

[ototluc]

Bonjour Christian-S

Voici les 3 liens, en espérant ne pas m'être trompé.

Et un grand merci de t'occuper de mon cas

https://www.cjoint.com/c/JLujMfHiGPA

https://www.cjoint.com/c/JLujNxJ4eYA

https://www.cjoint.com/c/JLujNX7668A

[Christian-S]

Hello

Je vais vous prendre en charge

J'analyse vos rapports et reviens un peu plus tard !!

 

Regarder dans l'historique d'analyse d'Eset et donnez moi le nom du fichier en question et le chemin ou il est situé

 

 

 

Christian-S

[ototluc]

RE,

ESET me donne.

Secteur d'amorçage: Secteur MBR du disque physique 0 : Win32/Pitou.J cheval de troie.

Voilà les seules infos que j'ai.

[Christian-S]

Re

 

Passer voir cet Utilitaire : TDSSKiller pour voir

 

Ici --> tdsskiller

Il pourra peut être détecter et  nettoyer le MBR

 

Christian-S

[ototluc]

Non rien n'est détecté

[Christian-S]

Hello

 

/!\ Ce script est personnalisé et a été établi pour @ototluc.
Il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnements et endommager votre Windows /!\

Dans l'ordre et pas autrement  :

Télécharger ce fichier fixlist.txt sur votre bureau

Ici  --> Fixlist-1 ototluc

Cliquer sur Download
Enregistrer le fichier sur votre Bureau et pas ailleurs,  
A côté de FRST qui doit se trouver sur le bureau également

 Veillez a ce que le fichier fixlist et FRST soient sur votre Bureau côte à côte

Ensuite

Démarrer Windows 10 en mode sans échec ainsi :

Appuyez simultanément sur les touches Windows + X du clavier 

Dans les Paramètres 
Cliquer sur Mise à jour et sécurité

Cliquer à gauche sur Récupération 
Sous "Démarrage avancé" , 
Cliquer sur Redémarrer maintenant

Dans la fenêtre Choisir l'option : 
Cliquer sur Dépannage

Dans la fenêtre Résolutions des problèmes 
Cliquer sur Options avancées

Dans Options avancées 
Cliquer sur Paramètres

Dans la fenêtre Paramètres 
Cliquer sur  activer le Mode sans échec
Cliquer en bas à droite sur Redémarrer

Après redémarrage, 
Appuyer sur les touches :

4 ou F4 pour accéder au mode sans échec

Une fois en Mode sans échec

 Relancer FRST

Cliquez sur le bouton Corriger

 

Patientez le temps de la correction

L'outil va créer un rapport de correction Fixlog.txt. 

Si l'outil n'a pas redémarré votre PC 

Redémarrez en mode normal

L'outil va créer un rapport de correction Fixlog.txt

 

Hébergez le rapport  sur ce site, 
Ici  -->  Cjoint
Choisir ces Options >  diffusion: privée, durée: 4 jours
Cliquer sur Parcourir
Trouver > le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau   
Valider en cliquant ]sur > Créer le lien Cjoint

Poste le lien du rapport hébergé dans le prochain message.

 

Christian-S

[ototluc]

hello

voilà le lien

https://www.cjoint.com/c/JLuo4yRijwA

[Christian-S]

Hello

Téléchargez Roguekiller sur le bureau 

ICI --> Roguekiller

Fermez toutes vos applications et autres en cours.

Lancez Roguekiller ( clic droit " Éxécuter comme administrateur " )
Installer le
Choisir la langue
Pour Information Licence, cliquer sur Suivant
Acceptez les termes 
Cliquer sur Démarrer 
Si vous n'avez pas de Licence , cliquer sur suivant

Modifiez le démarrage dans les paramètres
Décocher " Activé " 
Lancez l'analyse en cliquant sur Scanner

Dans la fenêtre qui s'ouvre, dans la colonne "Scan standard" cliquez sur Démarrer

Le scan se déroule, patientez !

A la fin du scan, 
Cliquez sur Résultats 

puis sur Rapport cochez devant "Seulement Malicieux" puis sur "Exporter" et enfin sur Fichier Texte

Dans la fenêtre qui s'ouvre, choisissez le lieu d'enregistrement du rapport > le Bureau.
Taper un nom pour ce fichier ( ex : Rapport Roguekiller_Scan" ) puis "Enregistrer"

Hébergez le rapport  sur ce site, 
Ici >  Cjoint
Cliquer sur Parcourir
Trouver > le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau   
Valider en cliquant sur --> Créer le lien Cjoint
Mettre le lien généré dans le prochain message.

Christian-S

[ototluc]

voilà 

https://www.cjoint.com/c/JLuqwQRtnZA

[ototluc]

J'ai lu le rapport à aucun moment il est question du cheval de troie PITOU

[Christian-S]

Re

il y a 23 minutes, ototluc a dit :

voilà 

https://www.cjoint.com/c/JLuqwQRtnZA

 

il manque la dernière partie du rapport, incomplet !!

Ensuite

 

il y a 20 minutes, ototluc a dit :

J'ai lu le rapport à aucun moment il est question du cheval de troie PITOU

 

Ce nom est celui attribué dans la base de données de Eset, d'ailleurs, vous allez refaire une analyse et me donner le rapport d'analyse

Aide pour trouver un rapport --> https://help.eset.com/eav/14/fr-FR/idh_page_logs.html

 

 

Christian-S

 

[ototluc]

Je ne comprends pas pour le manque dans le rapport.

J'ai fait comme tu me l'as demandé maintenant c'est la version gratuite, il n'y a peut-être pas la possibilité de tout avoir.

 

[ototluc]

Alors j'ai rescanné avec Rogue et ensuite j'ai récupéré le journal de ESET.

Premier rapport ESET en suivant la procédure
https://www.cjoint.com/c/JLusLvhTWxA

Deuxième rapport ESET suite à un scan complet à peu près une heure de scan !!!!!!
https://www.cjoint.com/c/JLusN0n1FOA

Rapport Rogue, je crois que ce qu'il manque, comme tu le demande n'est pas faisable avec la version gratuite
https://www.cjoint.com/c/JLusO7zVL2A

 

[Christian-S]

Hello

 

il y a 6 minutes, ototluc a dit :

Alors j'ai rescanné avec Rogue et ensuite j'ai récupéré le journal de ESET.

Premier rapport ESET en suivant la procédure
https://www.cjoint.com/c/JLusLvhTWxA

Deuxième rapport ESET suite à un scan complet à peu près une heure de scan !!!!!!
https://www.cjoint.com/c/JLusN0n1FOA

 

Nombre d'objets analysés : 416312
Nombre de détections : 0
Heure d'achèvement : 19:33:09  Temps d'analyse total : 3077 sec. (00:51:17)

Donc il n'y a rien ou plus rien

Ensuite

Fermez toutes vos applications et autres en cours.

Relancez Roguekiller

Lancez Roguekiller ( clic droit " Éxécuter comme administrateur " )
Lancez l'analyse en cliquant sur Scanner

Dans la fenêtre qui s'ouvre, dans la colonne "Scan standard" cliquez sur Démarrer

Le scan se déroule, patientez !

A la fin du scan, 
Cliquez sur le bouton « Supprimer

Le rapport de suppression est également disponible via le bouton Rapport.

Cliquez sur le bouton Terminer, pour revenir au panneau principal.

Christian-S

[ototluc]

JE te joins le rapport de ESET le cheval est toujoujrs là.

J'ai bien refait le scan avec Rogue mais il ne trouve rien, il ne va pas dans le MBR je crois.

https://www.cjoint.com/c/JLvsPBd1HGA

[Christian-S]

Hello

Télécharger aswMBR sur votre Bureau.

Ici --> aswMBR

Lancer aswMBR.exe.
Clic droit sur aswMBR.exe -->  Exécuter en tant qu'administrateur

Une fenêtre demandant d'utiliser les mises à jour d'avast apparaît : cliquer sur non.
Cliquer sur le bouton Scan.

En fin de scan
Cliquer sur le bouton Save Log pour obtenir le rapport.

Christian-S

[ototluc]

Christian,

3 essais et à chaque fois mon PC plante.

[Christian-S]

Re

 

On va essayer ainsi avec Roguekiller, plutôt qu'en invite de commandes

Donc :

Mettez roguekiller sur votre bureau, puis

Démarrer Windows 10 en mode sans échec :

Appuyez simultanément sur les touches Windows + X du clavier 

Dans les Paramètres 
Cliquer sur Mise à jour et sécurité

Cliquer à gauche sur Récupération 
Sous "Démarrage avancé" , 
Cliquer sur Redémarrer maintenant

Dans la fenêtre Choisir l'option : 
Cliquer sur Dépannage

Dans la fenêtre Résolutions des problèmes 
Cliquer sur Options avancées

Dans Options avancées 
Cliquer sur Paramètres

Dans la fenêtre Paramètres 
Cliquer sur  activer le Mode sans échec
Cliquer en bas à droite sur Redémarrer

Après redémarrage, 
Appuyer sur les touches :

4 ou F4 pour accéder au mode sans échec

Une fois en Mode sans échec

Lancez Roguekiller
Lancez l'analyse en cliquant sur Scanner
Dans la fenêtre qui s'ouvre, dans la colonne "Scan standard" cliquez sur Démarrer

Le scan se déroule, patientez !

A la fin du scan, 
Cliquez sur Résultats

redémarrer en Mode normal

Heberger le rapport sur Cjoint

Poster le lien généré

 

Christian-S

 

[ototluc]

voilà Christian,

Même si je crois que cette saloperie n'est pas atteignable.

Penses-tu qu'un formatage pourrait rétablir la chose ?

https://www.cjoint.com/c/JLwn1cIE3vA

[Christian-S]

Hello

 

 

Il y a 1 heure, ototluc a dit :

Penses-tu qu'un formatage pourrait rétablir la chose ?

 

 

Oui avec un formatage dit de bas niveau avec un CD (crée), car une réinitialisation ne devrait pas le faire.

Dans ce cas faudra ouvrir un sujet en forum Windows

 

Mais avant on va tester --> Malwarebytes Anti-Rootkit

Télécharger le sur le bureau
Ici --> MBAR

Lancer
Cliquer sur Next
Cliquer sur Update
la base de données se met a jour

Une fois que Success est marqué en bas du logiciel
Database was successfully updated
Cliquer sur Next
veuillez à ce que les trois cases : Drivers, Sectors et Sytem soient cochées 
Cliquer sur Scan

La vous devriez voir si il y a des détection(s)
Cliquer sur Exit

L'outil à créer un dossier sur le bureau " mbar
Dedans il y a un fichier texte --> system log.

 

Si ça va faites une captutre d'écran de(s) detection(s)

 

Christian-S

 

 

 

[ototluc]

Christian,

Hé bien après plusieurs essais voilà le bon logiciel à retenir malwarebytes anti rookit.

Il a détecté le fameux PITOU et il portait le même nom.

J'ai pu supprimer ce cheval de troie.

Voici la copie d'écran après le scan évidemment il a trouvé d'autres choses mais ceux là je les laisse.

Voilà la copie d'écran.

Je te remercie vivement.

 

[Christian-S]

Re

 

Ok !! En espérant que c'est bon

 

Dans l'ordre :

 

1) L'outil à créer un dossier sur le bureau " mbar
Dedans il y a un fichier texte --> system.log, me le transmettre

2)Télécharger TFC  (File Cleaner Temp) de OldTimer
  
ICI -->TFC

Cliquer sur le bouton " Download "
 
Clic droit sur le logo de TFC.exe " exécuter en tant qu'Administrateur "  pour le lancer.
L'outil va fermer tous les programmes lors de son exécution, donc vérifies que tu ais sauvegardé tout ton travail en cours avant de commencer.
Tous les processus sont arrêtés,pendant le nettoyage ,donc ton bureau va disparaitre !
Cliquer sur le bouton Start  pour lancer le processus.

Laissez le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire [b]redémarrer ton système.
S'il ne le fait pas,  redémarrer manuellement le PC pour finir le nettoyage.

TFC (Cleaner Fichier Temp) est un nettoyeur à fond ,

Donc n'attendez pas de rapport !!
Cliquer sur Exit

 

3) Refaire une analyse avec Eset pour contrôle.

 

Christian-S

 

Modifié le 22 décembre 2020 par Christian-S