Trojan-Spy.Win32 [Résolu]

Bonjour ,

commence par poster ce rapport :
• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

Bonjour,

Voici les liens:

http://www.cijoint.fr/cjlink.php?file=cj201003/cijHCZz5fx.txt

http://www.cijoint.fr/cjlink.php?file=cj201003/cij2m2zlLj.txt

Merci.

Tu as une infection par disque dur amovibles , fais cela :


• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
• Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
• Poste le rapport UsbFix.txt.


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

ci joint le rapport
http://www.cijoint.fr/cjlink.php?file=cj201003/cijtgWNIgq.txt

On passe au nettoyage :


• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
• Choisis l'option 2 (Suppression).
• Ton Bureau disparaîtra et le PC redémarrera.
• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
• Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

ci joint le fichier

http://www.cijoint.fr/cjlink.php?file=cj201003/cij6Mr8jyU.txt

Bonjour ,

Commence par ca :

Lance hijackthis
Choisis "Do a scan only"
Coche la case devant les lignes suivantes :

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 

Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur "Fix checked".
Ferme Hijackthis.


Puis fais cela :

OTMoveIT
Télécharger [url=http://oldtimer.geekstogo.com/OTM.exe]OTMoveIt3 par OldTimer/url
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

:processes

explorer.exe

:files

c:\windows\system32\aspimgr.exe

:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aspimgr]

:commands

[emptytemp]

[start explorer]

[reboot]

Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
Cliquer sur le bouton rouge Moveit!.
Fermer OTMoveIt3
Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.


Enfin ce scan :

Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam-download.php

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

1. Double clique sur le fichier téléchargé
2. Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
3. Quand la mise à jour est terminé va dans l'onglet
4. Tu sélectionne "Exécuter un examen complet"
5. Puis tu clique sur"Rechercher"

L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

6. L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.

7. Maintenant tu clique sur "Ok" pour poursuivre.
8.Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
9. Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
10.Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
11. Le Bloc-notes va s'ouvrir avec le rapport d'analyse
12. Fais un copier coller de ce rapport etposte-le dans ton prochain message.

bonjour
Commence par ca :

Lance hijackthis
Choisis "Do a scan only"
Coche la case devant les lignes suivantes :

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur "Fix checked".
après l'ordi m'a demandé de faire Ok
puis une panne de courant m'a tout planté
j 'ai redémarrerhijackthis les 5 fichiers n'existent plus et j'ai telecharger[url=http://oldtimer.geekstogo.com/OTM.exe
je suis bloqué plus rien ne se passe
que faut t il faire
merci d'avance

Tu es bloqué a quelle endroit ? quand tu veux télécharger OTMOVEIT ?

Bonjour
Lance hijackthis
Choisis "Do a scan only"
Coche la case devant les lignes suivantes :

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)



Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur "Fix checked".
après l'ordi m'a demandé de faire Ok
puis une panne de courant m'a tout planté
j 'ai redémarrerhijackthis les 5 fichiers n'existent plus et j'ai telecharger[url=http://oldtimer.geekstogo.com/OTM.exe
en ouvrant OTM.exe je n'ai pas accès aux lignes de la zone code dont vous parler
pouvons nous reprendre du début du probleme
merci

Bonjour,

Vous ne pouvez pas copier le texte dans la case comme sur cette image ? : http://nsm01.casimages.com/img/2008/04/16//08041610060260771956959.jpg

bonjour

je n'ai pas le pavé Unregister Dll's and ocx's car mes 5 fichiers n' existent plus donc pas de texte
merci

Passe au scan malware bytes on verra après

bonjour
apres avoir télécharger
Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam-download.php
tout est en anglais je n'est pas de mise à jour
merci

ca doit être update

bonjour
apres le scan je ne peux pas reparer les erreurs car il faut acheter le produit cheek pc error et il a trouver plus de 2000erreurs
merci

Ce n'est pas normal vois pour le désinstaller et télécharge sur ce nouveau lien : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu ne peux toujours pas faire la manip avec OTMOVEIT ?

bonjour
aucun fichiers infectés dans
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

il faut désinstaller ce service en allant dans démarrer / exécuter / tape services.msc recherche le service, va dans les propriétés et désactive le.
Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe

Assure toi d'avoir accès aux dossiers/fichiers cachés :
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok"

recherche ces fichiers en gras s'ils existent encore et supprime les en mode sans echec si tu n'y arrives pas en mode normal
C:\WINDOWS\system32\aspimgr.exe

recahe tes fichiers en effectuant la manip inverse

coche ces lignes dans HijackThis si tu les trouves

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

ferme toutes tes fenêtres y compris internet et clic sur fixer l'objet

bonjour


recherche ces fichiers en gras s'ils existent encore et supprime les en mode sans echec si tu n'y arrives pas en mode normal
pas de fichiers en gras
C:\WINDOWS\system32\aspimgr.exe il n'existe pas il y a aspimgr.Oxe et on ne pas l'ouvrir