Posez votre question Signaler

Trojan difficile a enlever

drizzt34 - Dernière réponse le 21 janv. 2011 à 12:19
Bonjour,
Voila j'ai remarquer un fichier suspect , je le supprime il revient sans cesse , une clé de registre que je supprime aussi revient sans cesse aussi .
Merci d'avance pour votre aide
virus total :
AhnLab-V3 2011.01.07.00 2011.01.06 Trojan/Win32.Gen
AntiVir 7.11.1.35 2011.01.06 TR/Spy.2146304.1
Antiy-AVL 2.0.3.7 2011.01.06 -
Avast 4.8.1351.0 2011.01.06 -
Avast5 5.0.677.0 2011.01.06 -
AVG 9.0.0.851 2011.01.06 -
BitDefender 7.2 2011.01.06 Gen:Trojan.Heur.VP.dw0aaeEmmgni
CAT-QuickHeal 11.00 2011.01.06 -
ClamAV 0.96.4.0 2011.01.06 PUA.Packed.Themida-1
Command 5.2.11.5 2011.01.06 W32/MalwareF.TSDA
Comodo 7318 2011.01.06 UnclassifiedMalware
DrWeb 5.0.2.03300 2011.01.06 BackDoor.Poison.685
eSafe 7.0.17.0 2011.01.06 Win32.GenHeur.VP.Dwa
eTrust-Vet 36.1.8085 2011.01.06 -
F-Prot 4.6.2.117 2011.01.06 W32/MalwareF.TSDA
F-Secure 9.0.16160.0 2011.01.06 Gen:Trojan.Heur.VP.dw0aaeEmmgni
Fortinet 4.2.254.0 2011.01.06 W32/Genome.COH!tr
GData 21 2011.01.06 Gen:Trojan.Heur.VP.dw0aaeEmmgni
Ikarus T3.1.1.90.0 2011.01.06 AdWare.Dropper.Ardamax
Jiangmin 13.0.900 2011.01.06 -
K7AntiVirus 9.75.3461 2011.01.06 Riskware
McAfee 5.400.0.1158 2011.01.06 Artemis!99B73E405C25
McAfee-GW-Edition 2010.1C 2011.01.06 Artemis!99B73E405C25
Microsoft 1.6402 2011.01.06 Worm:Win32/Rebhip.A
NOD32 5765 2011.01.06 -
Norman 6.06.12 2011.01.06 Shark.gen1
nProtect 2011-01-06.01 2011.01.06 -
Panda 10.0.2.7 2011.01.06 Trj/CI.A
PCTools 7.0.3.5 2011.01.06 Trojan.Gen
Prevx 3.0 2011.01.06 -
Rising 22.81.03.00 2011.01.06 -
Sophos 4.61.0 2011.01.06 Mal/Generic-L
SUPERAntiSpyware 4.40.0.1006 2011.01.06 -
Symantec 20101.3.0.103 2011.01.06 Trojan.Gen.2
TheHacker 6.7.0.1.111 2011.01.06 -
TrendMicro 9.120.0.1004 2011.01.06 TROJ_GEN.R01C1LU
TrendMicro-HouseCall 9.120.0.1004 2011.01.06 TROJ_GEN.R01C1LU
VBA32 3.12.14.2 2011.01.06 -
VIPRE 7980 2011.01.06 Trojan.Win32.Generic!BT
ViRobot 2011.1.6.4240 2011.01.06 -
VirusBuster 13.6.132.0 2011.01.06 -
Lire la suite 

Trojan difficile a enlever »

18 réponses
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 21 janv. 2011 à 09:06
bonjour,


Utilise ce logiciel de diagnostic :

* Télécharge ZHPDiag
http://telechargement.zebulon.fr/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
http://www.cijoint.fr/

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 21 janv. 2011 à 09:26
re

Quel est le fichier qui revient sans cesse ? nom et emplacement stp
Je te conseil de desinstaller spybot pas vraiment utile

tu as plusieurs choses dont infection USB, tous ce que tu as brancher a ton PC en USb est infecter et si tu as brancher tes supports USB apres sur d'autres PC, ils sont eux aussi infectes etc...



* Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
http://www.teamxscript.org/too/UsbFix.exe
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

:!: UsbFix te proposera d'envoyer un dossier compressé à cette adresse. Ce dossier a été créé par UsbFix sur ton Bureau. Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches. Une fois sur le site, il faut sélectionner "UsbFix" dans le menu déroulant. Merci d'avance pour ta contribution !


puis je vois que tu as malwarebyte, lance le va dans onglet MISE A JOUR et clic sur rechercher mise a jour une fois mis a jour fait un scan rapide et poste le rapport


Ensuite est ce que sa te derange de desinstaller avast pour un autre antivirus gratuit ?

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
drizzt34 21 janv. 2011 à 09:37
J'ai fait déjà fait des scan avec malware bytes avant de venir poster il est a jours

Pour le fichier en question :

user/appdata/roaming/temp/windows defender .exe

J'ai effectivement remarquer une infection au niveau d'une de mes clé usb
Mais je les supprimer sans difficulté , de plus l'infection etait de type rootkit .
Apparemment je doit être infecter par un gros toolkit qui s'attaque a tout .

Je ne désinstallerai pas avast pour la simple raison que c'est une licence payer .

Pour l'infection je suis le seul fautif :S

Je fait le scan avec usbfix et je te le poste

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 21 janv. 2011 à 09:45
"Mais je les supprimer sans difficulté ,"
je ne pense pas non, puisque tout est encore la.
tu lessupprime puis sa revient tout comme le fichier en question qui est bien visible dans tes rapports

Fait USbfix en branchant tout tes support et lance malwarebyte et va dans onglet rapport/log et poste les derniers scans que tu as faits stp

 Ajouter un commentaire - Site web
drizzt34 - 21 janv. 2011 à 09:53
sur la clé je n'est jamais revue le fichier en question par la suite .
Je ne suis pas sur que les fichier en question soit en rapport , puisque comme je l'ai dit précédemment , la clé est externe elle ne venez pas de chez moi .
Ajouter un commentaire
Réponse
+0
moins plus
drizzt34 21 janv. 2011 à 09:49
Ah oui aussi , pour les tentative de supression , il y a aussi les clé de registre :

O4 - HKCU\..\Run: [Audio HD] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKLM\..\Wow6432Node\Run: [Windows Defender] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKLM\..\policies\Explorer\Run: [Policies] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe
O4 - HKCU\..\policies\Explorer\Run: [Policies] . (.BlackOps - BlackOps.) -- C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe


Impossible de les viré , mais quelle genre de fichier peut les remettre , via un serveur distant ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 21 janv. 2011 à 10:21
ok

tu n'as pas de clefs USB, DD externe, appareil a photo qui ce branche USb ou autres ? car tu n'a rien brancher pendant le scan USBfix

les clefs de registre je les ai vus.

ce qui serait sympa de faire car le fichier est pas detecté encore par MBAM :
c'est l'upload a l'adresse ci dessous :
http://upload.malekal.com/

tu clic sur parcoruir et tu copie colle sa dedans :
C:\Users\ruben\AppData\Roaming\Temp\Windows Defender.exe

et tu l'envoie


ensuite

desactive ton antivirus et TOUTES tes protections

clic droit sur l'url ci dessous et choisit enregistré la cible du lien sous
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tu choisit l'emplacement du BUREAU et tu RENOMME le fichier en ton prenom par exemple

puis lance combofix, suit les indications, il te sera demander d'installer la console de recuperation, fait le puis
DEBRANCHE LE CABLE INTERNET ou la wifi et poursuit la recherche des nuisibles

une fois le scan fait enregsitre le rapport et poste le ici dans ta prochaine reponse

ATTENTION : si ton PC a des dysfocntionnement a la suite de combofix, REDEMARRE TON PC et tout rentera dans l'ordre

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
drizzt34 21 janv. 2011 à 10:43
Mince tu m'aurais envoyer le message juste un poil plus tot je l'aurais upload .
je vais voir si il est pas dans ma 40ene .

J'ai donc regarder d'autre sujet du même type et j'ai utilisé combofix ;D
tout est fonctionnel a présent plus aucune trace détecter .

Je vais tout de même rester vigilant car je pense que c'est un rootkit et sa ce cache bien ce genre de bébête .

Merci a toi d'avoir pris le temps de répondre .

Pour les périphérique usb je vais checker sa , j'ai tellement de carte que sa va me prendre un peut de temps .

Mais comme je l'ai dit plutôt , la clé infecter ne faisait pas partie de mon matérielle donc je pense que j'ai était infecter de l'extérieur .
après l'infection par windows defender.exe et l'usb sont a mon avis différente , enfin je suis pas expert en la matière ;D

Bref merci encore :D

 Ajouter un commentaire
drizzt34 - 21 janv. 2011 à 10:46
trouver , je l'avais mit dans la 40 aine de avast :D
d'ailleurs je leur est envoyer le fichier il y a un long moment mais il ne le detecte toujours pas sont naze on dirait .
Mais bon il ont surement pas mal de boulot , j'envoie le fichier sur le site de malekal .
plopus- 21 janv. 2011 à 10:48
poste ce rapport C:combofix.txt ce n'est peute tre pas fini
Ajouter un commentaire
Réponse
+0
moins plus
Ajouter un commentaire
Réponse
+0
moins plus
drizzt34 21 janv. 2011 à 10:51
Désoler de sur poster mais par curiosité , la création de l'exe ce faisait par quelle moyen ? la dll ?

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 21 janv. 2011 à 10:57
Comme sa, je ne sais pas ce qui le remettai:

- clic ici http://www.virustotal.com/fr/
- clic sur parcourir en milieu de page
- dans la nouvelle fenetre copie colle la (les) ligne a analyser

c:\windows\Installer\MSI4DE6.tmp

- clic sur ouvrir
- clic sur envoyer, un rappport va s'etablir
SI ON TE DIT le fichier a deja ete analyser clic sur réanalyser
et copie colle le rapport ici + l' URL du rapport (adresse internet)

tu fais pareil pour :

c:\windows\SysWOW64\user32.dll
c:\windows\system32\user32.dll
c:\windows\system32\authuitu.dll

 Ajouter un commentaire - Site web
Ajouter un commentaire
Réponse
+0
moins plus
drizzt34 21 janv. 2011 à 11:06
alors ,

c:\windows\Installer\MSI4DE6.tmp
http://www.virustotal.com/...

c:\windows\SysWOW64\user32.dll

http://www.virustotal.com/...

c:\windows\system32\user32.dll

http://www.virustotal.com/...

et enfin

c:\windows\system32\authuitu.dll

http://www.virustotal.com/...

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
drizzt34 21 janv. 2011 à 11:07
tout est ok on dirais ;D

 Ajouter un commentaire
Ajouter un commentaire
Réponse
+0
moins plus
plopus 5833Messages postés 1 janvier 2009Date d'inscription 11 mars 2012Dernière intervention 21 janv. 2011 à 12:19
re

ok

Téléchargez DelFix http://www.teamxscript.org/too/Xplode/DelFix.exe
# lancez DelFix puis cliquez sur le bouton [Suppression]
# Après quelques secondes, un rapport s'ouvrira.
# Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

puis

verfie la vulnerabilité de windows et aussi d'autre produits, tu desinstalle les ancienne version des logiciels que tu dois mettre a jour

- Soit par le biais de ce site internet il faut installer l'active X puis
clic start scan et le site montre d'une croix rouge les faille de
sécurité pour quelques produits important installé sur le PC comme
java, IE, windows, flashplayer, adobe...les + importantes
http://secunia.com/vulnerability_scanning/online/

- Soit on peut aussi passer par un logiciel a installer qui scan le PC et
affiche TOUTES les mises a jour des logiciels et produits installé sur
le PC
http://www.filehippo.com/updatechecker/

puis


- Telecharge et installe CCleaner
http://www.commentcamarche.net/telecharger/telecharger-34067216-ccleaner-slim
- une fois installer, lance le
- va dans option/avancé et decoche la 1er ligne
- et nettoie plusieurs fois dans les onglets regsitre et nettoyeur jusqu' a trouver 0erreur

puis purge ta restauration avec sa http://www.commentcamarche.net/faq/sujet-5097-virus-system-volume-information
puis creer un point de restauration sain avec sa http://www.commentcamarche.net/faq/sujet-740-windows-points-de-restauration

et met ton sujet en resolu

 Ajouter un commentaire - Site web
Ajouter un commentaire
Posez votre question
Ce document intitulé « Trojan difficile a enlever » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?