Trojan TR/Delf.xtm : que faire ? [Fermé]

Signaler
Messages postés
6
Date d'inscription
jeudi 3 juin 2010
Statut
Membre
Dernière intervention
10 juin 2010
-
fix200
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
-
Bonjour à tous,

Mon AntiVir a détecté un "trojan horse" apparemment, un certain TR/Delf.xtm.
Il correspond, toujours selon AntiVir, à ce DLL, planqué à l'emplacement suivant :
C:\WINDOWS\system32\cryptnet32.dll

Peu importe l'action que je sélectionne, il reste présent, m'ajoute des fonctionnalités, change des paramètres et m'empêche régulièrement d'éteindre le PC. A présent, il m'empêche de me connecter sur le Net (je vous écris d'un autre support).

Savez-vous comment faire pour m'en débarrasser ?

Merci d'avance !

6 réponses

Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Salut,

Je vais t'aider à désinfecter ton PC, avant tout, tu dois prendre en compte ces quelque consignes pour le bon déroulement de la désinfection.

- Évite de créer des doublons pour le même problème (que ce soit sur ce forum ou sur un autre)
- Sois patient(e) pendant cette désinfection, je suis bénévole et je ne suis pas collé devant mon ordinateur ^^ Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes et peux durer un certain temps selon l'infection et notre disponibilité. Même si les symptômes de l'infection disparaissent, cela ne veut pas dire que la désinfection est terminée -> Merci de revenir jusqu'au bout et attendre confirmation, sinon ça servira à rien.

=====================================================

Essaye de m'établir ce diagnostic:

Télécharge ZHPDiag (de Nicolas Coolman) et enregistre le sur ton Bureau.

▶ Double clique sur ZHPDiag.exe pour lancer l'installation et suis les instructions , n'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

▶ Double clique sur le raccourci ZHPDiag sur ton Bureau. (l'outil a créé 2 icônes ZHPDiag et ZHPFix)
(Sous Vista/7: clic droit puis "exécuter en tant qu'administrateur")

▶ Clique sur la loupe pour lancer l'analyse.

⇒ Laisse l'outil travailler, il peut être assez long ...

▶ Une fois terminé , le rapport s'affiche : clique sur bouton "Disquette" pour sauvegarder le rapport obtenu .

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

Pour le transmettre ouvre ce lien

* Clique sur Parcourir et cherche le fichier ci-dessus.

* Clique sur Ouvrir.

* Clique sur "Cliquez ici pour déposer le fichier".

* Un lien de cette forme est ajouté dans la page :

hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

Copie ce lien dans ta réponse.


@+
jeromestoky8
Messages postés
6
Date d'inscription
jeudi 3 juin 2010
Statut
Membre
Dernière intervention
10 juin 2010

Merci pour ta réponse rapide et désolé si j'ai créé des doublons dans les réponses.
J'ai pris pas mal de temps à suivre la procédure que tu m'as indiquée, mode sans échec & cie...

Bref, voici le lien pour consulter le rapport de ZHPdiag sur mon PC :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijZQKSqKU.txt

Merci d'avance pour la suite !
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Re,

Alerte rouge! ^^"

Plusieurs infections, et surtout un Keylogger! n'ouvre aucun compte (bancaire, e-mail etc...), il risque d'être volé.

Si vous êtes sous Vista/7 Désactivez l'UAC

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\

_________________________________________________________________
>>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<<
> /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ <
>>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<<
=========================================================


==========>>> !! A lire, Impératif !! <<<==========

Fais un clic droit ici

Choisis "Enregistrer la cible du lien..." Au lieu de Combofix.exe -> Tape jeromestoky8.exe

Clique sur "enregistrer" et laisse le téléchargement se faire.


AVANT d'utiliser ComboFix :

/!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
(!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
( Tutoriel si besoin )

▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista/7: Clique droit et choisir " Exécuter en tant qu'administrateur")

Note :
Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) .
Reconnecte toi , Puis clique sur "YES" , et une fois la console installée :
! Déconnecte toi d'internet, (très important) !.

▶ Répond par Oui / Yes au message d'avertissement pour que le programme commence à procéder à l'analyse du pc.

!!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!!

▶ A la fin du scan, il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection, laisse le travailler.

▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse,

Réactive toutes tes défenses, reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse.

Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)


@+ & courage ;)
jeromestoky8
Messages postés
6
Date d'inscription
jeudi 3 juin 2010
Statut
Membre
Dernière intervention
10 juin 2010

Gros souci pendant la procédure. Plus de connexion Net.
Toute ce que j'ai (et j'avoue être assez peu doué) dans mes Connexions Net disponibles, c'est "Connexion au réseau local 4" - je précise que ce pc n'est pas en réseau local (?) et "Connexion 1394". Elles s'activent en même temps. Quand j'appuie sur "Réparer" n'importe laquelle de ces connexions, il affiche pour la mpremière que le problème est "Renouvellement de l'adresse IP", pour l'autre c'est "TCP / IP n'est pas activé pour cette connexion, impossible de continuer.

Le problème, c'est que j'ai lancé Combofix sur le pc dont je te parle et pour avoir cette fameuse console, il faut me connecter.

Ou puis-je utiliser le pc duquel je t'écris pour télécharger ce qu'il manquerait à mon pc vérolé ?

Help !!!
Merci d'avance
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Re,

http://www.bleepingcomputer.com/...

Suis les instructions ;)
jeromestoky8
Messages postés
6
Date d'inscription
jeudi 3 juin 2010
Statut
Membre
Dernière intervention
10 juin 2010

Instructions suivies.
Tout semble fonctionner (je touche du bois) normalement.
Si tu as encore l'énergie de le vérifier, tu trouveras le rapport de Combofix ici :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijYeGBjS1.txt

Un grand merci à toi dans tous les cas !
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Salut,

Désactiver le TeaTimer de Spybot (Merci à Nico):

=> Ouvrir Spybot S&D
=> Dans le menu "Mode", séléctionner le mode avancé.
=> Une fenêtre demande confirmation cliquer sur "oui".
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".
=> Cliquer sur Résident.
=> La partie Résident comporte deux lignes qui sont normalement cochées :

* Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.

* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.

=> Décocher la ligne TeaTimer.
=> Redémarrer Spybot (le fermer et le réouvrir)
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé.

===========================

/!\ ATTENTION /!\ : Cette procédure a été crée spécialement pour CET UTILISATEUR, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.

▶ Copie le texte ci-dessous :

KillAll::

File::
c:\windows\system32\cmprops32.dll
c:\windows\system32\afsbuusl.dll

Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dc43af9e923]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\afsbuusl]



▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)

▶ Sauvegarde ce fichier sous le nom de CFScript.txt

/!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
(!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).


▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci

-> Cela va relancer Combofix,

▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé /!\

▶ Après redémarrage, poste le contenu du rapport Combofix.txt


========================

Télécharge UsbFix (de C_XX, El Desaparecido, Chimay8)


▶ Lance le fichier téléchargé, ne touche pas aux paramètres de l'installe !.

Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir

▶ Double clique sur le raccourci UsbFix sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu, Choisis l'option 1 (recherche)

Laisse travailler l'outil et ne touche a rien .

▶ Ensuite poste le rapport UsbFix.txt qui apparaîtra.

*Notes :*

1- le rapport UsbFix.txt est sauvegardé a la racine du disque

2- Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides

3- "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.</ital>
jeromestoky8
Messages postés
6
Date d'inscription
jeudi 3 juin 2010
Statut
Membre
Dernière intervention
10 juin 2010

Bonjour.

Merci pour ton temps et tes explications. Je n'ai pas pu exécuter le processus plus tôt. Mais voici.

Lien pour le rapport de Combofix après cette nouvelle procédure :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijNvLF8HJ.txt

Lien pour celui d'UsbFix :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijA5xZLmj.txt

Encore merci d'avance pour ton aide et ceux qui y contribuent !
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Bonsoir,

Branche tes sources de données externes à ton PC, (Clé USB, disque dur externe, carte mémoire, appareil photo ...) susceptible d'avoir été infectés , mais sans les ouvrir

▶ Fais un double-clic sur le raccourci UsbFix présent sur ton bureau

▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

▶ Au second menu choisis l'option 2 ( Suppression )

▶ Ton bureau disparaîtra et le PC redémarrera . (c'est normal)

▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil et ne touche a rien.

▶ Une fois terminé, Poste le rapport UsbFix.txt qui apparaîtra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

Aide : :
Comment Utiliser UsbFix


▶ Rends sur cette page .

▶ Clique sur "parcourir" et va jusqu'au fichier UsbFix_Upload_Me_xxxx.zip qui se trouve sur ton bureau .

▶ Clique sur "Envoyer le fichier" , et patiente jusqu'à la fin du transfère .

▶ Une fois terminé , tu peux supprimer le fichier UsbFix_Upload_Me_xxxx.zip ...

Merci d'avoir envoyé le fichier , cela permettra aux auteurs de cet l'outil de travailler sur ce type d'infection et d'aider ainsi à ce que UsbFix soit de plus en plus performant . ^^

==============================

Refais un scan ZHPDiag, coche bien toutes les options (sauf la 045 et 061), poste le nouveau rapport obtenu (via Cijoint).

@+
jeromestoky8
Messages postés
6
Date d'inscription
jeudi 3 juin 2010
Statut
Membre
Dernière intervention
10 juin 2010

Bonjour,

Voici le lien pour l'USBfix suggéré : http://www.cijoint.fr/cjlink.php?file=cj201006/cijSG5NnWj.txt

Voici le lien pour le ZHPdiag suggéré : http://www.cijoint.fr/cjlink.php?file=cj201006/cijtsntb1l.txt

Entre les deux opérations, mon Antivir m'a signalé (et il a disparu immédiatement) un virus quelconque dont je n'ai malheureusement pas noté les références.

Merci encore pour toute l'aide apportée, je ne sais pas si c'est ok à présent.
Dans tous les cas, encore merci !
Messages postés
3244
Date d'inscription
dimanche 28 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
7 février 2011
157
Bonjour,

Bien, la suite :

Télécharge MalwareBytes' Anti-Malware (MBAM) .

▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation , choisis "Français" et accepte lorsqu'il te le sera demandé de le mettre a jour.

▶ Regarde bien ce Tuto pour bien utiliser le programme.

! Déconnecte toi ferme toutes applications en cours !

⇒ Lance MBAM.

⇒ Mets le à jour via l'onglet mises à jours.

▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".

▶ Puis clique sur " Rechercher ".

▶ Laisse le scanner le PC...

▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats".

▶ Vérifie que tout est bien coché et clique sur "Supprimer la sélection".

▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".

▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu et le poster sur le forum.

Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapports sont aussi rangés dans l'onglet Rapport/Log .

@+