Kreper

mic -  
 michel -
Bonjour,
mon antivirus, avast, me signale que je suis infecté par win32:kreper-C[Trj]. Depuis Internet Explorer délire complétement (page de démarrage farfelue, plusieurs sites s'ouvrent en même temps, ...). Voici mon log de Hijackthis à qui peut bien me venir en aide. Merci d'avance.
Logfile of HijackThis v1.98.2
Scan saved at 18:30:47, on 07/12/2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system\hpsysdrv.exe
C:\Program Files\USB Storage RW\shwicon.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
C:\WINDOWS\System32\fml4tz7d56thd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=9
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://win-eto.com/hp.htm?id=9
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://win-eto.com/sp.htm?id=9
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=proxy.free.fr:3128;http=proxy.free.fr:3128
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\W8C6S4~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [KYE_Showicon] "C:\Program Files\USB Storage RW\shwicon.exe" -t"KYE\USB Storage RW"
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [WCOLOREAL] "C:\Program Files\Coloreal\coloreal.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [Microsoft WinUpdate] win32upd.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [ashMaiSv] C:\PROGRA~1\ALWILS~1\Avast4\ashmaisv.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\System32\fml4tz7d56thd.exe
O4 - HKLM\..\RunServices: [Microsoft WinUpdate] win32upd.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft WinUpdate] win32upd.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Pages liées - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {42E1F024-ECC3-456F-B98A-4CE5ACDBF25C} (ActiveFormX Contrôle) - http://selfcare.cegetel.net/templates/static/ocx/AFAutoConfig.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097785593578
O20 - AppInit_DLLs: 1bgkmhzsdoustodll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

52 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection par Win32: Kreper-C[Trj] est signalée, détectée par Avast, sur un PC Windows XP SP2, avec un démarrage de navigateur modifié et des pages qui s'ouvrent simultanément. Des solutions essentielles visent à nettoyer les clés de registre, supprimer les éléments malveillants repérés dans HijackThis et désactiver les démarrages, notamment les entrées suspectes Run et les BHO. En cas de persistance, des recommandations évoquent le recours à des outils spécialisés et la détection de composants, comme des DLL listées dans les logs et des processus liés à ZoneAlarm, Avast et Real. Par ailleurs, il est mentionné que certaines variantes nécessitent l'affichage des fichiers système et des extensions cachées pour repérer les traces, et que des redémarrages imprévus compliquent le nettoyage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. darkcrystal33 Messages postés 3815 Statut Contributeur 193
     
    1) nettoie ton pc avec ccleaner(gratuit)
    http://www.ccleaner.com/

    2) télécharge eScan Antivirus Toolkit Utility (gratuit)
    et nettoie ton pc avec
    http://www.mwti.net/download/tools/mwav.exe
    http://www.mwti.net/antivirus/free_utilities.asp
    (il faut cocher la case "drive" puis cliquer sur le bouton "scan")

    a executer de préférence en mode sans échec et restauration système désactivée
    afin de pouvoir effectuer un nettoyage complet.
    (pour mettre a jour, il suffit de télécharger a nouveau)

    3) nettoie ton pc avec spysweeper:
    (démo valable 30 jours)
    http://www.webroot.com/fr/products/spysweeper/

    pour ton log hijackthis voir là:

    tutoriel hijackthis
    http://www.zebulon.fr/articles/HijackThis.php
    analyse automatique en ligne
    http://www.hijackthis.de/index.php?langselect=french
    0
    1. mic
       
      Merci grandement,
      Spysweeper a tout résolu. Dommage qu'il ne soit q'en essai pendant 30 jours.
      Toute ma gratitude encore. Salut
      0
    2. marc
       
      bonjour,
      je m'appelle; J'ai le même problème que mic mais le virus se nomme kreper-L.
      Visiblement la bête est resistante à spysweeper.

      Au secours !!
      J'ai essayé antivir, ça l'a pas mal exité.

      Merci de votre aide SVP
      0
  2. michel
     
    Bonjour.
    avast me trouve ça "Win32:Kreper-I [Trj]" en plusieurs endroits et je n'arrive pas à le supprimer.
    J'ai essayé avec "ccleaner","a-squared StartCenter" ou de le retrouver par l'explorateur sans succés... J'ai scanné en ligne avec 'symantec" mais il ne le signale pas. Il est toujours là d'après "avst" et pertube mon PC, entr autre IE6 et word.
    Je vous serais reconnaissant de me venir en aide.
    Merci.
    Michel.
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut
    pour pouvoir le voir via l explorateur assure toi de ceci
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher
    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
    Puis fais «Ok» pour valider les changements.
    Décocher masquer les extensions dont le type est connu
    Et appliquer
    0
    1. michel
       
      Merci .
      C'est déjà comme cela sur mon PC et malgré tout je ne parviens pas à mettre la amin dessus...
      0
  4. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    quelle chemin te donne ton anti virus

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. michel
     
    Temporary Internet Files si je me souviens bien.
    0
  7. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    simple fait ceci
    A faire hors connexion
    tu click sur démarrer/panneaux de configuration/option internet
    une fenêtre s ouvre tu click sur supprime les fichiers
    une nouvelle petite fenêtre s ouvre tu coche effacer tout le contenu hors connexion et click ok
    0
  8. michel
     
    Non,non...C'est toujours pareil...
    Une autre solution peut-être?
    Merci.
    Michel.
    0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    il nous faudrait le chemin exact
    0
  10. michel
     
    Merci de t'intéresser à mon problème.
    Il y en fait duex virus dont voici les chemins indiqués par "avast":

    C:\Documents and Settings\MICHEL\Local Settings\Temporary Internet Files\Content.IE5\QVK9SXKZ\main[1].exe

    C:\WINDOWS\82e8j6rb3f.exe

    Et toujours impossible de mettre la main dessus... Aucun d'eux n'apparaît dans l'explorateur.

    Michel.
    0
  11. michel
     
    Et maintenant ce chemin en lieu et place du second précédemmenr cité:

    C:\WINDOWS\sk6upz233i.exe
    0
  12. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    telecharge ceci
    Pocket Kill Box :

    (ici) http://pageperso.aol.fr/balltrap34/page%20virus.htm

    -Ouvre-le
    coche delete and reboot
    -Sélectionne le fichier à supprimer,
    ou copie colle ceci a tour de role
    C:\WINDOWS\82e8j6rb3f.exe
    C:\Documents and Settings\MICHEL\Local Settings\Temporary Internet Files\Content.IE5\QVK9SXKZ\main[1].exe

    clic sur la croix blanche
    réponds "oui"
    il vas te demander si il doit rebooter repond non apres le premier fichier coller et oui quand tu as mis le deuxieme

    -Vide la corbeille.

    Submit dossier de back up supprime le c : submit
    0
  13. michel
     
    Merci.
    En fait les chemins changent à chaque démarrage du PC.
    Cette info change-t-elle quelque chose dans la méthode que tu préconises? Etant entendu,bien sûr, que je sélectionne les nouveaux chemins lors que j'applique ta méthodologie.

    Je comprend bien ce que tu me dis de faire exepté ceci:
    "Submit dossier de back up supprime le c : submit"
    0
  14. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    submit est le dossier de sauvegarde de killbox tu le garde pour l instant tu le viderat plus tard
    a tu reussi a les virer
    si non fait ctrl alt suppr onglet processus cherche les exe en cause clik dessus et terminer le processus
    et ausssi
    clik sur demarrer/executer tape msconfig
    onglet demarrage cherche ces cochonneries decoche les et appliquer

    ensuite tu les supprimme avec la kill box et tu redemarre
    0
  15. michel
     
    "si non fait ctrl alt suppr onglet processus cherche les exe en cause clik dessus et terminer le processus
    et ausssi
    clik sur demarrer/executer tape msconfig
    onglet demarrage cherche ces cochonneries decoche les et appliquer "

    Pas de résultat , j'essaie donc avec killbox et je te tiens informé.
    0
  16. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    oki
    0
  17. michel
     
    Pas ok.
    En fait kill box semble ne pas apprécié ce la. Il est à l'écran mais totalement inactif lorsque la fenêtre "d'avast" me signalant le chemin est ouverte
    0
  18. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    releve le chemin manuellement ferme la fenetre avast et recommence avec la kill box
    0
  19. michel
     
    J'essaie tout de suite. Redémarrage donc...
    0
  20. michel
     
    La situation ne s'arrange vraiment pas.
    J'ai perdu toutes mes connexions et ai fait une restauration pour palier à cela. Le PC redémarre également sans préavis...
    J'ai essayé tes méthodes mais il est toujours là "kreper".
    0
  21. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    je ne comprend pas que tu est perdu tes connection en suppr ces fichier
    fait un scan ici pour voir
    Faite scan en ligne et coller le rapport ici sur le post
    utiliser l'antivirus en ligne suivant :
    http://www.ravantivirus.com/scan/
    Cliquer sur "To continue without subscribing click here" et attendre quelques minutes.

    Lorsque "Ready" est affiché dans "status", cocher la case "Autoclean" puis cliquer sur "Scan my PC"
    A la fin de l'analyse, copier/coller le rapport ici.
    0
  • 1
  • 2
  • 3