Infection par Win32/Renoz.dz mais...
Fermé
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
-
29 mai 2009 à 16:38
Amras Anárion Messages postés 57 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 15 janvier 2011 - 28 sept. 2009 à 00:54
Amras Anárion Messages postés 57 Date d'inscription jeudi 20 novembre 2008 Statut Membre Dernière intervention 15 janvier 2011 - 28 sept. 2009 à 00:54
A voir également:
- Infection par Win32/Renoz.dz mais...
- Hacktool win32 autokms ✓ - Forum Virus
- Trojan win32 - Forum Virus
- Télécharger win32 valide pour windows 7 gratuit - Forum Windows
- Win32 pup gen ✓ - Forum Linux / Unix
- Puadimanager win32/installcore ✓ - Forum Virus
19 réponses
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
29 mai 2009 à 19:17
29 mai 2009 à 19:17
Bonjour,
Essaye cet autre logiciel de diagnostic stp :
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés
Tutoriel illustré pour t'aider : https://www.androidworld.fr/
Essaye cet autre logiciel de diagnostic stp :
• Télécharge Random's System Information Tool (RSIT) de random/random, et enregistre le sur ton Bureau.
• Double clique sur RSIT.exe pour lancer l'outil.
• Clique sur ' continue ' à l'écran Disclaimer.
• Si l'outil HijackThis n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Une fois le scan terminé, deux rapports vont apparaître : poste les dans deux messages séparés
Tutoriel illustré pour t'aider : https://www.androidworld.fr/
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
4 juin 2009 à 23:33
4 juin 2009 à 23:33
Merci anthony5151, désolé pour le retard:
voici le fichier log sur le lien https://www.cjoint.com/?gexGUeRfaZ
voici le fichier log sur le lien https://www.cjoint.com/?gexGUeRfaZ
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
4 juin 2009 à 23:35
4 juin 2009 à 23:35
...et le fichier info sur https://www.cjoint.com/?gexIXovywQ
Merci
Merci
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
6 juin 2009 à 14:38
6 juin 2009 à 14:38
Il y a un détournement de DNS, on va devoir utiliser 3 programmes pour t'en débarrasser
• Désactive le contrôle des comptes utilisateurs : Menu démarrer --> panneau de configuration --> comptes utilisateurs --> activer ou désactiver le controle des comptes utilisateur --> décoche la case "utiliser le contrôle....." Puis redémarre ton ordinateur.
• Télécharge SmitfraudFix (de S!Ri) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
• Enregistre-le sur le Bureau
• Double-clique sur SmitfraudFix.exe et choisis l'option 5 puis Entrée
• S'il te demande "Do you want to set your network to dynamic - DHCP server?" --> réponds oui
• Un rapport sera généré, poste-le dans ta prochaine réponse stp.
Tutoriel illustré : http://www.malekal.com//tutorial_SmitFraudfix.php
• Désactive le contrôle des comptes utilisateurs : Menu démarrer --> panneau de configuration --> comptes utilisateurs --> activer ou désactiver le controle des comptes utilisateur --> décoche la case "utiliser le contrôle....." Puis redémarre ton ordinateur.
• Télécharge SmitfraudFix (de S!Ri) : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
• Enregistre-le sur le Bureau
• Double-clique sur SmitfraudFix.exe et choisis l'option 5 puis Entrée
• S'il te demande "Do you want to set your network to dynamic - DHCP server?" --> réponds oui
• Un rapport sera généré, poste-le dans ta prochaine réponse stp.
Tutoriel illustré : http://www.malekal.com//tutorial_SmitFraudfix.php
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
7 juin 2009 à 11:23
7 juin 2009 à 11:23
salut Anthony5151, encore merci pour ton aide
y-a du mieux suite à la manip smitfraudfix (5)
j'ai refait ensuite un scan (choix 1 de smitfraudfix) voici le lien pour le rapport:
https://www.cjoint.com/?ghlmECnMhw
N.B: maintenant mon antivirus a pu se mettre à jour (puisque DNS à nouveau OK)
j'ai refait un scan avec antivira qui m'a détecté 3 autres troyens de faible importance et qu'il a pu éradiquer
le 2eme scan antivira n'a plus mis en évidence d'autres problemes.
Par contre , j'ai toujours ce probleme de restauration systeme: j'ai bien désactivé, réactivé la restau systeme
je peux créer un point de restau sans probleme mais impossible de restaurer, message:
"une défaillance du disque s'est produite durant la restauration"
y-a du mieux suite à la manip smitfraudfix (5)
j'ai refait ensuite un scan (choix 1 de smitfraudfix) voici le lien pour le rapport:
https://www.cjoint.com/?ghlmECnMhw
N.B: maintenant mon antivirus a pu se mettre à jour (puisque DNS à nouveau OK)
j'ai refait un scan avec antivira qui m'a détecté 3 autres troyens de faible importance et qu'il a pu éradiquer
le 2eme scan antivira n'a plus mis en évidence d'autres problemes.
Par contre , j'ai toujours ce probleme de restauration systeme: j'ai bien désactivé, réactivé la restau systeme
je peux créer un point de restau sans probleme mais impossible de restaurer, message:
"une défaillance du disque s'est produite durant la restauration"
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
8 juin 2009 à 00:56
8 juin 2009 à 00:56
Il ne faut surtout pas faire de restauration du système, sinon tu vas remettre en place le détournement de DNS ;)
Celui-ci étant corrigé, il faut s'attaquer au rootkit qui l'accompagne.
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection /!\
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Celui-ci étant corrigé, il faut s'attaquer au rootkit qui l'accompagne.
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection /!\
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
8 juin 2009 à 14:33
8 juin 2009 à 14:33
salut anthony5151,
voici le rapport de combo: https://www.cjoint.com/?gioCF5jjAS qui a bien trouvé le rootkit effectivement
Merci
P.S: pense-tu que le probleme de restauration systeme est lié. Je vais supprimer tous les points de restau précédents et par la suite , j'essaierai d'en créer un nouveau pour voir si cela refonctionne...mais j'attends ton feu vert ;)
voici le rapport de combo: https://www.cjoint.com/?gioCF5jjAS qui a bien trouvé le rootkit effectivement
Merci
P.S: pense-tu que le probleme de restauration systeme est lié. Je vais supprimer tous les points de restau précédents et par la suite , j'essaierai d'en créer un nouveau pour voir si cela refonctionne...mais j'attends ton feu vert ;)
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
9 juin 2009 à 04:34
9 juin 2009 à 04:34
Fais ce scan de vérification stp :
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Ensuite, tu pourras effectivement purger la restauration du système (en t'aidant de ce tutoriel si nécessaire).
Remarque : même si ça refonctionne et si MalwareBytes ne trouve rien, il restera encore une dernière étape pour finir la désinfection. Merci de revenir jusqu'au bout ;)
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Ensuite, tu pourras effectivement purger la restauration du système (en t'aidant de ce tutoriel si nécessaire).
Remarque : même si ça refonctionne et si MalwareBytes ne trouve rien, il restera encore une dernière étape pour finir la désinfection. Merci de revenir jusqu'au bout ;)
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
9 juin 2009 à 20:55
9 juin 2009 à 20:55
OK Anthony5151 pas de souci , maintenant je peux exécuter MBAM (chose impossible avant)
j'ai suivi tes instructions , voici le rapport : https://www.cjoint.com/?gju0X1sE8s
@+
j'ai suivi tes instructions , voici le rapport : https://www.cjoint.com/?gju0X1sE8s
@+
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
9 juin 2009 à 22:45
9 juin 2009 à 22:45
Ok, maintenant fais redémarrer ton ordinateur, et poste un nouveau rapport RSIT stp
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
10 juin 2009 à 18:21
10 juin 2009 à 18:21
slt Anthony5151 , voici le nouveau rapport : https://www.cjoint.com/?gksnzowPST
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
12 juin 2009 à 00:03
12 juin 2009 à 00:03
Est-ce que tu as à nouveau accès à la restauration du système ?
Si oui, peux-tu la purger ?
Si oui, peux-tu la purger ?
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
12 juin 2009 à 00:14
12 juin 2009 à 00:14
salut, j'ai pas essayé encore
en tout cas merci encore pour ton aide
je vais purger en réactivant aussi la restau auto et je te tiens au courant tout de suite
en tout cas merci encore pour ton aide
je vais purger en réactivant aussi la restau auto et je te tiens au courant tout de suite
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
12 juin 2009 à 00:26
12 juin 2009 à 00:26
ok Anthony5151, t'es un winner!!!
la restau fonctionne
j'ai gagné aussi en temps au démarrage depuis l'éradication du virus
Merci
P.S: ce qui est dingue c'est que mes problemes ont commencés en téléchargeant des drivers sur un site (je ne me souviens plus lequel) pour une imprimante brother
la restau fonctionne
j'ai gagné aussi en temps au démarrage depuis l'éradication du virus
Merci
P.S: ce qui est dingue c'est que mes problemes ont commencés en téléchargeant des drivers sur un site (je ne me souviens plus lequel) pour une imprimante brother
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
12 juin 2009 à 04:18
12 juin 2009 à 04:18
C'est une bonne nouvelle :)
Si tu le veux bien, on va maintenant finir le nettoyage, et je peux aussi te donner des conseils pour sécuriser ton ordinateur ;)
Pour ça, j'ai juste besoin d'un rapport hijackthis (RSIT l'a installé ici : C:\Program Files\trend micro\TIMO.exe). Lance le, choisis "do a system scan and save a logfile" et poste le rapport ici stp
Si tu le veux bien, on va maintenant finir le nettoyage, et je peux aussi te donner des conseils pour sécuriser ton ordinateur ;)
Pour ça, j'ai juste besoin d'un rapport hijackthis (RSIT l'a installé ici : C:\Program Files\trend micro\TIMO.exe). Lance le, choisis "do a system scan and save a logfile" et poste le rapport ici stp
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
12 juin 2009 à 18:22
12 juin 2009 à 18:22
salut Anthony5151,
depuis mise à jour des dernières signatures de virus de avira (hier) ,il m'a détecté :
Virus or unwanted program 'TR/Crypt.ZPACK.Gen [trojan]'
detected in file 'C:\Program Files\DAEMON Tools Pro\Plugins\Grabbers\SafeDisc.dll.
Je ne sais pas si c'est réellement un trojan, le dossier Daemon Tools n'a pas été modifié depuis mars 2008.
J'ai désinstallé Daemon et je suis en train de faire un scan AVIRA.
Sinon voici le rapport (avant désinstal de daemon): https://www.cjoint.com/?gmsuOT2rmE
Tes conseils sont les bien venus.
@+
depuis mise à jour des dernières signatures de virus de avira (hier) ,il m'a détecté :
Virus or unwanted program 'TR/Crypt.ZPACK.Gen [trojan]'
detected in file 'C:\Program Files\DAEMON Tools Pro\Plugins\Grabbers\SafeDisc.dll.
Je ne sais pas si c'est réellement un trojan, le dossier Daemon Tools n'a pas été modifié depuis mars 2008.
J'ai désinstallé Daemon et je suis en train de faire un scan AVIRA.
Sinon voici le rapport (avant désinstal de daemon): https://www.cjoint.com/?gmsuOT2rmE
Tes conseils sont les bien venus.
@+
anthony5151
Messages postés
10573
Date d'inscription
vendredi 27 juin 2008
Statut
Contributeur sécurité
Dernière intervention
2 mars 2015
790
13 juin 2009 à 01:24
13 juin 2009 à 01:24
C'est probablement un faux-positif, ça peut arriver...
En cas de détection douteuse comme celle-ci, choisis simplement "refuser l'accès" ou "renommer" (ou au pire quarantaine), puis si le fichier suspect n'est pas trop gros, analyse le sur VirusTotal (s'il n'y a que 1 ou 2 antivirus qui le détecte, c'est probablement un faux-positif).
Tu peux aussi envoyer le fichier à Avira pour qu'ils corrigent si tu penses que c'est un faux-positif. N'hésite pas à poser la question si tu as d'autres détections qui te semblent douteuses ;)
En cas de détection douteuse comme celle-ci, choisis simplement "refuser l'accès" ou "renommer" (ou au pire quarantaine), puis si le fichier suspect n'est pas trop gros, analyse le sur VirusTotal (s'il n'y a que 1 ou 2 antivirus qui le détecte, c'est probablement un faux-positif).
Tu peux aussi envoyer le fichier à Avira pour qu'ils corrigent si tu penses que c'est un faux-positif. N'hésite pas à poser la question si tu as d'autres détections qui te semblent douteuses ;)
timorititi
Messages postés
29
Date d'inscription
mardi 1 avril 2008
Statut
Membre
Dernière intervention
27 février 2011
13 juin 2009 à 17:12
13 juin 2009 à 17:12
OK,
pour l'instant ,j'ai viré ou mis en quarantaine ce que m'a détecté antivira .J'ai refait un scan , à priori plus rien.
Je suivrais tes conseils si ça se reproduit en utilisant un antivirus en ligne.
encore Merci
pour l'instant ,j'ai viré ou mis en quarantaine ce que m'a détecté antivira .J'ai refait un scan , à priori plus rien.
Je suivrais tes conseils si ça se reproduit en utilisant un antivirus en ligne.
encore Merci
Amras Anárion
Messages postés
57
Date d'inscription
jeudi 20 novembre 2008
Statut
Membre
Dernière intervention
15 janvier 2011
198
28 sept. 2009 à 00:54
28 sept. 2009 à 00:54
Bonjour,
Je rencontre moi aussi un problème de restauration Système...
Lorsque je tente une restauration, l'ordinateur s'éteint, affiche brièvement (1 sec) dans l'écran de fermeture que la restauration des fichiers est en cours, puis se faire brusquement interrompre. L'ordinateur s'éteint alors et redémarre normalement sans faire de restauration.
Une fois que tout à charger, j'ai un message d'erreur qui apparait et qui me dit :
"La restauration du système n'a pas pu se terminer. Les paramètres et fichiers système de votre ordinateur n'ont pas été modifiés.
Détails :
Une défaillance du disque s'est produite durant la restauration"
J'ai déjà tenté trois points de restauration différents : même problème.
Les plus récents étant "Installation sptd setup V1.60", "Intallation sptd setup V1.56" et "Point de restauration planifié'.
Pour info, sptd provient de Deamon Tools pro, et j'en entends pas parler en bien sur google. (Suspicion de spyware).
Est-ce que j'aurais pris un virus, ou est-ce DAEMON Tools Pro Advanced 4.35.0306 (version d'essai 20 jours) qui me bloque la restauration ?
Quels logiciels de nettoyage me conseillez-vous d'utiliser ? (car la liste en dessus est bien longue^^)
Certes, mon ordinateur ne semble pas avoir de problème hormis la restauration (pour le moment), mais j'ai vraiment peur d'avoir pris un virus.
PS : Je suis sous Windows Vista, service pack 1. Et mon anti-virus est Eset Smart Security. Je précise que je l'avais laissé désactivé pendant l'installation de Deamon Tools.
PPS : Aussi, dans mon dossier de téléchargement, j'ai un fichier torrent de 0 octet, dont l'extension n'est pas prise en compte. (L'ordi me le considère comme un simple "fichier" sans extension.) et il m'est impossible de le supprimer ou de le renommer. Le message d'erreur que j'obtiens est que l'élément est introuvable; Comment supprimer ce fichier fantôme ?
Dernière minute : J'ai un ordinateur HP, et je viens de remarquer avec stupeur que ma partition "HP RECOVERY" (D:) a été effacée, et lorsque je clique sur cette partition dans "Ordinateur", ça me dit que ce n'est pas formaté et me demande donc de le faire". Comment cette partition s'est elle retrouvée effacée alors que je ne l'ai pas touchée ?
Merci de vos réponses.
Je rencontre moi aussi un problème de restauration Système...
Lorsque je tente une restauration, l'ordinateur s'éteint, affiche brièvement (1 sec) dans l'écran de fermeture que la restauration des fichiers est en cours, puis se faire brusquement interrompre. L'ordinateur s'éteint alors et redémarre normalement sans faire de restauration.
Une fois que tout à charger, j'ai un message d'erreur qui apparait et qui me dit :
"La restauration du système n'a pas pu se terminer. Les paramètres et fichiers système de votre ordinateur n'ont pas été modifiés.
Détails :
Une défaillance du disque s'est produite durant la restauration"
J'ai déjà tenté trois points de restauration différents : même problème.
Les plus récents étant "Installation sptd setup V1.60", "Intallation sptd setup V1.56" et "Point de restauration planifié'.
Pour info, sptd provient de Deamon Tools pro, et j'en entends pas parler en bien sur google. (Suspicion de spyware).
Est-ce que j'aurais pris un virus, ou est-ce DAEMON Tools Pro Advanced 4.35.0306 (version d'essai 20 jours) qui me bloque la restauration ?
Quels logiciels de nettoyage me conseillez-vous d'utiliser ? (car la liste en dessus est bien longue^^)
Certes, mon ordinateur ne semble pas avoir de problème hormis la restauration (pour le moment), mais j'ai vraiment peur d'avoir pris un virus.
PS : Je suis sous Windows Vista, service pack 1. Et mon anti-virus est Eset Smart Security. Je précise que je l'avais laissé désactivé pendant l'installation de Deamon Tools.
PPS : Aussi, dans mon dossier de téléchargement, j'ai un fichier torrent de 0 octet, dont l'extension n'est pas prise en compte. (L'ordi me le considère comme un simple "fichier" sans extension.) et il m'est impossible de le supprimer ou de le renommer. Le message d'erreur que j'obtiens est que l'élément est introuvable; Comment supprimer ce fichier fantôme ?
Dernière minute : J'ai un ordinateur HP, et je viens de remarquer avec stupeur que ma partition "HP RECOVERY" (D:) a été effacée, et lorsque je clique sur cette partition dans "Ordinateur", ça me dit que ce n'est pas formaté et me demande donc de le faire". Comment cette partition s'est elle retrouvée effacée alors que je ne l'ai pas touchée ?
Merci de vos réponses.