Virus puissant (Redol.C)

Résolu
bergounious Messages postés 25 Statut Membre -  
bergounious Messages postés 25 Statut Membre -
Bonjour,

suite apparemment à l'attaque d'un trojan , beaucoup d'applications ne peuvent pas démarrer. En fait, l'ordinateur réfléchit pour leurs ouvertures, mais aucune fenêtre ne s'ouvre. De plus les onglets ou les lignes du menu démarrer sont inaccessibles.
Là j'ai réussi à démarré en mode sans échec et je démarre une analyse malware anti malware mais aucun élément infecté n'est détecté.

L'antivirus Avira a détecté de nombreuses fois un virus, dont voici le message d'erreur :
-----------------------------------------------------------------------------------
Dans le fichier 'C:\Windows\System32\hjgruiudceiacf.dll'
un virus ou un programme indésirable 'TR.Redol.C' [virus] a été détecté.
Action exécutée : Supprimer le fichier
-----------------------------------------------------------------------------------

Merci d'avance pour votre aide.
Configuration: Windows Vista
Firefox 3.0.11

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs symptômes décrivent une infection après une attaque de trojan: des applications qui ne démarrent pas, des fenêtres bloquées et des menus inaccessibles sous Windows Vista. L’antivirus Avira signale des détections répétées sur le fichier C:\Windows\System32\hjgruiudceiacf.dll et le virus TR.Redol.C, tandis que les utilisateurs tentent inlassablement des analyses et des nettoyages via Malwarebytes. Des guides proposent d installer Malwarebytes en mode complet, parfois en corrigeant des éléments manquants comme COMCTL32.OCX, puis de redémarrer et de vérifier les rapports pour confirmer les objets supprimés. En parallèle, les échanges évoquent des alertes persistantes et des messages d erreur multiples, et certains utilisateurs signalent que les fichiers et les noms varient selon les scans et les outils employés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    salut donc apparement il ne le supprime pas
    0
  2. bergounious Messages postés 25 Statut Membre
     
    en fait plusieurs fois j'ai essayé de le supprimer avec antivir puis il détectait le même... donc je suppose que non.
    0
  3. gen-hackman
     
    Télécharge OTL de OLDTimer

    et enregistre le sur ton Bureau.

    Double clic sur OTL.exe pour le lancer.

    Coche les 2 cases Lop et Purity

    Coche la case devant scan all users

    Clic sur Run Scan.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    Clique sur Parcourir et cherche le fichier ci-dessus.

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Tu feras la meme chose avec le "Extra.txt" s'il t'est demandé
    0
  4. bergounious Messages postés 25 Statut Membre
     
    voici le lien OTL http://www.cijoint.fr/cjlink.php?file=cj200907/cijv2FoiFw.txt
    et le lien extra.txt http://www.cijoint.fr/cjlink.php?file=cj200907/cij1mp3IED.txt

    pour informations : on ne peut plus aller sur internet, là je suis sur un autre PC d'un ami.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. gen-hackman
     
    il a pas l'air d'y etre dans ton systeme ce truc là

    on approfondit

    ♦ Desactive ton Anti-virus le temps de la manip car il est detecte a tort comme infection puis :

    ♦ Télécharge List_All (de g3n-h@ckm@n)

    et enregistre-le sur ton bureau et pas ailleurs

    ♦ Execute-le en double clic (clic droit et "en tant qu'administrateur" sous vista)pour le lancer

    ♦ choisis la langue d'utilisation

    ♦ choisis l'option en gras ci-dessous :

    1 : Elements du panneau de configuration (cpl)
    2 : Liste des .dll systeme
    3 : Listes des executables (.exe)
    4 : Liste des fichiers systeme (Drivers)
    5 : Liste du system32
    6 : Liste de tout le systeme
    7 : Liste des fichiers .tmp
    8 : Liste des fichiers racine
    9 : Liste des fichiers cachés
    0 : Liste des Processus Console

    puis "entrée"

    ♦ rends-toi récupérer le rapport où il t'est indiqué ,

    ♦ envoie-le sur : http://www.cijoint.fr/ , fais-toi parcourir ,

    puis envoie le fichier.

    ♦ un lien de cette forme va apparaitre :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ♦ renvoie le lien tout frais dans ta prochaine reponse .
    0
  7. bergounious Messages postés 25 Statut Membre
     
    voici le lien
    http://www.cijoint.fr/cjlink.php?file=cj200907/cijc8463bB.txt

    merci d'avance
    0
  8. gen-hackman
     
    le rapport n'est pas complet

    refais pareil avec l option 5 stp
    0
  9. bergounious Messages postés 25 Statut Membre
     
    lien system32 :
    http://www.cijoint.fr/cjlink.php?file=cj200907/cij11k0Hkn.txt

    çà paraît difficile à résoudre ?

    bon courage
    0
  10. gen-hackman
     
    Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    Télécharges :

    Malwarebytes

    ou :

    Malwarebytes

    * Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    * Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "résultat" .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  11. bergounious Messages postés 25 Statut Membre
     
    actuellement un scan est en train de se faire avec Malwarebytes's anti-Malware
    Nous sommes à 175000 fichiers recherchés et nous avons un élément infecté.

    Par rapport à ce que tu as vu, est-ce que l'on pourra récupérer notre ordinateur ?
    0
  12. gen-hackman
     
    je comprends pas ta question "recuperer notre ordinateur" ???
    0
  13. bergounious Messages postés 25 Statut Membre
     
    en fait on se demande si on pourra identifier et tuer le virus ? ça a l'air coton ...
    0
  14. gen-hackman
     
    j ai deux fichiers à te fare contrôler :

    Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
    - Coche Afficher les fichiers et dossiers cachés
    - Décoche Masquer les extensions des fichiers dont le type est connu
    - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
    clique sur Appliquer, puis OK.

    N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

    C:\Windows\system32\edacded0_x.dat
    C:\Windows\system32\Hackprog.ocx


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse

    Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
    0
  15. bergounious Messages postés 25 Statut Membre
     
    on teste les deux fichiers à contrôler mais malware a planté avant la fin vers 280000 fichiers en examen détaillé après avoir trouvé un fichier infecté.

    note : nous sommes en mode sans echec donc nous avons plus internet sur le pc "infecté" et nous exécutons les autres applications sur un autre pc qui a internet.
    0
  16. gen-hackman
     
    nous exécutons les autres applications sur un autre pc qui a internet.

    tu peux expliquer ca ?
    0
  17. bergounious Messages postés 25 Statut Membre
     
    concernant le fichier edacded0_x.dat :

    -------------------------------------------------------------------
    Fichier edacded0_x.dat reçu le 2009.06.23 01:11:30 (UTC)
    Situation actuelle: terminé
    Résultat: 0/41 (0.00%)
    Formaté Formaté
    Impression des résultats Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.18 2009.06.23 -
    AhnLab-V3 5.0.0.2 2009.06.22 -
    AntiVir 7.9.0.193 2009.06.22 -
    Antiy-AVL 2.0.3.1 2009.06.22 -
    Authentium 5.1.2.4 2009.06.23 -
    Avast 4.8.1335.0 2009.06.22 -
    AVG 8.5.0.339 2009.06.22 -
    BitDefender 7.2 2009.06.23 -
    CAT-QuickHeal 10.00 2009.06.22 -
    ClamAV 0.94.1 2009.06.23 -
    Comodo 1395 2009.06.23 -
    DrWeb 5.0.0.12182 2009.06.23 -
    eSafe 7.0.17.0 2009.06.22 -
    eTrust-Vet 31.6.6573 2009.06.22 -
    F-Prot 4.4.4.56 2009.06.22 -
    F-Secure 8.0.14470.0 2009.06.23 -
    Fortinet 3.117.0.0 2009.06.22 -
    GData 19 2009.06.23 -
    Ikarus T3.1.1.59.0 2009.06.23 -
    Jiangmin 11.0.706 2009.06.22 -
    K7AntiVirus 7.10.768 2009.06.19 -
    Kaspersky 7.0.0.125 2009.06.23 -
    McAfee 5654 2009.06.22 -
    McAfee+Artemis 5654 2009.06.22 -
    McAfee-GW-Edition 6.7.6 2009.06.23 -
    Microsoft 1.4803 2009.06.23 -
    NOD32 4179 2009.06.22 -
    Norman 6.01.09 2009.06.22 -
    nProtect 2009.1.8.0 2009.06.22 -
    Panda 10.0.0.16 2009.06.23 -
    PCTools 4.4.2.0 2009.06.22 -
    Prevx 3.0 2009.06.23 -
    Rising 21.35.04.00 2009.06.22 -
    Sophos 4.42.0 2009.06.23 -
    Sunbelt 3.2.1858.2 2009.06.23 -
    Symantec 1.4.4.12 2009.06.23 -
    TheHacker 6.3.4.3.351 2009.06.22 -
    TrendMicro 8.950.0.1094 2009.06.22 -
    VBA32 3.12.10.7 2009.06.23 -
    ViRobot 2009.6.22.1798 2009.06.22 -
    VirusBuster 4.6.5.0 2009.06.22 -
    Information additionnelle
    File size: 228 bytes
    MD5 : 3e8d97e07da63848fa3b843df63c2317
    SHA1 : 9ceb3589bb0cae7da3688bb8e21af97eb30ef661
    SHA256: cc5fb92fc7f5de29f48ae42aa218c5ddf592ad1757b0e0699963ce02537a5a1c
    TrID : File type identification
    Unknown!
    ssdeep: 6:HWkeFY0p0JGqeKO5FH6Gy7Gkh5YemWODi59NEdGAx8EyJ80R2ihJeBAF5:HjeiO0JlWdo7pmJONEdeZ8EJb
    PEiD : -
    RDS : NSRL Reference Data Set

    --------------------------------------------------------------------------

    et Hackprog.ocx
    --------------------------------------------------------------------------
    Fichier ffdd7170009cbee77228016d39b51200c4ad5c73.DLL reçu le 2009.07.09 19:56:28 (UTC)
    Situation actuelle: terminé
    Résultat: 1/38 (2.63%)
    Formaté Formaté
    Impression des résultats Impression des résultats
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.18 2009.07.09 -
    AhnLab-V3 5.0.0.2 2009.07.09 -
    AntiVir 7.9.0.204 2009.07.09 -
    Antiy-AVL 2.0.3.1 2009.07.09 -
    Authentium 5.1.2.4 2009.07.09 -
    Avast 4.8.1335.0 2009.07.09 -
    AVG 8.5.0.386 2009.07.09 -
    BitDefender 7.2 2009.07.09 -
    CAT-QuickHeal 10.00 2009.07.09 -
    ClamAV 0.94.1 2009.07.09 -
    Comodo 1538 2009.07.09 -
    DrWeb 5.0.0.12182 2009.07.09 -
    eSafe 7.0.17.0 2009.07.09 Win32.Banker.fqe
    eTrust-Vet 31.6.6606 2009.07.09 -
    F-Prot 4.4.4.56 2009.07.09 -
    F-Secure 8.0.14470.0 2009.07.09 -
    Fortinet 3.117.0.0 2009.07.03 -
    GData 19 2009.07.09 -
    Ikarus T3.1.1.64.0 2009.07.09 -
    Jiangmin 11.0.706 2009.07.09 -
    K7AntiVirus 7.10.788 2009.07.09 -
    Kaspersky 7.0.0.125 2009.07.09 -
    McAfee 5671 2009.07.09 -
    McAfee+Artemis 5671 2009.07.09 -
    Microsoft None 2009.07.09 -
    NOD32 4229 2009.07.09 -
    nProtect 2009.1.8.0 2009.07.09 -
    Panda 10.0.0.14 2009.07.09 -
    PCTools 4.4.2.0 2009.07.09 -
    Prevx 3.0 2009.07.09 -
    Sophos 4.43.0 2009.07.09 -
    Sunbelt 3.2.1858.2 2009.07.09 -
    Symantec 1.4.4.12 2009.07.09 -
    TheHacker 6.3.4.3.363 2009.07.08 -
    TrendMicro 8.950.0.1094 2009.07.09 -
    VBA32 3.12.10.7 2009.07.09 -
    ViRobot 2009.7.9.1827 2009.07.09 -
    VirusBuster 4.6.5.0 2009.07.09 -
    Information additionnelle
    File size: 94720 bytes
    MD5 : c7a6aeba65b5f4d6f7321f650ae2d6a6
    SHA1 : 934a4a5608e29cbbf05b84f187a35e52ab1931e0
    SHA256: 9f7cf13db6d9d47d0c1bab90f17d40c0436fa81a5539397019e294ab720f4233
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x1830
    timedatestamp.....: 0x390EFAC4 (Tue May 2 17:56:52 2000)
    machinetype.......: 0x14C (Intel I386)

    ( 5 sections )
    name viradd virsiz rawdsiz ntrpy md5
    .text 0x1000 0x10B84 0x10C00 6.25 74433606a71e6ac0a1558b9d1778d750
    .data 0x12000 0x17F8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
    .idata 0x14000 0x8A4 0xA00 5.08 41460ce1fdb50135dbd719e4b8e7edf3
    .rsrc 0x15000 0x3FD8 0x4000 4.87 50b9ccc27c1989841084366d7692e80c
    .reloc 0x19000 0x1426 0x1600 5.73 4062dc105d159f26b92bf5ffdd0bf79e

    ( 0 imports )

    ( 0 exports )
    TrID : File type identification
    Windows OCX File (85.9%)
    Win32 Executable Generic (5.9%)
    Win32 Dynamic Link Library (generic) (5.2%)
    Generic Win/DOS Executable (1.3%)
    DOS Executable Generic (1.3%)
    ssdeep: 1536:FrZ0HfCEien4PadKGF34DzFKFcAoYP7lgNaYad5eb958hIJmyPkcaz4IStDmkdml:FrZEfLie4PjDzFkcAoYms1d54IyDZm
    PEiD : -
    CWSandbox: http://research.sunbelt-software.com/...
    RDS : NSRL Reference Data Set
    ----------------------------------------------------------------------------------

    Merci d'avance. :)
    0
  18. bergounious Messages postés 25 Statut Membre
     
    "nous exécutons les autres applications sur un autre pc qui a internet.
    tu peux expliquer ca ? "
    en fait, pour télécharger les logiciels antivirus et autres "systèmes de surveillance", nous utilisons un autre pc car nous ne pouvons pas aller sur internet avec le pc infecté (mode sans échec)
    0
  19. gen-hackman
     
    supprime celui-ci : Hackprog.ocx ,

    j'attends le rapport de Malwarebytes
    0
  20. bergounious Messages postés 25 Statut Membre
     
    C'est fait. Que fait-on maintenant, on redémarre l'ordinateur ?

    Par ailleurs, nous avons tenté de relancer Malware et puis de l'arrêter avant la fin et supprimer l'élément détecté. Est ce possible ?

    Merci d'avance
    0
  • 1
  • 2
  • 3