Virus rasvsnet.tmp, Trojan horse Clicker.AAWS

Question

Bonjour,

Hier soir je suis tombé sur un site que j'ai brièvement visité, puis rapidement quitté...après cette visite j'ai reçus un message d'erreur disant :

rasvsnet.tmp - Erreur d'application
                 
                      l'application n'a pas réussi à s'initialiser correctement (0xc0000005).

Après ce message d'erreur j'en ai reçus d'autres semblable mais d'une appellation différente, ils s'affichent dès que je tente d'aller sur internet via (Mozilla Firefox)je n'ai pas tenté avec IE. 
Après cela j'ai eu le réflexe de tenter une restauration système cependant je n'avais aucun point de restauration (Alors que normalement mon PC me les crées naturellement...).
J'ai donc éteint mon PC.

Aujourd'hui j'allume mon ordinateur et tente d'aller sur internet mais cette fois ci j'ai un nouveau message d'erreur, mais aussi une installation qui se lance (Windows installer) bien évidement sans me demander mon avis. Cette installation peux se fermer, cependant elle se relance automatiquement, et quand je tente d'annuler : même réaction... J'ai finalement réussi à arrêter cela en utilisant le gestionnaires des taches...

A présent j'ai coupé ma connexion internet ...toutefois je n'ai plus accès aux fichiers placés dans la deuxième partie de mon disque dur, voici le message :

Le disque n'est pas formaté
                     Le disque dure dans le lecteur D n'est pas formaté.
                     Voulez vous le formater maintenant ?

Je ne tiens pas à formater cet espace.

Pour finir j'ai fais un scanner avec AVG Antivirus voici les resultats

infections : 7
"\?\globalroot\systemroot\system32\UACnqoxtltbij.dll";"Virus found Win32/Cryptor";"Moved to Virus Vault"
"\?\globalroot\systemroot\system32\UACnqoxtltbij.dll";"Virus found Win32/Cryptor";"Moved to Virus Vault"
"\?\globalroot\systemroot\system32\UACnqoxtltbij.dll";"Virus found Win32/Cryptor";"Infected"
"C:\WINDOWS\system32
et.net";"Trojan horse Clicker.AAWS";"Moved to Virus Vault"
"C:\WINDOWS\system32\svchost.exe (1176)";"Virus found Win32/Cryptor";""
"C:\WINDOWS\system32\svchost.exe (1244)";"Virus found Win32/Cryptor";""
"C:\WINDOWS\system32\svchost.exe (2492)";"Virus found Win32/Cryptor";"Infected"

Warnings : 
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@atdmt[2].txt";"Found Tracking cookie.Atdmt";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@atdmt[2].txt:\atdmt.com.74c5668";"Found Tracking cookie.Atdmt";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@atdmt[2].txt:\atdmt.com.9e6d7fd3";"Found Tracking cookie.Atdmt";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@bs.serving-sys[1].txt";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@bs.serving-sys[1].txt:\bs.serving-sys.com.5bf1f00f";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@serving-sys[2].txt";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@serving-sys[2].txt:\serving-sys.com.255d6f2f";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@serving-sys[2].txt:\serving-sys.com.400f83f";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@serving-sys[2].txt:\serving-sys.com.4b416ef8";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@serving-sys[2].txt:\serving-sys.com.606c3d3b";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@serving-sys[2].txt:\serving-sys.com.6a1cf9e8";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"C:\Documents and Settings\alex matinou\Cookies\alex_matinou@serving-sys[2].txt:\serving-sys.com.c9034af6";"Found Tracking cookie.Serving-sys";"Moved to Virus Vault"
"HKLM\Software\Microsoft\Windows\CurrentVersion\Run\net";"Found registry key with reference to infected file C:\WINDOWS\system32
et.net";"Moved to Virus Vault"


Merci d'avance pour votre précieuse aide !
Alex

gen-hackman · Answer

salut :

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654 Télécharge List&Kill'em et enregistre-le sur ton bureau

Il ne necessite pas d'installation 

&#9654double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654laisse travailler l'outil

le rapport va s'afficher , une fois le scan fini

&#9654&#9654&#9654&#9654&#9654&#9654&#9654 ATTENTION : supprime ton adresse IP stp !!!!

ici :

                                            [121]: KB973815 - Update
                                            [122]: KB973869 - Update
                                            [123]: XpsEPSC
Carte(s) r‚seau:                            4 carte(s) r‚seau install‚e(s).
                                            [01]: Bluetooth PAN Network Adapter
                                                  Nom de la connexion : Connexion au r‚seau local 2
                                                  tat :          Support d‚connect‚
                                            [02]: Intel(R) PRO/1000 CT Network Connection
                                                  Nom de la connexion : Connexion au r‚seau local
                                                  DHCP activ‚ :    Non
                                                  Adresse(s) IP
                                                  [01] : 192.168.0.11
                                            [03]: VirtualBox Host-Only Ethernet Adapter
                                                  Nom de la connexion : VirtualBox Host-Only Network
                                                  DHCP activ‚ :    Non
                                                  Adresse(s) IP
                                                  [01] : 192.168.56.1
                                            [04]: VirtualBox Host-Only Ethernet Adapter
                                                  Nom de la connexion : VirtualBox Host-Only Network #2
                                                  DHCP activ‚ :    Non
                                                  Adresse(s) IP
                                                  [01] : 192.168.217.1

Nom de l'image              PIDÿ Nom de la sessio Num‚ro d Utilisation 
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0        16 Ko
System                         4 Console                 0       244 Ko
smss.exe                     916 Console                 0       400 Ko
csrss.exe                    972 Console                 0     4ÿ456 Ko
winlogon.exe                 996 Console                 0     3ÿ536 Ko

&#9654colle le contenu dans ta prochaine réponse

alextazii · Answer

Merci pour ta réponse gen-hackman ! j'ai une question : Pourquoi supprimer mon adresse IP et comment la recuperer plus tard ?

gen-hackman · Answer

non lol la supprimer du rapport pour que personne ne la voie !!

mdr on me l avais jamais faite celle-là

hihi

alextazii · Answer

mdr désolé je m'y connais pas trop !! fait ce que tu me dit tout desuite

gen-hackman · Answer

prends des reperes sur ce que je t ai mis au dessus et tu vires les chiffres en gras (ce sont les miens donc c'est logique que les tiens soient differents)

alextazii · Answer

J'ai serrement posté 2 fois le rapport...

gen-hackman · Answer

?????????

alextazii · Answer

Le contenu est grand il est possible que ça mette du plus temps....

gen-hackman · Answer

mets le rapport ici et donne le lien obtenu

https://www.cjoint.com/

alextazii · Answer

https://www.cjoint.com/?ivqLA1pSq8

Pratique comme site !!!

gen-hackman · Answer

loooooooooooooooooool

Ferme toutes tes fenetres(y compris internet et windows live messenger) ,  puis :

&#9654 Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

&#9654 choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

&#9654 ferme-le.

un deuxieme rapport va s'ouvrir , 

&#9654 colle son contenu dans ta reponse

alextazii · Answer

Okj'ai lancé la procédure ... Tu pense quoi de l'état de mon système ?  
Crois tu que je récupérerais les informations présentes sur mon disque ? 

Je te remercie déja pour ton aide ... 

Au fait a 5H20 je part au travail  je serais de retour pour 19H45 par la ...

Merci

gen-hackman · Answer

des données sont toujours recuperables

alextazii · Answer

L'option semble prendre beaucoup de temps je vais laisser faire ...toutefois jai l'impression qu'il bloque sur le fichier "exe" C:\Documents and Settings\yocpyckx.exe

gen-hackman · Answer

relance-la en mode sans echec

alextazii · Answer

tj pareil il a bloqué sur le fichier dont je te parlais... 
Je reviens+ tard si tu poste un message je le verrais a mon retour merci 
@+

gen-hackman · Answer

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS/!\ ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" _________________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Avant d'utiliser ComboFix : ______________________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. >> Reviens sur le forum, et ▶ copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

alextazii · Answer

Bonsoir, dois je exécuter ce logiciel en mode sans échec ?
Merci

gen-hackman · Answer

oui s il te plait

alextazii · Answer

j'ai tenté combofix en suivant les instructions cependant un message d'erreur sur fond bleu est apparus il me demandais de redémarrer si je voyais ce messag pour la1ere fois ou de suivre les instruction qui suive si je l'avais déjà rencontré .. j ai redemarré

alextazii · Answer

Le message était que windows avait détecté une erreur et arreté le sys pour prévenir tout dommage au pc .

gen-hackman · Answer

tas changé le nom de combofix ?

alextazii · Answer

oui en "tonprenom"

gen-hackman · Answer

supprime List_Kill'em , retelecharge-le et repasse-le stp en mode sans echec , 'option 1

alextazii · Answer

https://www.cjoint.com/?iwmerIEICp

voici le lien du rapport

gen-hackman · Answer

&#9654 Désactive ton antivirus le temps de la manipulation car OTM est détecté comme une infection à tort. 

&#9654 Télécharge OTM (OldTimer) sur ton Bureau : 

&#9654 Double-clique sur OTM.exe afin de le lancer. 

&#9654 Copie (Ctrl+C) le texte suivant ci-dessous : 


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\UAC]
[-HKEY_LOCAL_MACHINE\SOFTWARE\xpreapp] 


:commands
[emptytemp]
[reboot] 


&#9654 Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 

&#9654 Clique maintenant sur le bouton MoveIt! puis ferme OTM 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

&#9654 Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 

*Le nom du rapport correspond au moment de sa création : date_heure.log

alextazii · Answer

Question
          je l'exécute en mode sans echec?
          Si oui est il possible de le télécharger d'un autre ordi et le transférer par usb sur le PC a soigner ?
          Car je n'ai pas accès aux pages internet ... (mais je pense que c'est normal car je suis en mode sans       echec )

le message :
                      >       internet explorer ne peut pas afficher cette page Web

gen-hackman · Answer

oui tu peux le telecharger d ailleurs pour l utiliser ici ensuite ;)

alextazii · Answer

ok bon j'ai fait le tt à l'air d'avoir correctement fonctionné ..au démarrage une fenêtre avertissement de sécurité s'affiche et de me demande : 

           fichier ouvert - avertissement de sécurité
         l'éditeur n'a pas pu être vérifié voulez vous vraiment exécuter ce logiciel ?

en parlant d'OTM

(J'exécute ou j annule ? )

gen-hackman · Answer

bien sur !!

alextazii · Answer

https://www.cjoint.com/?iwmSMdkRbq

voici le rapport !

gen-hackman · Answer

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant scan all users

&#9654 règle-le sur "60 Days"

&#9654 dans la colonne de gauche , mets tout sur all

&#9654Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

ou celui-ci : https://www.cjoint.com/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Tu feras la meme chose avec le "Extra.txt".

alextazii · Answer

https://www.cjoint.com/?iwnejDSRYB

OLT.txt

https://www.cjoint.com/?iwnfV7EPut

extra.txt

gen-hackman · Answer

&#9654 Télécharge HostXpert sur ton Bureau :

&#9654 Décompresse-le (Clic droit >> Extraire ici) 

&#9654 Double-clique sur HostsXpert pour le lancer 

&#9654 clique sur le bouton "Restore MS Hosts File" puis ferme le programme 

PS : Avant de cliquer sur le bouton "Restore MS Hosts File", vérifie que le cadenas en haut à gauche est ouvert sinon tu vas avoir un message d'erreur. 

&#9654 s'il est fermé , clique dessus  :)

ensuite :

&#9654 Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau. 

&#9654-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
 
&#9654-Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe 

&#9654- Coche la case devant :sites de confiance

&#9654- Ne coche aucune autre case 

&#9654-Clique sur Restaurer 

&#9654-Redémarre ton PC

ensuite :

&#9654 Double clic sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :

:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (XML Class) - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\System32\msxml71.dll File not found
O4 - HKLM..\Run: [KernelFaultCheck]  File not found
O16 - DPF: {3A52566B-6018-485B-B713-8B9FF660D8E8} http://algues.dyndns.org/webdvr2.4.9.2_0.0.0.0.cab (ilhtrapp Object)
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} https://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab (Reg Error: Key error.)
O16 - DPF: {8214B72E-B0CD-466E-A44D-1D54D926038D} http://horizonjoli.dyndns.org:88/AVC_AX_724.cab (CV781Object Object)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} http://update.nprotect.net/keycrypt/neowiz/npkcx.cab (Reg Error: Key error.)
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
O20 - Winlogon\Notify\dimsntfy: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O20 - Winlogon\Notify\WgaLogon: DllName - Reg Error: Value error. - Reg Error: Value error. File not found
O33 - MountPoints2\{773636ee-a5cb-11dd-a545-0019215e5055}\Shell\AutoRun\command - "" = wscript.exe sys.vbs
O33 - MountPoints2\{773636ee-a5cb-11dd-a545-0019215e5055}\Shell\open\Command - "" = wscript.exe sys.vbs

:reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Alcmtr"=-
"IMEKRMIG6.1"=-
"IMJPMIG8.1"=-
"iTunesHelper"=-
"MSPY2002"=-
"Net-It Launcher"=-
"nwiz"=-
"PHIME2002A"=-
"PHIME2002ASync"=-
"QuickTime Task"=-
"RTHDCPL"=-

:files
C:\WINDOWS\System32\CF21052.exe
C:\WINDOWS\System32\CF19723.exe
C:\WINDOWS\System32\CF23537.exe
C:\WINDOWS\System32\CF23350.exe
C:\Documents and Settings\alex matinou\Bureau\List_Killem.exe
C:\WINDOWS	asks\{7B02EF0B-A410-4938-8480-9BA26420A627}.job
C:\WINDOWS	asks\{BB65B0FB-5712-401b-B616-E69AC55E2757}.job
C:\d47572139313f645192b042ed7
C:\WINDOWS\System32\msdmo(4).dll
C:\WINDOWS\System32\msdmo(3).dll
C:\WINDOWS\System32\msdmo(2).dll
C:\Documents and Settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}
C:\Documents and Settings\All Users\Application Data\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
C:\Documents and Settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

:commands
[emptytemp]
[reboot]


&#9654 Clique sur RunFix pour lancer la suppression.


&#9654 Poste le rapport.

alextazii · Answer

OK merci au fait J'ai une quantité importante de fichier " AlbumArt_{.} (fichier JPEG) qui sont apparus sur mon bureau !je n'ytouche pas?

gen-hackman · Answer

c'est des pochettes d'album musical en photo en principe

alextazii · Answer

https://www.cjoint.com/?iwoe7srGch

 rapport OTL.exe n°2

alextazii · Answer

Je sais pas si c'est utile de te le préciser ou pas...
Mais au démarrage de mon PC j'ai toujours la petite fenêtre de windows installer  qui s'ouvre et se ferme plusieurs fois suivi d'un message d'erreur

gen-hackman · Answer

le rapport n est pas entier

alextazii · Answer

voici le rapport en entier

	https://www.cjoint.com/?ixvy3JN0zA

alextazii · Answer

Bonsoir es tu encore avec moi ? vraiment j'ai besoin de ton aide ...
 merci pour tout l'aide que tu m'a apporté jusqu'ici.

Virus rasvsnet.tmp, Trojan horse Clicker.AAWS

41 réponses

Votre réponse

Discussions similaires

Newsletters