Win32 trojan-gen : au secour!

Fermé
brawzinho - 22 août 2009 à 00:20
 Utilisateur anonyme - 12 oct. 2009 à 23:57
Bonjour,
depuis hier un virus intitulé win32 trojan-gen a infecté mon ordi.
Avast le repère mais ne parvient pas à le supprimer, pire le virus parvient meme à le bloquer.
Je decide donc de redemarrer l'ordi, avast me propose d'effectuer un scan complet ce qui me vaut la surprise de decouvrir pas moins 17 trojans :S .
Biensur il les supprime, ou enfin je crois car au redemarrage je suis bombardé sur le net par des messages effrayant du genre : " le programme X essaye d'envoyer par internet explorer vos informations de cartes de crédit " (desolé pour la traduction, l anglais n'est pas trop mon truc) .
Ces messages proviennent de 2 antispywares (total security et pc antispyware 2010) jusque la totalements inconnus et installés solidement dans ma barre d'outil et que je soupçonne de ne pas etre fiables vu qu'ils montrent une stratégie tres commerciale .
c'est pourquoi je fait appel a vous afin de savoir si ce fichu trojan est toujours sur mon ordi?
Si oui comment l'enlever?
s'il est vraiment capable de communiquer mes infos persos (cartes bancaires) comme le prétendent les 2 antisspywares?
SVP aidez moi.

80 réponses

je ne comprends pas ; j'effectue le scan (qui dure quand mm plus de 5 heures) pour la 2e fois, et je n'ai qu'en retour un message me disant que mon ordi est infecté.
quand je demande les details on me redirige vers le lien commercial de panda.
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
28 août 2009 à 14:21
tu n'as pas la possibilité de voir de quel virus il s'agit?
0
exact, à la fin du rapport il est juste ecrit que mon PC est infecté et pas moyen de voir les virus presents
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
29 août 2009 à 01:05
essaye avec bitdefender tu devrais avoir un rapport :

Fais un scan en ligne avec Internet explorer
Rend toi sur ce site : http://www.bitdefender.fr/scan_fr/scan8/ie.html
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
voici le rapport avec internet explorer, resultat:

6 virus et 7 fichiers infectés:



C:\WINDOWS\system32\Earth 3D Screensaver.exe
Infecté par: Trojan.Generic.1478647

C:\WINDOWS\system32\Earth 3D Screensaver.exe
Supprimé

D:\Ambience\AtcChatter\MessengerSkinner\MessengerSkinnerDll.dll
Infecté par: Trojan.Generic.1876297

D:\Ambience\AtcChatter\MessengerSkinner\MessengerSkinnerDll.dll
Supprimé

D:\Ambience\AtcChatter\MessengerSkinner\uninst.exe=>(NSIS o)=>lzma_solid_nsis0005
Détecté avec: Adware.Navipromo.BC

D:\Ambience\AtcChatter\MessengerSkinner\uninst.exe=>(NSIS o)=>lzma_solid_nsis0005
Supprimé

D:\Ambience\AtcChatter\MessengerSkinner\uninst.exe=>(NSIS o)
Echec de la mise à jour

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1037\A0276305.exe
Infecté par: Gen:Adware.Heur.qqW@dWn420j

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1037\A0276305.exe
Echec de la désinfection

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1037\A0276305.exe
Supprimé

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1066\A0280191.exe
Infecté par: Gen:Trojan.Heur.Jq2@vDlxX0lix

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1066\A0280191.exe
Echec de la désinfection

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1066\A0280191.exe
Supprimé

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1074\A0282786.dll
Infecté par: Trojan.Generic.1876297

D:\System Volume Information\_restore{751238CC-FEB5-4605-9EA9-B441EBD3D66D}\RP1074\A0282786.dll
Supprimé

D:\_OTM\MovedFiles\08242009_184133\windows\temp\_ex-68.exe
Infecté par: Trojan.Generic.CJ.FKL

D:\_OTM\MovedFiles\08242009_184133\windows\temp\_ex-68.exe
Supprimé
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
30 août 2009 à 22:46
c'est bien ça en plus il supprime parfais, une dernirère vérif et on pourra passer au nettoyage :

Télécharge List&Kill'em (par Gen-Hackman) et enregistre l'exécutable sur ton bureau.

! Désactive ton antivirus le temps de la manip ainsi que ton Pare-feu si présent !

! Déconnecte toi ferme toutes tes applications en cours !

▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "exécuter en tant qu'administrateur").

▶ Choisis la langue souhaitée et valide par "entrée".

▶ Au second menu choisis l'option 1 : Mode Recherche

▶ Laisse travailler l'outil.

▶ Une fois le scan Terminé ,un rapport s'ouvre .

Ensuite héberger le rapport :

▶ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

▶ Cliquez sur parcourir, puis sur créer le lien cjoint

▶ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

0
listem.txt :

http://www.cijoint.fr/cjlink.php?file=cj200908/ciju4QLXlp.txt
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
31 août 2009 à 11:39
! Déconnecte toi ferme toutes tes applications en cours !

▶ Double-clic sur l'icône présente sur le bureau pour le lancer (sous vista : clic droit > "Exécuter en tant qu'administrateur").

▶ Choisis la langue souhaitée et valide par "entrée".

▶ Choisis cette fois ci l'option 2 : Mode Destruction

▶ Laisse travailler l'outil.

▶ Une fois Terminé , poste le contenu du 2éme rapport qui s'ouvre dans ta prochaine réponse.

Note: le Rapport sur trouve en outre a cet emplacement: C:\Kill'em.txt
0
http://www.cijoint.fr/cjlink.php?file=cj200908/cijDw6HGfI.txt
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
2 sept. 2009 à 19:26
Bonsoir,

c'est parfais, maintenant un dernier RSIT pour le ménage.
0
Utilisateur anonyme
3 sept. 2009 à 01:58
hello il faut faire sauter les clés indiquées avec OTM
0
c'est a dire?
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
3 sept. 2009 à 21:07
laisse tombé brawzinho tu peux pas comprendre c'est à moi qu'il parle.
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
7 sept. 2009 à 01:06
▶ Télécharge OTM (de Old_Timer) sur ton Bureau

▶ Double-clique sur OTM.exe pour le lancer.

▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:Processes


:services

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]

:files
c:\windows\system32\%%%.exe
c:\documents and settings\jrmy~1\locals~1\temp\pnicml.sys
c:\program files\pc_antispyware2010\uninstall.exe
c:\program files\eorezo\eoadv\eorezobho.dll
D:\Documents and Settings\jérémy\Menu Démarrer\Programmes\Démarrage\ikowin32.exe
c:\Program Files\agi\common\_agcutils.pyd

:Commands
[purity]
[emptytemp]
[Reboot]




-----------------------------------------------------------------------------

▶ clique sur MoveIt! pour lancer la suppression.

▶ Le résultat apparaitra dans le cadre "Results".

▶ Clique sur Exit pour fermer.

▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
9 sept. 2009 à 18:06
Tu peux me refaire un rsit pour voir ce qu'il resterais encore à faire après les suppressions?
0
pimprenelle27 Messages postés 20851 Date d'inscription lundi 10 décembre 2007 Statut Contributeur sécurité Dernière intervention 8 octobre 2019 2 502
12 sept. 2009 à 01:43
Alors il en reste encore,


Tu va me efaire un OTM, mais en mode sans échec :

▶ Télécharge OTM (de Old_Timer) sur ton Bureau

▶ Double-clique sur OTM.exe pour le lancer.

▶ Assure toi que la case Unregister Dll's and Ocx's soit bien cochée.

▶ Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous "Paste instructions for item to be moved".

-----------------------------------------------------------------------------

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{64F56FC1-1272-44CD-BA6E-39723696E350}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{64F56FC1-1272-44CD-BA6E-39723696E350}]


:files
c:\windows\system32\%%%.exe
c:\program files\eorezo\eoadv\eorezobho.dll


:Commands
[purity]
[emptytemp]
[Reboot]




-----------------------------------------------------------------------------

▶ clique sur MoveIt! pour lancer la suppression.

▶ Le résultat apparaitra dans le cadre "Results".

▶ Clique sur Exit pour fermer.

▶ Poste le rapport situé dans C:\_OTMoveIt\MovedFiles.

▶ Il te sera peut-être demandé de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.
0
Désolé mais le rythme universitaire ne me permet plus de passer du temps sur l'ordi, c'est pourquoi je ne souhaite pas continuer ces manoeuvres de désinfection.
J'addresse donc un grand merci aux personnes qui ont pris le temps de regarder mon probleme et qui m'ont aidé par la suite : en particulier à vous pimprenelle27 .
C'est grace a vous que de nombreux probleme sont resolus : vous etes pour moi des chevaliers du net :)

Salutations, brawzinho.
0