Trojan! Help SVP

Fermé
Tidiab' - 21 sept. 2009 à 00:57
 Utilisateur anonyme - 21 sept. 2009 à 14:08
Bonjour,


Voila j'aurais besoin de votre aide car depuis tout à l'heure mon antivirus détecte un TR/Crypt.ZPACK.Gen et un
tr/drop.agent.ahdz...En ce qui concerne le deuxième quand je fais une analyse avec l'antivirus il bloque dessus ne l'efface donc pas et l'antivirus ne répond plus.

Donc j'aurais besoin de vos lumières pour m'aider sur ce coup là

Merci par avance :)
A voir également:

17 réponses

Utilisateur anonyme
21 sept. 2009 à 02:21
Salut,

Fait ceci :

Clique ici pour installer Genproc


► Installe sur ton bureaux GenProc en suivant le lien d'en haut
► Double clique sur le raccourci GenProc.exe
► Poste le contenu du rapport qui s'ouvre


# Si le rapport ne s'ouvre pas :

- Démarrer > Poste de travail > Disque local > GenProc > Arguments ; GenProc[1].txt

Ou alors ..

- Démarrer > Poste de travail > Disque local > GenProc > Page ; GenProc[1].html

( CTRL + A pour sélectionner le rapport, CTRL + C pour le copier, CTRL + V pour le coller )
2
Utilisateur anonyme
21 sept. 2009 à 11:31
Me faire ceci :

Usb Fix<=====

● Installe sur ton bureaux Usbfix ( de Chiquitine29 et C_XX )
● Double clique sur l'icone Usbfix le programme se lance ...
● Sur le menu principal de USBFix choisit l'option 1 ( Recherche )

Un message t'indique alors de brancher tous tes medias amovibles, insére les puis appuye sur une touche pour lancer le scan.

(!) Le menu démarrer et les icônes vont disparaître.. c'est normal (!)

A la fin du scan un rapport s'ouvre dans le bloc note :

● Clique sur le menu Edition puis Sélectionner tout.
● Clique à nouveau sur le menu Edition puis coller.
● Colle le contenue du rapport dans ta prochaine reponse
1
Salut,

Fais moi confiance et suis bien ce qui est demandé sur ce blog:

Salut,

1-methode longue:http://leblogdeclaude.blogspot.com/2006/10/informatiq­ue-procdure-de-nettoyage.html
2-methode courte:http://leblogdeclaude.blogspot.com/2007/03/informatiq­ue-procdure-de-nettoyage.html

Bon courage...
0
Merci bien :) je vais essayer de ce pas
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Tient moi au jus...
0
bonjour bonjour

J'avoue que la fatigue a eu raison de moi hier donc je n'ai pas encore fait tout ça... j' y vais de ce pas

en tout cas merci de m'aider :)
0
Utilisateur anonyme
21 sept. 2009 à 11:24
Bon bah, j'attend mon rapport alors :-)
0
Voila voila :D

Rapport GenProc 2.629 [1] - 21/09/2009 à 11:23:01
@ Windows XP Service Pack 2 - Mode normal
@ Internet Explorer (6.0.2900.2180) [Navigateur par défaut]

Il est impératif de désactiver le résident TeaTimer de Spybot pendant l'ensemble des manipulations qui vont suivre. Aide Tea-Timer : http://ww11.genproc.com/spybot/spybot.html

Dans CCleaner, clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures" ; par la suite, laisse-le avec ses réglages par défaut. C'est tout.

# Etape 1/ Télécharge :

- USBFix http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe (Chiquitine29) sur le Bureau, et procède simplement à son installation.


Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** TiDiab' *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).


# Etape 2/

Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir, puis double-clique sur le raccourci USBFix présent sur ton Bureau : choisis l' option 2 (Suppression), ton bureau disparaitra et le pc redémarrera. Au redémarrage, USBFix scannera ton pc, laisse travailler l'outil.

# Etape 3/

Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

# Etape 4/

Redémarre normalement et poste, dans la même réponse :

- Le contenu du rapport UsbFix.txt situé dans C:\ ;
- Un nouveau rapport HijackThis ;
- Un nouveau rapport GenProc ;

Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

~~ Arguments de la procédure ~~


# Détections [1] GenProc 2.629 21/09/2009 à 11:23:24
USBFix:le 21/09/2009 à 11:24:35 "C:\DOCUME~1\TiDiab'\LOCALS~1\Temp\cvasds0.dll"

----------------------------------------------------------------------
Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
----------------------------------------------------------------------

~~ Fin à 11:25:03 ~~
0
:D


############################## | UsbFix V6.035 |

User : TiDiab' () # YODA
Update on 20/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 11:42:33 | 21/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Mobile AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local # 55,88 Go (13,74 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

C:\WINDOWS\AhnRpta.exe
C:\WINDOWS\system32\e8main0.dll
C:\DOCUME~1\TiDiab'\LOCALS~1\Temp\cvasds0.dll
C:\DOCUME~1\TiDiab'\LOCALS~1\Temp\cvasds1.dll
C:\autorun.inf -> fichier appelé : "C:\cqb6wo.exe" ( Absent ! )
C:\autorun.inf
C:\q9.cmd
C:\wrsf.exe

################## | Registre # Clés Run infectieuses |

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"
[HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}]
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{abee7819-623f-11de-a82c-0014a565c61c}
Shell\AutoRun\command =q9.cmd
Shell\open\Command =q9.cmd

HKCU\..\..\Explorer\MountPoints2\{c107f15f-17ec-11de-b19f-806d6172696f}
Shell\AutoRun\command =C:\cqb6wo.exe
Shell\open\Command =C:\cqb6wo.exe

HKCU\..\..\Explorer\MountPoints2\{c95cda01-a523-11de-a851-0014a565c61c}
Shell\AutoRun\command =E:\wrsf.exe
Shell\open\Command =E:\wrsf.exe

HKCU\..\..\Explorer\MountPoints2\{e1a5cf04-a475-11de-a850-0014a565c61c}
Shell\AutoRun\command =E:\q9.cmd
Shell\open\Command =E:\q9.cmd

HKCU\..\..\Explorer\MountPoints2\{fd56d2f4-1968-11de-a80b-0014a565c61c}
Shell\AutoRun\command =E:\ve.exe
Shell\open\Command =E:\ve.exe

################## | ! Fin du rapport # UsbFix V6.035 ! |
0
Utilisateur anonyme
21 sept. 2009 à 12:05
● Relance UsbFix
● Dans le menu principale cette fois choisit l'option2

(!) Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal. (!)


Si un message te demande de redémarrer l'ordinateurs fait le ...

● Au redémarrage, le fix se relance... laisse l'opération s'effectuer.
● Le bloc note s'ouvre avec un rapport, Copie son contenue et colle le dans ta prochiane réponse .
0
############################## | UsbFix V6.035 |

User : TiDiab' (Administrateurs) # YODA
Update on 20/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:10:02 | 21/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Mobile AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]

C:\ -> Disque fixe local # 55,88 Go (13,72 Go free) # NTFS
D:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\WINDOWS\system32\KB905474\wgasetup.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |

Supprimé ! C:\WINDOWS\AhnRpta.exe
Supprimé ! C:\WINDOWS\system32\e8main0.dll
Supprimé ! C:\DOCUME~1\TiDiab'\LOCALS~1\Temp\cvasds0.dll
Supprimé ! C:\DOCUME~1\TiDiab'\LOCALS~1\Temp\cvasds1.dll
C:\autorun.inf -> fichier appelé : "C:\cqb6wo.exe" ( Absent ! )
Supprimé ! C:\autorun.inf
Supprimé ! C:\q9.cmd
Supprimé ! C:\wrsf.exe

################## | Registre # Clés Run infectieuses |

Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] "{BB4C402F-882A-4526-8C08-51278EA437C1}"
Supprimé ! [HKEY_CLASSES_ROOT\CLSID\{bb4c402f-882a-4526-8c08-51278ea437c1}]
Supprimé ! [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe]

################## | Registre # Mountpoints2 |

Supprimé ! HKCU\...\Explorer\MountPoints2\{abee7819-623f-11de-a82c-0014a565c61c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{c95cda01-a523-11de-a851-0014a565c61c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{e1a5cf04-a475-11de-a850-0014a565c61c}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{fd56d2f4-1968-11de-a80b-0014a565c61c}\Shell\AutoRun\Command

################## | Listing des fichiers présent |

[23/03/2009 22:18|--a------|0] C:\AUTOEXEC.BAT
[25/03/2009 21:52|-r-hs----|391] C:\boot.ini
[30/08/2002 14:00|-rahs----|4952] C:\Bootfont.bin
[23/03/2009 22:18|--a------|0] C:\CONFIG.SYS
[23/03/2009 22:18|-rahs----|0] C:\IO.SYS
[23/03/2009 22:18|-rahs----|0] C:\MSDOS.SYS
[03/08/2004 22:38|-rahs----|47564] C:\NTDETECT.COM
[03/08/2004 22:59|-rahs----|251712] C:\ntldr
[?|?|?] C:\pagefile.sys
[21/09/2009 12:13|--a------|3551] C:\UsbFix.txt
[18/09/2009 18:41|-r-hs----|116812] C:\yudald.bat

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.
0
Utilisateur anonyme
21 sept. 2009 à 12:19
Parfait !

Lance une dernière fois Usbfix depuis ton bureaux,

Cette fois choisit l'option 3 ( Vaccination )

* A la fin poste le contenue du rapport dan ta prochaine reponse .
0
############################## | UsbFix V6.035 |

User : TiDiab' (Administrateurs) # YODA
Update on 20/09/2009 by Chiquitine29, C_XX & Chimay8
Start at: 12:24:00 | 21/09/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Mobile AMD Sempron(tm) Processor 3000+
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 6.0.2900.2180
Windows Firewall Status : Enabled
AV : Avira AntiVir PersonalEdition Classic 8.0.1.30 [ Enabled | Updated ]

C:\ -> Disque fixe local # 55,88 Go (13,84 Go free) # NTFS
D:\ -> Disque CD-ROM

################## | Vaccination |

# C:\autorun.inf -> Folder created by UsbFix.

################## | ! Fin du rapport # UsbFix V6.035 ! |
0
Utilisateur anonyme
21 sept. 2009 à 12:26
Procéde par étapes :

(!) Ne pas ouvrir d'application pendant le scan (!)

(!) Faire une mise à jour du logiciel avant de le manipuler (!)

>>> Lance Malwarebytes

Installe Malwarbytes sur ton bureaux

✿✿ Pour installer Malwarbytes clique ici ✿✿

Sélectionne "Exécuter un examen complet" puis clique sur le bouton Rechercher pour lancer le scan.
Clique sur le bouton "Lancer l'examen" pour démarrer le scan.
Clique sur le bouton "Supprimer la sélection" en bas à gauche.
Un rapport de scan s'ouvre, sélectionne tout copie le et colle le dans ta prochaine réponse.



~~~~~~> Tuto Malwarbytes
0
Désolée j'ai pris un peu de temps je m'occupais de mon ti monstre :)


Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2836
Windows 5.1.2600 Service Pack 2 (Safe Mode)

21/09/2009 13:34:00
mbam-log-2009-09-21 (13-34-00).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 135384
Temps écoulé: 22 minute(s), 15 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\yudald.bat (Trojan.GameThief) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4621357A-17BB-40F8-8F7C-DA950F580209}\RP137\A0013080.exe (Worm.Magania) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4621357A-17BB-40F8-8F7C-DA950F580209}\RP142\A0013280.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4621357A-17BB-40F8-8F7C-DA950F580209}\RP142\A0013281.exe (Trojan.GameThief) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{4621357A-17BB-40F8-8F7C-DA950F580209}\RP143\A0016173.cmd (Worm.Magania) -> Quarantined and deleted successfully.
0
Utilisateur anonyme
21 sept. 2009 à 14:06
C'est parfait je revient ce soire pour continuer je ne suis pas chez moi ;-)

+++
0
Utilisateur anonyme
21 sept. 2009 à 14:08
c'est bien, mais faut pas oublier de vider la quarantaine de Malwarebytes
0
ok merci beaucoup :D

bonne fin de journée
0