infection trojan win32: VB-LYG [Trj] Fermé

Question

Bonjour,

Suite à une infection par trojan, je fais appel à toutes les bonnes volontés (car je suis assez désespéré là). 

Je vous explique, 
Suite à l'achat d'un nouvel ordinateur, un ami a voulu m'installer des mises à jour notamment pour internet explorer. 

Malheureusement, au cours de la mise à jour, avast à detecté un trojan 
intitulé win32: VB-LYG [Trj]. 
Mon ami m'a alors dit que ce n'était pas grave, il a mis le fichier en quarantaine. 
Or, dans les 2 jours qui ont suivi, avast à commencé à m'alerter sur la présente de bon nombre de virus. 
Voici la liste des actions que j'ai entrepris dés lors: 

-Telechargement du logiciel malwarebytes'anti-malware 
J'ai lancé un scan, il m'a trouver une 15aine de fichiers infectés, que j'ai supprimé. 
-J'ai supprimé avast sur conseil d'un autre ami pour installer BitDéfender. 
-Au redémarrage du système, j'ai alors essayé d'ouvrir des programmes (vlc, windows media player, mozilla) mais surprise! je ne peux plus ouvrir grand chose. 
J'essai alors de restaurer mon systeme mais je ne peux pas lancer l'application. 
Autre chose, à plusieurs reprises mon ordinateur n'a pas voulu s'allumer. 
-j'ai alors lancer une analyse Bitdéfender. La je vois pas mal de malware et de trojan. Le problème est que je ne sais pas trop quoi faire. Les supprimés? les mettre en quarantaine? (sachant que certaines mise en quarantaines ont échoués) 


Pour résumer, je sèche et je fais appel à vous pour avoir la gentillesse de m'aider. 
Pour info annexe j'ai quand meme les boules parce que j'ai mon ordinateur depuis moins d'un mois. 

Merci d'avance.

Narco!4 · Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

Xplode · Answer

Salut

Les messages lorsque tu essaies d'ouvrir les applications ne seraient pas " ceci n'est pas une application win32 valide " ?

joad1987 · Answer

Bonjour,

Merci à vous d'avoir répondu à ma demande,

voici le rapport GenProc:


Rapport GenProc 2.637 [1] - 11/10/2009 à 22:39:43 
@ Windows XP Service Pack 3 - Mode normal
@ Mozilla Firefox (3.5.3) [Navigateur par défaut]

GenProc n'a détecté aucune infection caractéristique et suggère de suivre la procédure suivante : 


Poste un rapport Nod32 https://www.eset.com/ (il faut utiliser Internet Explorer)
- coche toutes les cases à chaque fois, et lorsque c'est terminé, colle le rapport :  
C:\Program Files\EsetOnlineScanner\log.txt

 


~~~~ INFORMATION COMPLEMENTAIRE ~~~~
 

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:41:23, on 11/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\svchost.exe
H:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
H:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\Ati2evxx.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\FastNetSrv.exe
H:\WINDOWS\system32\PnkBstrA.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\system32\wscntfy.exe
H:\WINDOWS\Explorer.EXE
H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
H:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
H:\Program Files\Windows Live\Messenger\msnmsgr.exe
H:\Program Files\SANYO\XactiScreenCapture\SetClip.exe
H:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Program Files\Windows Live\Contacts\wlcomm.exe
H:\Program Files\Internet Explorer\IEXPLORE.EXE
H:\Program Files\BitComet\BitComet.exe
H:\WINDOWS\system32\cmd.exe
H:\GenProc\outil\Gautier_GenProc.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - H:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - H:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - H:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - H:\Program Files\Ask.com\GenericAskToolbar.dll
O4 - HKLM\..\Run: [NeroFilterCheck] H:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [StartCCC] "H:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Six Engine] "H:\Program Files\ASUS\Six Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [Adobe Photo Downloader] "H:\Program Files\Adobe\Photoshop Album Edition Découverte\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "H:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "H:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "H:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [BDAgent] "H:\Program Files\BitDefender\BitDefender 2009\bdagent.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "H:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [msnmsgr] "H:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series] H:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "H:\WINDOWS\TEMP\E_SC8.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Wireless Configuration Utility.lnk = H:\Program Files\TRENDnet\TEW-641PC_TEW-643PI\WlanCU.exe
O4 - Global Startup: Xacti Screen Capture 1.1.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://H:\PROGRA~1\MI1933~1\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Tout télécharger avec BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Télécharger avec BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: Télécharger toutes les vidéos avec BitComet - res://H:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - H:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - H:\PROGRA~1\MI1933~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://H:\Program Files\BitComet	ools\BitCometBHO_1.3.7.16.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - H:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - H:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - H:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - H:\WINDOWS\system32\ati2sgag.exe
O23 - Service: fastnetsrv  Service (fastnetsrv) - Sigma Designs In - H:\WINDOWS\system32\FastNetSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Program Files\Fichiers communs\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender SRL - H:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
O23 - Service: NBService - Nero AG - H:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - H:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe
O23 - Service: PnkBstrA - Unknown owner - H:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S. R. L. - H:\Program Files\BitDefender\BitDefender 2009\vsserv.exe

joad1987 · Answer

Bonjour,

Non, il n'y a pas de message. En fait quand je lance un programme, rien ne se passe tout simplement.
Les seules applications que j'arrive à exploiter sont internet explorer, bitdefender, microsoft office et windows live messenger.

joad1987 · Answer

Bonjour,

Non, il n'y a pas de message. En fait quand je lance un programme, rien ne se passe tout simplement.
Les seules applications que j'arrive à exploiter sont internet explorer, bitdefender, microsoft office et windows live messenger.

joad1987 · Answer

euh alors petite précision...c'est bizarre, mais suite au lancement de Genproc, j'arrive à demarrer mes applications. Est ce que c'est normal? le problème a-til été résolu?
si oui, merci beaucoup!!!
Ne devrais-je pas restaurer mon système maintenant?

merci!

Xplode · Answer

Re, GenProc n'est qu'un générateur de procédure, il n'effectue aucune action donc ce devait être un autre problème.

Par contre, fais ceci :

-+-+-+-> Toolbar S&D <-+-+-+-


[x]Télécharge Toolbar S&D Ici : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cpVobGk5bHnxrhQ4yaoEUDJvOYNnEGyYjgqHZz5GqZLfutR3fMFPlsC3-CGIilfupPAguYATNyua3csodN_frdMK8sSzUpit10Yac-QJCOkMqJKkbdKcP6ySs8trWPgoNVIq4TGGWCe6o0txXQv-ZueJF9vZzw3RXsGwFYIqN2lvF2LPdQzS8mE1d5kWOVOz6EMzQuE5-lClSJM869uq3oc7-t7yg%3D%3D&attredirects=3

[x] Suis le tutoriel disponible à cette adresse : https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/

[x] Lance l'option 1 ( Recherche )

[x] Puis copie/colle le rapport dans ton prochain message ( Il se trouve sous C:\TB.txt )

joad1987 · Answer

Re
voici le rapport toolbar:


 -----------\  ToolBar S&D 1.2.9   XP/Vista

   Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
   X86-based PC ( Multiprocessor Free : Processeur Intel Pentium III Xeon )
   BIOS : BIOS Date: 02/23/09 21:14:18 Ver: 08.00.14
   USER : Gautier ( Administrator )
   BOOT : Normal boot
   C:\ (USB)
   D:\ (USB)
   E:\ (USB)
   F:\ (USB)
   G:\ (CD or DVD)
   H:\ (Local Disk) - NTFS - Total:931 Go (Free:894 Go)
   J:\ (Local Disk) - NTFS - Total:465 Go (Free:167 Go)

   "H:\ToolBar SD" ( MAJ : 22-08-2009|18:42 )
   Option : [1] ( 11/10/2009|23:05 )

   -----------\  Recherche de Fichiers / Dossiers ...


   -----------\  Extensions

   (Gautier) - {20a82645-c095-46ed-80e3-08825760534b} => chrome_user


   -----------\  [..\Internet Explorer\Main]

   [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
   "Local Page"="H:\WINDOWS\system32\blank.htm"
   "Start Page"="https://www.google.fr/?gws_rd=ssl"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"

   [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
   "Default_Page_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome"
   "Default_Search_URL"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
   "Start Page"="http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home"


   --------------------\  Recherche d'autres infections

   --------------------\  Cracks & Keygens ..

   H:\DOCUME~1\Gautier\Bureau\Guitar_Pro_4_1_0___KeyGen.torrent
   H:\DOCUME~1\Gautier\Local Settings\Temporary Internet Files\Content.IE5\SHY7W9EN\Guitar_Pro_4_1_0___KeyGen[1].torrent
   H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed
   H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\Instructions.txt
   H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\Torrent downloaded from Demonoid.com.txt
   H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\UILib8_MFCDll.dll
   H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\x-video-converter-ultimate.exe
   H:\DOCUME~1\Gautier\Recent\Guitar_Pro_4_1_0___KeyGen.lnk



   1 - "H:\ToolBar SD\TB_1.txt" - 11/10/2009|23:05 - Option : [1]

   -----------\  Fin du rapport a 23:05:54,59

Xplode · Answer

H:\DOCUME~1\Gautier\Bureau\Guitar_Pro_4_1_0___KeyGen.torrent
H:\DOCUME~1\Gautier\Local Settings\Temporary Internet Files\Content.IE5\SHY7W9EN\Guitar_Pro_4_1_0___KeyGen[1].torrent
H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed
H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\Instructions.txt
H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\Torrent downloaded from Demonoid.com.txt
H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\UILib8_MFCDll.dll
H:\DOCUME~1\Gautier\logiciels\video montage\Xilisoft Video Converter Ultimate 5.1.20 build 0221 include crack - no serial needed\x-video-converter-ultimate.exe
H:\DOCUME~1\Gautier\Recent\Guitar_Pro_4_1_0___KeyGen.lnk 


A supprimer , source d'infection.

-------

Bizarre il me semblait que j'avais vu askbar dans ton rapport..

Fais ceci pour confirmer :

-+-+-+-> AD-Remover <-+-+-+-


[x] Télécharge Ad-remover (de C_XX) sur ton bureau : https://www.androidworld.fr/

[x] Lance l'installation avec les paramètres par défaut..

! Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] Séléctionne l'option F pour français

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option S

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

joad1987 · Answer

merci encore!
Juste un petit problème, je suis une bille en informatique, comment dois-je m'y prendre
pour supprimer les fichiers? je fais ca manuellement dans l'explorer? ou j'utilise mon anti-virus?

Xplode · Answer

Tu fais ça manuellement.

Fais aussi le scan ad-remover comme je t'ai indiqué

joad1987 · Answer

Alors voila j'ai des problèmes..
D'une je trouve pas tous les fichiers sur mon ordi. Je ne trouve pas de dossier local settings! ni de dossier "recent".

Autre problème, je n'arrive pas à acceder au lien AD-remover.
que faire?

Xplode · Answer

Qu'est ce que ca te fais quand tu veux télécharger Ad-remover ? tu utilises quel navigateur ?

Narco!4 · Answer

@ Mozilla Firefox (3.5.3) [Navigateur par défaut]

joad1987 · Answer

j'ai essayé avec les 2 navigateurs dont je dispose:

internet explorer V6.0 je crois et avec mozilla firefox.

j'ai tout de même AD-remover qui s'est ouvert dans bitcomet mais ne se télécharge pas.

Infection trojan win32: VB-LYG [Trj]

15 réponses

Discussions similaires