virus Win32/Renos.JM Résolu/Fermé

Question

Bonjour,

Depuis quelque temps, Windows Defender m'indique que je suis infecté par ce trojan, il me propose de supprimer la menace mais le même message de Windows Defender réapparait plus tard.
Pouvez vous m'aider pour supprimer ce virus


PS: je suis aller sur le post suivant
 https://forums.commentcamarche.net/forum/affich-13898086-trojandownloader-win32-renos-jm  
mais je suis novice du coté infection et virus et je n'ai pas bien compris la démarche a suivre, si vous pouvez m'éclairer de ce coté.

Merci d'avance

Xplode · Answer

Salut, commence par faire ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message

flavien071 · Answer

Lorsque je clic sur la loupe, le scan commence mais se bloque juste avant la fin, puis le programme ne répond plus que faut il que je fasse ?

Xplode · Answer

Lance le en cliquant droit dessus -> executer en tant qu'administrateur

flavien071 · Answer

aprés de nouvelles tentatives, le scan bloque encore au même endroit, connaitrais tu un autre logiciel de ce type ou as tu une autre solution envisageable ?

Xplode · Answer

Essaie avec celui ci :

-+-+-+-> RSIT <-+-+-+-


[x] Télécharge Random's System Information Tool à cette adresse : http://images.malwareremoval.com/random/RSIT.exe

[x] Double clique sur " RSIT.exe ".

[x] Clique sur " Continue ".

[x] Si hijackthis n'est pas présent il sera automatiquement téléchargé et tu devras accepter la license.

[x] Une fois l'analyse finie, deux fichiers ( info.txt & log.txt ) s'ouvriront.

[x] Rend toi sur www.cjoint.com

[x] Clique sur " Parcourir " dans la partie " Joindre un fichier[...] "

[x] Séléctionne le rapport info.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Créer le lien cjoint " 

[x] Fais de même pour le log.txt

[x] Copie/colle ensuite les deux liens dans ton prochain message

[x] Note : si jamais tu as fermé les rapports sans faire attention, ils sont sous C:\rsit

flavien071 · Answer

J'ai rallumé mon PC car aucun des deux logiciels ne marchaient et j'ai refais un scan avec ZHP Diag et le scan s'est bien déroulé, voici le lien:

https://www.cjoint.com/?kBo0eTUvcA

Xplode · Answer

-+-+-+-> Lop S&D <-+-+-+-


[x] Télécharge Lop S&D (par Eric_71 & Angeldark) à cette adresse : https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/LopSD.exe?attachauth=ANoY7co3ntqUavpZ3q1BG-h4pc13vqDZmhcNeEPChtsyrgAykRbhE8bZzhk979EfQD4AgwtQUHCaQ7ZQwNYMo3_0kA8htAspckDJtu2K5t6J9z6dLW4fpZyH4FpFL1tVMBZ8H-KnN7afZ5vt-WxZRpnynk-a0XmV_Y0C0q6DxGEDKie1TnPT7gFoZnoCnspzBmbW6ZzxA4fNr3oEDlbelNZON-LjF8nOmQ%3D%3D&attredirects=2

[x] /!\ Désactive les protections résidentes : Antivirus, antispywares, controleurs d'intégrité, etc... pour que l'outil puisse s'exécuter correctement.

[x] Double clique sur " LopSD.exe " ( Vista : Clique droit -> Executer en tant qu'administrateur )

[x] Choisis l'option F pour français

[x] Ensuite, Choisis l'option 2 ( Suppression )

[x] Laisse l'outil travailler

[x] Copie/Colle le contenu du rapport qui s'ouvrira et poste le dans ton prochain message.

flavien071 · Answer

voici le lien 
https://www.cjoint.com/?kBpkXx0UKy

Xplode · Answer

-+-+-+-> USBfix <-+-+-+-


[x] Télécharge USBfix à cette adresse : https://www.androidworld.fr/

[x] Un tutoriel est disponible ici : https://www.malekal.com/usbfix-supprimer-virus-usb/

[x] Installe le

[x] Branche tout tes médias amovibles ( clés USB, DD externe )

[x] Lance USBfix en cliquant sur l'icône qui est sur ton bureau ( Clique droit -> Executer en tant qu'administrateur pour vista )

[x] Choisis l'option F ( pour français ) et valide en appuyant sur entrée.

[x] Au menu principal, choisi l'option 2

[x] Laisse l'outil travailler puis poste le rapport dans ton prochain message

flavien071 · Answer

Voici le lien
https://www.cjoint.com/?kBpLBPbIfb
Je vais m'absenter quelque temps je reviendrais ce soir pour les instructions
merci a toi pour le moment et pour ta rapidité

Xplode · Answer

-+-+-+-> Malwarebyte's Anti-Malware <-+-+-+-


[x] Télécharge Malwarebyte's anti-malware (MBAM) à cette adresse : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

[x] Installe le.

[x] Met le à jour.

[x] Lance un scan complet !

[x] Coche bien tout les éléments trouvés et supprime les !

[x] Un tutoriel pour son utilisation est disponible ici : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

[x] Suis les indications données sur le lien précédent puis copie/colle le rapport généré dans ton prochain message

flavien071 · Answer

Windows Defender ne m'a pas ouvert une fenêtre comme quoi mon ordinateur était encore infecté par Renos.JM
Cela veut-il dire que la menace est supprimée pour de bon ou faut-il que je refasse des tests avec des logiciels pour scruté mon PC et supprimer les fichiers infectieux ?

Xplode · Answer

Il faut que tu passes malwarebyte's, il doit surement rester des saletées.

Ensuite je te redemanderais un ZHPDiag.

flavien071 · Answer

Désolé d'avoir été long mais je n'est pas trouvé d'autre créneau horaire que ce matin pour effectuer une analyse complète.
Aprés plus de 4H de scan, voici les résultats de Malwarebytes' Anti-Malware
https://www.cjoint.com/?kCoyRJAbYi

Puis voici le scan de ZHPDiag après suppressions des saletés détectées par Malwarebytes' Anti-Malware
https://www.cjoint.com/?kCoBkwuFh1

Durant le scan de Malwarebytes' Anti-Malware, Windows Defender m'indiquait que j'étais encore infecté par le fameux trojan. 
Suis-je encore infecté a présent?

Xplode · Answer

Il y a en effet encore des saletées :

-+-+-+-> ZHPfix <-+-+-+-


[x] Relance ZHPDiag ( clic droit -> executer en tant qu'admin (vista) ) , fais un scan puis cette fois-ci cliques sur l'icone en forme d'écusson vert " ZHPFix ".

[x] ZHPFix se lancera, clique maintenant sur le " H " bleu ( coller les lignes helper ) puis copie/colle dans l'encadré jaune ce qui se trouve à ce lien :

https://www.cjoint.com/?kCoJTWxSb7

[x] Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ".

[x] Copie/Colle le rapport à l'écran dans ton prochain message

flavien071 · Answer

Lorsque je clicque sur "Nettoyer" j'ai un message d'erreur qui apparait :
https://www.cjoint.com/?kCoWfcDVs8
Que faut-il que je fasse ?

Xplode · Answer

Relance ZHPFix directement ( sur ton bureau ) en cliquant droit dessus -> executer en tant qu'administrateur

flavien071 · Answer

C'est bon voici le rapport:

ZHPFix v1.12.19  by Nicolas Coolman - Rapport de suppression du 28/10/2009 14:54:15
Fichier d'export Registre : C:\ZHPExportRegistry-28-10-2009-14-54-15.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O2 - BHO: YouWontFindBetterDeals - {344514E9-DD71-110C-2C29-C87A37ADD6F4} - C:\Program Files\YouWontFindBetterDeals\YouWontFindBetterDeals.dll  => Clé supprimée avec succès
O8 - Extra context menu item: ajouter cette page à vos favoris Orange - C:\Users\Lionel\AppData\Local\Temp\cceA56A.html  => Clé supprimée avec succès
O8 - Extra context menu item: Orange - C:\Users\Lionel\AppData\Local\Temp\cce86AA.html  => Clé supprimée avec succès
O8 - Extra context menu item: traduire la page - C:\Users\Lionel\AppData\Local\Temp\cceA558.html  => Clé supprimée avec succès
O8 - Extra context menu item: traduire le texte sélectionné - C:\Users\Lionel\AppData\Local\Temp\cceA559.html  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Speed Video Splitter  => Dossier absent
C:\Program Files\YouWontFindBetterDeals  => Supprimé et mis en quarantaine

Fichier :
c:\program files\mozilla firefox\extensions\youwontfindbetterdeals@youwontfindbetterdeals  => Fichier absent
c:\program files\youwontfindbetterdeals\youwontfindbetterdeals.dll  => Supprimé et mis en quarantaine
c:\users\lionel\appdata\local	emp\ccea56a.html  => Fichier absent
c:\users\lionel\appdata\local	emp\cce86aa.html  => Fichier absent
c:\users\lionel\appdata\local	emp\ccea558.html  => Fichier absent
c:\users\lionel\appdata\local	emp\ccea559.html  => Fichier absent
c:\windows\speed video splitter.ini  => Fichier absent
c:\windows\ct5pret.bin  => Supprimé et mis en quarantaine
c:\windows\ct6pret.bin  => Supprimé et mis en quarantaine
c:\windows\system32
odes.txt  => Supprimé et mis en quarantaine
c:\windows\system32\drivers\msft_kernel_hpqkbfiltr_01005.wdf  => Supprimé et mis en quarantaine
c:\windows\system32\bad_packet  => Supprimé et mis en quarantaine
c:\windows\system32
odes.txt  => Fichier absent

Logiciel :
O42 - Logiciel: FFYouWontFindBetterDeals  => Logiciel supprimé avec succès
O42 - Logiciel: YouWontFindBetterDeals  => Logiciel supprimé avec succès

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 5
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 2
Fichier : 13
Logiciel : 2
Autre : 0


End of the scan

Xplode · Answer

Bien, fais un nouveau ZHPDiag maintenant

flavien071 · Answer

Voila
https://www.cjoint.com/?kCo6gKFbXm

Xplode · Answer

Refais un scan malwarebyte's en mode rapide puis ceci :

-+-+-+-> Scan en ligne Bitdefender <-+-+-+-


[x] Suis le tutoriel disponible à cette adresse ( en image ) :

https://www.commentcamarche.net/faq/8872-scanner-en-ligne-avec-bitdefender

flavien071 · Answer

lorsque j'arrive sur le site bitdefender et que je clique sur scan je me trouve bloqué juste avant la mise en route, je n'est aucune barre d'information qui arrive en dessous de ma barre d'outil internet:
https://www.cjoint.com/?kCpPp6JlNz

Sinon pour le scan scan malwarebyte's, il n'a détecté aucun fichier infecté.

Xplode · Answer

Erf, on va essayer celui la :

-+-+-+-> ESET Nod32 Scan en Ligne <-+-+-+-


[x] Rends toi sur ce site : https://www.eset.com/

/!\ Il faut que tu utilises internet explorer pour faire l'analyse en ligne /!\

[x] Coche " Oui, j'accepte.... " puis cliques sur " Start ".

[x] Attend un peu le chargement de la page, puis clique sur le bandeau jaune en haut de
l'écran " Ce site nécessite.... OnlineScanner.cab... "

-> Clique sur " Installer le contrôle ActiveX "
-> Confirme ensuite en cliquant sur " Installer " dans la petite fenêtre qui s'ouvre.

[x] Clique sur paramètre avancé, puis coche " Rechercher les applications potentiellement dangereuses " , vérifie que les deux premieres cases sont elles aussi cochées.

[x] Le scanner se mettra à jour, celà peut prendre un certain temps

[x] L'analyse va ensuite s'effectuer.

[x] Copie/Colle le rapport dans ton prochain message. ( C:\ESET\...\log.txt )

flavien071 · Answer

voici le rapport:

C:\UsbFix\Tools\Kill_P.exe	Win32/PrcView application	nettoyé par suppression - mis en quarantaine
C:\Users\Lionel\AppData\Local\Google\Chrome\User Data\Default\Cache\f_004cd5	Win32/PrcView application	supprimé - mis en quarantaine
C:\Users\Lionel\AppData\Local\Temp\a.exe	une variante de Win32/Kryptik.AYJ cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Users\Lionel\AppData\Local\Temp\c.exe	une variante de Win32/Kryptik.AYJ cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Users\Lionel\Documents\suppressions virus\UsbFix.exe	Win32/PrcView application	supprimé - mis en quarantaine

après le scan complet je coche:
supprimer l'application de votre ordinateur ?
ainsi que les fichiers en quarantaine ?

Xplode · Answer

Oui, tu coche supprimer l'application de votre ordinateur.

Comment se porte le PC ?

flavien071 · Answer

Je n'ai pas eu de message comme quoi j'étais infecté, je pense que le problème est réglé.
Et peut être que cela vient de ça mais je rame déjà un peu moins en naviguant sur internet.
Si j'ai de nouveau problème sur ce virus je reposterais un message sur ce post. 

Merci a toi pour cette aide précieuse que tu m'a apporté pour rendre mon ordinateur opérationnel.

Xplode · Answer

C'est pas fini, on va passer au nettoyage :

1 - Nettoyage :

- Télécharge ATF-Cleaner

- Suis le tutoriel disponible à cette adresse

- Renouvelle l'opération régulièrement

-----------------

-+-+-+-> Tools Cleaner <-+-+-+-


[o] Afin de supprimer tout les logiciels qui ont été utilisés pour ta désinfection,

[o] Télécharge ToolsCleaner sur ton bureau à cette adresse : https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

[o] Double-clique sur « Toolscleaner.exe »

[o] Clique sur "restauration" pour créer un point de restauration.

[o] Puis clique sur « recherche »

[o] Quand la recherche sera terminée, clique sur "suppression".

[o] A la fin (il y aura des indications dans le cadre en-dessous), clique sur "quitter" et poste le rapport qui se trouve dans C:\Tcleaner.txt

flavien071 · Answer

L'opération de nettoyage avec ATF-Cleaner s'est bien passée ainsi que celle de Tools Cleaner.
Je n'ai pas trouvé le rapport dans C:\Tcleaner. txt ou autre donc j'ai fait un copié/collé des opérations réalisées:

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche: 

C:\lopR.txt: trouvé !
C:\UsbFix.txt: trouvé !
C:\Lop SD: trouvé !
C:\UsbFix: trouvé !
C:\Lop SD\catchme.exe: trouvé !
C:\Lop SD\catchme.log: trouvé !
C:\Program Files\ZHPDiag: trouvé !
C:\Program Files	rend micro\HijackThis.exe: trouvé !
C:\Program Files	rend micro\hijackthis.log: trouvé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
C:\Users\Lionel\AppData\Local\VirtualStore\Program Files\ZHPDiag: trouvé !
C:\Users\Lionel\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: trouvé !
C:\Users\Lionel\Documents\lopR.txt: trouvé !
C:\Users\Lionel\Documents\UsbFix.txt: trouvé !

---------------------------------
--> Suppression: 

C:\Lop SD\catchme.exe: supprimé !
C:\Program Files	rend micro\HijackThis.exe: supprimé !
C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé !
C:\lopR.txt: supprimé !
C:\UsbFix.txt: supprimé !
C:\Lop SD\catchme.log: supprimé !
C:\Program Files	rend micro\hijackthis.log: supprimé !
C:\Users\Lionel\AppData\Roaming\Microsoft\Windows\Recent\UsbFix.lnk: supprimé !
C:\Users\Lionel\Documents\lopR.txt: supprimé !
C:\Users\Lionel\Documents\UsbFix.txt: supprimé !
C:\Lop SD: supprimé !
C:\UsbFix: supprimé !
C:\Program Files\ZHPDiag: supprimé !
C:\Users\Lionel\AppData\Local\VirtualStore\Program Files\ZHPDiag: supprimé !

Reste t-il des étapes ?

PS: Je serais absent demain, peut être que je serais connecté en début de soirée.

Xplode · Answer

Tu peux supprimer toolscleaner et mettre ton post en " résolu " -+-+-+-> Purger la restauration système <-+-+-+- - Lors d'une désinfection, il est important de purger la restauration système car des fichiers infectés risquent de s'y trouver, et lorsque tu effectueras une restauration système, le PC sera de nouveau infecté. - Nous allons purger la restauration du système : XP : https://support.microsoft.com/en-us/help/310405 Vista : https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista ====================================================================== Un peu de lecture : -+-+-+-> Sécuriser son PC <-+-+-+- I - Attitude sur le net - Sécuriser son PC, c'est tout d'abord être responsable. 1-> Les sites de cracks sont à bannir ( Plus d'infos ici : https://forum.malekal.com/viewtopic.php?f=33&t=893 ) 2-> Le P2P est également à éviter, source de nombreuses infections. ( Bagle par ex.) ( Plus d'infos ici : http://www.libellules.ch/... ) 3-> Il est aussi très important de faire toutes les mises à jour de windows, qui sont nécessaire pour corriger les failles. ( IE, Mises à jour critiques, Service Pack etc.. ) ( Pourquoi mettre à jour son système : http://forum.malekal.com/ftopic3563.php ) 4-> Adobe flash player, Java , et acrobat reader sont également à mettre à jour, pour éviter les exploits ( https://forum.malekal.com/viewtopic.php?f=33&t=13629 ) ============================================================================================ II - Logiciels de protection - Il faut ensuite avoir un bon antivirus, je recommande antivir qui est l'un de meilleur antivirus gratuit à ce jour ( et qui plus est en français ) : Pour le télécharger --> http://www.commentcamarche.net/telecharger/telecharger-55-antivir - Un bon pare-feu est aussi de rigueur, je recommande Comodo ( gratuit ) ou ZoneAlarm ( payant ) Comodo : https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/ ZoneAlarm : https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ - Pour complèter le tout, un anti-spyware est recommandé. Malwarebyte's : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ SpywareTerminator ( Protection en temps réel ) : https://www.commentcamarche.net/telecharger/securite/20947-spyware-terminator/ ============================================================================================ III - Liens utiles -> Malekal - Sécuriser son PC : https://www.malekal.com/proteger-pc-virus-pirates/ -> Malekal - Les spywares/vers/malwares sous windows : http://www.malekal.com/spywares.php -> Malekal - Les toolbars : https://forum.malekal.com/viewtopic.php?t=6173&start=

flavien071 · Answer

Merci beaucoup de ton aide, a partir de demain soir je désinstallerais mon antivirus ( AVG free) et réaliserais les opérations que tu me suggères.
A bientôt

Algerino07 · Answer

Bonjour, 
Je viens de voir ce tuto j'ai le meme probleme j'ai déja appliquer cette méthode à l'époque pour un ancien virus. Le seul souci c'est qu'aujourd'hui j'ai exactement le meme virus "trojandownlader:win32/renos.jm" et j'ai donc refais le même procédé en utilisant vos liens mais ce lien: "https://www.eset.com/" est mort en auriez vous un autre afin de finir mon  processus ZHPdiag s'il vous plait. Merci d'avance

Algerino07 · Answer

Excusez moi c'est ce lien qui est mort: "https://www.cjoint.com/?kCpPp6JlNz" pas celui de ESET online scanner

flavien071 · Answer

bonjour,
désolé de répondre un peu tard,
malheureusement je n'est plus le rapport que tu me demandes, je l'ai supprimé lors de la suppression des logiciels utilisés pour la désinfection.

Virus Win32/Renos.JM

33 réponses

Discussions similaires