Virus Trojan Résolu/Fermé

Question

Bonjour,
Mon problème à moi est le suivant, le logiciel Spybot me détecte un trojan , dans un fichier du nom de " Spybot " , donc grace au logiciel, celà me permer de le supprimer. Or, à chaque analyse que je fais il revient en permanence. Et lorsque je décide de faire un scan avec Avast, ce fichier fait partie des " Impossible de scanner, l'archine est protegée par mot de passe. " donc je ne sais que faire. Merci de bien vouloir m'aider...

jfkpresident · Answer

Bonjour ,

Pourrais tu me donner le chemin d'acces du fichier infecté ?

Marieee · Answer

Le chemin du fichier est le suivant : 
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Recovery\MessengerSkinnerrtk2.zip
vs2.inf
Si c'est bien de celà que vous parliez?

jfkpresident · Answer

Ok ,on va approfondir les recherches comme ceci : Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: http://www.cijoint.fr/index.php ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

jfkpresident · Answer

Peux tu ouvrir ce dossier : C:\WINDOWS\system32	uvTJYsQ       et me dire ce qu'il contient ?

• Télécharge et install UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

Marieeee · Answer

Usb Fix est en cours toujours, celà fait une heure qu'il y es. Je vous envoie le rapport quand il sera terminé!

jfkpresident · Answer

Je ne comprend pas non plus, pourquoi vous avez citez ""Process.exe" ..

Process.exe est un fichier qui fait parti de l'outil Usbfix mais qui peut etre détecté comme un virus de la part de certains antivirus .

C:\WINDOWS\system32	uvTJYsQ ce fichier est introuvable. Même en activant les fichiers caché, en recherchant grace à l'outil "rechercher", et dans "C:" il n'y es pas..

Il me parraissait suspect et je crois que je ne me suis pas trompé ..

Marieeee · Answer

et comment faire pour le supprimer dans ce cas là? 
( est ce normal que le scan dure aussi longtemps, il en est encore à 60% .. )

jfkpresident · Answer

Et comment faire pour le supprimer dans ce cas là? 

On va y venir ,soit patiente ...

Laisse UsbFix finir le scan completement .

Mariee · Answer

Le scan a beugué, et c'est fermé! je recommence..?

jfkpresident · Answer

Le scan a beugué, et c'est fermé! je recommence..?

Oui en fermant tes applications ouvertes et en évitant de surfer pendant le scan .

Mariee · Answer

Le scan se bloque toujours à 60% il n'avance plus. Hier je l'ai laissé 3 heures, en étant pas sur l'ordi. 
Et je l'ai remis aujourd'hui et cela donne le même résultat..

jfkpresident · Answer

Télécharge gmer
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l’outil est sur l’onglet RootKit/Malware

A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.

Marieeee · Answer

Voici ci dessus le résultat de mon scan :

jfkpresident · Answer

Voici ci dessus le résultat de mon scan :

Je ne vois rien :)

marieeeee · Answer

Quand je veux modifier le message que je viens de poster avec le résultat du scan cela me dit que celui-ci a été modéré..

jfkpresident · Answer

Recolle moi un nouveau log RSIT vu que la derniere réponse date d'y a plus d'un mois ...

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe

:files
C:\WINDOWS\system32	uvTJYsQ  

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

marieeeee · Answer

Il n'y a pas la case "Unregister Dll's and Ocx's" ...

jfkpresident · Answer

Logiquement elle est coché par défaut ,lance le script et colle moi le rapport.

jfkpresident · Answer

Télécharge SEAF de C_XX .

*Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur pour vista) .

*Une fenetre Cmd va s'ouvrir .

*Tape tuvTJYsQ  dans cette fenetre et "entrée" .

*Patiente pendant la recherche .

*Une fenetre avec un log .txt va s'afficher .

*Copie/colle ce rapport dans ta prochaine réponse .

jfkpresident · Answer

Bizarre .... :(

Recolle moi un nouveau log RSIT .

Utilisateur anonyme · Answer

Bonjours,

Je suis pas un pro, mes j'en apprends tout les jours,  mes normalement sa c'est lorsque qu'il s'y trouve une infection.... Enfin si je me trompe pas, vu que mountpoints2 sa créer la clé de registre lors d'une infection.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4867e035-8736-11db-90ef-806d6172696f}]
shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Info.exe protect.ed 480 480

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{921e0f8a-e434-11db-918c-001302de5d84}]
shell\AutoRun\command - F:\LaunchU3.exe

Utilisateur anonyme · Answer

En attendant la réponse de : jfkpresident,

&#9658;Va sur ce site : https://www.virustotal.com/gui/
&#9658;Clique sur parcourir.
&#9658;La fenêtre s'ouvre, parcoure jusqu'a :
&#9658;C:\WINDOWS\system32
&#9658;De là tu cherche le fichier : ShellExec_RunDLL Info.exe
&#9658;Tu double clique ou sois Ouvrir
&#9658;Et tu clique sur : Envoyez le fichier
&#9658;Ensuite quand c'est fini, tu m'envoie le rapport.
&#9658;Fait pareille pour : F:\LaunchU3.exe

jfkpresident · Answer

Ou vois tu : F:\LaunchU3.exe ?

jfkpresident · Answer

marieee: je voudrais que tu relances Usbfix (option1) et colle moi le rapport généré .

Utilisateur anonyme · Answer

je le voit ici quand il ta envoyez le rapport : http://www.cijoint.fr/cj201001/cijbA7cF8l.txt
et vous verrais : 
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{921e0f8a-e434-11db-918c-001302de5d84}]
shell\AutoRun\command - F:\LaunchU3.exe

Je pense, mes je c'est pas, mes sa serrez peut être une infection qui viendrais d'un amovible.
Enfin, si tu pense pareille.

Utilisateur anonyme · Answer

Ok, a coups sûrs sa doit venir de là.
Fait ce qu'il a dit jfkpresident sur le poste "40".

marieeeee · Answer

http://www.cijoint.fr/cj201001/cijgitsyjm.txt Voila le résultat de USB fix

jfkpresident · Answer

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

jfkpresident · Answer

Une derniere vérif :

Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.

Utilisateur anonyme · Answer

Enlevé l'infection de ta clé USB en général...

Utilisateur anonyme · Answer

Celui là : C:\WINDOWS\system32	uvTJYsQ
Il aurait été suspect, mes bon... c'est pas un fichier important, vu que "jfkpresident" ta fait la manipulation pour le supprimée.
D'ailleurs de la supprimé sa n'a pausé aucun soucis.
C'est l'importance ;)
Sur ce, je vous souhaite une bonne soirée, et vous laisser continuer :)
J'étais venu voir le rapport RSIT vite fait pour donner un petit coup de main a : jfkpresident,
Vu que je passe une formation...
Je me suis donc dit, tien pourquoi pas essayez.

Utilisateur anonyme · Answer

Pas vu la, fatiguer je suis... que je vais au dodo.
Bonne continuation.

jfkpresident · Answer

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".


:processes
explorer.exe


:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]       
"C:\WINDOWS\system32	uvTJYsQ"=-       

:commands
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

Marieeee · Answer

Le logiciel lorsque que je fais ce que vous m'avez demander, beugue et me demande un rapport d'erreur.. 
Et j'avais une autre question,  du jour au lendemain, internet a commencer à ramer, il es lent à ouvrir les pages, alors que avant cela n'était pas le cas, et mon autre ordinateur lui n'a pas ce problème..

jfkpresident · Answer

15 jours sont passés ...

Tu peux me coller un nouveau log RSIT ?

jfkpresident · Answer

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

marieeeee · Answer

Bonsoir, étant en vacances, je peux dorénavant me consacrer à ça, car je n'ai pas beaucoup de temps.. 
Concernant Combofix, l'idée de désactiver mon antivirus ne m'enchante pas... Serait t'il pas possible de faire autre chose que Combofix?

J'ai fait tout à l'heure Usb Fix, et j'ai une question, dans toute mes clés il y a un fichier caché "autorun.inf" sauf dans une, et je ne comprend pas, c'était en plus la clé où Avast m'avait déja détecté un virus, j'aimerais savoir pourquoi.

Je vous met ci dessous un fichier log de RSIT et le rapport de USB fix : 

http://www.cijoint.fr/cjlink.php?file=cj201002/cijNDAxVbv.txt log 
http://www.cijoint.fr/cjlink.php?file=cj201002/cijil1l0O8.txt USB fix

jfkpresident · Answer

Concernant Combofix, l'idée de désactiver mon antivirus ne m'enchante pas... Serait t'il pas possible de faire autre chose que Combofix? 

Il n'y a aucuns soucis a désactiver ton antivirus ...

J'ai fait tout à l'heure Usb Fix, et j'ai une question, dans toute mes clés il y a un fichier caché "autorun.inf" sauf dans une, et je ne comprend pas, c'était en plus la clé où Avast m'avait déja détecté un virus, j'aimerais savoir pourquoi. 

Parceque l'autorun.inf (qui lance l'infection) a été supprimé .

Maintenant j'aimerais que tu suives mes procédures .

marieeeee · Answer

C'est tout de même déconseillé , j'ai pas envie de prendre un risque alors qu'il doit bien y avoir d'autres logiciels ne nécessitant pas la désactivation de l'antivirus... Surtout que mon ordinateur à l'heure actuelle marche plutôt bien à quelque détails près comme internet qui rame vraiment du jour au lendemain ...

jfkpresident · Answer

Si tu ne navigues pas sur le net sans antivirus ,tu ne risque rien !

C'est juste le temps de lancer combofix sinon ton antivirus risque d'empecher son lancement .

jfkpresident · Answer

Il n'y a pas autre chose à faire que ça...?

Bon écoute ,tu es venue demander de l'aide sur ce forum . Maintenant si tu ne veux pas faire ce que je te demande ....Ben ,a la prochaine +

Virus Trojan

42 réponses

Discussions similaires