Trojan Spy.gen2 - Page 2

Résolu
Précédent
  • 1
  • 2
Réponse 21 / 28
kearny Messages postés 15 Statut Membre
 
ESETSmartInstaller@High as CAB hook log:
OnlineScanner.ocx - registred OK
# version=7
# iexplore.exe=6.00.2900.5512 (xpsp.080413-2105)
# OnlineScanner.ocx=1.0.0.6211
# api_version=3.0.2
# EOSSerial=f0f39f5acd579d428af598019122b98b
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2010-01-18 02:29:35
# local_time=2010-01-18 03:29:35 (+0100, Paris, Madrid)
# country="France"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=512 16777215 100 0 89360 89360 0 0
# compatibility_mode=8192 67108863 100 0 10400 10400 0 0
# compatibility_mode=9217 16777214 0 4 99541049 99541049 0 0
# scanned=75140
# found=0
# cleaned=0
# scan_time=5052

Sinon, j'ai reçu encore des alertes Antivir, moins fréquentes cela dit, sur le fichier irdimar.bak (Spy.gen2) dans le dossier c:\Qoobox. Peut être un dossier de quarantaine créé par Combofix ?
0
Réponse 22 / 28
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut kearny

Effectivement c'est la quarantaine de Combofix, supprime le dossier en gras et vide la corbeille :
c:\Qoobox

Mettre à jour Antivir, faire un scan en mode sans échec et poste le rapport après avoir démarré en mode normal.

Aide : https://www.malekal.com/avira-free-security-antivirus-gratuit/

@++ :)
0
Réponse 23 / 28
kearny Messages postés 15 Statut Membre
 
Le scan ne passait pas en mode sans échec, je l'ai fait en mode normal, et deux trojans ont été détectés et mis en quarantaine, voila le rapport :

Avira AntiVir Personal
Report file date: mardi 19 janvier 2010 01:00

Scanning for 1566455 virus strains and unwanted programs.

Licensed to: Avira AntiVir Personal - FREE Antivirus
Serial number: 0000149996-ADJIE-0000001
Platform: Windows XP
Windows version: (Service Pack 3) [5.1.2600]
Boot mode: Normally booted
Username: SYSTEM
Computer name: JEREMY

Version information:
BUILD.DAT : 8.2.0.354 17048 Bytes 23/10/2009 13:15:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 26/11/2008 17:15:05
AVSCAN.DLL : 8.1.4.0 40705 Bytes 17/07/2008 21:57:20
LUKE.DLL : 8.1.4.5 164097 Bytes 17/07/2008 21:57:22
LUKERES.DLL : 8.1.4.0 12033 Bytes 17/07/2008 21:57:22
ANTIVIR0.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 23:45:56
ANTIVIR1.VDF : 7.10.1.11 1395568 Bytes 19/11/2009 23:46:06
ANTIVIR2.VDF : 7.10.2.224 2514336 Bytes 18/01/2010 23:44:02
ANTIVIR3.VDF : 7.10.2.226 172544 Bytes 18/01/2010 23:44:03
Engineversion : 8.2.1.142
AEVDF.DLL : 8.1.1.2 106867 Bytes 15/09/2009 18:54:51
AESCRIPT.DLL : 8.1.3.7 594296 Bytes 16/01/2010 23:46:41
AESCN.DLL : 8.1.3.1 127348 Bytes 16/01/2010 23:46:39
AESBX.DLL : 8.1.1.1 246132 Bytes 16/01/2010 23:46:38
AERDL.DLL : 8.1.3.4 479605 Bytes 16/01/2010 23:46:37
AEPACK.DLL : 8.2.0.5 422262 Bytes 16/01/2010 23:46:35
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 17/06/2009 22:40:04
AEHEUR.DLL : 8.1.0.195 2232695 Bytes 16/01/2010 23:46:33
AEHELP.DLL : 8.1.10.0 237942 Bytes 16/01/2010 23:46:27
AEGEN.DLL : 8.1.1.83 369014 Bytes 16/01/2010 23:46:26
AEEMU.DLL : 8.1.1.0 393587 Bytes 03/10/2009 11:15:17
AECORE.DLL : 8.1.9.5 184693 Bytes 16/01/2010 23:46:24
AEBB.DLL : 8.1.0.3 53618 Bytes 18/10/2008 22:42:46
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17/07/2008 21:57:20
AVPREF.DLL : 8.0.2.0 38657 Bytes 17/07/2008 21:57:20
AVREP.DLL : 8.0.0.3 155688 Bytes 20/04/2009 18:54:43
AVREG.DLL : 8.0.0.1 33537 Bytes 17/07/2008 21:57:20
AVARKT.DLL : 1.0.0.23 307457 Bytes 15/04/2008 21:03:22
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17/07/2008 21:57:20
SQLITE3.DLL : 3.3.17.1 339968 Bytes 15/04/2008 21:03:23
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17/07/2008 21:57:22
NETNT.DLL : 8.0.0.1 7937 Bytes 15/04/2008 21:03:22
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17/07/2008 21:57:14
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17/07/2008 21:57:14

Configuration settings for the scan:
Jobname..........................: Complete system scan
Configuration file...............: c:\program files\antivir personaledition classic\sysscan.avp
Logging..........................: low
Primary action...................: interactive
Secondary action.................: ignore
Scan master boot sector..........: off
Scan boot sector.................: on
Boot sectors.....................: C:, D:,
Process scan.....................: on
Scan registry....................: on
Search for rootkits..............: off
Scan all files...................: Intelligent file selection
Scan archives....................: on
Recursion depth..................: 20
Smart extensions.................: on
Macro heuristic..................: on
File heuristic...................: medium

Start of the scan: mardi 19 janvier 2010 01:00

The scan of running processes will be started
Scan process 'OneClickStarter.exe' - '0' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'alg.exe' - '1' Module(s) have been scanned
Scan process 'wlcomm.exe' - '1' Module(s) have been scanned
Scan process 'TuneUpUtilitiesApp32.exe' - '1' Module(s) have been scanned
Scan process 'wuauclt.exe' - '1' Module(s) have been scanned
Scan process 'OCRAWR32.EXE' - '1' Module(s) have been scanned
Scan process 'wdfmgr.exe' - '1' Module(s) have been scanned
Scan process 'TuneUpUtilitiesService32.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'CSHelper.exe' - '1' Module(s) have been scanned
Scan process 'sched.exe' - '1' Module(s) have been scanned
Scan process 'ntvdm.exe' - '1' Module(s) have been scanned
Scan process 'msnmsgr.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'avguard.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'spoolsv.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
29 processes with 29 modules were scanned

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!

Starting to scan the registry.
The registry was scanned ( '54' files ).

Starting the file scan:

Begin scan in 'C:\' <SYSTEME>
C:\hiberfil.sys
[WARNING] The file could not be opened!
C:\pagefile.sys
[WARNING] The file could not be opened!
C:\Documents and Settings\JEREMY\Menu Démarrer\Programmes\Internet Explorer.lnk
[DETECTION] Is the TR/StartPage.KA.3 Trojan
[NOTE] The file was moved to '4bc8f706.qua'!
C:\System Volume Information\_restore{8C16EA5C-C499-4766-A24A-2E01D69CFE5F}\RP751\A0081262.lnk
[DETECTION] Is the TR/StartPage.KA.3 Trojan
[NOTE] The file was moved to '4b84fa3a.qua'!
Begin scan in 'D:\' <DATA>

End of the scan: mardi 19 janvier 2010 01:29
Used time: 29:26 Minute(s)

The scan has been done completely.

5112 Scanning directories
164943 Files were scanned
2 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
2 files were moved to quarantine
0 files were renamed
2 Files cannot be scanned
164939 Files not concerned
1024 Archives were scanned
2 Warnings
2 Notes
0
Réponse 24 / 28
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut kearny

Cela est bon, ton système n'est pas à jour et est vulnérable au infections.
https://forum.malekal.com/viewtopic.php?f=45&t=3259

Désactive la restauration système sur tous les lecteurs :

- Clique droit sur le Poste de travail sur le bureau, dans propriété tu cliques sur l'onglet Restauration système

- Coche la case désactiver la restauration et applique

Redémarre l’ordinateur et réactive la restauration système.

Tutoriel XP : http://www.libellules.ch/desactiver_restauration.php

----

On va faire un ménage des outils téléchargés pour la désinfection, télécharge Tools Cleaner sur le bureau :

http://pc-system.fr/

- Double clique sur ToolsCleaner2.exe sur le bureau
- Clique sur Recherche et laisse le scan agir.
- Clique sur Suppression pour finaliser.
- Tu peux, si tu le souhaites, te servir des Options facultatives.
- Clique sur Quitter pour obtenir le rapport.
- Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
- Si des outils restes après le passage de Tools Cleaner, tu pourras les supprimer manuellement ainsi que tous les rapports qui on été généré lors de la désinfection.

-----

Important de mettre à jour Windows et tes logiciels :
Mettre Windows(catégories critique, Services Pack et Services Release) à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

Faire un ménage des fichiers inutiles et de la base de registre :
https://www.malekal.com/tutoriel-ccleaner/

Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.

@++ :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 28
kearny
 
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\hijackthis.log: trouvé !
C:\SDFIX: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Backups\catchme.log: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
C:\Documents and Settings\JEREMY\Bureau\HijackThis.lnk: trouvé !
C:\Documents and Settings\JEREMY\Bureau\DiagHelp.zip: trouvé !
C:\Documents and Settings\JEREMY\Bureau\OTM.exe: trouvé !
C:\Documents and Settings\JEREMY\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\JEREMY\Bureau\OAD.exe: trouvé !
C:\Documents and Settings\JEREMY\Bureau\DiagHelp: trouvé !
C:\Documents and Settings\JEREMY\Bureau\DiagHelp\catchme.exe: trouvé !
C:\Documents and Settings\JEREMY\Bureau\DiagHelp\mbr.exe: trouvé !
C:\Documents and Settings\JEREMY\Mes documents\hijackthis.log: trouvé !
C:\Downloaded Files\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\SDFix\catchme.exe: trouvé !
C:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
C:\Documents and Settings\JEREMY\Bureau\HijackThis.lnk: supprimé !
C:\Documents and Settings\JEREMY\Bureau\DiagHelp.zip: supprimé !
C:\Documents and Settings\JEREMY\Bureau\OTM.exe: supprimé !
C:\Documents and Settings\JEREMY\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\JEREMY\Bureau\DiagHelp\catchme.exe: supprimé !
C:\Downloaded Files\HijackThis.exe: supprimé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\SDFix\catchme.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\hijackthis.log: supprimé !
C:\Backups\catchme.log: supprimé !
C:\Documents and Settings\JEREMY\Bureau\OAD.exe: supprimé !
C:\Documents and Settings\JEREMY\Bureau\DiagHelp\mbr.exe: supprimé !
C:\Documents and Settings\JEREMY\Mes documents\hijackthis.log: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\SDFIX: supprimé !
C:\_OTM: supprimé !
C:\Rsit: supprimé !
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
C:\Documents and Settings\JEREMY\Bureau\DiagHelp: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !

Point de restauration crée !
Corbeille vidée!
Fichiers temporaires nettoyés !
Sauvegarde du registre crée !

Il reste quelques programmes sur le bureau, mais je le ferai manuellement (si ajout/suppression de programmes fonctionne bien) Et j'ai fait les mises à jour sur le système et le navigateur.
0
Réponse 26 / 28
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut kearny

Si plus de souci, je te donne quelques consignes de sécurité :

- Windows Update parfaitement à jour http://www.windowsupdate.com/windowsupdate/v6/default.aspx (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré, je te conseil ZoneAlarm :
https://www.malekal.com/tutoriel-zonealarm-firewall/
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- pas de téléchargement illégal, qui est le principal facteur d’infection (µTorrent, BitTorrent, eMule, Limewire, etc..) http://forum.malekal.com/ftopic893.php
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, defrag)
- scan hebdomadaire antispyware, je conseil MalwareByte's Anti-Malware :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
- un contrôle régulier de la console JAVA pour s'assurer qu'elle est à jour :
https://www.java.com/en/download/uninstalltool.jsp
- faire régulièrement un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités :
https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

De bonne lecture si tu veux en savoir plus sur la sécurité et le fonctionnement de Windows :
http://www.malekal.com/menu_windows_general.php
http://www.malekal.com/menu_windows_securite.php

Si tu considères ton problème comme résolu, tu pourras mettre en résolu :
https://www.commentcamarche.net/infos/25917-marquer-un-fil-de-discussion-comme-etant-resolu/

Bonne journée/soirée et bon surf

@++ :)
0
Réponse 27 / 28
kearny Messages postés 15 Statut Membre
 
Merci pour ton aide et tes précieux conseils ! Je te suis infiniment reconnaissant pour la patience que tu as eue pour régler mes petites soucis informatiques :)

Pour les mises à jour système, c'est vrai que je ne suis pas un pro. Je suis meilleur en mise à jour antivirus... parce qu'elle se fait tout seul ! Pour le reste, je suis assez prudent, mais on ne l'est jamais assez, preuve en est.

Encore bravo pour ton travail !

(et je vais valider en résolu)

A très bientot ! (enfin, j'espère, pas trop vite)
0
Réponse 28 / 28
dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
 
Salut kearny

Bien de rien, cela a été un plaisir.

Tu t'es fais infecté sur un site web piégé, si ton système aurais été a jour, surement que l'infection aurais passé son chemin.
https://forum.malekal.com/viewtopic.php?t=13629&start=#p104313

Et ton infection :
https://forum.malekal.com/viewtopic.php?t=18337&start=

Bonne lecture

@++ :)
0
Précédent
  • 1
  • 2

Discussions similaires

Menace détectée TrojanSMS-PA sur Google Huawei/Android
Outmost -
bazfile -

6 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Trojan Csrss.exe
stevenw -
stevenw -

4 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses