Trojan Downloader Win32 renos.js Help

Résolu
RichardKhorne Messages postés 14 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
J'ai sur mon ordinateur un virus du nom de "trojan downloader win32 renos.js" et je n'arrive pas à m'en débarrasser.
J'ai vu que je n'étais pas le seul dans ce cas mais apparament c'est différent pour chaque personne.
Est ce que quelqu'un pourrait m'aider?

Merci
A voir également:

12 réponses

Réponse 1 / 12
Utilisateur anonyme
 
Hello ,

Commence par ceci :

• Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.
• Double-clique sur RSIT.exe afin de lancer le programme.
• Clique sur Continue à l'écran Disclaimer.
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : les rapports sont sauvegardés dans le dossier C:\rsit.
0
Réponse 2 / 12
RichardKhorne Messages postés 14 Statut Membre
 
Deja merci d'avoir répondu si vite.
Quand je veux executer RSIT, apres le avoir cliqué sur Continue, il me met:
Line -1:

Error: Variable used without being declared.


Merci
0
Réponse 3 / 12
Utilisateur anonyme
 
fais un clic droit sur rsit.exe

chosi propriété ensuite va sur l onglet compatibilté .

Coche la case executer ce programme en mode compatibilité pour windows xp sp3

clic sur appliquer et ok .

Ensuite refais le scan RSIT .
0
Réponse 4 / 12
RichardKhorne Messages postés 14 Statut Membre
 
Merci !

Alors voila les rapports :

LOG.txt :

Logfile of random's system information tool 1.06 (written by random/random)
Run by Richard at 2010-01-27 16:37:54
Microsoft Windows 7 Édition Familiale Premium Service Pack 3
System drive C: has 17 GB (17%) free of 100 GB
Total RAM: 3582 MB (71% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:56, on 27/01/2010
Platform: Unknown Windows (WinNT 6.01.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskhost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\DeviceVM\Browser Configuration Utility\BCU.exe
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
C:\Program Files\Razer\Copperhead\razerhid.exe
C:\Program Files\Alwil Software\Avast5\AvastUI.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Razer\Copperhead\razerofa.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Free Download Manager\fdm.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\Macromed\Flash\FlashUtil10d.exe
C:\Windows\system32\taskhost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\wermgr.exe
D:\Richard\Desktop\RSIT.exe
C:\Program Files\trend micro\Richard.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: SearchHook Class - {BC86E1AB-EDA5-4059-938F-CE307B0C6F0A} - C:\Program Files\DeviceVM\Browser Configuration Utility\AddressBarSearch.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll
O4 - HKLM\..\Run: [BCU] "C:\Program Files\DeviceVM\Browser Configuration Utility\BCU.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] C:\Program Files\Realtek\Audio\HDA\Skytel.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\Copperhead\razerhid.exe
O4 - HKLM\..\Run: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [Free Download Manager] C:\Program Files\Free Download Manager\fdm.exe -autorun
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AttachConsoleA
O4 - HKCU\..\Run: [BMIMZMHMFM] C:\Users\Richard\AppData\Local\Temp\Vkd.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O13 - Gopher Prefix:
O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast5\AvastSvc.exe
O23 - Service: Browser Configuration Utility Service (BCUService) - DeviceVM, Inc. - C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: ES lite Service for program management. (ES lite Service) - Unknown owner - C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 12
Utilisateur anonyme
 
• Télécharge UsbFix sur ton Bureau :

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir.

• Double clic sur UsbFix.exe présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaîtra et le pc redémarrera.

• Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le bureau.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
0
Réponse 6 / 12
RichardKhorne Messages postés 14 Statut Membre
 
OK je vais faire ça.
Est ce que le scan est long?
0
Réponse 7 / 12
Utilisateur anonyme
 
Non 10 min grand maximum .
0
Réponse 8 / 12
RichardKhorne Messages postés 14 Statut Membre
 
Alors voila le rapport:


############################## | UsbFix V6.080 |

User : Richard (Administrateurs) # RICHARD-PC
Update on 27/01/2010 by El Desaparecido , C_XX & Chimay8
Start at: 16:54:26 | 27/01/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7600 32-bit) #
Internet Explorer 8.0.7600.16385
Windows Firewall Status : Enabled

C:\ -> Disque fixe local # 97,56 Go (16,4 Go free) # NTFS
D:\ -> Disque fixe local # 368,1 Go (362,44 Go free) [Mes Documents] # NTFS
E:\ -> Disque CD-ROM

############################## | Processus actifs |

C:\Windows\System32\smss.exe 284
C:\Windows\system32\csrss.exe 420
C:\Windows\system32\wininit.exe 492
C:\Windows\system32\csrss.exe 500
C:\Windows\system32\services.exe 540
C:\Windows\system32\lsass.exe 564
C:\Windows\system32\lsm.exe 572
C:\Windows\system32\svchost.exe 700
C:\Windows\system32\winlogon.exe 708
C:\Windows\system32\svchost.exe 820
C:\Windows\system32\atiesrxx.exe 864
C:\Windows\system32\LogonUI.exe 936
C:\Windows\System32\svchost.exe 964
C:\Windows\System32\svchost.exe 996
C:\Windows\system32\svchost.exe 1036
C:\Windows\system32\svchost.exe 1164
C:\Windows\system32\atieclxx.exe 1244
C:\Windows\system32\svchost.exe 1272
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe 1376
C:\Windows\system32\userinit.exe 1544
C:\Windows\system32\Dwm.exe 1556
C:\Windows\Explorer.EXE 1588
C:\Windows\System32\spoolsv.exe 1792
C:\Windows\system32\taskhost.exe 1804
C:\Windows\system32\svchost.exe 1860
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe 1992
C:\Program Files\DeviceVM\Browser Configuration Utility\BCUService.exe 2016
C:\Program Files\Bonjour\mDNSResponder.exe 2044
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe 300
C:\Windows\system32\taskeng.exe 320
C:\Program Files\Gigabyte\EasySaver\ESSVR.EXE 316
C:\Program Files\Google\Update\GoogleUpdate.exe 624
C:\Windows\system32\PnkBstrA.exe 932
C:\Program Files\Alwil Software\Avast5\setup\avast.setup 2160
C:\Windows\system32\svchost.exe 2484
C:\Windows\system32\runonce.exe 2632
C:\Windows\system32\conhost.exe 2756
C:\Windows\System32\rundll32.exe 2880
C:\Windows\system32\wbem\wmiprvse.exe 3104

################## | Elements infectieux |

Supprimé ! C:\Users\Richard\AppData\Local\Temp\Vkb.exe
Supprimé ! C:\Users\Richard\AppData\Local\Temp\Vkc.exe
Supprimé ! C:\Users\Richard\AppData\Local\Temp\6338fb5d6b934482b35a35083bfdfac5.exe
Supprimé ! C:\Users\Richard\AppData\Local\Temp\a.dat
Supprimé ! C:\$Recycle.Bin\S-1-5-21-588217840-1614329036-3169215456-1000
Supprimé ! D:\$Recycle.Bin\S-1-5-21-588217840-1614329036-3169215456-1000

################## | Registre |

Supprimé ! [HKCU\SOFTWARE\BMIMZMHMFM]
Supprimé ! [HKCU\SOFTWARE\Microsoft\Handle]
Supprimé ! [HKCU\SOFTWARE\WS9E3IQBKY]
Supprimé ! [HKCU\SOFTWARE\XML]
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "BMIMZMHMFM"
Supprimé ! [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LosAlamos"

################## | Mountpoints2 |


################## | Listing des fichiers présent |

[10/06/2009 22:42|--a------|24] C:\autoexec.bat
[10/06/2009 22:42|--a------|10] C:\config.sys
[30/12/2009 09:03|--a------|10] C:\csb.log
[?|?|?] C:\hiberfil.sys
[30/12/2009 09:03|--a------|190] C:\Install.log
[22/01/2010 18:22|-rahs----|0] C:\IO.SYS
[22/01/2010 18:22|-rahs----|0] C:\MSDOS.SYS
[?|?|?] C:\pagefile.sys
[30/12/2009 09:02|--a------|1841] C:\RHDSetup.log
[27/01/2010 16:54|--a------|145] C:\service.log
[27/01/2010 16:55|--a------|3692] C:\UsbFix.txt

################## | Vaccination |

# C:\autorun.inf -> Dossier créé par UsbFix.
# D:\autorun.inf -> Dossier créé par UsbFix.

################## | Upload |

Veuillez envoyer le fichier : D:\Richard\Desktop\UsbFix_Upload_Me_Richard-PC.zip : https://www.ionos.fr/?affiliate_id=77097
Merci pour votre contribution .
0
Réponse 9 / 12
Utilisateur anonyme
 
• Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
• Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
• Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
• Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
• Sélectionne Exécuter un examen rapide.
• Clique sur Rechercher. L'analyse démarre.
• A la fin de l'analyse, un message s'affiche :

"L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés."

• Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
• Ferme tes navigateurs.
• Si des malwares ont été détectés, clique sur Afficher les résultats.
• Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
RichardKhorne Messages postés 14 Statut Membre
 
Voila voila !
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3645
Windows 6.1.7600
Internet Explorer 8.0.7600.16385

27/01/2010 17:51:00
mbam-log-2010-01-27 (17-51-00).txt

Type de recherche: Examen rapide
Eléments examinés: 94587
Temps écoulé: 3 minute(s), 21 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Merci de ton aide !

C'est finie?
0
Réponse 10 / 12
Utilisateur anonyme
 
C'est finie?

Oup c est ok , désinstal usbfix et supprime rsit et c est OK
0
Réponse 11 / 12
RichardKhorne Messages postés 14 Statut Membre
 
oki et encore merci
0
Réponse 12 / 12
Utilisateur anonyme
 
De rien ,

Bonne fin de semaine .
0

Discussions similaires

C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Problème avec "PUADIManager:Win32/OfferCore
Knaki -
bazfile -

3 réponses