Trojan-Spy.Win32 Résolu/Fermé

Question

Bonjour,

Je me trouve actuellement chez un amis qui visiblement rencontre pas mal de problèmes avec son ordinateur.
aux dernières nouvelles son antivirus lui détecte le trojan cité dans le titre.

L'ordinateur rame plutôt pas mal, et ce n'est pas un pro de l'informatique.
un petit coup de main de votre part serais fort sympathique!

Je le laisse donc entre vos mains, 

Merci d'avance.

truecode · Answer

Bonjour , 

commence par poster ce rapport : 
• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe 
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

yvesl1954 · Answer

Bonjour, 

Voici les liens:

http://www.cijoint.fr/cjlink.php?file=cj201003/cijHCZz5fx.txt 

http://www.cijoint.fr/cjlink.php?file=cj201003/cij2m2zlLj.txt

Merci.

truecode · Answer

Tu as une infection par disque dur amovibles , fais cela : 


• Télécharge UsbFix http://www.commentcamarche.net/telecharger/telecharger-34066197-usbfix (de Chiquitine29 & C_XX) sur ton Bureau.
•  Lance l'installation avec les paramètres par défaut.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
•  Double-clique sur le raccourci UsbFix sur ton Bureau.
• Choisis l'option 1 (Recherche).
• Laisse travailler l'outil.
•  Poste le rapport UsbFix.txt. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

"Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.

yvesl1954 · Answer

ci joint le rapport
http://www.cijoint.fr/cjlink.php?file=cj201003/cijtgWNIgq.txt

truecode · Answer

On passe au nettoyage : 


• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
• Double-clique sur le raccourci UsbFix présent sur ton Bureau pour le lancer.
•  Choisis l'option 2 (Suppression).
•  Ton Bureau disparaîtra et le PC redémarrera.
•  Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.
•  Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau. 


Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

yvesl1954 · Answer

ci joint le fichier

http://www.cijoint.fr/cjlink.php?file=cj201003/cij6Mr8jyU.txt

truecode · Answer

Bonjour , 

Commence par ca :

Lance hijackthis
Choisis "Do a scan only" 
Coche la case devant les lignes suivantes : 


O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 


Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
Clique sur "Fix checked". 
Ferme Hijackthis. 


Puis fais cela :

OTMoveIT
Télécharger [url=http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/]OTMoveIt3 par OldTimer[/url]
Enregistrer ce fichier sur le Bureau.
Faire un double clic sur OTMoveIt3.exe pour lancer l'exécution de l'outil. (Note: Si vous utilisez Vista, faire un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
Copier les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):




:processes

explorer.exe

:files

c:\windows\system32\aspimgr.exe

:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aspimgr]

:commands

[emptytemp]

[start explorer]

[reboot]


Retourner dans la fenêtre de OTMoveIt3, faire un clic droit dans la zone "Paste List Instruction for Items to be Moved" (sous la barre bleu clair) puis choisir Coller.
Cliquer sur le bouton rouge Moveit!.
Fermer OTMoveIt3
Reviens sur le forum, et poste le rapport généré. Celui-ci se trouve ici : C:\_OTMoveIt\MovedFiles, poster le rapport le plus récent.
Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire afin de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes. 


Enfin ce scan  :

 Télécharge Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam-download.php

Avant tous il faut brancher tous les supports amovibles que tu possède avant de faire ce scan ( disque dur externes , clé usb ... )

   1. Double clique sur le fichier téléchargé
   2. Dans l'onglet "Mise à jour", clique sur "Recherche de mise à jour": si ton parefeu te demande de d'autoriser MBAM accepte
   3. Quand la mise à jour est terminé va dans l'onglet
   4. Tu sélectionne "Exécuter un examen complet"
   5. Puis tu clique sur"Rechercher"

      L'analyse démarre, le scan est relativement long, c'est normal.

      A la fin de l'analyse, un message s'affiche :

   6. L'examen s'est terminé normalement. Il te reste a cliquer sur"Afficher les résultats" pour afficher tous les objets trouvés.

   7. Maintenant tu clique sur "Ok" pour poursuivre.
   8.Ferme tes navigateurs ( firefox , internet explorer , chrome , opéra...)
   9. Si MBAM à détecter des malwares, clique sur "Afficher les résultats".
  10.Sélectionne tout et clique sur"Supprimer la sélection",MBAM va supprimer tous les fichiers infectés.
  11. Le Bloc-notes va s'ouvrir avec le rapport d'analyse
  12. Fais un copier coller de ce rapport etposte-le dans ton prochain message.

yvesl1954 · Answer

bonjour
Commence par ca :

Lance hijackthis
Choisis "Do a scan only"
Coche la case devant les lignes suivantes :

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 
Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur "Fix checked". 
après l'ordi m'a demandé de faire Ok
puis une panne de courant m'a tout planté
j 'ai redémarrerhijackthis les 5 fichiers n'existent plus et j'ai telecharger[url=http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 
je suis bloqué plus rien ne se passe
que faut t il faire
merci d'avance

truecode · Answer

Tu es bloqué a quelle endroit ? quand tu veux télécharger OTMOVEIT ?

yvesl1954 · Answer

Bonjour 
Lance hijackthis
Choisis "Do a scan only"
Coche la case devant les lignes suivantes :

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file) 
O2 - BHO: (no name) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - (no file) 
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) 



Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur.
Clique sur "Fix checked". 
après l'ordi m'a demandé de faire Ok
puis une panne de courant m'a tout planté
j 'ai redémarrerhijackthis les 5 fichiers n'existent plus et j'ai telecharger[url=http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/ 
 en ouvrant OTM.exe je n'ai pas accès aux lignes de la zone code dont vous parler
 pouvons nous reprendre du début du probleme
merci

truecode · Answer

Bonjour,

Vous ne pouvez pas copier le texte dans la case comme sur cette image ? : http://nsm01.casimages.com/img/2008/04/16//08041610060260771956959.jpg

yvesl1954 · Answer

bonjour 

je n'ai pas le pavé Unregister Dll's and ocx's car mes 5 fichiers n' existent plus  donc pas de texte
 merci

truecode · Answer

Passe au scan malware bytes on verra après

yvesl1954 · Answer

bonjour
apres avoir télécharger
Malwarebytes' Anti-Malware (MBAM) http://www.malwarebytes.org/mbam-download.php 
tout est en anglais  je n'est pas de mise à jour
merci

truecode · Answer

ca doit être update

yvesl1954 · Answer

bonjour
apres le scan je ne peux pas reparer les erreurs car il faut acheter le produit cheek pc error et il a trouver plus de 2000erreurs
merci

truecode · Answer

Ce n'est pas normal vois pour le désinstaller et télécharge sur ce nouveau lien :  http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Tu ne peux toujours pas faire la manip avec OTMOVEIT ?

yvesl1954 · Answer

bonjour 
aucun fichiers infectés dans
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

truecode · Answer

il faut désinstaller ce service en allant dans démarrer / exécuter / tape services.msc recherche le service, va dans les propriétés et désactive le. 
Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe 

Assure toi d'avoir accès aux dossiers/fichiers cachés : 
Ouvrir un dossier, n'importe lequel. Aller dans : 
Outils/Options des dossiers/Affichage et 
- cocher "afficher les dossiers et fichiers cachés", 
- décocher "masquer les extensions des fichiers dont le type est connu". 
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)" 
"appliquer" et "ok" 

recherche ces fichiers en gras s'ils existent encore et supprime les en mode sans echec si tu n'y arrives pas en mode normal 
C:\WINDOWS\system32\aspimgr.exe 

recahe tes fichiers en effectuant la manip inverse 

coche ces lignes dans HijackThis si tu les trouves 

O23 - Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.exe (file missing)

ferme toutes tes fenêtres y compris internet et clic sur fixer l'objet

yvesl1954 · Answer

bonjour


recherche ces fichiers en gras s'ils existent encore et supprime les en mode sans echec si tu n'y arrives pas en mode normal
pas de fichiers en gras
C:\WINDOWS\system32\aspimgr.exe il n'existe pas il y a aspimgr.Oxe et on ne pas l'ouvrir

truecode · Answer

Va sur ce site https://www.virustotal.com/gui/ 
Et analyse ton nouveau fichier  aspimgr.Oxe

yvesl1954 · Answer

bonjou
 d accord
 Va sur ce site https://www.virustotal.com/gui/
Et analyse ton nouveau fichier aspimgr.Oxe

faut il decocher et cocher les fichiers avant d'aller sur site  https://www.virustotal.com/gui/
- cocher "afficher les dossiers et fichiers cachés",
- décocher "masquer les extensions des fichiers dont le type est connu".
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)"
"appliquer" et "ok" 
merci

truecode · Answer

tu peux le faire normalement le fichier est visible s'il ne l'ai pas fait cela

yvesl1954 · Answer

bjr

l'analyse est finie , 
que doisje faire maintenant ? je peux visualiser le rapport mais comment vous l'envoyer,  
en avez-vous besoin  ?

truecode · Answer

Fais un copier coller du résultat

yvesl1954 · Answer

bjr 
impossible de faire copier coler  du résultat

truecode · Answer

ou alors fait une impression ecran et ensuite colle le dans paint puis héberge l'image ici : https://zimagez.com/

Et poste le lien

yvesl1954 · Answer

bjr
Srpski | &#1052;&#1072;&#1082;&#1077;&#1076;&#1086;&#1085;&#1089;&#1082;&#1080; | &#1575;&#1604;&#1593;&#1585;&#1576;&#1610;&#1577; | Suomi | ihMdI |  | &#1506;&#1489;&#1512;&#1497;&#1514; |  | Slovenš&#269;ina | Dansk | &#1056;&#1091;&#1089;&#1089;&#1082;&#1080;&#1081; | Român&#259; | Türkçe | Nederlands | &#917;&#955;&#955;&#951;&#957;&#953;&#954;&#940; | Svenska | Português | Italiano |  |  | Magyar | Deutsch | &#268;esky | Polski | Español | English
Virus Total 	
Virustotal est un service qui analyse les fichiers suspects et facilite la détection rapide des virus, vers, chevaux de Troie et toutes sortes de malwares détectés par les moteurs antivirus. Plus d'informations...
Fichier aspimgr.0xe reçu le 2010.03.11 13:11:52 (UTC)
Situation actuelle: terminé
Résultat: 39/42 (92.86%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus 	Version 	Dernière mise à jour 	Résultat
a-squared 	4.5.0.50 	2010.03.11 	Virus.Win32.Agent.GPS!IK
AhnLab-V3 	5.0.0.2 	2010.03.11 	Win-Trojan/Agent.86016.SM
AntiVir 	8.2.1.180 	2010.03.11 	BDS/Agent.mga
Antiy-AVL 	2.0.3.7 	2010.03.11 	Backdoor/Win32.Agent.gen
Authentium 	5.2.0.5 	2010.03.11 	W32/Backdoor2.CAGS
Avast 	4.8.1351.0 	2010.03.10 	Win32:Agent-GPS
Avast5 	5.0.332.0 	2010.03.10 	Win32:Agent-GPS
AVG 	9.0.0.787 	2010.03.11 	Proxy.ACTW
BitDefender 	7.2 	2010.03.11 	Backdoor.Agent.1
CAT-QuickHeal 	10.00 	2010.03.11 	Win32.Backdoor.Agent.ACG.4
ClamAV 	0.96.0.0-git 	2010.03.11 	Trojan.Agent-33442
Comodo 	4224 	2010.03.11 	Backdoor.Win32.Agent.CNS
DrWeb 	5.0.1.12222 	2010.03.11 	Trojan.Siggen.4957
eSafe 	7.0.17.0 	2010.03.10 	Win32.Agent
eTrust-Vet 	35.2.7354 	2010.03.11 	Win32/Danmec!generic
F-Prot 	4.5.1.85 	2010.03.11 	W32/Backdoor2.CAGS
F-Secure 	9.0.15370.0 	2010.03.11 	Backdoor.Agent.1
Fortinet 	4.0.14.0 	2010.03.09 	Agent.AF!tr
GData 	19 	2010.03.11 	Backdoor.Agent.1
Ikarus 	T3.1.1.80.0 	2010.03.11 	Virus.Win32.Agent.GPS
Jiangmin 	13.0.900 	2010.03.11 	-
K7AntiVirus 	7.10.994 	2010.03.10 	Backdoor.Win32.Agent
Kaspersky 	7.0.0.125 	2010.03.11 	Backdoor.Win32.Agent.mga
McAfee 	5916 	2010.03.10 	Proxy-Agent.af.gen
McAfee+Artemis 	5916 	2010.03.10 	Proxy-Agent.af.gen
McAfee-GW-Edition 	6.8.5 	2010.03.11 	Heuristic.LooksLike.Win32.Agent.L
Microsoft 	1.5502 	2010.03.11 	Backdoor:Win32/Agent.ACG
NOD32 	4934 	2010.03.11 	Win32/Agent.NEQ
Norman 	6.04.08 	2010.03.11 	W32/Asprox.AI
nProtect 	2009.1.8.0 	2010.03.11 	Backdoor/W32.Agent.86016.AA
Panda 	10.0.2.2 	2010.03.10 	Trj/Asprox.E
PCTools 	7.0.3.5 	2010.03.11 	Trojan.Damnec.Gen
Prevx 	3.0 	2010.03.11 	High Risk Worm
Rising 	22.38.03.04 	2010.03.11 	-
Sophos 	4.51.0 	2010.03.11 	Troj/Asprox-Gen
Sunbelt 	5823 	2010.03.11 	Trojan.Win32.Generic!BT
Symantec 	20091.2.0.41 	2010.03.11 	Trojan.Asprox
TheHacker 	6.5.2.0.230 	2010.03.11 	Backdoor/Agent.mga
TrendMicro 	9.120.0.1004 	2010.03.11 	BKDR_AGENT.WJJ
VBA32 	3.12.12.2 	2010.03.11 	Backdoor.Win32.Agent.mga
ViRobot 	2010.3.11.2222 	2010.03.11 	-
VirusBuster 	5.0.27.0 	2010.03.11 	Trojan.Damnec.Gen
Information additionnelle
File size: 86016 bytes
MD5   : 737f335d02702d3e45db0ae65fa1abf0
SHA1  : e89f43bc2491f6ebc331371f605992e1bbf4a802
SHA256: 42a9914b0681f199c9305a68da2bfa08c5cae6c8c0629f4721f83f10afd9c0b1
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xD3E6
timedatestamp.....: 0x48777572 (Fri Jul 11 17:00:02 2008)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xC524 0xD000 6.33 64b606fbf7a17af7b4e3b19adae1965b
.rdata 0xE000 0x66E 0x1000 2.39 a236d08a2406c551c2405a9d3b50a86b
.data 0xF000 0x4EE64 0x5000 5.81 702d3044fe03eef3a3bff8f4cdefefbe
.rsrc 0x5E000 0x408 0x1000 1.10 770474c641b722d2a41d098dbd5bb7d6

( 3 imports )

> kernel32.dll: lstrcpynA, lstrlenA, lstrcpyA, lstrcatA, Sleep, GetLastError, HeapFree, GetProcessHeap, HeapAlloc, GetProcAddress, LoadLibraryA, GetModuleHandleA, LeaveCriticalSection, EnterCriticalSection, lstrcmpA, lstrcmpiA, FreeLibrary, GlobalFree, GlobalAlloc
> msvcrt.dll: _controlfp, _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, __p___initenv, exit, _XcptFilter, _exit, atol, _strlwr, _itoa, strcpy, _beginthread, _endthread, sscanf, strstr, memset, atoi, memcpy, free, malloc, fclose, fwrite, fopen, strncmp, memmove, strlen, isspace, strchr
> ws2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -

( 0 exports )
TrID  : File type identification
42.3% (.EXE) Win32 Executable Generic (8527/13/3)
37.6% (.DLL) Win32 Dynamic Link Library (generic) (7583/30/2)
9.9% (.EXE) Generic Win/DOS Executable (2002/3)
9.9% (.EXE) DOS Executable Generic (2000/1)
0.0% (.CEL) Autodesk FLIC Image File (extensions: flc, fli, cel) (7/3)
ssdeep: 1536:RvGKoZugpXSIDvwk/ZwO4yf5bGVAYdHKTXXcZ7uwfYpQBKe3liI:9TIbbGO5bsAYdOcZ7uwfYW5
sigcheck: publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: Microsoft ASPI Manager
original name: aspimgr.exe
internal name: aspimgr
file version.: 5.1.2600.0 (xpclient.010817-1148)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=8675141F00DA79CD5013018655AFF300F0058B9D
PEiD  : Armadillo v1.71
CWSandbox: http://research.sunbelt-software.com/...
RDS   : NSRL Reference Data Set
-

ATENTION ATTENTION: VirusTotal est un service gratuit offert par Hispasec Sistemas. Il n'y a aucune garantie quant à la disponibilité et la continuité de ce service. Bien que le taux de détection permis par l'utilisation de multiples moteurs antivirus soit bien supérieur à celui offert par seulement un produit, ces résultats NE garantissent PAS qu'un fichier est sans danger. Il n'y a actuellement aucune solution qui offre un taux d'efficacité de 100% pour la détection des virus et malwares.

Autre fichier
VirusTotal © Hispasec Sistemas - Blog - Contact: info@virustotal.com - Terms of Service & Privacy Policy

yvesl1954 · Answer

bjr
fichier trop important ne rentre pas dans l'ecran

truecode · Answer

et le résultat donne quoi sinon ce qui m'interesse c'est les résultat avec chaque antivirus et le score sur 42 je crois

yvesl1954 · Answer

bjr
39/42

truecode · Answer

Je dois y aller fait la manip suivante pour supprimer 

Il faut désinstaller ce service en allant dans démarrer / exécuter / tape services.msc recherche le service, va dans les propriétés et désactive le. 
Service: Microsoft ASPI Manager (aspimgr) - Unknown owner - C:\WINDOWS\system32\aspimgr.Oxe

Assure toi d'avoir accès aux dossiers/fichiers cachés : 
Ouvrir un dossier, n'importe lequel. Aller dans : 
Outils/Options des dossiers/Affichage et 
- cocher "afficher les dossiers et fichiers cachés", 
- décocher "masquer les extensions des fichiers dont le type est connu". 
- décocher masquer les fichiers protégés du système d'exploitation (recommandé)" 
"appliquer" et "ok" 

recherche ces fichiers en gras s'ils existent encore et supprime les en mode sans echec si tu n'y arrives pas en mode normal 
C:\WINDOWS\system32\aspimgr.Oxe

recache tes fichiers avec la manip inverse 

Puis poste un nouveau rapport RSIT

yvesl1954 · Answer

bjr 
fautil supprimer le fichier aspimgr.Oxe car je ne peut pas l'ouvrir et reactiver aspi manager
quel fichiers en gras

truecode · Answer

On va faire autrement poste moi le rapport RSIT 
Ensuite je te donnerais la manip de suppression

yvesl1954 · Answer

bjr
plus de fichier aspimgr.Oxe je l"ai supprimer hier soir j ai lancer malwarebytes il a detecter 4 fichiers infectes que j'ai egalement supprimer
que dois je faire maintenant

truecode · Answer

Alors maintenant relance RSIT et poste le nouveau rapport je regarderais en détail dans l'après midi

yvesl1954 · Answer

bonjour

http://www.cijoint.fr/cjlink.php?file=cj201003/cijrkMu5uz.txt
http://www.cijoint.fr/cjlink.php?file=cj201003/cijOXSDXus.txt

et en plus j'ai recuperer un fichier depuis lundi que je n'arriver pas à supprimer
impossible de supprimer aspnet.msp
merci

truecode · Answer

A je viens de voir une autre infection lance cette analyse ce n'est pas bien méchant : 


•Télécharge http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe (de Cyrildu17 / C_XX) sur ton Bureau. 

/!\ Déconnecte-toi d'Internet et ferme toutes applications en cours. /!\ 

•Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Program Files). 
•Double-clique sur le raccourci d'Ad-Remover située sur ton Bureau. 
(Sous Vista, il faut cliquer droit sur le raccourci d'Ad-Remover et choisir Exécuter en tant qu'administrateur) 
•Au menu principal, choisis l'option S. 
•Poste le rapport généré (C:\Ad-Report-Scan-(date).log). 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller) 

Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

yvesl1954 · Answer

.bonjour
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à:  9:46:17, 12/03/2010 | Mode Normal | Option: SCAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: LSDBOT-III | Utilisateur actuel: yves
.
============== ÉLÉMENT(S) TROUVÉ(S) ==============
.

C:\DOCUME~1\yves\APPLIC~1\Mozilla\FireFox\Profiles\9dp2auzn.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} 
C:\Program Files\Mozilla FireFox\Components\AskSearch.js 
C:\Program Files\AskBarDis 
C:\Program Files\AskSearch 
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{C94E154B-1459-4A47-966B-4B843BEFC7DB}
HKLM\software\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{3041D03E-FD4B-44E0-B742-2D9B88305F98}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
HKU\s-1-5-21-2000478354-1770027372-725345543-1003\software\appdatalow\AskBarDis
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
 Nom du profil: 9dp2auzn.default (yves)
.
(yves, prefs.js) Browser.download.dir, D:\Downloads
(yves, prefs.js) Browser.download.lastDir, C:\Documents and Settings\yves\Recent2
(yves, prefs.js) Browser.search.selectedEngine, Live Search
(yves, prefs.js) Browser.startup.homepage, hxxp://fr.msn.com/
(yves, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,jqs@sun.com:1.0,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
(yves, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
. 
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search Page: hxxp://www.google.com
Search Bar: hxxp://www.google.com/ie
Use Search Asst: no
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q=
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Error: Value: "Tabs" does not exist!
.
===================================
.
4848 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
8 Fichier(s) - C:\DOCUME~1\yves\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
1 Fichier(s) - C:\WINDOWS\Prefetch 
.
1 Fichier(s) - C:\Ad-Remover\BACKUP
0 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à:  9:49:44 | 12/03/2010 - SCAN[1]
.
============== E.O.F ==============
.

truecode · Answer

Lance de nouveau ad remover , choisi l'option de nettoyage " L " puis poste le rapport

yvesl1954 · Answer

bjr
.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 11:12:13, 12/03/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: LSDBOT-III | Utilisateur actuel: yves
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\DOCUME~1\yves\APPLIC~1\Mozilla\FireFox\Profiles\9dp2auzn.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D} 
C:\Program Files\Mozilla FireFox\Components\AskSearch.js 
C:\Program Files\AskBarDis 
C:\Program Files\AskSearch 

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\software\appdatalow\AskBarDis
HKCU\software\microsoft\internet explorer\searchscopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383} 
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{3041d03e-fd4b-44e0-b742-2d9b88305f98} 
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{C94E154B-1459-4A47-966B-4B843BEFC7DB} 
HKLM\software\AskBarDis
HKLM\software\classes\AskIBar.PopSwatterBarButton
HKLM\software\classes\AskIBar.PopSwatterBarButton.1
HKLM\software\classes\AskIBar.PopSwatterSettingsControl
HKLM\software\classes\AskIBar.PopSwatterSettingsControl.1
HKLM\software\classes\AskToolBar.SettingsPlugin
HKLM\software\classes\AskToolBar.SettingsPlugin.1
HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
HKLM\Software\Microsoft\Internet Explorer\Toolbar\{3041d03e-fd4b-44e0-b742-2d9b88305f98} 
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
HKLM\software\microsoft\windows\currentversion\uninstall\Ask Toolbar_is1
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.6 [fr] *
.
 Nom du profil: 9dp2auzn.default (yves)
.
(yves, prefs.js) Browser.download.dir, D:\Downloads
(yves, prefs.js) Browser.download.lastDir, C:\Documents and Settings\yves\Recent2
(yves, prefs.js) Browser.search.selectedEngine, Live Search
(yves, prefs.js) Browser.startup.homepage, hxxp://fr.msn.com/
(yves, prefs.js) Extensions.enabledItems, {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11,jqs@sun.com:1.0,{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07,{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13,{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}:6.0.15,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6
(yves, prefs.js) Keyword.URL, hxxp://search.live.com/results.aspx?mkt=fr-FR&FORM=MIMWA5&q=
. 
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Search Asst: no
Use Custom Search URL: 1 (0x1)
Enable Browser Extensions: yes
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
4776 Octet(s) - C:\Ad-Report-CLEAN[1].log 
5179 Octet(s) - C:\Ad-Report-SCAN[1].log 
.
7 Fichier(s) - C:\DOCUME~1\yves\LOCALS~1\Temp 
2 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
18 Fichier(s) - C:\Ad-Remover\BACKUP
34 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 11:21:40 | 12/03/2010 - CLEAN[1]
.
============== E.O.F ==============
.

truecode · Answer

Lance a nouveau RSIT et poste moi les nouveaux rapports

yvesl1954 · Answer

bjr 
voici les 2 fichiers demandés, par contre le fichier "info" est à la date d'hier????


http://www.cijoint.fr/cjlink.php?file=cj201003/cijlp2cKG3.txtbjr


http://www.cijoint.fr/cjlink.php?file=cj201003/cijG8eSgf5.txt


Merci 
@+

truecode · Answer

Bonjour,

•Lance hijackthis
•Choisis "Do a scan only" 
•Coche la case devant les lignes suivantes : 


R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q= 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q=%s 
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 




•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
•Clique sur "Fix checked". 
•Ferme Hijackthis.

yvesl1954 · Answer

Bonjour,

Ok, j'ai fait la manipulation
que dois je faire maintenant ?

J'ai aussi une directorie qui s'est rajouté depuis le 08/03 ( je n'arrive pas à le supprimer) et je ne sais ce que c'est :
64cf875ae089064d5743e6b1d
et lorsque je clique dessus les fichiers si dessous s'affichent :
dotnetfx20
dotnetfx30
dotnetfx35
tools

Encore merci
@+

yvesl1954 · Answer

bonjour,
est ce quelqu'un a une solution pour mon soucis
merci
@+

truecode · Answer

On va refaire la manip puis nettoyer les fichiers temporaires 

•Lance hijackthis 
•Choisis "Do a scan only" 
•Coche la case devant les lignes suivantes : 



R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q= 
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=13153&gct=&gc=1&q=%s 
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) 



•Ferme toutes les fenêtres (hormis HijackThis), y compris ton navigateur. 
•Clique sur "Fix checked". 
•Ferme Hijackthis.

Toolcleaner est un outil qui va permettre de supprimer les programmes utilisés durant la désinfection.

•Télécharge Toolscleaner https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/  sur ton Bureau
•Double-clique sur ToolsCleaner2.exe et laisse le travailler
•Clique sur Recherche et laisse le scan se terminer.
•Clique sur Suppression pour finaliser.
•Tu peux, si tu le souhaites, te servir des Options facultatives.
•Clique sur Quitter, pour que le rapport puisse se créer.
•Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse


Puis tu peux faire un nettoyage des fichiers temporaires avec ccleaner : https://www.malekal.com/tutoriel-ccleaner/

yvesl1954 · Answer

bonsoir 
les fichiers R1hklm
               R1hkcu
et R3 et O3 n'existe pas dans  hijackthis
j'ai egalement fait toolscleaner  le rapport est vide


ces fichiers
           dotnetfx20
               dotnetfx30
               dotnetfx35
                    tools 
se trouvent sous D car mon disque dur est partagé en C et D
lorsque je veux les supprimer   message  asnet.msp acces refusé
merci encore
A+

truecode · Answer

Bonjour , 

Ce sont des fichiers temporaires liés à l'installation de :
.Net Framework 2.0
.Net Framework 3.0
.Net Framework 3.5

D'où leur nom.
Si tu vas vas dans "ajout/suppression", tu verras que ces 3 programmes sont
installés.

Rem : il est inutile d'installer ces programmes si un autre logiciel ne les
demande pas.

Un logiciel que tu as installé a sans doute besoin des .Net Frameworks

yvesl1954 · Answer

bonjour
j'avais Net Framework 2.0  je l'ai supprimer 
mais impossible de supprimer la directorie    sous D \   64cf875ae089064d5743e6b1d
et lorsque je clique dessus les fichiers pour les supprimer si dessous s'affichent :
dotnetfx20              aspnet.msp              acces refusé 
dotnetfx30            netfx30a_x86.exe        acces refusé 
dotnetfx35            netfx35_x86.msi         acces refusé 
tools                    clwireg                      acces refusé


merci encore 
a+

truecode · Answer

Même en relancant ccleaner ?

yvesl1954 · Answer

bonjour

meme en relancant ccleaner  il nettoie c\ mais pas d\ 


cette directorie n'est pas infectée

merci

yvesl1954 · Answer

bjr
 probleme resolu avec unlooker 


merci encore pour tout les renseignements que vous m'avez fourni et de la patience que vous m'avez accordé

truecode · Answer

Tant mieux alors bonne journée

Trojan-Spy.Win32

54 réponses

Discussions similaires