Infection trojan

salsamanuno -  
 salsamanuno -
bonsoir,

voila, depuis le 23 mars, 3 messages recalcitrants apparaissent sans cesse :

- Hhelua.exe a cessé de fonctionner

- Hpl.exe a cessé de fonctionner

- buffer overrun detected

j'ai fait un scan complet et voila ce que ça donne :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3510
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

28/03/2010 09:50:38
mbam-log-2010-03-28 (09-50-24).txt

Type de recherche: Examen complet (C:\|D:\|F:\|)
Eléments examinés: 301563
Temps écoulé: 5 hour(s), 5 minute(s), 30 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> No action taken.

je pense que c'est pas terrible tout ça, pouvez vous m'aider svp ?
merci d'avance.
bonne soirée.

10 réponses

  1. salsamanuno
     
    bonsoir ,

    désolé d'insister mais est ce qq'un pourrait m'aider svp ? merci d'avance.
    0
  2. Utilisateur anonyme
     
    bonsoir
    vide la quarantaine de Malwarebytes
    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

    - http://images.malwareremoval.com/random/RSIT.exe

    ! Déconnecte toi et ferme toutes tes applications en cours !

    * Double-clique sur RSIT.exe pour le lancer .
    * Une première fenêtre s'ouvre avec en titre : Disclaimer of warranty .
    * Devant l'option List files/folders created ... , tu choisis 2 months
    * Clique ensuite sur Continue pour lancer l'analyse ...
    * Laisse faire le scan et ne touche pas au PC ...
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).
    * Héberge le contenu de log.txt (c'est celui qui apparait à l'écran), ainsi que de info.txt ici.
    Clique sur parcourir
    Une fois que tu as trouvé les rapports à héberger, clique sur ouvrir
    Clique sur Cliquez ici pour déposer le fichier, puis donne le lien
    qui apparait comme ceci http:/www.cijoint.fr/cjlink.php?file=cj200911/cijgAdC3Ch.txt

    Note : les rapports seront en outre sauvegardés dans ce dossier C:\rsit
    0
  3. salsamanuno
     
    bonsoir

    tout d'abord merci beaucoup de vous occuper de mon cas.
    voila le lien demandé, j'espère que je n'ai pas fait de bêtises.

    http://www.cijoint.fr/cjlink.php?file=cj201004/cijbcOJAps.txt

    bonne soirée, a bientot.
    0
  4. Utilisateur anonyme
     
    bonsoir
    Pour Malwarebytes, il n'a entrepris aucune action, va dans la quarantaine, clique
    sur supprimer la sélection, et après le redémarrage du PC, poste le rapport

    pourrai tu poster le rapport log.txt qui se trouve dans C:\rsit
    0
    1. salsamanuno Messages postés 1 Date d'inscription   Statut Membre Dernière intervention  
       
      salut,

      j'ai un souci , je n'arriive pas a t'envoyer mes rapports, c idiot ça.
      je pense que le fichier est trop gros , comment faire ?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    bonjour
    héberge le rapport sur le site ci-joint.fr
    0
    1. salsamanuno Messages postés 1 Date d'inscription   Statut Membre Dernière intervention  
       
      bonsoir,

      merci de m'avoir répondu aussi vite.
      d'abord le rapport malware :

      Malwarebytes' Anti-Malware 1.44
      Version de la base de données: 3510
      Windows 6.0.6002 Service Pack 2
      Internet Explorer 8.0.6001.18882

      28/03/2010 19:52:32
      mbam-log-2010-03-28 (19-52-32).txt

      Type de recherche: Examen complet (C:\|D:\|F:\|)
      Eléments examinés: 301563
      Temps écoulé: 5 hour(s), 5 minute(s), 30 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 2
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

      et voici le lien pour le rapport log.txt
      http://www.cijoint.fr/cjlink.php?file=cj201004/cijh2hC9vh.txt

      a bientot.
      0
  7. Utilisateur anonyme
     
    C:\Users\omarie\AppData\Local\Temp\Hpl.exe
    ce fichier m'a pas l'air très net
    tu vas l'analyser sur le site Virus Total

    Il faut passer par le dossier caché Application data, tu dois l'afficher
    Démarrer, ordinateur, clique sur organiser
    Sélectionne options de dossiers et de recherche
    Va dans l'onglet affichage
    Coche afficher les fichiers et dossiers cachés puis OK

    Analyse sur Virus Total
    https://www.virustotal.com/gui/
    Clique sur parcourir
    Dans la fenêtre qui s'ouvre, cherche le fichier et sélectionne le, puis clique sur ouvrir
    Clique sur envoyer le fichier
    une fois le scan terminé, donne moi le résultat
    0
    1. salsamanuno Messages postés 1 Date d'inscription   Statut Membre Dernière intervention  
       
      bonjour , voila le résultat du scan demandé , du fichier log.txt je suppose.

      Antivirus Version Dernière mise à jour Résultat
      a-squared 4.5.0.50 2010.04.09 -
      AhnLab-V3 5.0.0.2 2010.04.09 -
      AntiVir 7.10.6.52 2010.04.09 -
      Antiy-AVL 2.0.3.7 2010.04.09 -
      Authentium 5.2.0.5 2010.04.09 -
      Avast 4.8.1351.0 2010.04.09 -
      Avast5 5.0.332.0 2010.04.09 -
      AVG 9.0.0.787 2010.04.09 -
      BitDefender 7.2 2010.04.09 -
      CAT-QuickHeal 10.00 2010.04.09 -
      ClamAV 0.96.0.3-git 2010.04.09 -
      Comodo 4548 2010.04.09 -
      DrWeb 5.0.2.03300 2010.04.09 -
      eSafe 7.0.17.0 2010.04.08 -
      eTrust-Vet 35.2.7417 2010.04.09 -
      F-Prot 4.5.1.85 2010.04.08 -
      F-Secure 9.0.15370.0 2010.04.09 -
      Fortinet 4.0.14.0 2010.04.08 -
      GData 19 2010.04.09 -
      Ikarus T3.1.1.80.0 2010.04.09 -
      Jiangmin 13.0.900 2010.04.09 -
      Kaspersky 7.0.0.125 2010.04.09 -
      McAfee-GW-Edition 6.8.5 2010.04.09 -
      Microsoft 1.5605 2010.04.09 -
      NOD32 5012 2010.04.09 -
      Norman 6.04.11 2010.04.09 -
      nProtect 2009.1.8.0 2010.04.06 -
      Panda 10.0.2.2 2010.04.08 -
      PCTools 7.0.3.5 2010.04.09 -
      Prevx 3.0 2010.04.09 -
      Rising 22.42.04.03 2010.04.09 -
      Sophos 4.52.0 2010.04.09 -
      Sunbelt 6155 2010.04.09 -
      Symantec 20091.2.0.41 2010.04.09 -
      TheHacker 6.5.2.0.258 2010.04.09 -
      TrendMicro 9.120.0.1004 2010.04.09 -
      VBA32 3.12.12.4 2010.04.09 -
      ViRobot 2010.4.9.2269 2010.04.09 -
      VirusBuster 5.0.27.0 2010.04.09 -
      Information additionnelle
      File size: 41674 bytes
      MD5...: f5d604420cd963a3fd61ea8959f6df06
      SHA1..: 20b95362e92ee036676133c2ecbba5ea3bfb31aa
      SHA256: f22d29857a4e8adce37ce37dcb2c6f1b3e547c38da36c2f216680fb0543f5942
      ssdeep: 384:R8OMYDS1myrHsMirMEh0/ELGhToGpy/FQCSnq4fgk4upxeNN294ljeNNkYyo
      HJqN:o5rHUini6YNN2KgkYyeJ0R64J

      PEiD..: -
      PEInfo: -
      RDS...: NSRL Reference Data Set
      -
      pdfid.: -
      trid..: Unknown!
      sigcheck:
      publisher....: n/a
      copyright....: n/a
      product......: n/a
      description..: n/a
      original name: n/a
      internal name: n/a
      file version.: n/a
      comments.....: n/a
      signers......: -
      signing date.: -
      verified.....: Unsigned
      0
  8. Utilisateur anonyme
     
    bonjour
    les messages récalcitrants s'affichent-ils toujours ?
    0
    1. salsamanuno Messages postés 1 Date d'inscription   Statut Membre Dernière intervention  
       
      bonsoir,

      oui toujours, il y en a même un nouveau du type "violation du module...etc..."
      c vraiment la misère. ps : j'ai le logiciel spypot résident qui tourne en permanence , faut il le supprimer ? merci .
      0
  9. Utilisateur anonyme
     
    Télécharge Dr Web CureIt sur ton Bureau :

    ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

    - Double clique drweb-cureit.exe et ensuite clique sur Analyse;

    - Clique Ok à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton Oui.
    Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".
    - Lorsque le scan rapide est terminé, clique sur le menu Options puis Changer la configuration ; Choisis l'onglet Scanner, et décoche Analyse heuristique. Clique ensuite sur Ok.
    - De retour à la fenêtre principale : clique pour activer Analyse complète
    - Clique le bouton avec flèche verte sur la droite, et le scan débutera.
    - Clique Oui pour tout à l'invite Désinfecter ? lorsqu'un fichier est détecté, et ensuite clique Désinfecter.
    - Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône Suivant, au dessous, et choisis Déplacer en quarantaine l'objet indésirable.
    - Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
    - Ferme Dr.Web Cureit
    - Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).
    - Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de Dr.Web dans ta prochaine réponse.
    0
    1. salsamanuno
       
      bonjour,

      j'ai fait les deux scan, et dans les 2 cas il me dit aucun virus detecté alors que pendant le scan complet, antivir m'avertissait des virus qu'il y avait. pourquoi au cours du scan il n'a rien trouvé? je ne comprends pas. Et de plus je ne peux pas afficher le rapport car il y a rien.
      j'attends tes directives, merci. ps : les fichiers inferctés que j'ai mis en quarantaine avec antivir , je les supprime n'est ce pas?
      0
  10. Utilisateur anonyme
     
    bonjour
    il faut vider la quarantaine d'antivir
    0
    1. salsamanuno
       
      j'ai vidé la quarantaine et supprimé tous les virus.
      0
  11. Utilisateur anonyme
     
    les problèmes persistent-ils toujours ?
    0
    1. salsamanuno
       
      bonsoir,
      désolé pour le retard, alors effecivement je n'ai plus de messages intempestifs qui s'affiche.
      Merci pour ton aide et du boulot que vous faites, c top.
      merci encore et bon courage pour la suite.
      0