TrojanProxy:Win32/preamro.c

Résolu
smilodon -  
 Utilisateur anonyme -
Bonjour,

Dernièrement mon pc a été squatté par un cousin qui a fait une belle pèche aux virus, comment il a été infecter ? il n'en c rien ... ):
j'ai essayer de désinfecter le pc en suivant des étapes consulté sur plusieurs forums surtout celui là mais rien y fait ! je me suis mal pris ou ce n'es pas la même infection.

J'utilise Microsoft Security Essentials comme antivirus qui ma bien dépanné jusque la, scan régulier avec Malwarebytes' Anti-Malware 1.46 et j'utilise Safari comme navigateur par défaut + firefox et Ie8

Symptômes :

- Gestionnaire des taches --> Désactivé par votre administrateur
- Regedit --> Désactivé par votre administrateur
- Affiché les fichiers et dossiers caché --> les fichiers s'affiche que 5sec puis disparessent

- Au branchement d'une clé usb (par exp) y a l'antivirus qui signale autorun.inf qui et accompagner par plusieurs fichiers (environ 70 fichiers) genre : ajfdff, aqiwvq, aakp.cmd , asnexv.cmd, bujp.cmd, buekah.cmd, cxwqx.exe, fdfle.exe ...etc avec chacun ces icones comme celle de MS-DOS, icone fichier .txt, icone jeu démineur et d'un fichier .bat.

- Impossible d'exécuter combofix, UsbFixclean, SmitfraudFix, UsbFix, tous restent figé dans les processus du gestionnaire des tache et qui ne ce lancent pas, aucune réaction... !

P.S. : J'exécute le gestionnaire des tache en passant par le soft RegCOPA et je modifie la clé DisableTaskMgr par 0

Virus détecter :

TrojanProxy:Win32/preamro.c --> qui ce manifeste assez souvant aprés supression par l'antivirus
Virtool:INF/Autorn.gen
Worm:win32/autorun.gen!inf

Voici le fameux HijackThis :

Ah désolé lui aussi ne veut pas fonctionné.. bref je galére

Pouvez-vous m'aidez SVP !

56 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Un ordinateur Windows XP SP3 est infecté par des malwares, notamment TrojanProxy Win32/preamro.c et des fichiers autorun.inf lors de l'insertion d'une clé USB, avec désactivation du Gestionnaire des tâches et de Regedit. Des symptômes similaires se manifestent par l'affichage éphémère des fichiers cachés et la propagation du virus via les périphériques amovibles, alors que l'antivirus signale des menaces et bloque certains outils. Pour corriger, les échanges préconisent UsbFix, HijackThis et Regedit pour réactiver les processus et nettoyer les infections, puis CCleaner et la purge des points de restauration afin d'éviter les réinfections. Des indications supplémentaires suggèrent de désinstaller certains outils, d'exécuter des scans répétés et de surveiller les rapports pour identifier les composants persistants sans conclure à une résolution immédiate.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonjour

    As tu accès au mode sans echec avec prise en charge réseau?

    @+
    0
  2. smilondon
     
    Désolé juste oublier de montionné que je n'avais pas accé au mode sans échec et mode sans échec avec prise en charge réseau (pc reboot).

    Je lance une réparation du système pour pourvoir y accéder ? ou en peu passé cette étape ?

    Merci Guillaume5188 de m'avoir répondu :-)
    0
  3. Utilisateur anonyme
     
    Re

    As tu essayé une restauration?
    0
  4. smilodon
     
    Ah ben non c'est parce que j'ai pas voulu le faire (trop de fichiers que je gére tout les jours) sinon je vais les déplacé un par un sur une autre partition et je tente le coup.

    p.s: La restauration du système est surveiller que sur la partition (c:) est ce un problème ? et apparament je vois que le virus c'est propager que sur cette partition.

    en tout j'ai 5 partitions. merci encore
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Non, c'est sur C que logiquement est installé ton OS;et tous tes fichiers a sauvegarder sont sur cette partition ?

    0
  7. smilodon
     
    Effectivement l'OS est installer sur la partition C et je vien de ranger tous mes fichiers et dossiers parce que je travail beaucoup à l'aide du bureau :)

    Dite, c'est quoi comme infection ?

    Je lance la restauration a++
    0
  8. smilodon
     
    Re,
    ----------------------------------------------
    Restauration incomplète.
    Aucun changement n'a été effectuer.
    ----------------------------------------------

    J'ai effectuer une restauration du 09/06/2010 c'est à dire un jour avant l'infection.
    je retante une restauration de plusieurs jour, voir 01 mois ?
    0
  9. smilodon
     
    Bonsoir,

    Désolé de ne pas pu vous répondre :)

    pour la restauration le dernier jour proposé en qui j'avais le droit de lancé était le 24/05/2010 et même cas ...
    ----------------------------------------------
    Restauration incomplète.
    Aucun changement n'a été effectuer.
    ----------------------------------------------

    est-ce grave ?
    quel genre de virus qui sais installer ?
    je format mon système pour en finir une fois pour toute ?!, disant que j'ai trop de logiciels installer et des paramétre bien soigné alor je voudrais bien éviter un formatage !! merci de me conseiller :)
    0
  10. smilodon
     
    Le 2éme rapport c'est bien coller parce que j'ai dû changer de pc, je pouvais plus rien faire ... ni validé un message ni utilisé le site comme cjoint.fr ou autre pour heberger le rapport, (impossible d'afficher la page / au moment de l'hebergement du fichier).

    Edit: Connexion internet impecable et le pc tourne normalement au niveau de la vitesse.

    Merci à vous et désolé pour le triple post
    0
  11. smilodon
     
    Bonjour,

    HijackThis c'est enfin décidé a se lancer, puis j'ai lancé un scan et j'ai supprimé la ligne qui désactivé la BDR, aprés je suis passé par regedit j'ai modifier la clé pour réactiver le gestionnaire des tache, bref sa s'améliore pti à pti :)

    Me reste maintenant que le virus qui ce propage par les disque amovible et le virus que a chaque fois je le suprime par MSE il revienme faire signe que je suis toujour là :'-( (TrojanProxy:Win32/preamro.c)

    Que doit je faire maintenant ? merci pour l'aide apporter jusque là

    ---------> Rapport hijackthis : https://www.cjoint.com/?gnhfhZXDt4
    0
  12. Utilisateur anonyme
     
    Bonjour

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Télécharge et install UsbFix de El Desaparecido , C_XX & Chimay8
    Ici : http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

    Tutorial de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Double clic sur le raccourci UsbFix présent sur ton bureau.

    # Choisi Recherche

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+
    On a tous été un jour débutant dans quelque chose.
    Mais le savoir est la récompense de l'assiduité.
    0
  13. smilodon
     
    Re,

    La recherche s'interempe au bout de 15min à 56% (clé usb infecter branché) avec un message "error allocating memory" .

    J'ai relancer une recherche sans aucun périphérique externe branché, reste figé sur 56% et precessus "UsbFix.exe" va de 80mo et attein les 400mo et finis par le même message "error allocating memory".
    0
  14. Utilisateur anonyme
     
    Re

    Tu n'aurais à priori plus assez de mémoire...

    Mais pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+
    0
  15. smilodon
     
    Salut Guillaume5188,

    Pourtant j'ai 3go de ram mais bon...

    Rapport ZHPDiag :

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijLj748jH.txt

    Merci à vous.
    0
  16. Utilisateur anonyme
     
    Re

    > Lance ZHPFix depuis le raccourci du bureau. Sous Vista :Clic droit sur l'icône ZHPFix.exe
    « Exécuter en tant qu'administrateur »

    * Une fois l'outil ZHPFix ouvert, clique sur le bouton [ H] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal (qui est vierge), copie/colle tout le texte qui se trouve ci-dessous (et rien d'autre !) :

    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At1.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At10.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At11.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At12.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At13.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At14.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At15.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At16.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At17.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At18.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At19.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At2.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At20.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At21.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At22.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At23.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At24.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At3.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At4.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At5.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At6.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At7.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At8.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\At9.job
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job
    O44 - LFC:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 10/06/2010 - 05:19:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\System32\drivers\hncwxio.sys [54016]
    O58 - SDL:[MD5.E6D35F3AA51A65EB35C1F2340154A25E] - 10/06/2010 - 05:19:47 ---A- . (.Pas de propriétaire - Pas de description.) -- C:\WINDOWS\system32\drivers\hncwxio.sys

    Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    * Puis clique sur le bouton [ OK] .
    > À ce moment là, il apparaîtra au début de chaque ligne une petite case vide. Ne touche plus à rien !

    !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!

    * Clique sur le bouton [ Tous]. Vérifie que toutes les lignes soient bien cochées.

    * Enfin clique sur le bouton [ Nettoyer].

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    Pense à réactiver tes défenses !...

    @+
    0
  17. smilodon
     
    ZHPFix v1.12.3105 by Nicolas Coolman - Rapport de suppression du 13/06/2010 17:24:45
    Fichier d'export Registre :
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    Processus mémoire :
    (Néant)

    Module mémoire :
    (Néant)

    Clé du Registre :
    (Néant)

    Valeur du Registre :
    (Néant)

    Elément de données du Registre :
    (Néant)

    Préférences navigateur :
    (Néant)

    Dossier :
    (Néant)

    Fichier :
    c:\windows\tasks\at1.job => Fichier absent
    c:\windows\tasks\at10.job => Fichier absent
    c:\windows\tasks\at11.job => Fichier absent
    c:\windows\tasks\at12.job => Fichier absent
    c:\windows\tasks\at13.job => Fichier absent
    c:\windows\tasks\at14.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at15.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at16.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at17.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at18.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at19.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at2.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at20.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at21.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at22.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at23.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at24.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at3.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at4.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at5.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at6.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at7.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at8.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at9.job => Supprimé et mis en quarantaine
    c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\hncwxio.sys => Supprimé et mis en quarantaine
    c:\windows\system32\drivers\hncwxio.sys => Fichier absent
    c:\windows\tasks\at13.job => Supprimé et mis en quarantaine
    c:\windows\tasks\at14.job => Fichier absent
    c:\windows\tasks\at15.job => Fichier absent
    c:\windows\tasks\at16.job => Fichier absent
    c:\windows\tasks\at17.job => Fichier absent
    c:\windows\tasks\at18.job => Fichier absent
    c:\windows\tasks\at19.job => Fichier absent
    c:\windows\tasks\at2.job => Fichier absent
    c:\windows\tasks\at20.job => Fichier absent
    c:\windows\tasks\at21.job => Fichier absent
    c:\windows\tasks\at22.job => Fichier absent
    c:\windows\tasks\at23.job => Fichier absent
    c:\windows\tasks\at24.job => Fichier absent
    c:\windows\tasks\at3.job => Fichier absent
    c:\windows\tasks\at4.job => Fichier absent
    c:\windows\tasks\at5.job => Fichier absent
    c:\windows\tasks\at6.job => Fichier absent
    c:\windows\tasks\at7.job => Fichier absent
    c:\windows\tasks\at8.job => Fichier absent
    c:\windows\tasks\at9.job => Fichier absent
    c:\windows\tasks\{8c3fdd81-7ae0-4605-a46a-2488b179f2a3}.job => Fichier absent

    Logiciel :
    (Néant)

    Script Registre :
    (Néant)

    Master Boot Record :
    (Néant)

    Autre :
    (Néant)

    Récapitulatif :
    Processus mémoire : 0
    Module mémoire : 0
    Clé du Registre : 0
    Valeur du Registre : 0
    Elément de données du Registre : 0
    Dossier : 0
    Fichier : 48
    Logiciel : 0
    Master Boot Record : 0
    Préférences navigateur : 0
    Autre : 0

    End of the scan
    0
  18. Utilisateur anonyme
     
    Re

    Essaie maintenant ComboFix.
    Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    Ou ici : https://forospyware.com
    >Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
    -> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - Installe le console de récupération comme demandé ;utile en cas de plantage

    - Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    /!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)

    ::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes

    @+
    0
  • 1
  • 2
  • 3