Virus Trojandownloader:Win32/renos.JW

Résolu/Fermé
Harvester - 17 juil. 2010 à 21:18
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 - 23 juil. 2010 à 11:32
Bonjour,

Depuis aujourd'hui je suis infecté par le virus Trojandownloader:Win32/renos.jw comme me l'annonce régulièrement Windows Defender sans pouvoir le supprimer...
Avast n'a pour sa part rien detecté.

J'ai téléchargé ZHPDiag comme indiqué sur un topic traitant du même virus, voici le rapport:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijnM9gwyq.txt

Merci d'avance pour l'aide!

A voir également:

6 réponses

Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 2 327
17 juil. 2010 à 22:15
Bonjour à vous deux, désolé d'intervenir, c'est juste pour faire avancer

il se peut qu'il y ait un rootkit
Voir ces lignes

detected MBR rootkit hooks:
\Driver\atapi -> 0x85d231f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection
Use "ZHPFix" command "MBRFix" to clear infection


Fais avec ZHPFix un un MBRFix</ital> et ensuite
lance defogger (car cela peut provenir de daemaon Tool) et redemande un scan ZHPDiag

Smart
1
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 18/07/2010 à 11:49
Ouep ;)


@ Harvester:

Après avoir refais MBAM et USBFIX:
https://forums.commentcamarche.net/forum/affich-18523101-virus-trojandownloader-win32-renos-jw#7


Fais la suite:

Télécharge Gmer sur ton Bureau:
http://www2.gmer.net/mbr/mbr.exe


# Désactive tous tes programmes de protection (antivirus, antispyware etc.)
# Double-clique sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
# Un rapport sera généré mbr.log, voici un extrait de log en cas d'infection :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net  

    device: opened successfully  
    user: MBR read successfully  
    kernel: MBR read successfully  
    user & kernel MBR OK  
    MBR rootkit code detected !  
    malicious code @ sector 0x365340 size 0x1e8 !  
    copy of MBR has been found in sector 62 !  
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.  




Si tu es infecté, le message MBR rootkit code detected apparaît.

Pour supprimer le rootkit :

# Menu Démarrer / exécuter et tape la commande : "%userprofile%\Bureau\mbr" -f
(veuillez à bien respecter les guillemets)
# dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
# Supprime le fichier mbr.log
# Relance mbr.exe et revisualise mbr.log, si tu n'es plus infecté, tu dois alors avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net  

    device: opened successfully  
    user: MBR read successfully  
    kernel: MBR read successfully  
    user & kernel MBR OK   
0
Après téléchargement, désactivation d'Avast, j'obtiens ce log:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: error reading MBR
kernel: error reading MBR
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
18 juil. 2010 à 15:51
C'est normal tu es sous Vista:
Recommence en faisant clic-droit sur mbr.exe et choisis "Exécuter en temps qu'administrateur".

Poste ensuite le log mbr.log
0
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

C'est ok.
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
18 juil. 2010 à 16:01
Ok niquel ;)

Tu as fais MBAM (supprimer la sélection) et USBFix (option SUPPRESSION) ?
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 17/07/2010 à 21:55
Hey, re :)


==========================================================

* Télécharge Malwarebytes Antimalware :
http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.46.exe
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

# Choisis « Exécuter un examen complet » en cliquant dessus.
Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
# Clique sur Rechercher
# Patiente jusqu'à la fin du scan.....une fenêtre s'ouvrira, clique alors sur OK
# Si MalwareByte's n'a rien détecté, clique sur Ok. Un rapport va apparaître ferme-le.
# Si MalwareByte's a détecté des infections, clique sur Afficher les résultats puis sur Supprimer la sélection
# Enregistre le rapport sur ton Bureau pour le trouver plus facilement.
#Poste ensuite ce rapport.

Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.
O.o°*|| $?@??W || °o.O


==========================================================



Télécharge USBFix sur ton Bureau:
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

* Double-clique sur USBFix.exe pour le lancer.
* Clique sur Recherche et laisse l'outil travailler.
* Une fenêtre te demandera de bancher tous les périphériques externes(clés USB, lecteurs MP3, disques durs externes, etc ...). Branche les puis clique sur OK pour poursuivre.
* Patiente le temps du scan.
* A la fin, un rapport va être généré (C:\USBFix.txt).
* Envoie le dans ton prochain message
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
17 juil. 2010 à 21:56
J'ai édité mon message: je préférerais que tu commence par malwarebytes en 1er. Si tu as déjà commencé ce n'est pas grave ;)
0
Non pas commencé, Avast n'est pas content au moment de télécharger USBFix... il indique un Trojan.
Je commence par MBAM donc ;)
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 17/07/2010 à 22:04
Oui avast détecte un trojan pour usbfix...ne t'en préoccupe pas, désactive avast le temps de la manip si il faut ;)

Je reviens demain.
0
Re,
Voila le rapport pour MBAM, visiblement il y a un peu de boxon...

http://www.cijoint.fr/cjlink.php?file=cj201007/cij60uCWOx.txt

Voilà pour USBFix:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijYznpXEU.txt

Merci encore pour le coup de main!
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 18/07/2010 à 11:36
"No action taken" ==> tu n'as pas supprimé la sélection.
Aide toi de ce tuto: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ (à la 9ème capture d'écran entre autre...)

Ensuite:

Relance USBFix.exe.

* Clique sur Suppression.
* Une fenêtre te demandera de bancher tous les périphériques externes (clés USB, lecteurs MP3, disques durs externes, etc ...). Branche le matériel puis clique sur OK pour poursuivre.
* Le bureau va disparaitre et ne sera plus accessible tout le temps du scan, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
* A la fin, un rapport va être généré (C:\USBFix.txt).
* Envoie l'intégralité de son contenu dans ta prochaine réponse.
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
18 juil. 2010 à 17:28
D'acc ;) Fais ce qui suit:

Désactive l'UAC le temps de la manipulation:

/!\ Panneau de configuration >> comptes utilisateurs >> activer/désactiver le contrôle des comptes utilisateurs >> décoche la case puis fais OK

* /!\Désactive ton antivirus également/!\

* Télécharge et installe List&Kill'em de gen-hackman sur ton BUREAU:

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

# Clic droit "exécuter en tant qu'administrateur" sur le raccourci sur ton bureau pour lancer l'installation
# coche la case "créer une icône sur le bureau"
# une fois terminée , clic sur "terminer" et le programme va se lancer.
# choisis la langue puis choisis l'option SEARCH
# laisse travailler l'outil
# un rapport du nom de catchme apparait sur ton bureau , ignore-le, ne le poste pas, mais ne le supprime pas pour l'instant, le scan n'est pas fini.
# Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

# réactive ton antivirus
# Réactive l'UAC



=========================================================
=========================================================

# Télécharge Ad-Remover :
http://sd-1.archive-host.com/membres/up/16506160323759868/AD-R.exe

/!\ Déconnectes toi, désactives ton anti-virus et fermes toutes applications en cours /!\

# Double-clique sur le programme d'installation, installe-le dans son emplacement par défaut (C:\Programmes).

# Au menu principal, choisis l'option Scanner.
# Poste le rapport généré (C:\Ad-ReportScan.txt).
0
Rapport List 'em :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijVz8IJrk.txt

Rapport Ad-Remover :

http://www.cijoint.fr/cjlink.php?file=cj201007/cijoDjV68F.txt
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
19 juil. 2010 à 10:46
# Relance List&Kill'em: clic droit >> "Exécuter en tant qu'administrateur"

# choisis l'option CLEAN

# ton PC va redémarrer,
# laisse travailler l'outil.
# en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
# colle le contenu dans ta prochaine réponse

=============================
=============================

# Relance Ad-remover : /!\ Déconnectes toi et fermes toutes applications en cours

* Double clique sur "Ad-R.exe" pour lancer l'application

* Au menu principal choisi l'option "NETTOYER".

*Patiente le temps du nettoyage...

*Postes le rapport qui apparait à la fin.

*Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN.txt
0
Rapport Kill'em:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijVwuzsiE.txt

Ad-Report-CLEAN:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijBYykHrO.txt

Merci encore pour ton aide.
On touche au but?
J'avoue que les logs sont longs et que je m'y suis pas spécialement plongé!^^
0
Utilisateur anonyme
19 juil. 2010 à 11:51
salut à tous

est-il possible de lire More.txt qui se trouve sur ton bureau ?
0
Pas de souci.
Just here:

http://www.cijoint.fr/cjlink.php?file=cj201007/cijFMxLi4P.txt
0
Utilisateur anonyme
19 juil. 2010 à 12:34
merci :)
0
Re!
Du coup sans vouloir insister, est-t-il possible d'avoir un compte rendu? :)
Merci.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
20 juil. 2010 à 02:06
Shad s'est perdu ^^
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
20 juil. 2010 à 10:57
Non pas encore ^^

Désolé, euh oui mais avant cela je voudrai moi même un rapport x)
Avec zhpdiag s'il te plaît.
0
http://www.cijoint.fr/cjlink.php?file=cj201007/cijPGSkNVV.txt

Et voilà!

Désolé pour le temps de latence je bosse d'aprem...

Bonne soirée
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
Modifié par Shad || x || le 21/07/2010 à 13:33
>> Relance ZHPFix depuis le raccourci qui est sur ton bureau .

Une fois l'outil ouvert , clique sur le bouton "H"
Dans l'encadré principal , copie/colle les lignes ci dessous:

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified 
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified 
[HKLM\Software\Boonty] 
O43 - CFD:Common File Directory ----D- C:\Program Files\BoontyGames 
O43 - CFD:Common File Directory ----D- C:\Program Files\Common Files\BOONTY Shared 
O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe 


Vérifie bien que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Puis clique sur le bouton OK.

>> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . Ne touche plus à rien.

Clique sur le bouton Tous . Vérifies que toutes les lignes soient bien cochées .

Enfin clique sur le bouton Nettoyer .

-> laisse travailler l'outil et ne touche à rien ...

-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le.

Une fois terminé, un rapport s'affiche : envoie le dans ta prochaine réponse.

========================================================
========================================================

Visiblement il reste des traces de Norton sur ton pc.

Télécharge et exécute l'outil de désinstallation Norton

# Sur le bureau Windows, clique deux fois sur l'icône Norton Removal Tool.

# Suis les instructions à l'écran.
# L'ordinateur pourra être redémarré plusieurs fois et tu seras peut-être invité à répéter certaines étapes après le redémarrage.

========================================================
========================================================

/+/+/+/+/+/+/+/+/+/ SUPPRESSION DES OUTILS UTILISÉS /+/+/+/+/+/+/+/+/+/

Lance ZHPFIX et clique sur l'icône "Nettoyeur de Tools" (un "A" avec une petite corbeille devant)

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

========================================================
========================================================
>> Télécharge CCleaner

>Installe-le en prenant soin de décocher les diverses options dont la barre Yahoo et la mise à jour.

> Lance CCleaner puis Clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures".

>Pour les autres paramètres, laisse-le avec ses réglages par défaut.

> Puis dans le menu Nettoyeur
> Clique sur Analyse (laisser travailler cela peut durer longtemps la 1ere fois)
> Clique sur le bouton Lancer le nettoyage.
> Clique une seconde fois sur le bouton Lancer le nettoyage
> Fait de même pour le menu "Chercher des erreurs"
=>A faire régulièrement.

========================================================
========================================================

/+/+/+/+/+/+/+/+/+/+/ METTRE A JOUR LE PC /+/+/+/+/+/+/+/+/+/+/

# Mets à jour JAVA

# Mets à jour Internet Explorer

O.o°*|| $?@??W || °o.O
0
* Rapport ZHP Fix:

Rapport de ZHPFix v1.12.3123 par Nicolas Coolman, Update du 15/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-22-07-2010-11-33-33.txt
Run by Rom1 at 22/07/2010 11:33:33
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé du Registre ==========
HKLM\Software\Boonty => Clé absente
O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe => Clé supprimée avec succès

========== Elément de données du Registre ==========
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

========== Dossier ==========
C:\Program Files\BoontyGames => Supprimé et mis en quarantaine
C:\Program Files\Common Files\BOONTY Shared => Supprimé et mis en quarantaine

========== Fichier ==========
c:\program files\adobe\reader 8.0\reader\reader_sl.exe => Supprimé et mis en quarantaine


========== Récapitulatif ==========
2 : Clé du Registre
2 : Elément de données du Registre
2 : Dossier
1 : Fichier


End of the scan



*Je pars, je m'occupe des autres étapes ce soir.
A plus tard
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
22 juil. 2010 à 12:30
Ok, au passage: tu pourras virer ce qu'il y a dans la quarantaine de ZHPFIX en cliquant sur la corbeille vide "Vider la quarantaine"

A ce soir.
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
22 juil. 2010 à 13:38
Adobe est à mettre à jour donc ce n'est pas grave.

Télécharger Adobe Reader 9
0
Ca y est tout est ok en principe!
J'avais déja CCleaner sinon.

Merci pour tout! ;)
Je mets le topic en résolu?
0
Shad || x || Messages postés 323 Date d'inscription dimanche 11 juillet 2010 Statut Membre Dernière intervention 29 juillet 2010 32
23 juil. 2010 à 11:32
Oui tu peux le mettre en [Résolu]

De rien, bonne continuation :)
0