Trojan.Win32.Crypt.t

Fermé

Colosseum - 20 oct. 2005 à 10:38
Xemnas - 2 sept. 2008 à 07:16

Bonjour, j'ai un problème avec mon ordinateur : depuis hier, un message apparait très souvent, et insiste pour que je clique sur " oui " ( je dois cliquer sur non des dizaines de fois pendant 30 secondes pour que le message s'en va ). Voici le message :

Personnal Firewall has detected that application 'C:\WINDOWS\SYSTEM32\DEBMARTA.EXE' was replaced by another application with description 'DEBMARTA.EXE'. Do you want to accept replacement of this application ?

Je ne sais pas à quoi ça correspond, mais je sais que c'est un trojan car j'ai tapé oui, énervé et lassé, un message " unable nani nana replace debmarta.exe error 2 " truc du genre et un tas de trojans ont commencés à débarquer, ou plutôt, apparement, le même mais se mettant sur plusieurs fichiers. J'ai fais une analyse antivirus, j'en avais 5 ( c'est la première fois avec Kaspersky et Kerio que j'en ai eu ), le trojan apparement s'appelait Trojan.Win32.crypt.t et s'était foutu en 1 er lieu sur C\...\system32\Itkxmasf.dll puis plein d'autres fichiers. Impossible de le supprimer, alors
JE CRiE UN GROS HELP à CEUX QUi M'ENTENDRONT, SVP AiDEZ MOI !

A voir également:

Trojan.Win32.Crypt.t
Trojan.win32.sepeh.gen - Forum Virus
Trojan.win32.agent ✓ - Forum Virus
Pdm trojan.win32.generic - Forum Virus
Trojan.win32.hosts2.gen - Forum Virus
Je suis infecté par un Trojan.Win32.KillAV.rf ✓ - Forum Virus

66 réponses

Réponse 21 / 66

Utilisateur anonyme
22 oct. 2005 à 09:44

salut quentin

je te remercis d'avoir pris mes posts en cours, pas mal de choses à faire et à régler ce w-e, donc je ne serais pas trop présent sur le forum.

a+

Réponse 22 / 66

Utilisateur anonyme
22 oct. 2005 à 12:23

Salut Olivier,
Pas de soucis, si je peux j y regarde, tu m as deja rendu l appareil, je peux bien faire ca pour toi ;-)

Bon courage pour les choses a regler

A+

Réponse 23 / 66

Colosseum
22 oct. 2005 à 16:59

Logfile of HijackThis v1.99.1
Scan saved at 16:40:27, on 22/10/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbload.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Kerio\Personal Firewall\persfw.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\modem ADSL USB\modem ADSL USB\dslmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\Emmanuel P\Local Settings\Temporary Internet Files\Content.IE5\R4TXSN0S\HijackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
O4 - HKCU\..\Run: [DesktopX] "C:\PROGRA~1\Stardock\OBJECT~1\DesktopX\DesktopX.exe"
O4 - Global Startup: DSLMON.lnk = ?
O8 - Extra context menu item: &Traduire à partir de l'anglais - res://c:\program files\google\GoogleToolbar3.dll/cmwordtrans.html
O8 - Extra context menu item: Pages liées - res://c:\program files\google\GoogleToolbar3.dll/cmbacklinks.html
O8 - Extra context menu item: Pages similaires - res://c:\program files\google\GoogleToolbar3.dll/cmsimilar.html
O8 - Extra context menu item: Recherche &Google - res://c:\program files\google\GoogleToolbar3.dll/cmsearch.html
O8 - Extra context menu item: Version de la page actuelle disponible dans le cache Google - res://c:\program files\google\GoogleToolbar3.dll/cmcache.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A74C1E31-49CB-434F-8D95-CE45B0E4DFCC}: NameServer = 80.118.192.100 80.118.196.36
O20 - Winlogon Notify: WB - C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall\persfw.exe

______________________________________________________

a² scan :

a² Report
Nom du fichier Diagnostic
C:\Documents and Settings\Emmanuel P\Cookies\emmanuel p@adtech[2].txt Trace.TrackingCookie
C:\Documents and Settings\Emmanuel P\Cookies\emmanuel p@bluestreak[1].txt Trace.TrackingCookie
C:\Documents and Settings\Emmanuel P\Cookies\emmanuel p@valueclick[2].txt Trace.TrackingCookie
C:\Documents and Settings\Emmanuel P\Cookies\emmanuel p@weborama[2].txt Trace.TrackingCookie

Réponse 24 / 66

Utilisateur anonyme
22 oct. 2005 à 17:20

salut colosseum

Ton hijackthis à l'air d'être ok.
Le rapport a² ne signale que des cookies, que tu peux supprimer sans problemes.
Apparement le scan que tu avais fait chez bitdefender signale des points de restauration système qui sont infectés et ont été nettoyé par l'av.

Ou en sont tes soucis, et est ce que tu as refais un scan de controle ?

a+

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 66

Colosseum
22 oct. 2005 à 17:38

toujours la même chose. Message DEBMARTA qui revient sans cesse sur lequel je dois m'acharner encore et encore à coups de " non ".

Réponse 26 / 66

Utilisateur anonyme
22 oct. 2005 à 17:40

fais analyser C:\WINDOWS\SYSTEM32\DEBMARTA.EXE ici:
http://www.virustotal.com/xhtml/virustotal_en.html
clic sur parcourir, selectionne le fichier ou copie et colle son chemin, valide et clic sur send
attend un peu et un rapport d'analyse va s'afficher, copie et colle le ici

Réponse 27 / 66

Colosseum
22 oct. 2005 à 18:00

introuvable manuellement comme si le fichier était fantôme, et lorsque je copie / colle le lien, ca me met " File size can't be more than 10 Megabytes.
You can't try compressing it. ".

Réponse 28 / 66

Utilisateur anonyme
22 oct. 2005 à 18:04

Telecharge: Pocket Killbox ici
http://www.downloads.subratam.org/KillBox.exe
l'aide détaillé de la manip est en video ici:
http://pageperso.aol.fr/balltrap34/killbox.htm

lance killbox:
- coche: delete on reboot
- Dans "Full Path of File to Delete"
copie et colle:

C:\WINDOWS\SYSTEM32\DEBMARTA.EXE

- clic sur la croix blanche dans le rond rouge
- une fenetre va apparaitre pour confirmation clic sur YES
- une seconde fenetre te demande si tu veux redemarrer clic sur YES

Réponse 29 / 66

Colosseum
22 oct. 2005 à 18:16

C'est fait. Le message réapparait 5 minutes après le redémarrage, et à la même fréquence qu'avant :

/!\ Personal Firewall has detected that application
'C:\WINDOWS\SYSTEM32\DEBMARTA.EXE' was replaced by
another application with description 'DEBMARTA.EXE'.
Do you want to accept replacement of this application ?

Réponse 30 / 66

Utilisateur anonyme
22 oct. 2005 à 18:19

si tu rend visible les fichiers cachés et systeme est ce que tu arrive à le voir ?

Réponse 31 / 66

Colosseum
22 oct. 2005 à 19:59

comment faut s'y prendre ? et une fois que je l'ai fais, si je le vois / le vois pas je fais quoi ?

Réponse 32 / 66

Utilisateur anonyme
22 oct. 2005 à 20:37

salut
¤Affiche tous les fichiers et dossiers :
Clique sur démarrer/panneau de configuration/outil/option des dossiers/affichage

Coche « afficher les fichiers et dossiers cachés »

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

Décoche « masquer les extensions dont le type est connu »
Puis fais «Ok» pour valider les changements.

Et appliquer !

Ensuite dis nous si tu arrives a le localiser

a+

Réponse 33 / 66

Colosseum
22 oct. 2005 à 21:29

Introuvable, pourtant j'ai coché / décoché ce que tu m'as dis.

Réponse 34 / 66

Colosseum
22 oct. 2005 à 21:29

Introuvable, pourtant j'ai coché / décoché ce que tu m'as dis.

Réponse 35 / 66

Colosseum
22 oct. 2005 à 21:32

Introuvable, pourtant j'ai coché / décoché ce que tu m'as dis.

Réponse 36 / 66

Utilisateur anonyme
22 oct. 2005 à 21:37

c'est vraiment bizarre

on va essayer autre chose:
telecharge silentrunners ici:
http://www.silentrunners.org/Silent%20Runners.vbs

lance le et si ton av te le demande, autorise le script
poste le rapport qu'il va générer ici

a+

Réponse 37 / 66

Colosseum
22 oct. 2005 à 22:04

rapport :

Silent Runners.vbs", revision 41, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"0" = "C:\WINDOWS\win32spool.exe" [file not found]

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Steam" = ""c:\program files\steam\steam.exe" -silent" ["Valve Corporation"]
"DesktopX" = ""C:\PROGRA~1\Stardock\OBJECT~1\DesktopX\DesktopX.exe"" [file not found]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"SunJavaUpdateSched" = "C:\Program Files\Java\j2re1.4.2_06\bin\jusched.exe" [null data]
"NeroCheck" = "C:\WINDOWS\system32\\NeroCheck.exe" ["Ahead Software Gmbh"]
"adiras" = "adiras.exe" [file not found]
"QuickTime Task" = ""C:\Program Files\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"TkBellExe" = ""C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."]
"KAVPersonal50" = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize" ["Kaspersky Lab"]
"WinampAgent" = "C:\Program Files\Winamp\winampa.exe" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = "AcroIEHlprObj Class" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{AA58ED58-01DD-4d91-8333-CF10577473F7}\(Default) = "Google Toolbar Helper" [from CLSID]
-> {CLSID}\InProcServer32\(Default) = "c:\program files\google\googletoolbar3.dll" ["Google Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "Extension Affichage Panorama du Panneau de configuration"
-> {CLSID}\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Extension icône HyperTerminal"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {CLSID}\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\AXShlEx.dll" ["Alcohol Soft Development Team"]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{2F5AC606-70CF-461C-BFE1-734234536262}" = "WindowBlinds CPL Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\wbui.dll" ["Stardock.Net, Inc"]
"{AB77609F-2178-4E6F-9C4B-44AC179D937A}" = "a² Context Menu Shell Extension"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\
INFECTION WARNING! "AppInit_DLLs" = "wbsys.dll" ["Stardock.Net, Inc"]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! WB\DLLName = "C:\PROGRA~1\Stardock\OBJECT~1\WINDOW~1\fastload.dll" ["Stardock"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\shellex.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {CLSID}\InProcServer32\(Default) = "C:\Program Files\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
a2ContMenu\(Default) = "{AB77609F-2178-4E6F-9C4B-44AC179D937A}"
-> {CLSID}\InProcServer32\(Default) = "C:\PROGRA~1\A2FREE~1\A2CONT~1.DLL" [null data]

je veux pas vous faire griller les neurones les mecs hein :s

Réponse 38 / 66

Colosseum
22 oct. 2005 à 22:42

Réponse 39 / 66

Colosseum
23 oct. 2005 à 00:41

Réponse 40 / 66

Colosseum
23 oct. 2005 à 01:06

Discussions similaires

Trojan Win32 generic

Trojan.Win32.Hosts2.gen

Infection par Trojan.Win32.Bazon.a

PDM:Trojan.generic.win32 depuis 2 jours

que veut dire virus Trojan-Downloader.Win32.A