Trojan.heur.rp

math21600 -  
sherred Messages postés 8605 Statut Membre -
Bonjour a tous,
es ce que qlq un pourrai m aider ???
j ai un souci avec un trojan que bitdefender en ligne me trouve. et il y a un seul fichier qu il n arrive pa a suprimer.
mon antivirus avast ne veu plu demarrer donc je l ai desinstaller et quand j ai voulu en remettre un autre impossible de lancer l installation.
en plus du probleme de l installation de l antivirus c est impossible de redemarrer en mode sans echec il me demande si je veu charger un fichier pour cela je doi appuyer sur entree ms que je le charge ou pas il redemmare kan meme.
je voudrai savoir si qlq un a deja eu ce probleme et comment se debarasser de ce trojan???
savoir si il es dangereux pour mon ordinateur ??

merci d avance

7 réponses

  1. sherred Messages postés 8605 Statut Membre 351
     
    ok , on peu regarder ca ensemble

    --> Télécharge FindyKill sur ton bureau :
    http://pagesperso-orange.fr/NosTools/Chiquitine29/FindyKill.exe
    --> Lance l'installation avec les paramètres par defaut

    --> Double-clique sur le raccourci FindyKill sur ton bureau

    --> Au menu principal, choisis l'option 1 (Recherche)

    --> Poste le rapport FindyKill.txt

    Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
    0
    1. math21600
       
      alors j ai essayer de telecharger avec le lien que tu m a donner ms des que je clic dessus toute les page internet explorer se ferme.
      j ai telecharger un pack avec plusieur antivirus dedans il y a un antivirus bootable que j ai essayer de graver avec nero . la gravure a bien marcher les fichier son sur le cd ms il ne veu pa le lancer au demmarage du pc . j ai regarder dans le bios ms tout a l air normal.
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      ou http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
      0
    3. sherred Messages postés 8605 Statut Membre 351
       
      donc --> Télécharge FindyKill sur ton bureau :
      http://pagesperso-orange.fr/NosTools/Chiquitine29/Setup.exe
      double clique sur setup.exe
      choisis ta langue ;)
      --> Au menu principal, choisis l'option 1 (Recherche)

      --> Poste le rapport FindyKill.txt

      Note : le rapport FindyKill.txt est sauvegardé à la racine du disque.
      0
    4. math21600
       
      voici le rapport


      ############################## | FindyKill V5.045 |

      # User : Utilisateur (Administrateurs) # UTILISAT-45B529
      # Update on 23/06/2010 by El Desaparecido
      # Start at: 12:48:21 | 17/08/2010
      # Website : http://pagesperso-orange.fr/NosTools/index.html
      # Contact : FindyKill.Contact@gmail.com

      # AMD Athlon(tm) XP 2600+
      # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
      # Internet Explorer 8.0.6001.18702
      # Windows Firewall Status : Enabled
      # AV : avast! antivirus 4.8.1368 [VPS 100801-1] 4.8.1368 [ Enabled | Updated ]

      # C:\ # Disque fixe local # 63,47 Go (47,22 Go free) [Système] # NTFS
      # D:\ # Disque fixe local # 85,57 Go (21,93 Go free) [Données] # NTFS
      # E:\ # Disque CD-ROM
      # F:\ # Disque CD-ROM
      # K:\ # Disque CD-ROM

      ############################## | Processus infectieux stoppés |

      "C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe" (328)
      "C:\WINDOWS\wintems.exe" (3304)

      ################## | Eléments infectieux |

      C:\WINDOWS\ban_list.txt
      C:\WINDOWS\mdelk.exe
      C:\WINDOWS\wintems.exe
      C:\WINDOWS\system32\srosa2.sys
      C:\WINDOWS\system32\wfsintwq.sys
      C:\Documents and Settings\Utilisateur\Application Data\drivers
      C:\Documents and Settings\Utilisateur\Application Data\drivers\downld
      C:\Documents and Settings\Utilisateur\Application Data\drivers\winupgro.exe
      C:\Documents and Settings\Utilisateur\Application Data\m
      C:\Documents and Settings\Utilisateur\Application Data\m\data.oct
      C:\Documents and Settings\Utilisateur\Application Data\m\flec006.exe
      C:\Documents and Settings\Utilisateur\Application Data\m\list.oct
      C:\Documents and Settings\Utilisateur\Application Data\m\srvlist.oct
      C:\Documents and Settings\Utilisateur\Application Data\m\shared
      C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\2S4HQ2D3\mxd[1].jpg
      C:\Documents and Settings\Utilisateur\Local Settings\Temporary Internet Files\Content.IE5\H8IVYP7R\mxd[1].jpg

      ################## | Registre |

      [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
      [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
      [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
      [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
      [HKLM\SYSTEM\ControlSet004\Services\sK9Ou0s]
      [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
      [HKLM\SYSTEM\ControlSet001\Services\srosa]
      [HKLM\SYSTEM\ControlSet002\Services\srosa]
      [HKLM\SYSTEM\ControlSet003\Services\srosa]
      [HKLM\SYSTEM\ControlSet004\Services\srosa]
      [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
      [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
      [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
      [HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]
      [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]
      [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
      [HKCU\Software\bisoft]
      [HKCU\Software\DateTime4]
      [HKCU\Software\WS4001]
      [HKCR\ed2k]
      [HKCU\Software\Classes\ed2k]
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
      [HKU\S-1-5-21-823518204-1123561945-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "eMuleAutoStart"
      [HKU\S-1-5-21-823518204-1123561945-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "eMuleAutoStart"
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
      [HKU\S-1-5-21-823518204-1123561945-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
      [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
      [HKU\S-1-5-21-823518204-1123561945-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
      [HKU\S-1-5-21-823518204-1123561945-1801674531-1004\Software\bisoft]
      [HKU\S-1-5-21-823518204-1123561945-1801674531-1004\Software\DateTime4]
      [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
      [HKU\S-1-5-21-823518204-1123561945-1801674531-1004\Software\Local AppWizard-Generated Applications\winupgro]

      ################## | Etat |

      # Affichage des fichiers cachés : OK

      Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

      # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
      # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
      # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
      # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
      # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
      # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

      ################## | ! Fin du rapport # FindyKill V5.045 ! |
      0
  2. sherred Messages postés 8605 Statut Membre 351
     
    impec

    lancer le nettoyage via FindyKill,
    --> relance le programme. « Double-clique sur le raccourci FindyKill sur ton bureau »
    -->Dans le menu principal, tape 2 puis validez par entrée.

    Le menu démarrer et les icônes vont à nouveau disparaître.. c'est normal.
    Le nettoyage va prendre quelques minutes...

    -->Appuye sur OK sur la fenêtre d'informations

    Le fix peux avoir besoin de redémarrer l'ordinateur, un message va t' avertir, appuye sur une touche
    0
  3. yop°°
     
    Salut,

    comment avez vous fais sherred pour savoir qu'il y avait du srosa avant même d'avoir un rapport svp ?

    Merci d'avance
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      les symptomes
      0
    2. FaireGenre
       
      OK ::)

      Le problème de réinstalle ?
      C sa ?

      Merci de me dire
      0
    3. sherred Messages postés 8605 Statut Membre 351
       
      le bloquage de l'antivirus et l'impossibilité de reinstaller un autre , voire executer ou d'acceder a un systeme de desinfection, l'impossibilité de redemarrer en sans echec
      il y avais 80 % de chance
      0
  4. style
     
    d'acord et merci beaucou

    """

    le bloquage de l'antivirus et l'impossibilité de reinstaller un autre , voire executer ou d'acceder a un systeme de desinfection, l'impossibilité de redemarrer en sans echec
    il y avais 80 % de chance


    ""

    Vous m'avez très bien expliquer les simptome de cette infection.
    Je vous en remerci et comprend mieux.

    @math21600 : je vous co nseille de suivre les instruction de sherred consernant votre infection "Bagle".
    Merci à vous pour toutes ses expliqctions.
    0
    1. math21000
       
      reste t il des etapes a faire ??
      es ce que je doit gardé FindyKill ou es ce que je peu l enlever ??
      et qu elle antivirus me conseillerez vous ??
      un grand merci car sans vous je n y serai jamais arriver
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      c'est pas fini
      0
    3. math21000
       
      j ai envoyer le rapport sur le site qu il me disai
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sherred Messages postés 8605 Statut Membre 351
     
    passe dabord ca
    télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
    le programme va se mettre automatiquement a jour.

    Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    0
    1. math21000
       
      il me dit que la page es introuvable
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      Anti-Malware 1.46
      0
    3. math21000
       
      et quel antivirus je peu installer???
      0
    4. math21000
       
      et comment on peu atrapper ce trojan???
      0
  7. sherred Messages postés 8605 Statut Membre 351
     
    une petite analyse pour verifier si tout va bien

    >>Télécharge random's system information tool (RSIT) http://images.malwareremoval.com/random/RSIT.exe par random/random
    >>sauvegarde-le sur le Bureau.
    >>Double-clique sur RSIT.exe Clic Continue à l'écran Disclaimer.
    >>Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    >>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. log.txt qui sera affiché ..ainsi que de info.txt qui sera réduit dans la Barre des Tâches.

    Fait un copié / collé sur ta prochaine reponse
    si tu n'y arrive pas
    copie les ici
    http://www.cijoint.fr/

    - et Copie le lien dans ta réponse.
    0
    1. math21000
       
      http://www.cijoint.fr/cjlink.php?file=cj201008/cijLzoKZKM.txt
      0
  8. sherred Messages postés 8605 Statut Membre 351
     
    tu es encore infecté
    Télécharge combofix.exe
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    clique combofix.exe.
    touche 1 (Yes) pour démarrer le scan.
    une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve également ici : C:\Combofix.txt

    Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
    arrete les anti virus et autres protection pendand l'analyse
    Pendant la durée de l'analyse ne te sert pas de ton pc

    une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares

    puis redemarre en mode sans echec et refait un MBAM

    0