Trojan : c:\windows\system32\install\firefox

Question

Bonjour, 

Après de nombreuses analyse du système avec hiJackThis , ZHPDiag et TrojanRemover j'ai pu remarquer qu'un trojan se trouvait sur mon Ordi a l'adresse suivante :

C:\windows\system32\install\firefox.exe

lancer par 

HKLM \ Software\microsoft\windows\currentversion\run\"HKLM"
HKLM \ Software\microsoft\windows\currentversion\policies\explorer\run\"policies"
HKCU \ Software\microsoft\windows\currentversion\run\"HKCU"
HKCU \ Software\microsoft\windows\currentversion\policies\explorer\run\"policies"

malheureusement je n'ai pas les droit d'administrateur sur ce post, je ne peut donc pas vous poster les rapports de ZHPDiag et hiJackThis. J'ai essayer de supprimer les entrées directement en passant par "regedit" ainsi que supprimer l'exe en question manuellement. Rien à faire ça ne change rien. 

j'aimerai trouver une solution car ce problème m'empêche de travailler. Ai-je absolument besoins des droits d'admin pour résoudre le problème, si oui, pourriez vous me le dire au plus vite que je demande les info nécessaire à mon employeur. 

Cordialement,
JVE

Configuration: Windows XP / Safari 534.3

JVE · Answer

Antivirus	Version	Last update	Result
AhnLab-V3	2010.09.27.01	2010.09.27	-
AntiVir	7.10.12.36	2010.09.27	TR/Dropper.Gen
Antiy-AVL	2.0.3.7	2010.09.27	-
Authentium	5.2.0.5	2010.09.27	-
Avast	4.8.1351.0	2010.09.27	-
Avast5	5.0.594.0	2010.09.27	-
AVG	9.0.0.851	2010.09.27	-
BitDefender	7.2	2010.09.27	-
CAT-QuickHeal	11.00	2010.09.27	-
ClamAV	0.96.2.0-git	2010.09.27	-
Comodo	6210	2010.09.27	-
DrWeb	5.0.2.03300	2010.09.27	-
Emsisoft	5.0.0.37	2010.09.27	Trojan-Dropper!IK
eSafe	7.0.17.0	2010.09.26	-
eTrust-Vet	36.1.7878	2010.09.27	-
F-Prot	4.6.2.117	2010.09.27	-
F-Secure	9.0.15370.0	2010.09.27	-
Fortinet	4.1.143.0	2010.09.26	-
GData	21	2010.09.27	-
Ikarus	T3.1.1.88.0	2010.09.27	Trojan-Dropper
Jiangmin	13.0.900	2010.09.27	-
K7AntiVirus	9.63.2608	2010.09.25	-
Kaspersky	7.0.0.125	2010.09.27	-
McAfee	5.400.0.1158	2010.09.27	-
McAfee-GW-Edition	2010.1C	2010.09.27	-
Microsoft	1.6201	2010.09.27	Worm:Win32/Rebhip.A
NOD32	5482	2010.09.27	-
Norman	6.06.06	2010.09.26	-
nProtect	2010-09-27.03	2010.09.27	-
Panda	10.0.2.7	2010.09.26	-
PCTools	7.0.3.5	2010.09.27	-
Prevx	3.0	2010.09.27	-
Rising	22.66.06.01	2010.09.27	-
Sophos	4.58.0	2010.09.27	-
Sunbelt	6932	2010.09.27	-
SUPERAntiSpyware	4.40.0.1006	2010.09.27	-
Symantec	20101.1.1.7	2010.09.27	-
TheHacker	6.7.0.0.035	2010.09.27	-
TrendMicro	9.120.0.1004	2010.09.27	-
TrendMicro-HouseCall	9.120.0.1004	2010.09.27	-
VBA32	3.12.14.1	2010.09.27	-
ViRobot	2010.8.31.4017	2010.09.27	-
VirusBuster	12.65.27.3	2010.09.26	-
MD5: b3ae2572b046deddf85a5592d60f6c66
SHA1: 0082f565c365dbc1a4a70315f360a05346b3917c
SHA256: 2baf8b9ab63dcc4ead513e624c2473e624cd7f2955ce14987f8c612bc41b4c2b
File size: 534016 bytes
Scan date: 2010-09-27 10:57:40 (UTC)

JVE · Answer

J'ai opter pour une solution temporaire, pour ceux ayant le même soucis, en attendant de pouvoir vous débarrasser de cette pollution. Allez dans le dossier ou ce trouve firefox.exe, créé un nouveau dossier que vous appelé  "nouveau dossier".

Ouvrez notepad, écriver firefox.exe et fait un copier (ctrl + c). Une fois ceci fait, retourner dans le dossier ou se trouve le virus, supprimez firefox.exe et renommer votre dossier en firefox.exe.

Attention vous n'avez que quelques secondes avant qu'un nouvel exécutable soit recréé, soyez vif !

Cette technique ne vaccine pas votre ordinateur, il vous permet simplement d'évitez de subir ce virus. Ceci est une solution temporaire !

Utilisateur anonyme · Answer

Hello ,


* Télécharge OTM (OldTimer) sur ton Bureau. 
* Clique droit sur OTM.exe et choisis Exécuter en tant qu'administrateur. 
* Copie (Ctrl+C) le texte suivant ci-dessous : 



:processes 
explorer.exe 
firefox.exe

:files 
C:\windows\system32\install

:reg 
[HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\run]
"HKLM"=-
[HKEY_LOCAL_MACHINE\Software\microsoft\windows\currentversion\policies\explorer\run]
"policies"=- 
[HKEY_CURRENT_USER\Software\microsoft\windows\currentversion\run]
"HKCU"=-
[HKEY_CURRENT_USER\Software\microsoft\windows\currentversion\policies\explorer\run]
"policies"=-


:commands 
[emptytemp] 
[reboot]
[start explorer] 
[clearallrestorepoints]


* Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved. 
* Clique maintenant sur le bouton MoveIt! puis ferme OTM. 

---> Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 


* Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\ 
---> Le nom du rapport correspond au moment de sa création : date_heure.log 


~####################


* Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau. 
* Double-clique sur RSIT.exe afin de lancer le programme. 
* Clique sur Continue à l'écran Disclaimer. 
* Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches). 

Note : les rapports sont sauvegardés dans le dossier C:\rsit.

Trojan : c:\windows\system32\install\firefox

3 réponses

Votre réponse

Discussions similaires

Newsletters