Trojan.Dropper/Win-NV.Process Fermé

Question

Bonjour, 



Habituellement, lorsque je télécharge un fichier, je le fais analyser sur virustotal.com en complément avec mon antivirus. 

Par erreur j'ai ouvert le fichier incriminé mais pour l'instant il ne c'est rien passé.
 
Cependant, j'ai fait analyser un fichier et ça m'a donné comme réponse, pour un résulat de 1/43 (2,3%) :

SUPERAntiSpyware	4.40.0.1006	2010.10.20	Trojan.Dropper/Win-NV.Process

Alors que les autres n'indiquent que rien (y compris mon antivirus qui est antivir). D'habitude, je ne me satisfait que d'un 0%.

En complément, j'ai analysé mon pc avec Spybot Search and Destroy hormis un certain AdBrite que j'ai corrigé aussitôt, il n'a rien trouvé.

Mon Firewall, ZoneAlarm, n'a pas fait d'alerte.

Et j'ai fait aussi une analyse sur inoculer.com et n'a pas détecté de virus non plus.

Est-ce grave? Est-ce que je risque quelque chose?

Utilisateur anonyme · Answer

bonjour,
* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Utilisateur anonyme · Answer

bonjour,
on peut, si le pc le veut bien également, essayer ceci : 

*	 Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau. 
http://images.malwareremoval.com/random/RSIT.exe
	
Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
Double clique sur RSIT.exe pour lancer l'outil. 
Clique sur ' continue ' à l'écran Disclaimer. 
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence. 
Une fois le scan fini, 2 rapports vont apparaître. enregistres les sur ton bureau(log.txt & info.txt) 
 
héberge les sur le site cijoint, Copie et colle les liens fournis par le site Cijoint sur ton prochain message :
http://www.cijoint.fr/index.php

Utilisateur anonyme · Answer

si je te propose autre chose, ça va être pareil, il te reste une solution, c'est de passer par la restauration système :P


aucun des outils qu'on utilise ici est compatible avec 98 !

c'est de l'age de dinosaure ...  pardon Derrick tout ceci,  mdr

derrick · Answer

Et une autre question, au passage, comment est SUPERAntiSpyware 4.40.0.1006, par rapport à Spybot 1.6.2 (j'ai fait toutes les mises à jours pour les signatures de mouchards).
 Est-il plus ou moins fiable?

Utilisateur anonyme · Answer

person, je prefère Superantispyware à spybot !

au moins, ça ralenti pas le pc !

derrick · Answer

Je demandais ça parce que vais tenter de l'installer sur le pc pour voir voir s'il détecte aussi.

Une fois fait, je dirais ce qu'il se passe.

Utilisateur anonyme · Answer

laisse tomber Spybot, opte pour Superantispywar, mais avant tout, essaie MBAM : 

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau: 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  

ou ici : https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ 
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.  
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour  
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes  
. Une fois la mise à jour terminé 
. rend-toi dans l'onglet, Recherche  
. Sélectionnes Exécuter un examen complet 
. Cliques sur Rechercher 
. Le scan démarre.  
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
. Cliques sur Ok pour poursuivre.  
. Si des malwares ont été détectés, cliques sur Afficher les résultats  
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.  
. rends toi dans l'onglet rapport/log  
. tu cliques dessus pour l'afficher une fois affiché  
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous  
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse  
. Tu cliques droit dans le cadre de la réponse et coller  
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!! 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

derrick · Answer

J'aiu essayé mais ça ne marche pas non plus, mais à la place j'ai installéSpyware Blaster, il est fiable?

Et tant que j'y pense, Trojan.Dropper/Win-NV.Process est le nom d'un cheval de troie, donc mon firewall devrait afficher son nom s'il tente de se connecter?

J'ai fait analyser un autre fichier sur virustotal.com et ça me donne :

eSafe	7.0.17.0	2010.10.21	Win32.Heuristic.co

Est-ce que Esafe est un antivirus fiable? Win32.Heuristic.co est bien aussi un nom de cheval de Troie?

Utilisateur anonyme · Answer

bonjour,
je n econnais pas !

mais quel  est le nom et le chemin d'accès à ton trojan dropper ?

fais le passer à virus total, colle son rapport ici  

on verra ce que c'est  :-)

Utilisateur anonyme · Answer

le nom du fichier et son chemin d'accès m'interesse  :-)

Utilisateur anonyme · Answer

il n'y a que Superantisyware qui le détecte comme néfaste,
je pense que tu t'insuietes pour rien  :-)

derrick · Answer

Au fait j'ai téléchargé hijackthis sur old apps et voilà ce que j'ai (depuis hier, j'ai changé antivir pour avast! afin d'avoir des signatures mises à jours) :

Logfile of HijackThis v1.99.1
Scan saved at 18:51:37, on 23/10/10
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\PROGRAM FILES\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAM FILES\LG USB DRIVE 2.9\LG_DRIVE.EXE
C:\WINDOWS\SYSTEM\S3APPHK.EXE
C:\PROGRAM FILES\MULTIMEDIA CARD READER\SHWICON98.EXE
C:\PROGRAM FILES\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.EXE
C:\PROGRAM FILES\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\PROGRAM FILES\AXBX\VIRUSKEEPER 2009 PRO EVALUATION\VIRUSKEEPER.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAM FILES\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE
C:\PROGRAM FILES\SAGEM\SAGEM F@ST 800-840\DSLMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\WINRAR\WINRAR.EXE
C:\WINDOWS\BUREAU\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://actus.sfr.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS	askmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LG Drive] C:\Program Files\LG USB Drive 2.9\LG_Drive.exe
O4 - HKLM\..\Run: [S3apphk] S3apphk.exe
O4 - HKLM\..\Run: [Sunkist] C:\Program Files\Multimedia Card Reader\shwicon98.exe
O4 - HKLM\..\Run: [autoclk] autoclk.exe
O4 - HKLM\..\Run: [adiras] adiras.exe
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Program Files\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [avgctrl] "C:\Program Files\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [VirusKeeper] C:\Program Files\AxBx\VirusKeeper 2009 Pro Evaluation\VirusKeeper.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [schedm] "C:\Program Files\AntiVir PersonalEdition Classic\schedm.exe"
O4 - Startup: Raccourci vers Osa.lnk = C:\Program Files\Microsoft Office\Office\OSA.EXE
O4 - Startup: Microsoft Recherche accélérée.lnk = C:\Program Files\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: DSLMON.lnk = C:\Program Files\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\webelated.htm
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} - http://www.inoculer.com/antivirus/Msie/bitdefender.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/fr/scan8/oscan8.cab

Utilisateur anonyme · Answer

Hijackthis n'est pas à jour et ton rapport est incomlet,
mais il y a ceci comme infection là dessus :

C:\WINDOWS\TASKMON.EXE 
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS	askmon.exe 

je peux te faire fixer la clé, mais pour le fichier, il faut le virer manuellement !

derrick · Answer

C'est bizarre, je l'ai fait analyser sur virustotal, et ça n'a rien trouvé. 

Taskmon.exe, ce n'est pas un executable de windows qui gère les processus?

https://www.generation-nt.com/

Utilisateur anonyme · Answer

bonjour,
demande un nouvel analyse du fichier sur le site de virus total et colle le lien du rapport ici  :-)

on verra ce que c'est  :-)

Utilisateur anonyme · Answer

donc ce n'est pas infctieux sous 98  :-)

mais sous xp, s'en est  :-)

Utilisateur anonyme · Answer

ton rapport n'est pas complet !

Utilisateur anonyme · Answer

bonjour, 
tes lignes de rapport s'arrêtent à O9 ! 

les services sont en O23 ! 

lz fin du rapport est marquée par  

EOF  :-) 

O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

Derrick · Answer

Je viens de faire une prévisualisation, lorsque que je copie on ne voit jamais

End of file - 3806 bytes 

Je suppose que les 2 "-" qui précédent servent pour les commentaires.

Toujours est-il que le rapport s'arrête bien à :

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHELPER.DLL

Utilisateur anonyme · Answer

les lignes en O23 ne sont que les services en cours d'execution comme ton antivius, le parfeu ......

donc je te propose de passer à xp quand tu peux, un pc qui ne suis pas l'evolution reste vulnérable  :-)

Trojan.Dropper/Win-NV.Process

20 réponses

Discussions similaires