TROJAN XPS JS WIN 32

Question

Bonjour, 

<config>Windows XP 3 / Firefox 2.0.0.20<

Je viens de choper ce vilain cheval de troie qui m'a complètement bloqué ma machine. J'ai tenté de l'éradiquer avec malabytes en mode sans échec mais en vain . les icones indésirables pornotube et autres ont disparus mais il m'est impossible de me connecter ou d'ouvrir quoique ce soit d'autre . Quelqu'un peut il m'aider ? Je possède un autre ordi pour me connecter . Il y a t'il une manip possilble à partir du mode sans échec par exemple ?

Merci de votre aide

flo-91 · Answer

Bonsoir, :


On va commencer par analyser ton pc, :

Télécharges Zhpdiag ici : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, dézippes le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme.

Clique sur Tous pour cocher toutes les cases des options.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

Rends toi sur http://www.cijoint.fr clic sur Parcourir, choisis le rapport sur ton bureau et clic sur Créer le lien,
Un lien te sera généré, postes le dans ta prochaine réponse .

namio · Answer

j'ai suivi la procédure mais aucun lien ne m'a été généré à l'issue de l'envoie de mon rapport.

namio · Answer

voici le lien avec le rapport :


http://www.cijoint.fr/cjlink.php?file=cj201010/cij7a39omG.txt

merci de ton aide

flo-91 · Answer

Tu es infecté par des rootkits/trojans/rogues entre autres...


Reste en mode sans echec et fait ceci :

1°

>Telecharge Combofix ici et enregistre le sur ton bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

>Renomme le au téléchargement par "tonnom.exe"

# Ferme toutes les fenêtres de programme ouvertes, y compris celle-ci.

# Ferme ou désactivez tous les programmes Antivirus, Antispyware, ainsi que tout pare-feu en cours d'exécution car ils pourraient perturber le fonctionnement de ComboFix.

#Double clic sur l'icône de ComboFix située sur le Bureau. Note bien que, une fois que tu as lancé ComboFix, tu ne dois pas cliquer dans la fenêtre de ComboFix car cela pourrait entraîner un plantage du programme. En fait, lorsque ComboFix tourne, ne touche plus du tout à ton pc. L'analyse peut prendre un certain temps, donc soit patient. 

#Une fenêtre présentant les différents sites autorisés de téléchargement de ComboFix s'affiche. Dans cette fenêtre, clique sur le bouton OK.

#Après la fin de la sauvegarde du Registre Windows, ComboFix va essayer de savoir si la Console de récupération est installée. Si tu ne l'a pas déja fait accepte.

#Ceci peut durer un certain temps, donc surtout soit patient. Si tu vois ton Bureau Windows disparaître, ne t'inquiete pas. C'est normal, et ComboFix restaurera votre Bureau avant de se terminer. Finalement, tu verras un nouvel affichage déclarant que le programme a presque fini et vous annonçant que le fichier rapport, ou log, se trouvera dans C:\ComboFix.txt.

#Poste ce rapport.


2°> Télécharge GMER :
http://www2.gmer.net/gmer.zip

* Dézipper le programme.
* Double cliquer sur Gmer.exe
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).


=> Des lignes rouges doivent apparaître en cas d'infection :

* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files

namio · Answer

merci pour ton aide.

Mais pour télécharger combofix je suis obligé de le prendre d'un autre ordinateur car celui qui est infecté ne me donne plus accès à internet même en mode sans échec!
Puis-je le télécharger de mon autre ordi et de le tranférer sur celui infecté ??

namio · Answer

Ca fait plus de 5 h que j'ai une fenêtre bleue m'indiquant qu'un compte rendu est en cours de préparation et que je ne dois rien lancé tant que Combofix n'a pas fini

Est-ce normal que ce soit aussi long ??

namio · Answer

non je ne l'avais pas renommer en mon nom est-ce que cela peut venir de là ??

namio · Answer

Dois-je reprendre toute la procédure en désinstallant Combofix ou je peux simplemment le renommer sur mon bureau ?

namio · Answer

Finalement par bonheur ça marche après + de 8 h il m'envoie la fenêtre qui m'indique que c'est presque terminé et que je vais trouver le rapport dans c \ COMBOFIX.TXT

Je vous poste le rapport le + rapidement possible !

namio · Answer

VOICI LE RAPPORT DE COMBOFIX

http://www.cijoint.fr/cjlink.php?file=cj201010/cijp3s3Joi.txt



mon ordi rame toujours dois-je continuer la procédure avec gmer.net ?

namio · Answer

J'ai passé Gmer qui a trouvé

Service C/ \ WINDOWS\system32\svchost.exe        (*** hiden*** )

J'ai donc fait un clique droit dessus et je l'ai mis delete service

Que dois-je faire maintenant ?

puis-je faire un scan complet ou bien repasser un logiciel comme Malawarebytes?

flo-91 · Answer

Reposte un nouveau rapport ZHPDIAG stp.

namio · Answer

impossible de te poster un nouveau rapport ZHDIAG
 car lors du scan à 66% il m'indique que  le serveur RPC est indisponible.

J'ai bien essayé de me dépatouiller en essayant de le réactiver mais en vain, de plus je n'ai plus ma barre de tâche sur le bureau et tjs  pas de connexion internet!

Je commence à desespérer .......

namio · Answer

je t'ai quand même mis une partie du rapport que j'ai pu récupérer qui correspond à 66% du scan 


http://www.cijoint.fr/cjlink.php?file=cj201010/cijc1mkvUO.doc

namio · Answer

Que puis-je faire maintenant ?

Dans mes favoris réseaux je n'ai plus de connexion apparentes, idem pour mon imprimante qui n'apparaît plus.
Dois-je refaire un combofix ??

flo-91 · Answer

Fait ceci :


>Telecharge malwarebytes ici :


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

. sur la page cliques sur Télécharger Malwarebyte's Anti-Malware
. enregistres le sur le bureau
/!\Utilisateur de Vista : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller


Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

namio · Answer

Salut Flo et merci de ton aide.

J'avais  déjà eu l'occasion de le passer cette après midi je te joins le rapport de 
Malwarebytes :

http://www.cijoint.fr/cjlink.php?file=cj201010/cijn3fD4KS.txt


Mais en quoi le fait de passer Mawabytes peut résoudre mon problème de serveur RPC ??

flo-91 · Answer

probleme de serveur ?
Tu n'avais pas mentionné ceci au début si ?

namio · Answer

Quand je vais sur ma connexion réseau j'ai une page blanche rien n'apparait

namio · Answer

je pense que ca vien tjrs du problème concernant l'absence du serveur TPC

namio · Answer

bonsoir,

J'ai refait un combofix dont voici le rappport 

 http://www.cijoint.fr/cjlink.php?file=cj201010/cijpTpT1q0.txt

Peux tu me dire ce qu'il en est et ce que je peux faire pour débloquer mon ordi?

Merci pour l'aide

namio · Answer

bonjour,

J'ai déjà fait cette manip mais lorsque je double clique sur connexion réseau la page est toute blanche sans connexion apparente.
J'ai fait la même manip sur mon audre ordi et ça fonctionne j'arrive bien jusqu'à l'option du menu "réparer "  Donc je ne pense pas me planter en le faisant !
C'est la même chose lorsque je vais dans l'icone imprimantes et télécopieurs je n'ai plus rien qui apparaît .


De plus je suis allé voir sur  l'icone sytème et dans la gestion de périphérique on voit apparaître un point d'interrogation jaune  indiquant un périphérique inconnu.

Que pense tu du rapport de combofix que je t'ai envoyé hier ? Indique t'il un problème particulier ?

flo-91 · Answer

Fait ceci :


# Télécharge Load_TDSSkiller de Loup Blanc sur ton Bureau,      

# Fais un double-clic sur Load_TDSSkiller (ou sous Vista, fais un clic droit et choisis d'exécuter en tant qu'administrateur),      

# L'outil va alors se connecter au net pour télécharger la dernière version de cet outil de Kaspersky,      

# A la fin de l'analyse, appuie sur une touche pour continuer, comme l'indique le message dans le fenêtre qui s'affiche à l'écran,      

# Le rapport va alors s'afficher automatiquement à l'écran,      
# Copie-colle son contenu dans ta prochaine réponse. Il est également enregistré ici : C:	dsskillereport.txt      

# Redémarre le pc.      


Tuto=> https://forum.malekal.com/viewtopic.php?t=22358&start=

namio · Answer

oui mais comment je peux le télécharger sur mon bureau d'ordi infecté sachant qu'il me faut une connexion internet que je n'ai pas!

J'ai fait la manip sur mon autre ordinateur valide et ça fonctionne il fait bien le scan .

namio · Answer

J'ai déjà fait la manip cette a midi mais il m'indique ce message d'erreur dès que je veux load tdsskiller à partir de la clef " des fichiers d'installation sont corrompus .
Téléchargez une nouvelle copie et retentez l'installation

namio · Answer

C'est la même chose en mode sans échec !!!

namio · Answer

Est-ce que la solution dans tout ça ne serait pas tout simplement de reformater le disque dur.
Tous mes dossiers important sont sous sauvagarde.
Le seul bémol est  comment puis - je sauvagarder mes message dans ma boîte outlook ?

flo-91 · Answer

Fait ceci stp : 


Télécharger le programme sur ce lien : http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

Il ne nécessite pas d'installation .
Double-clique sur le fichier SEAF.exe obtenu.


Dans "entrer ci-dessous le ou les occurences à chercher" tu tape :

svchost.exe

Il faut que les cases soit cochées de cette facon :

https://i65.servimg.com/u/f65/11/05/93/83/seaf10.jpg

Poster ce rapport par copier-coller en réponse dans le sujet où il a été demandé.

IL sera enregistré ici : C:\SEAFlog.txt ainsi qu'un rapport C:\TmpSeaf.txt

namio · Answer

ci dessous le lien pour le rapport demandé de seaf exe


http://www.cijoint.fr/cjlink.php?file=cj201010/cijf0IAKgJ.txt


et encore merci de m'aider

flo-91 · Answer

Fait ceci :


Télécharge WinFileReplace(de Loup_blanc)
http://fradesch.perso.cegetel.net/transf/WinFileReplace.exe

Ferme tout tes programmes puis double clique sur l'icone WinFileReplace
Choisis ta langue puis clique sur [Enter]
Laisse le programme vérifier ta version de Windows

Dans le bloc-note(qui viens de s'ouvrir)
copie/colle ce qui est en gras ci-dessous

C:\Windows\System32\Svchost.exe

Enregistre et ferme le bloc-note
***sois patient*** cela peut prendre plusieurs minutes(le % d'avancement du téléchargement apparaît en haut de la fenêtre).
Accepte le contrat de licence d'utilisateur de Microsoft

clique sur "O" puis [Enter]
Une fois le remplacement effectué, il te sera demandé de redémarrer ton PC
Accepte
poste le rapport!

namio · Answer

J'ai bien noté la manip a effectuer et je suis également aller voir le tutoriel de restauration de fichiers par winfile

Mais comment puis- je faire puisque l'ordi qui a ce problème de fichiers svchost
ne peut pas se connecter , hors j'ai besoin d'une connexion pour télécharger le service Pack 3 et restaurer le fichier ?

namio · Answer

J'ai fait ce que tu m'a dit et j'ai exactement le même problème 
J'ai bien copier le fichier Winfile exe sur une clef et que j'ai ensuite lancé sur l'ordi infecté  et il m'indique toujours : impossible de trouver C: \WinfileReplace\eula.txt
commande Echo désactivé

namio · Answer

J'ai bien l'écran bleue qui apparaît , il a bien trouvé mon service Pack 3
j'ai bien ensuite le note pad sur lequel je note le nom du fichier , je ferme et j'enregistre et le retour sur la fenêtre bleue m'indique ce que je t'ai mis dans le message précédent.

namio · Answer

quand tu parle de logiciel à télécharger il s'agit de winfile et du service Pack 3 dont j'ai besoin ?

namio · Answer

Bon je reprends depuis le début 
J'ai le fichier Winfile exe que j'enregistre sur ma clef de mon ordi sain, je le transfert sur mon ordi infecté, jusqu'ici pas de problème, je lance winfile sur ordi mode sans échec. Là il bloque et m'indique tjs impossible de trouver.......

J'ai fait l'essai sur mon ordi sain pour mieux comprendre si éventuellement je ne faisais une fausse manip, là je vois que ça marche.

Ca ne marche pas sur celui infecté pourquoi ??
est-ce qu'il faut que je fasse la restauration du fichier sur l'ordi sain avant de tout transférer sur l'infecté?

Tu as pas un n° de fixe sur lequel je pourrais te joindre parce que là depuis une semaine je commence à désepérer
mon mail francis.mainard@wanadoo.fr

flo-91 · Answer

En attendant tu vas essayer de le faire ceci :

* Lance ZHPFix (via ZHPDiag)
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

O64 - Services: CurCS - (.not file.) - asc3550p (asc3550p)  .(.Pas de propriétaire - Pas de description.) - LEGACY_ASC3550P
O64 - Services: CurCS - (.not file.) - ndisrd (ndisrd)  .(.Pas de propriétaire - Pas de description.) - LEGACY_NDISRD 
O69 - SBI: SearchScopes [HKCU] {8AA40723-9359-4B07-985E-DA0884C6AB6E} [DefaultScope] - (Search) - http://flvdirect.iamwired.net

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


Tu ressai ensuite de lancer Winfilreplace.
Si ca marche pas, je t'enverrai un svchost sain :)

namio · Answer

le rapport ZHPfix que tu m'a demandé:


http://www.cijoint.fr/cjlink.php?file=cj201010/cijZdewTOY.rtf

namio · Answer

J'ai tenté de le relancer mais ça ne marche pas !

namio · Answer

Il mets un temps fou à se fermer j'ai encore le sablier
dans la partie result il semble avoir fait son boulot

 "Process explorer.exe killed sucessfully!"


Il ne semble plus vouloir se fermer je vais avoir du mal à t'envoyer le rapport d'OTM

namio · Answer

bon qu'est-ce que tu me conseilles de faire maintenant !

namio · Answer

merci pour ton aide

flo-91 · Answer

C'est bon :  

Télécharge ce fichier sur ton bureau :  

http://sd-4.archive-host.com/membres/up/829108531491024/svchost.exe  


Puis :  


Tu as encore SEAF sur ton pc :  

Double-clique sur le fichier SEAF.exe obtenu.  


Dans "entrer ci-dessous le ou les occurences à chercher" tu tape :  

svchost.exe  

Il faut que les cases soit cochées de cette facon :  

https://i65.servimg.com/u/f65/11/05/93/83/seaf10.jpg  

Poster ce rapport par copier-coller en réponse dans le sujet où il a été demandé.  

IL sera enregistré ici : C:\SEAFlog.txt ainsi qu'un rapport C:\TmpSeaf.txt  
 *>flo-91<*®  

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),   
il y a peut être déjà  la solution à votre problème   =)

ff · Answer

ci dessous mon rapport Seaflog.txt

http://www.cijoint.fr/cjlink.php?file=cj201010/cijyUD6rUS.txt

namio · Answer

oui c'est moi !

ff · Answer

autant pour moi j'ai complétement oublié de télécharger ce fichier  svchost.exe avant de faire le seaf je refais la manip

ff · Answer

Je t'envoie le nouveau rapport de Seaf mais j'ai l'impression que le fichier svchost.exe ne s'est pas réellement installé 
j'ai cliquez plusieurs fois dessus à partir de la clef mais rien ne s'est passé

J'avais fait l'essai sur mon ordi sain et ça me faisait la même chose!


http://www.cijoint.fr/cjlink.php?file=cj201011/cij1b25qrq.txt

flo-91 · Answer

Je ne t'ai pas demandé de lancer le fichier à télécharger sur ton bureau !! 

Tu as combofix sur ton pc, on va le réutiliser : 

Avant d'utiliser ComboFix : 

Ferme les fenêtres de tous les programmes en cours. 

Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


» ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous: 



KillAll:: 

FCopy:: 


C:\Documents and Settings\FM\Bureau\Raccourci vers svchost.exe.lnk | C:\Windows\System32\svchost.exe 






> Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=> 
> Choisis "Enregistrer sous" et choisis "Bureau" 
> Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript 
> Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier" 
> Quitte le Bloc Notes. 
> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe 


* suis les instructions 
* ça va etre rapide 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt   
 *>flo-91<*®  

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),   
il y a peut être déjà  la solution à votre problème   =)

ff · Answer

Il m'a été impossible de glisser le CFScript sur l'icone Combofix Rien ne se passe !
Il y aurait t'il une autre manip ou un truc que j'aurai oublié de faire.

ff · Answer

Oui j'ai essayé et  c'était pareil !

ff · Answer

tu peux me guider pour la suite car je suis tjs en carafe avec cette ordi .

Merci

flo-91 · Answer

Tu as toujours ce fichier sur ton bureau ? :  

http://sd-4.archive-host.com/membres/up/829108531491024/svchost.exe  

Alors, il faut le copier ici :  

C:\Windows\System32\  

Pour y accedder: clique droit sur démarrer puis "explorer" il faut ensuite aller dans "windows" puis "System 32", tu copiera le fichier ici ( copier/coller )  


Et redémarrer l'rodi.  
 *>flo-91<*®  

N'hésitez pas a faire un tour dans la faq du forum ( rubrique astuce ),   
il y a peut être déjà  la solution à votre problème   =)

ff · Answer

j'ai réussi à le copier dans system 32 et j'ai redémarré l'ordi .

ff · Answer

Pas de changement pour l'instant au niveau de l'ordi !!!

ff · Answer

peux tu m'aider pour la suite car rien n'est vraiment réglé ? Merci

namio · Answer

Désolé de te harceler mais j'aimerais bien arriver à bout de mon problème.
Que puis-je faire maintenant pour avancer un peu ?

TROJAN XPS JS WIN 32

55 réponses

Discussions similaires

Newsletters