Infection Trojan, windows 7
kaderwin
Messages postés
21
Statut
Membre
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour, je vous explique mon problème:
Je possède la version gratuite d'Avira AntiVir Personnal, et il y a 2 jours ce dernier à détecté le cheval de troie suivant: TR/Crypt.xPACK.Gen5
Je l'ai immédiatement mis en quarantaine et j'ai entrepris un scan complet. Seulement le scan étant anormalement lent, j'ai ouvert le gestionnaire de tâches et découvert un certain "tkn.exe" pompant littéralement tout l'UC de mon ordinateur. (ce dernier étant localisé dans les fichiers temporaires). Sa description dans le gestionnaire de tâches est: VcMicro setup.
J'ai naïvement arrêté ce processus et continuer mon scan. Et stupeur un peu plus tard une autre tâche portant le nom de "tkm.exe" est venu remplacer son prédécesseur.
Entre temps la lenteur du scan a atteint son paroxysme et ce dernier a carrément été bloqué et j'ai été forcé de l'annuler...
Néanmoins dans la quarantaine d'Avira je possède ces 4 entrées:
TR/Crypt.xPACK.Gen5
TR/Crypt.xPACK.Gen2
TR/Spy.Agent.bpla
Java JS/Redictor.KQ
De plus après avoir redémarrer mon ordinateur une installation (suspecte) d'un pilote s'effectue. "Pont PCI vers PCI standard PCI"
la situation aurait été comique si elle s'était arrêtée là mais depuis j'ai des ouvertures de fenêtres internet explorer intempestives (pub), l'ordinateur est anormalement TRES TRES lent (des fois il ne réagit plus) et le scan d'Avira bloque toujours.
Je ne cède pas à la panique car il peut toujours s'allumer mais j'avoue que je m'inquiète :s
Je vous remercie d'avance pour vos réponses :)
Cordialement
Je possède la version gratuite d'Avira AntiVir Personnal, et il y a 2 jours ce dernier à détecté le cheval de troie suivant: TR/Crypt.xPACK.Gen5
Je l'ai immédiatement mis en quarantaine et j'ai entrepris un scan complet. Seulement le scan étant anormalement lent, j'ai ouvert le gestionnaire de tâches et découvert un certain "tkn.exe" pompant littéralement tout l'UC de mon ordinateur. (ce dernier étant localisé dans les fichiers temporaires). Sa description dans le gestionnaire de tâches est: VcMicro setup.
J'ai naïvement arrêté ce processus et continuer mon scan. Et stupeur un peu plus tard une autre tâche portant le nom de "tkm.exe" est venu remplacer son prédécesseur.
Entre temps la lenteur du scan a atteint son paroxysme et ce dernier a carrément été bloqué et j'ai été forcé de l'annuler...
Néanmoins dans la quarantaine d'Avira je possède ces 4 entrées:
TR/Crypt.xPACK.Gen5
TR/Crypt.xPACK.Gen2
TR/Spy.Agent.bpla
Java JS/Redictor.KQ
De plus après avoir redémarrer mon ordinateur une installation (suspecte) d'un pilote s'effectue. "Pont PCI vers PCI standard PCI"
la situation aurait été comique si elle s'était arrêtée là mais depuis j'ai des ouvertures de fenêtres internet explorer intempestives (pub), l'ordinateur est anormalement TRES TRES lent (des fois il ne réagit plus) et le scan d'Avira bloque toujours.
Je ne cède pas à la panique car il peut toujours s'allumer mais j'avoue que je m'inquiète :s
Je vous remercie d'avance pour vos réponses :)
Cordialement
A voir également:
- Infection Trojan, windows 7
- Clé windows 7 - Guide
- Photofiltre 7 - Télécharger - Retouche d'image
- Passer de windows 7 à windows 10 - Accueil - Mise à jour
- Movie maker windows 7 - Télécharger - Montage & Édition
- Télécharger windows 7 32 bits usb - Télécharger - Systèmes d'exploitation
37 réponses
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\System32\TsWpfWrpt.dll
C:\Windows\System32\gpscript7.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
===============================
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
[2010/07/14 11:16:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
[2010/07/14 12:25:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
O4 - HKLM\..\Run: [CmPCIaudio] File not found
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
@Alternate Data Stream - 194 bytes -> C:\ProgramData\TEMP:D282699C
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Windows\System32\TsWpfWrpt.dll
C:\Windows\System32\gpscript7.dll
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
===============================
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}:6.0.07
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
[2010/07/14 11:16:13 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
[2010/07/14 12:25:37 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}
O4 - HKLM\..\Run: [CmPCIaudio] File not found
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab (Java Plug-in 1.6.0_20)
@Alternate Data Stream - 194 bytes -> C:\ProgramData\TEMP:D282699C
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
Ces fichiers ne sont pas présent:
C:\Windows\System32\TsWpfWrpt.dll
C:\Windows\System32\gpscript7.dll
j'ai cependant les Applications suivantes :
C:\Windows\System32\TsWpfWrp
C:\Windows\System32\gpscript
et cette dll : gpscript.dll
je les analyse ? dois-je coché dans send it over SSL ?
C:\Windows\System32\TsWpfWrpt.dll
C:\Windows\System32\gpscript7.dll
j'ai cependant les Applications suivantes :
C:\Windows\System32\TsWpfWrp
C:\Windows\System32\gpscript
et cette dll : gpscript.dll
je les analyse ? dois-je coché dans send it over SSL ?
voila déjà les résultats de virustotal je lance à présent le script OTL
gpscript.dll
http://www.virustotal.com/file-scan/report.html?id=623ccebba7b158093fcfc1c59d3aa54627b8e2915aa33335445a8185651048b1-1310149256
gpscript.exe
http://www.virustotal.com/file-scan/report.html?id=c879025a1c06f23d08385008940bafe3fa3a16d10edada9d24e5ada14a4195c9-1310149393
TsWpfWrpt.exe
http://www.virustotal.com/file-scan/report.html?id=57feda1ee01c4230bd93de63fcdfa1c4d519cb5301ced6aaf2c52c0d76ad5e52-1310149012
gpscript.dll
http://www.virustotal.com/file-scan/report.html?id=623ccebba7b158093fcfc1c59d3aa54627b8e2915aa33335445a8185651048b1-1310149256
gpscript.exe
http://www.virustotal.com/file-scan/report.html?id=c879025a1c06f23d08385008940bafe3fa3a16d10edada9d24e5ada14a4195c9-1310149393
TsWpfWrpt.exe
http://www.virustotal.com/file-scan/report.html?id=57feda1ee01c4230bd93de63fcdfa1c4d519cb5301ced6aaf2c52c0d76ad5e52-1310149012
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila rapport après reboot:
http://www.cijoint.fr/cjlink.php?file=cj201107/cijCc2rCoB.txt
c'était un fichier log je l'ai copiez collez dans un bloc note!!
http://www.cijoint.fr/cjlink.php?file=cj201107/cijCc2rCoB.txt
c'était un fichier log je l'ai copiez collez dans un bloc note!!
A la fin du premier scan (il le fait en trois fois apparemment ?!) j'ai le droit à un écran noir et j'ai beau jouer avec patience sur les touches "Echap" et Ctrl+Alt+Suppr rien n'y fait!!
Je suis dans l'obligation de l'arrêter manuellement :s
Je suis dans l'obligation de l'arrêter manuellement :s
▶ Télécharge : Gmer (by Przemyslaw Gmerek) et enregistre-le sur ton bureau
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Desactive toutes tes protections le temps du scan de gMer
Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."
▶ clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
▶ Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Je ferais tout ça demain je dois me déconnecter ce soir!!
Merci mille fois pour l'aide que tu m'a apportée aujourd'hui c'est vraiment très sympa :)
A demain (je posterais directement le rapport)
Merci mille fois pour l'aide que tu m'a apportée aujourd'hui c'est vraiment très sympa :)
A demain (je posterais directement le rapport)
Voila le scan!!
GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2011-07-09 12:00:08
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 Maxtor_6E040L0 rev.NAR61590
Running: gmer.exe; Driver: C:\Users\MATEET~1\AppData\Local\Temp\awdyquod.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 8427D599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 842A1F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
---- Devices - GMER 1.0.15 ----
Device \Driver\ACPI_HAL \Device\00000048 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
J'ai toujours au démarrage de l'ordinateur une installation de pilote "Pont PCI vers PCI standard" ou un truc du genre!! c'est inquiétant non :/
De plus j'ai remarqué lors du démarrage (écran noir pré windows) qu'il m'affiche un truc bizarre pendant un bref instant!! je n'ai pas le temps de lire mais j'ai cru apercevoir chaine +1 ou quelque chose de ce genre!!
GMER 1.0.15.15640 - http://www.gmer.net
Rootkit scan 2011-07-09 12:00:08
Windows 6.1.7600 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-2 Maxtor_6E040L0 rev.NAR61590
Running: gmer.exe; Driver: C:\Users\MATEET~1\AppData\Local\Temp\awdyquod.sys
---- Kernel code sections - GMER 1.0.15 ----
.text ntkrnlpa.exe!ZwSaveKeyEx + 13AD 8427D599 1 Byte [06]
.text ntkrnlpa.exe!KiDispatchInterrupt + 5A2 842A1F52 19 Bytes [E0, 0F, BA, F0, 07, 73, 09, ...] {LOOPNZ 0x11; MOV EDX, 0x97307f0; MOV CR4, EAX; OR AL, 0x80; MOV CR4, EAX; RET ; MOV ECX, CR3}
---- Devices - GMER 1.0.15 ----
Device \Driver\ACPI_HAL \Device\00000048 halmacpi.dll (Hardware Abstraction Layer DLL/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume1 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume2 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume3 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
AttachedDevice \Driver\volmgr \Device\HarddiskVolume4 fvevol.sys (BitLocker Drive Encryption Driver/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
J'ai toujours au démarrage de l'ordinateur une installation de pilote "Pont PCI vers PCI standard" ou un truc du genre!! c'est inquiétant non :/
De plus j'ai remarqué lors du démarrage (écran noir pré windows) qu'il m'affiche un truc bizarre pendant un bref instant!! je n'ai pas le temps de lire mais j'ai cru apercevoir chaine +1 ou quelque chose de ce genre!!
Apparemment c'est bien un driver de la carte graphique. Il semblerai qu'il doive le réinstaller à chaque démarage ... ou presque ce matin ça n'a pas été le cas :/
Bizarre... Je vais chercher sur la toile pour ce "pont PCI"
Sinon mis à part qu'il y a des "micro freeze"une fois de temps en temps (déja présent avant) et le lag du scan il semble aller bien.
Bizarre... Je vais chercher sur la toile pour ce "pont PCI"
Sinon mis à part qu'il y a des "micro freeze"une fois de temps en temps (déja présent avant) et le lag du scan il semble aller bien.
Il commence à plus être tout jeune c'est un "pièces montées" d'il y a plus de 4 ans (5 ou 6 peut etre même)!!
