Trojan.Win32.Ransom!E2 Fermé

Question

Bonjour ,

Après une analyse faite avec "Emsisoft Anti-Malware", il m'a trouvé les infections et comportements suspects suivants:

- C:\users\s\AppData\Local\Low\Sun\Java\Deployment\cache\6.0\51\5a6e6173-4b8a39ca  ( Trojan.Win32.Ransom!E2 ; niveau haut risque)

- C:\users\s\AppData\Local\Temp	rzA211.tmp   
( Trojan.Win32.Ransom!E2 ; niveau haut risque)

- C:\users\s\AppData\Local\Temp	rzB41B.tmp 
( Trojan.Win32.Ransom!E2 ; niveau haut risque)

- C:\users\s\AppData\Local\Low\Sun\Java\Deployment\cache\6.0\49\4a051171-70fceef4
( Exploit.Java.CVE-2011-3544!E2 ; niveau haut risque) 

J'ai placé les 4 objets en quarantaine mais j'aimerai être sur de ne pas être infécté!
j'ai trouvé des infos sur ce trojan ici (http://gsa.ca.com/virusinfo/virus.aspx?ID=138891) rien de rassurant d'après ce que j'ai traduit! pour l'instant mon ordinateur fonctionne bien!

Ma question est la suivante: quelqu'un pourrait m'aider pour savoir si je suis infécté ou pas?si oui comment supprimer ce Trojan?

Pour information j'utilise Emsisoft Anti-Malware (version gratuite) , Malwarebytes Anti-Malware (version gratuite), Comodo en pare-feu (mode Paranoia), Avast (v6.0 version gratuite), Vista 32bits basic et Firefox v8.0)

Merci d'avance!


Configuration: Windows Vista / Firefox 8.0

g3n-h@ckm@n · Answer

salut mets à jour malwarebytes et effectue un scan complet

jenny2b2a · Answer

salut à toi"g3n-h@ckm@n"! j'ai mis à jour Malwarebytes en version 8356 et effectué un scan! résultat: l'examen s'est terminé normalement , aucun élément nuisible a été détécté donc rien!
Suis-je infécté ou pas? Malgré la mise en quarantaine sur Emsisoft? dois-je faire un rapport avec Hijackthis?

g3n-h@ckm@n · Answer

tu as quelle version de java ?

jenny2b2a · Answer

j'avais la version Java 6 update 22 et je viens de télécharger la version 6 update 29!

c'est un false positif le trojan?
J'ai fais un rapport Hijackthis , je peux le poster ou te l'envoyer par mail?

g3n-h@ckm@n · Answer

non si veux qu'on fasse un diag on va faire comme ca :

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

jenny2b2a · Answer

ok c'est fait voila les liens:

https://pjjoint.malekal.com/files.php?id=OTL_20111212_y159e8c10e14
https://pjjoint.malekal.com/files.php?id=OTL_Extras_20111212_d11o6k14o13j10

je t'envoie le mot de passe en privé si tu peux pas y accéder!

Merci!

jenny2b2a · Answer

mais ils sont trop long pour ici!
de toute façon pas besoin du mot de passe ça le demande même pas!
t'en pense quoi comme je t'ai déja dis en privé? infécté ou pas malgré la mise en quarantaine sur Emsisoft! le fait que ce soit un programme gratuit j'ai des doutes!

g3n-h@ckm@n · Answer

desinstalle spyware terminator il sert à rien

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\System32\DACECFE766.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

jenny2b2a · Answer

je trouve pas de fichier DACECFE766.sys dans system 32?

jenny2b2a · Answer

je le trouve seulement dans le fichier OTL.txt que j'ai fais et posté! mais pas dans mes fichiers! il est caché?

jenny2b2a · Answer

voila c'est fait! résultat negatif pour tout les anti-virus!

g3n-h@ckm@n · Answer

je voudrais le lien de la page de fin d'analyse

jenny2b2a · Answer

voici le lien http://www.virustotal.com/file-scan/report.html?id=e0c7a497c53808dc30538e9814ad9b3e53f9d3e00633ba7ddb1bbef00198715c-1323709125

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Trojan.Win32.Ransom!E2

14 réponses

Discussions similaires