Infection Trojan.Gen2
Fermé
julnaz
Messages postés
7
Date d'inscription
jeudi 15 décembre 2011
Statut
Membre
Dernière intervention
15 décembre 2011
-
15 déc. 2011 à 17:26
Utilisateur anonyme - 15 déc. 2011 à 19:03
Utilisateur anonyme - 15 déc. 2011 à 19:03
A voir également:
- Infection Trojan.Gen2
- Infection SIM ✓ - Forum Virus
- Infection WonderShare ✓ - Forum Virus
- Infection url:mal - Forum Virus
- Infection pc ✓ - Forum Virus
- [Pnkbstra]infection ✓ - Forum Virus
10 réponses
Utilisateur anonyme
15 déc. 2011 à 17:29
15 déc. 2011 à 17:29
Bonjour
* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
@+
* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
@+
julnaz
Messages postés
7
Date d'inscription
jeudi 15 décembre 2011
Statut
Membre
Dernière intervention
15 décembre 2011
15 déc. 2011 à 17:39
15 déc. 2011 à 17:39
merci guillaume pour cette réponse rapide.
Voici le résultat :
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: jmischiadmin [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 17:37:57
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 18 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : SymInstallStub (C:\ProgramData\DivX\Symantec\SymInstallStub.exe /partnerid=divx /productlist=rm /staging=true /delay=5 /lang=French /desktopshortcut=1 /startmenushortcut=1 /tasktries=2) -> DELETED
[SUSP PATH] At6.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At5.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At4.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At3.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At2.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At13.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At12.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At11.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At10.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At1.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] SymInstallStub.job : C:\ProgramData\DivX\Symantec\SymInstallStub.exe -> DELETED
[SUSP PATH] At9.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At8.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At7.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[IFEO] HKLM\[...]\Image File Execution Options : taskmgr.exe (C:\Windows\procexp.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
Voici le résultat :
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: jmischiadmin [Droits d'admin]
Mode: Suppression -- Date : 15/12/2011 17:37:57
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 18 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : SymInstallStub (C:\ProgramData\DivX\Symantec\SymInstallStub.exe /partnerid=divx /productlist=rm /staging=true /delay=5 /lang=French /desktopshortcut=1 /startmenushortcut=1 /tasktries=2) -> DELETED
[SUSP PATH] At6.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At5.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At4.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At3.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At2.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At13.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At12.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At11.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At10.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At1.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] SymInstallStub.job : C:\ProgramData\DivX\Symantec\SymInstallStub.exe -> DELETED
[SUSP PATH] At9.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At8.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[SUSP PATH] At7.job : C:\Users\jmishi\AppData\Roaming\firefox.exe -> DELETED
[IFEO] HKLM\[...]\Image File Execution Options : taskmgr.exe (C:\Windows\procexp.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
Utilisateur anonyme
15 déc. 2011 à 17:42
15 déc. 2011 à 17:42
Re
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
Ici http://eldesaparecido.com/tools/UsbFix.exe
Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.
# Choisi Suppression
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
@+
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
Ici http://eldesaparecido.com/tools/UsbFix.exe
Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.
# Choisi Suppression
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
@+
julnaz
Messages postés
7
Date d'inscription
jeudi 15 décembre 2011
Statut
Membre
Dernière intervention
15 décembre 2011
15 déc. 2011 à 18:06
15 déc. 2011 à 18:06
désolé, je suis lent, je n'arrive pas à désactiver l'auto protect de symantec, c'est ce qui doit bloquer usb fix, je recherche la manip
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
julnaz
Messages postés
7
Date d'inscription
jeudi 15 décembre 2011
Statut
Membre
Dernière intervention
15 décembre 2011
Modifié par julnaz le 15/12/2011 à 18:25
Modifié par julnaz le 15/12/2011 à 18:25
Ca bloque à 10 % (programme ne réponds pas). J'ai essayé plusieurs fois (je me déconnecte à ce moment là car je suis sans protection et je suis attaqué dès que je suis sur le net)
J'ai pourtant désactivé auto-protect (il fallait que j'exécute en tant qu'administrateur)
faut-il aussi que je désactive l'anti-malware ?
J'ai pourtant désactivé auto-protect (il fallait que j'exécute en tant qu'administrateur)
faut-il aussi que je désactive l'anti-malware ?
julnaz
Messages postés
7
Date d'inscription
jeudi 15 décembre 2011
Statut
Membre
Dernière intervention
15 décembre 2011
15 déc. 2011 à 18:28
15 déc. 2011 à 18:28
En tant qu'administrateur de symantec (je ne l'avais jamais exécuté comme çà, j'ai pu supprimer le trojan firefox.exe (j'espère que ce n'est pas un process essentiel...) . C'est la première fois qu'il n'apparaît plus. Pour l'instant c'est calme, j'attends de voir si je suis encore attaqué.
Utilisateur anonyme
15 déc. 2011 à 18:29
15 déc. 2011 à 18:29
Re
Passons à la taille supérieure
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
Passons à la taille supérieure
Télécharge combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ou ici : https://forospyware.com
>Renomme le pour l'enregistrer sur ton bureau en asdehi (tout simplement pour que l'infection ne le contre pas)
-> Double clique combofix.exe.(ou clic droit sous vista « exécuter en tant que... » )
-> Tape sur la touche 1 (Yes) pour démarrer le scan.
-> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avant d'utiliser ComboFix :
-> Déconnecte toi d'Internet et referme les fenêtres de tous les programmes en cours.
-> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe ; (ou clic droit sous vista « exécuter en tant que... »)
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- Installe le console de récupération comme demandé ;utile en cas de plantage
- Attention Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programme. Risque de figer l'ordinateur
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
-> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
-> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ : risque de figer l'ordinateur (plantage complet)
::Si combofix détecte quelque chose et de demande a redémarrer tu acceptes
@+
julnaz
Messages postés
7
Date d'inscription
jeudi 15 décembre 2011
Statut
Membre
Dernière intervention
15 décembre 2011
15 déc. 2011 à 18:43
15 déc. 2011 à 18:43
Je n'ai plus de fichiers infectés mis en quarantaine depuis 10 minutes, je n'ai plus d'attaques depuis que j'ai supprimé le trojan en ouvrant l'anti-virus en tant qu'administrateur (ce n'était peut-être que ça ? il s'ouvre par défaut sans que je suis adminstrateur). J'attends de voir si des attaques viennent, car elles arrivaient tout de suite avant, avant de passer à la taille supérieure. Je te tiens au courant et te remercie pour ton aide.
Utilisateur anonyme
15 déc. 2011 à 18:48
15 déc. 2011 à 18:48
Re
Inscris toi avant tout
Pour vérifications, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
Inscris toi avant tout
Pour vérifications, fait ceci stp
Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
Serveur N°2
Ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
en bas de la page ZHP avec un numéro de version.
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.
Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci
A+
julnaz
Messages postés
7
Date d'inscription
jeudi 15 décembre 2011
Statut
Membre
Dernière intervention
15 décembre 2011
15 déc. 2011 à 18:58
15 déc. 2011 à 18:58
Bon, les attaques sont revenus.
Combofix me fait peur pour l'instant, je vais ressayer UsbFix de El Desaparecido en essayant de désactiver l'anti-malware qui doit bloquer son fonctionnement
(et je ferai les vérifications...)
Combofix me fait peur pour l'instant, je vais ressayer UsbFix de El Desaparecido en essayant de désactiver l'anti-malware qui doit bloquer son fonctionnement
(et je ferai les vérifications...)