help cheval de troie trojan-downloader.win32. Fermé

Question

Bonjour, 

kapersky détecte ce cheval de troie mais il n'a pas l'air de reussir à la traiter; comment dois je faire?
nom : cheval de troie trojan-downloader.win32.Injecter.hpg
merci d'avance. 

Configuration: Windows 7 / Firefox 8.0

kalimusic · Answer

Bonjour,

Quel est le nom et l'emplacement du fichier détecté par Kaspersky comme étant un trojan-downloader.win32.Injecter.hpg  ?

A +

kalimusic · Answer

C'est bien ce que je demandais, et c'est bien infectieux. 
A part la détection de Kaspersky, as tu d'autres symptômes ?

Nous allons utiliser cet outil de diagnostic afin d'identifier l'ensemble des problèmes.

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Coche la case également Tous les utilisateurs
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

msconfig 
safebootminimal 
safebootnetwork 
/md5start
volsnap.*
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\assembly	mp\*.* /s 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/ 
&#x25CF;  Tu obtiendras 2 liens que tu me donneras dans ton prochain message. 

A +

cjojo22 · Answer

Voila c'est fait. Le lien à priori c'est: "http://textup.fr/11651A2"

kalimusic · Answer

re,

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie "Personnalisation", copie/colleles instructions en citation :

:OTL
IE - HKU\S-1-5-21-3704017152-2140302691-2680668028-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found     
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23     
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22     
[2011/02/06 17:50:55 | 000,000,000 | ---D | M] (No name found) -- C:\Users\Caron\AppData\Roaming\mozilla\Firefox\Profiles\jkhmwx42.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}-trash
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O3 - HKU\S-1-5-21-3704017152-2140302691-2680668028-1000\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 
[45 C:\Users\Caron\AppData\Local\Temp\*.tmp files -> C:\Users\Caron\AppData\Local\Temp\*.tmp -> ] 
[1 C:\Users\Caron\AppData\Local\Temp\HCBackup\*.tmp files -> C:\Users\Caron\AppData\Local\Temp\HCBackup\*.tmp -> ] 
[1 C:\Users\Caron\AppData\Local\Temp\HouseCall\*.tmp files -> C:\Users\Caron\AppData\Local\Temp\HouseCall\*.tmp -> ] 
:Files
ipconfig /flushdns /c
:Commands 
[emptytemp]
&#x25CF; Clique sur le bouton Correction.
&#x25CF; Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.   
&#x25CF; Accepte en cliquant sur OK. 
&#x25CF; Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.   

Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles  

2. Télécharge aswMBR sur ton Bureau.

&#x25CF; Lance  aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Refuse la demande de mise à jour
&#x25CF; Clique sur le bouton Scan
&#x25CF; Patiente pendant l'analyse
&#x25CF; Clique sur Save log 
&#x25CF; Enregistre le rapport sur le Bureau. 

3. Héberge le rapports et donne moi les liens.

A +

kalimusic · Answer

cjojo22,

Tu as bien réalisé ce qui était demandé.

1.  Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)

&#x25CF; Effectue la mise à jour et lance Malwarebytes' Anti-Malware
&#x25CF; Clique dans l'onglet du haut "Recherche"
&#x25CF; Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" 
&#x25CF; Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#x25CF; Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#x25CF; Clique sur OK puis "Afficher les résultats"
&#x25CF; Choisis l'option "Supprimer la sélection"
&#x25CF; Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#x25CF; Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#x25CF; Sinon le rapport s'ouvre automatiquement après la suppression. 

2. Relance OTL 
  - Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF;  Dans la section Rapport , coche Rapport minimal
&#x25CF;  Laisse tous les autres paramètres par défaut
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
&#x25CF;  Un nouveau rapport  OTL.txt va s'ouvrir au format bloc-note 

3.  Héberge les rapports et donne moi les liens.

4. Kaspersky t'alerte toujours sur le fichier du début ?

A +

kalimusic · Answer

ok, tu me posteras le rapport de scan de Kaspersky

A +

kalimusic · Answer

Bonjour,

Malwarebytes n'a rien trouvé.
Il me faut donc un nouveau rapport OTL (voir étape 2 du message#9)
Et également le rapport de scan de Kaspersky  effectué hier soir.

A +

kalimusic · Answer

re,
 
Si Kaspersky a trouvé des menaces, il me faut le rapport d'analyse.
Suivant ta version, il doit être plus ou moins dans :
Paramètres avancés > rapports et stockage

A +

kalimusic · Answer

re,

C'est bon, tu as donné l'information dans le rapport :

31/12/2011 10:16:45         Détectés         cheval de Troie Trojan-Downloader.Win32.Injecter.hpg         
C:\Documents and Settings\Caron\AppData\Local\Temp\add.exe         Elevées       
Mon soucis est qu'aucun outil ne voit ce fichier à part Kaspersky

1. Télécharge AVP Tool de Kaspersky 
&#x25CF; Installe le en suivant ce tutoriel 

2. Effectue une analyse automatique :
&#x25CF; Clique sur la "roue dentelée" et coche les cases suivantes :

Mémoire système
Objets cachés de démarrage
Secteurs d'amorçage
Mes documents
Mon courrier
Poste de travail
Disque local (C:)
&#x25CF; Retourne dans l'onglet Analyse automatique
&#x25CF; Clique sur Lancer l'analyse
&#x25CF; Supprime les éléments infectés
&#x25CF; Choisir de sauvegarder le rapport contenant uniquement les menaces.
&#x25CF; Héberge le et poste le lien.

A +

kalimusic · Answer

Bonne Année 2012,

Si l'outil de Kaspersky n'a rien détecté, ce n'est pas la peine.
Ton antivirus trouve toujours le même élément infecté ?
Je commence à penser que cet élément n'existe plus et qu'il te redonne la liste des éléments trouvés. As tu des symptômes ou des dysfonctionnements ?

A +

kalimusic · Answer

Bonsoir,

C'est l'historique sur un an des détections de Kaspersky.
Les dernières menaces trouvées se localisent dans tes supports amovibles.

Télécharge UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!   
&#x25CF; lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton  "Recherche"   
&#x25CF; Patiente le temps du balayage qui peut durer plusieurs minutes   
&#x25CF; Le rapport doit s'ouvrir spontanément à la fin du scan   
&#x25CF; Copie/colle le rapport dans le prochain message   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus 

A +

kalimusic · Answer

Bonjour,

UsbFix n'a rien trouvé.

Plus étonnant l'outil de désinfection AVP qui est du même éditeur que ton antivirus ne voit rien non plus.

De quand date la dernière détection de Kaspersky ?
Toujours le même fichier C:\Documents and Settings\Caron\AppData\Local\Temp\add.exe

A +

kalimusic · Answer

oui, j'ai vu c'est toujours les mêmes détections.
Tu as branché ton ipod lorsque tu as fait l'analyse avec UsbFix ?

A +

kalimusic · Answer

re,

Je ne comprends pas certaines détections.

Sur Seven, les fichiers temporaires de ton profil se trouvent : C:\USERS\CARON\APPDATA\LOCAL\TEMP

Kaspersky les trouve dans :
C:\Documents and Settings\Caron\Local Settings\Temp
C'est le chemin typique de XP !

*****

1. Supprime les fichiers temporaires de Java :
https://www.java.com/fr/download/help/plugin_cache.html

2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Branche ton ipod, vérifie que la lettre F lui soit attribué.
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle :

F:\iPod_Control\*.* /s 
F:\RECYCLER\*.* /s 
F:\mornar\*.* /s 
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*.exe /s 
&#x25CF; Clique sur le bouton Aucun puis Analyse.
&#x25CF; Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.  
&#x25CF; Copie/colle le dans ton prochain message.   

A +

kalimusic · Answer

Bonjour,

Pas de soucis, quand tu es disponible.
Il faudra tout de même trouver en premier pourquoi Kaspersky trouve des menaces sous Seven dans un répertoire qui n'existe que sous XP.

A +

kalimusic · Answer

re, 

Je ne voyais pas ton message. 
C'est ok, tu as parfaitement compris le principe et j'ai ce qu'il fallait. 
Aucune infection visible dans le ipod. 

Tu as toujours des détections de Kaspersky ? 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

kalimusic · Answer

Poste les détections du jour stp

A +

kalimusic · Answer

Franchement, je ne comprends pas ce qui se passe sur ton pc.

Jusqu'au 29/09/2011 : c'est l'historique des détections, tout est normal.
Ensuite les détections journalières s'effacent et ne laissent que celles du jour apparaitre, toujours les mêmes.

Et certaines ne sont pas logiques du tout.
Ce dossier C:\Documents and Settings n'existe pas vraiment sous Seven (il est caché, protégé et inaccessible), c'est un dossier-jonction pour assurer une retro-compatibilité et pointe en réalité sur C:\Users

A +

kalimusic · Answer

Bonjour,

Non,pas forcement, mais je commence à me demander si Kaspersky ne se plante pas en redonnant des alertes sur des fichiers qui n'existent plus. Est-ce que tu peux purger l'historique des détections ?

A +

kalimusic · Answer

Bonjour,

Peux tu sortir le fichier add.exe de la quarantaine de Kaspersky  et l'envoyer ici http://upload.malekal.com/  Merci.

 == == == == == == == == == == == == == == == == == == == == == ==

Sauvegarde tes documents les plus importants.

 == == == == == == == == == == == == == == == == == == == == == ==

Télécharge  ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) 

!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!   

Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

&#x25CF; Lance ComboFix
&#x25CF; Accepte la licence d'utilisation et laisse toi guider par le programme.
&#x25CF; Accepte d'installer la console de récupération si tu es sous XP
&#x25CF; Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
&#x25CF; Il est possible que l'outil est besoin de redémarre l'ordinateur.

 !! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!  
(risque de plantage complet de l'ordinateur) 

&#x25CF; A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément. 
&#x25CF; Héberge le rapport et donne moi le lien. 

!! Réactive les protections résidentes de ton PC !!   

Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt 

A +

kalimusic · Answer

http://support.kaspersky.com/faq/?qid=208282281

A +

kalimusic · Answer

Ce n'est pas dans Program Files mais dans le Program Data.
Laisse tomber, passe à la suite.

A +

kalimusic · Answer

Bonjour,

Tu n'avais pas désactivé Kaspersky pendant l'analyse de ComboFix .
Cela aurait pu avoir comme conséquence le plantage de ta machine.
L'outil n'a rien trouvé de concret, sans le fichier add.exe difficile d'avancer maintenant.

1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle :

%ALLUSERSPROFILE%\Kaspersky Lab\AVP11\QB\*.* /s  
&#x25CF; Clique sur le bouton Aucun puis Analyse.
&#x25CF; Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.  
&#x25CF; Copie/colle le dans ton prochain message.  

2. Poste le dernier rapport de détection de Kaspersky.
Précise moi si ces alertes surviennent lors du scan programmé ou si cela correspond à une action particulière comme l'insertion de supports amovibles (ou autres).

A +

kalimusic · Answer

Bonsoir,

Les dernières détections de Kaspersky datent du 14 janvier et sont en rapport avec une infection par support amovible. Par contre, il n'y a pas le nom des fichiers incriminés....
Je ne comprends pas pourquoi la quarantaine de Kasperky est vide.

Désinstalle ta version de UsbFix.
Fait une recherche avec tous ce qui se connecte à un moment ou un autre à ton pc (clés USB, APN, DD externe, etc...)

Télécharge UsbFix   (par  C_XX & El Desaparecido) sur le Bureau   
    ! ! Branche tous tes supports amovibles (Clés USB, DD externes, etc...) sans les ouvrir !!   
&#x25CF; lance UsbFix 
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF; Clique sur le bouton  "Recherche"   
&#x25CF; Patiente le temps du balayage qui peut durer plusieurs minutes   
&#x25CF; Le rapport doit s'ouvrir spontanément à la fin du scan   

   Le rapport est sauvegardé à la racine du disque C:\Usbfix.txt   

"Process.exe" est détecté par certains antivirus comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Le mieux étant de désactiver temporairement ton antivirus 

A +

Help cheval de troie trojan-downloader.win32.

24 réponses

Discussions similaires

Newsletters