Win 32: trojan-gen
Fermé
mia
-
16 janv. 2012 à 18:13
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 18 janv. 2012 à 22:27
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 18 janv. 2012 à 22:27
A voir également:
- Win 32: trojan-gen
- 32 bits - Guide
- Poweriso 32 bit - Télécharger - Gravure
- Télécharger windows 7 32 bits usb - Télécharger - Systèmes d'exploitation
- Win setup from usb - Télécharger - Utilitaires
- Telecharger win rar - Télécharger - Compression & Décompression
6 réponses
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 janv. 2012 à 18:27
16 janv. 2012 à 18:27
Bonjour,
Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes.
● Télécharge sur le bureau RogueKiller
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 1 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
A +
Tu es infecté par un rogue, surtout ne tient pas compte de ses messages d'alertes.
● Télécharge sur le bureau RogueKiller
● Ferme toutes tes applications en cours
● Lance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 1 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
A +
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 janv. 2012 à 18:53
16 janv. 2012 à 18:53
mia,
1. Relance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 2 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
1. Relance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 2 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
2. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Jade [Droits d'admin]
Mode: Suppression -- Date : 16/01/2012 18:57:46
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : {C42D90A8-08E2-D48D-BDC5-44CADC4A5D1D} (C:\Users\Jade\AppData\Roaming\Ytowhe\alip.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : hD19600AhHmM19600 (C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe) -> DELETED
[SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\Acer.scr) -> REPLACED (c:\windows\system32\logon.scr)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] ff5795497ece0f88298ba7b6f4a5a7ac
[BSP] 95b41394cebac28626affb1fbb2b51b1 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 8389 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 16386300 | Size: 101157 Mo
2 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 213958656 | Size: 10484 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Jade [Droits d'admin]
Mode: Suppression -- Date : 16/01/2012 18:57:46
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : {C42D90A8-08E2-D48D-BDC5-44CADC4A5D1D} (C:\Users\Jade\AppData\Roaming\Ytowhe\alip.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : hD19600AhHmM19600 (C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe) -> DELETED
[SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\Acer.scr) -> REPLACED (c:\windows\system32\logon.scr)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] ff5795497ece0f88298ba7b6f4a5a7ac
[BSP] 95b41394cebac28626affb1fbb2b51b1 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 8389 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 16386300 | Size: 101157 Mo
2 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 213958656 | Size: 10484 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
J'en profites pour parler de security sphere 2012! je me doute que c'est un virus vu que s'est apparu sur mon ordi alors que je n'ai téléchargé que avast! mais de çà aussi j'aimerai me débarasser!
merci pour l'aide
merci pour l'aide
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 janv. 2012 à 19:11
16 janv. 2012 à 19:11
mia,
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig safebootminimal safebootnetwork /md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %temp%\smtmp\*.* /s %systemroot%\*. /mp /s %systemroot%\assembly\tmp\*.* /s %systemroot%\Tasks\*.* /s hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s hklm\software\clients\startmenuinternet|command /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 janv. 2012 à 20:30
16 janv. 2012 à 20:30
re,
1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.
3. Héberge les 2 rapports et donne moi les liens
A +
1. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.
3. Héberge les 2 rapports et donne moi les liens
A +
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
Modifié par kalimusic le 18/01/2012 à 22:30
Modifié par kalimusic le 18/01/2012 à 22:30
Bonsoir,
Tu exécutes bien OTL en tant qu'administrateur comme indiqué ?
Redémarre en mode sans échec pour lancer la correction OTL si tu ne peux pas faire autrement.
Ton système est infecté et les failles de sécurité présentes font que tu te referas infecté facilement, c'est toi qui décide.
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Tu exécutes bien OTL en tant qu'administrateur comme indiqué ?
Redémarre en mode sans échec pour lancer la correction OTL si tu ne peux pas faire autrement.
Ton système est infecté et les failles de sécurité présentes font que tu te referas infecté facilement, c'est toi qui décide.
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
16 janv. 2012 à 18:34
16 janv. 2012 à 18:35
16 janv. 2012 à 18:38
je vais essayer de copier le rapport en me connectant a internet sur l'autre ordi
16 janv. 2012 à 18:39
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Jade [Droits d'admin]
Mode: Recherche -- Date : 16/01/2012 18:37:25
¤¤¤ Processus malicieux: 7 ¤¤¤
[WINDOW : Security Sphere 2012] hD19600AhHmM19600.exe -- C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] hD19600AhHmM19600.exe -- C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] hD19600AhHmM19600.exe -- C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] hD19600AhHmM19600.exe -- C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe -> KILLED [TermProc]
[WINDOW : Security Sphere 2012] hD19600AhHmM19600.exe -- C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe -> KILLED [TermProc]
[SUSP PATH] hD19600AhHmM19600.exe -- C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe -> KILLED [TermProc]
[SVCHOST] svchost.exe -- C:\Windows\system32\svchost.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : {C42D90A8-08E2-D48D-BDC5-44CADC4A5D1D} (C:\Users\Jade\AppData\Roaming\Ytowhe\alip.exe) -> FOUND
[SUSP PATH] HKCU\[...]\Run : hD19600AhHmM19600 (C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2243942750-1398976322-1953931744-1000[...]\Run : {C42D90A8-08E2-D48D-BDC5-44CADC4A5D1D} (C:\Users\Jade\AppData\Roaming\Ytowhe\alip.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-2243942750-1398976322-1953931744-1000[...]\Run : hD19600AhHmM19600 (C:\ProgramData\hD19600AhHmM19600\hD19600AhHmM19600.exe) -> FOUND
[SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\Acer.scr) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] ff5795497ece0f88298ba7b6f4a5a7ac
[BSP] 95b41394cebac28626affb1fbb2b51b1 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNW [HIDDEN!] Offset (sectors): 63 | Size: 8389 Mo
1 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 16386300 | Size: 101157 Mo
2 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 213958656 | Size: 10484 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt