Trojan.inject Résolu

Question

Bonjour, 

   Je suis nouvelle sur le forum, cela fait un petit moment que je parcours celui-ci et plusieurs fois j'ai réussi grâce à vous à régler mes problèmes informatiques ! Ah oui et il faut préciser que je ne suis pas une experte de la souris  ;-) !

   Aujourd'hui, cependant, j'ai un petit soucis avec un virus se faisant passer pour la gendarmerie nationale. Mon écran était bloqué sur la page "d'avertissement" avec amende à payer. Je me suis doutée que quelque chose n'allait pas, alors avec un deuxième PC j'ai été voir sur le forum si je n'étais pas la seule. En effet, c'était bien le cas mais tous les cconseils que j'avais pu lire disais de redémarrer le PC en mode sans échec ou mode sans échec avec réseau. J'ai essayé ces deux modes mais les deux affichaient un message bleu d'erreur en stipulant que mon ordinateur était infecté. J'ai appuyé avec désespoir sur les touches du clavier mais je n'ai pas pu atteindre mon bureau.

    En rééssayant ce matin, j'ai pu enfin accéder à mon bureau en voulant fermer ma session mais cliquant sur une fênêtre ouverte j'ai pu arrêter le processus.

    Dès que j'ai vu cela j'ai télécharger Malwarebytes et lancé un scan complet. Il me dit qu'il y a 4 "fichiers" malveillants dont le fameux Trojan.inject.
   J'aimerais bien entendu pouvoir le supprimer (les autres fichiers infectés aussi tant qu'à faire ^^) sans nuir à mon PC. Je veux dire par là ne pas supprimer aussi un fichier important de windows. 

Comment faire ?

Et aussi comment faire après je dois rnettoyer mon PC ?

Merci d'avance pour toutes vos réponses !

Sanae-san


Configuration: Windows XP / Internet Explorer 8.0 de windows

juju666 · Accepted Answer

salut,

poste ton rapport malwarebytes stp

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

Sanae-san · Answer

Merci pour cette réponse rapide. J'ai une petite question Il me dit que proxy est détecté et me propose soit de le supprimer soit de ne pas le supprimer que faire ?

Sanae-san · Answer

Le scan est fini voilà le lien du rapport: 
https://pjjoint.malekal.com/files.php?id=20120627_d12g11l13u15d6

juju666 · Answer

Poste le rapport MBAM, je reviens

juju666 · Answer

malwarebytes anti malware

===========================

¤¤¤¤¤¤¤¤¤¤ | SafeBoot | Contrôle | Réparation

[HKLM | Safeboot] -> Manquante...réparation...
[HKLM | Safeboot\Minimal] -> Manquante...réparation...
[HKLM | Safeboot\Network] -> Manquante...réparation...

ton mode sans échec est réparé ^^

je continue la lecture :-)

juju666 · Answer

fais pas de malwarebytes pour l'instant.

fais analyser les fichiers suivants sur VirusTotal

C:\WINDOWS\RemoveDir.exe
C:\WINDOWS\system32\chkhbcin.exe

S'il te dit que le fichier a déjà été analysé, clique sur Reanalyse 
Poste les liens vers les analyses dans ta réponse que je consulte les rapports

juju666 · Answer

OK 

lecture terminée ^^

envoie ça aussi sur virustotal : C:\Program Files\Network Associates\Common Framework\FrameworkService.exe

=====================================================

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

==========================

Sélectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________

Kill::

Key::
[HKU\S-1-5-21-1918766153-4129338091-2039583726-1115\Software\Microsoft\Internet Explorer\SearchScopes\{9E61976D-BB57-4B98-B3BE-5FA01BD5B927}]
[HKU\S-1-5-21-1918766153-4129338091-2039583726-1115_Classes\TypeLib] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[ISUSPM Startup] 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[ISUSScheduler]  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[chkhbci]  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[HP Software Update]  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:[]  
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]:[DeleteOnReboot]
[HKU\S-1-5-21-1918766153-4129338091-2039583726-1115\Software\Microsoft\Internet Explorer\Toolbar]:[Locked]
[HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Toolbar]:[Locked]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]  
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:[3389:TCP]
[HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\domainprofile\GloballyOpenPorts\List]:[3389:TCP]

File::
C:\Documents and Settings\xp1\Application Data\Mozilla\Firefox\Profiles\k6u0k05z.default\searchplugins\askcomsearch.xml 
C:\DOCUME~1\xp1\LOCALS~1\Temp\ToolbarInstaller.exe 
C:\DOCUME~1\xp1\LOCALS~1\Temp\MachineIdCreator.exe 
C:\DOCUME~1\xp1\LOCALS~1\Temp\CommonInstaller.exe 
C:	emp_req.xml 
C:	oto.xml 
C:	oto2.xml 
C:\Documents and Settings\xp1\~ 
C:\Documents and Settings\All Users\Application Data\Ament.ini 
C:\Documents and Settings\xp1\Local Settings\Application Data\dt.dat 

Folder::     
C:\Program Files (x86)\adawaretb     
C:\Program Files (x86)\Toolbar Cleaner 
C:\Windows\Installer\{A7BC02AF-1128-4A31-BCF8-1A3EE803D3B3}    
C:\Windows\Installer\{A81A974F-8A22-43E6-9243-5198FF758DA1}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy     
C:\Users\Nicole\AppData\Roaming\TestApp 
C:\ProgramData\Ad-Aware Browsing Protection 
C:\ProgramData\Spybot - Search & Destroy     
C:\Program Files (x86)\GUMBE8D.tmp 
C:\Program Files (x86)\Spybot - Search & Destroy     
C:\Users\Nicole\AppData\Local\Temp\Low\UnityWebPlayer 
C:\528a878356c6df8d84b926
C:\6212cec89213b99ae051f6 
C:\7adacaff5ca59b8c355c4d 
C:\c3a9b832d22ef206bb33a8df 
C:\f2ce22697e88ace99750be 
C:\fd93486bb45089469c0be7efdfad 
C:	mp  
C:\WINDOWS\Installer\{AC76BA86-7AD7-1036-7B44-A95000000001}     
   
Del_Part::
0::

MBR::

clean::

Reboot::
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenêtres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaîtra sur le bureau en fin de travail

Sanae-san · Answer

Alors "gros" problème:
pendant le scan j'ai eu le droit à un message:

Fichier manquant: <Racine Windows>\système32\hal.dll

Essaie de redémarrage 2 fois et ça ne marche à cause de ce fichier manquant même en mode sans échec ! :-S

g3n-h@ckm@n · Answer

salut je suis le créateur de pre_scan  

pour avancer : 

un fichier est corrompu mais ne t'inquiete pas ton pc va redemarrer :) 

plusieurs solution s'offrent à toi  

as tu le choix de la console de recuperation au demarrage ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

je sais bon on va faire simple car je ne connais pas le fonctionnement du active directory

tu as le cd de windows xp ?

g3n-h@ckm@n · Answer

pas grave on fait autrement  

telecharge ici : http://www.forums-fec.be/gen-hackman/win7Rescue_PE.iso => OTLPE sous environnement windows 7 en Live

insère une clé usb dans un support ( minimum 512 Mo )

Télécharge ici : http://www.forums-fec.be/gen-hackman/Sardu_Installer.exe

Installe ce dernier , et place "win7Rescue_PE.iso" dans le dossier C:\Sardu_2.0.4.3\ÌSO

ferme et ensuite lance Sardu par le raccourci qui a été placé sur ton bureau , onglet fichier , clique sur Activer les Extra , puis charger toutes les Iso/IMA.
verifie à l'onglet "Windows" que la case "WIN7PE" est bien cochée.
en bas à droite de la fenetre tu dois avoir un poids avoisinant les 330 Mb.

Clique ensuite sur "search USB" et sélectionne ta clé juste en dessous , puis clique sur le dessin de clé USB "make usb" apparaitra dans l"infobulle" de la souris.

reponds oui à la question "etes-vous sûr blablabla....."

tu verras les actions du programme pendant qu il travaille pour installer tout ca sur ta clé.

insère ta clé usb dans le pc malade.

ensuite change le demarrage de ton pc malade dans le bios en mettant la clé usb en premier demarrage

comment Faire ? : https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot ( sauf que là tu mets ta clé )

demarre le pc malade.

Le menu Sardu va s'afficher

selectionne "Windows Live" puis "Lancer Win 7 PE" , windows va se charger...

Laisse faire jusqu'à l'affichage complet du bureau de Windows 7

============ 

rends toi sur cette page et clique sur telechargement , puis mets le fichier dans une clé usb que tu branches ensuite dans le pc malade 

https://www.fichier-dll.fr/hal.dll,1144 

(il faudra dezipper le fichier pour recuperer hall.dll qui est à l'interieur de l'archive (clic droit / extraire) 

copie le fichier hall.dll dans le dossier system32 qui se trouve dans le dossier windows du systeme malade 

redemarre le pc sans le cd , ca devrait redemarrer sur ton XP 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ben clique sur mon lien bleu voyons !

Sanae-san · Answer

J'avance ^^ tout doucement mais surement ! Alors j'en suis à l'étape télécharger hall.dll seulement je me demande si c'est normale je n'ai pas eu besoin de l'extraire en téléchargeant le fichier avait déjà ce nom, est-ce normal ?

g3n-h@ckm@n · Answer

ah bon ? moi j 'ai eu un zip....lol 

ben tant mieux :) 

sinon une fois fini pour redemarrer , c'est dans le menu demarrer du live cd , tu cliques sur reboot et tu retires le cd quand l'ecran devient noir ce repartira sur ton disque dur internet de ton xp 

je m'absente à plus tard , quoi qu'il en soit tu n'es pas abandonné(e) 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Sanae-san · Answer

Il me demande si je dois copier et remplacer ou conserver les deux. Heu... remplacer ?

juju666 · Answer

re de retour du jardin ^^

ah le gros helpeur est passé par ici :p

copier et remplacer ou conserver les deux ... quoi ? ^^

Sanae-san · Answer

J'ai rebooté mais ça m'affiche le même message !

juju666 · Answer

mmmmh

tu peux taper gen hackman de ma part :D

ça te dérange pas d'attendre un peu son retour ? car là je ne vois pas comment on pourrait faire, je suis pas si bon que lui ^^

Sanae-san · Answer

Ah je vois marqué consode de récupération Microsoft Windows XP  dans le menu de démarrage.

juju666 · Answer

ah ben lance la

qu'est-ce qu'il propose ?

Sanae-san · Answer

alors voilà le contenu du fichier boot.ini:

[boot loader]
timeout=10
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
C:\CMDCONS\BOOTSECT.DAT="Console de r'cup'ration Microsoft Windows XP" /cmdcons

g3n-h@ckm@n · Answer

ahhh donc au demarrage tu as bien la console de recupération en deuxieme choix !!....

g3n-h@ckm@n · Answer

regarde ici sauf que toi tu demarres sur la console de recuperation : 

https://www.commentcamarche.net/faq/3796-windows-hal-dll-manquant-ou-corrompu 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

oui je pense et ensuite tu suis les instructions

Sanae-san · Answer

J'ai réussi à avoir un CD Windows 7 cela pourrait-il marché ?

g3n-h@ckm@n · Answer

non si t'as XP ca marchera pas ^^

Sanae-san · Answer

Bonjour,

Alors ça y est (enfin) j'ai réussi à me procurer un CD Windows XP ! 
A présent par quoi dois-je commencer ?

g3n-h@ckm@n · Answer

re 

demarre sur le cd puis au menu sur la page bleue , tu tapes "R" 

=> sur quelle session de windows blablabla.. => tu tapes "1" 

tu vas te retrouver avec l'ecran noir ecritures blanches et ca : 

C:\Windows>_ 

tu confirmes ? 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

precise un maximum la page d'erreur

g3n-h@ckm@n · Answer

mmmm...

bon je pense avoir compris la console de recuperation te demande le mot de passe de la session administrateur...

~ [HKLM | ProfileList\S-1-5-21-367148478-667495887-1657829487-500] : ProfileImagePath -> C:\Documents and Settings\Administrateur

g3n-h@ckm@n · Answer

re

fauddrait faire verifier ton disque dur je pense

Sanae-san · Answer

J'ai enfin réussi à résoudre par l'intermédiaire de quelqu'un le problème pour allumer l'ordinateur ! Maintenant j'accède au bureau de l'ordinateur. J'ai lancé Malwarebytes et voilà le rapport: 

Malwarebytes Anti-Malware 1.61.0.1400 
www.malwarebytes.org 

Version de la base de données: v2012.07.11.05 

Windows XP Service Pack 2 x86 NTFS 
Internet Explorer 8.0.6001.18702 
xp1 :: P1 [administrateur] 

11/07/2012 15:01:57 
mbam-log-2012-07-11 (15-42-35).txt 

Type d'examen: Examen complet 
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM 
Options d'examen désactivées: P2P 
Elément(s) analysé(s): 261783 
Temps écoulé: 14 minute(s), 12 seconde(s) 

Processus mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Module(s) mémoire détecté(s): 0 
(Aucun élément nuisible détecté) 

Clé(s) du Registre détectée(s): 0 
(Aucun élément nuisible détecté) 

Valeur(s) du Registre détectée(s): 0 
(Aucun élément nuisible détecté) 

Elément(s) de données du Registre détecté(s): 0 
(Aucun élément nuisible détecté) 

Dossier(s) détecté(s): 0 
(Aucun élément nuisible détecté) 

Fichier(s) détecté(s): 3 
C:\Pre_Scan\Quarantine\01NET.com.exe.P_S (PUP.Toolbar.Repacked) -> Aucune action effectuée. 
C:\Pre_Scan\Quarantine\er_00_0_l.exe.P_S (Spyware.Zbot.DG) -> Aucune action effectuée. 
C:\Documents and Settings\xp1\Menu Démarrer\Programmes\Démarrage\ctfmon.lnk (Trojan.Ransom.Gen) -> Aucune action effectuée. 

(fin)


Je supprime la sélection, non?

g3n-h@ckm@n · Answer

ca parait logique non ?

t'as fait comment pour rallumer le pc ?

g3n-h@ckm@n · Answer

? il etait très bien ton fichier boot..

https://forums.commentcamarche.net/forum/affich-25469834-trojan-inject?full#60

g3n-h@ckm@n · Answer

ouaip fais le menage quand meme

https://gen-hackman.kanak.fr/

Sanae-san · Answer

J'ai sécurisé le PC c'est bon par contre du coup en prévention sur les autres PC de la maison j'ai lancé Malwarebytes Anti-Malware et j'ai trouvé  12 infections sur un PC, dois-je rouvrir un sujet ou je peux mettre le rapport ici pour savoir si je peux supprimer sans problème ?  

Merci d'avance ! =)

g3n-h@ckm@n · Answer

re

mets le rapport voir ?

g3n-h@ckm@n · Answer

bah supprime tout puis fais un passage suppression avec adwcleaner

Trojan.inject

38 réponses

Votre réponse

Newsletters