Trojan Barys et autres virus

Fermé
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012 - 3 juil. 2012 à 16:07
 Utilisateur anonyme - 8 juil. 2012 à 00:52
Cher communauté d'entraide,

Mon pc a été infecté il y 10 jours par un Trojan quelconque dont j'ai cru m'être débarrassé facilement avec Avira.
Mais depuis, c'est la catastrophe et des dizaines de Trojans, worms et malwares se sont infiltrés. Aujourd'hui mon pc est quasi inutilisable, mon ventilateur marche en sur régime en permanence.

J'ai scanné et désinfecté avec Avira et Malware's byte qui détectent une quarantaine de menaces. Les rapports indiquent à chaque fois que les menaces ont été supprimées avec succès mais à chaque démarrage le système débloque, Avira m'indique que le Trojan Barys a été trouvé, des fenêtres système m'indiquent que des fichiers tentent d'être copiés et remplacés (camp23.bat). Mon onglet "Protection du système" a carrément disparu donc impossible d'écraser les anciens points de restauration...

Je ne sais plus quoi faire. A l'aide. C'est mon outil de travail et je n'ai évidemment pas eu le cd d'installation de windows 7 quand j'ai acheté le pc..

D'avance merci,

Emilie

Config Windows 7
Chrome
A voir également:

38 réponses

Utilisateur anonyme
3 juil. 2012 à 16:17
salut quand tu achetes le pc il est conseillé d'en faire les dvd de sauvegarde....

poste ton rapport de mlawarebytes relatant les infections
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
3 juil. 2012 à 16:48
Merci pour ton aide! Ok, je lance un scan, ça peut durer un moment... ma machine est très lente.
0
Utilisateur anonyme
3 juil. 2012 à 16:48
non je voudrais lire le rapport de scan que tu as deja effectué
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
3 juil. 2012 à 17:07
Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.02.02

Windows 7 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.7600.16385
Emi :: EMI-LAPTOP [administrateur]

02/07/2012 21:57:05
mbam-log-2012-07-02 (21-57-05).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 378183
Temps écoulé: 59 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Désolée c'est un peu indigeste. Ci-dessous.

...

Clé(s) du Registre détectée(s): 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|RjVCQTJCQkY3MjQyRkEyQk (Backdoor.Bot) -> Données: C:\Users\Emi\seWsm.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|svchost.exe (Trojan.Agent) -> Données: "C:\Users\Emi\AppData\Roaming\svchost.exe" -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|muteysexymylul (Trojan.Agent) -> Données: "C:\Users\Emi\AppData\Roaming\svchost.exe" -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Agent) -> Données: C:\Users\Emi\LOCALS~1\Temp\msafeq.exe -> Suppression au redémarrage.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|a (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\Desktop\chrome.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|b (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\my documents\chrome.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|c (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\Downloads\chrome.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|d (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\chrome.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 50
C:\Users\Emi\AppData\Local\Temp\44681.exe (PUP.HackTool.ACGen) -> Aucune action effectuée.
C:\Users\Emi\AppData\Local\Temp\Updates\scvhost.exe (PUP.BitMiner) -> Aucune action effectuée.
C:\Users\Emi\seWsm.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3343375311-4005270121-35972799-1001\$RMG81DU.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3343375311-4005270121-35972799-1001\$RTO32FK.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RGDKAY9\339504584.jangaland[1].exe (PUP.HackTool.ACGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RGDKAY9\Protected[1].exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JTG10TRP\file[1].exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0008b846.exe (Backdoor.MSIL.P) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00114163.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\005b7e64.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00955ee4.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00b69cde.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00c73bcb.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00cf9669.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00e032e6.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00f90b5a.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0112121e.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0187c77a.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0188a22f.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\1603.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\2715.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\3088.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\4954.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\6836.exe (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\81CE.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\913F.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\B969.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\BFCF.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\D8A4.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\D934.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\eUHhp.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\sppnp.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\System.Deployment.exe (Backdoor.MSIL.P) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\asvizv.exe_knnls (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\eutreu.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\hpdydb.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\icbnti.exe (Trojan.MSIL.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\iubtbt.exe_qtwwj (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\MsAiStart.zgy (Worm.Ainslot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\xoawud.exe (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\3 2\svchost2.exe (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\file2.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\svchost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\91534.exe (Rogue.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\Updates\msusm.exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\plugtmp\Service.exe (Backdoor.Messa) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\Desktop\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\Downloads\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.

(fin)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
3 juil. 2012 à 17:12
Merci! Et désolée d'avoir posté le rapport directement sur le forum...
0
Utilisateur anonyme
3 juil. 2012 à 17:56
Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
3 juil. 2012 à 18:30
Bien noté, je m'y atèle. Merci.
0
à te lire :)
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
3 juil. 2012 à 19:45
Ci-joint: https://pjjoint.malekal.com/files.php?id=20120703_m7t10e7r11i7

J'ai l'impression que ma machine va déjà beaucoup mieux! Pas d'alerte d'Avira au démarrage, pas de tentative de copie de camp23.bat, et j'ai retrouvé l'onglet protection du système. Par contre, la protection du système indique que celle-ci est désactivée. Dois-je réactiver?

Merci g3n-h@ckm@n!

Emilie
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
3 juil. 2012 à 21:18
Bon... fausse joie. TR/Dropper Gen continue d'être détecté par Avira... mais le pc est globalement beaucoup moins lent.
0
Utilisateur anonyme
3 juil. 2012 à 22:07
service pack1 à installer
internet explorer à mettre à jour => 9
Mozilla à mettre à jour => 13
desinstalle sweetIM
desinstalle babylon
desinstalle 1ClickDownload
desinstalle ScanSpyware 3.9.2.2

====================

NE TE SERS PLUS DU PC QUE POUR DESINFECTER !!!

=====================


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGdwhmaOq3A

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
3 juil. 2012 à 23:04
Le pre-script: https://pjjoint.malekal.com/files.php?id=20120703_s15i8u8c15n6

service pack1 à installer : Windows update ne me le propose pas. Dois-je forcer l'installation? Sinon tout est à jour.
internet explorer à mettre à jour => 9 : Fait
Mozilla à mettre à jour => 13 : Fait mais après le pre-script
desinstalle sweetIM : Fait
desinstalle babylon : Fait mais continue de se lancer en page d'accueil de Mozilla.
desinstalle 1ClickDownload : Fait
desinstalle ScanSpyware 3.9.2.2: Fait

Au démarrage, le fichier camp23.bat continue de vouloir copier/remplacer la version existante du fichier. J'ai TOUJOURS refusé la copie. Est-ce que je devrais accepter?

Merci!
0
Utilisateur anonyme
3 juil. 2012 à 23:17
pre_scan est corrompu tu peux le jeter

===========

suis ce tutoriel

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
4 juil. 2012 à 17:17
Je n'arrive plus à poster dans la discussion! Mes messages ne s'affichent pas.
Du coup je viens de t'envoyer un mail...

Merci!
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
4 juil. 2012 à 17:34
Je viens de comprendre que mes messages ne s'affichaient plus car mon lien de téléchargement était un https.

Donc...

J'ai suivi le tutoriel, l'analyse a pris 5 heures et je ne sais pas si elle a abouti (impossible de faire "tout sélectionner" puis "supprimer" à la fin du scan, les boutons étaient grisés). Mais le rapport indique que les menaces ont été traitées.

Le voici: http://ww38.toofiles.com/fr/oip/documents/csv/drweb.html

Merci mille fois.

Emilie
0
Utilisateur anonyme
4 juil. 2012 à 19:21
bon ben il a vidé des quarantaines...
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
4 juil. 2012 à 21:19
Hum... est-ce que je dois prendre ça comme une victoire?
Est-ce qu'il y a autre chose que je puisse faire?
0
Utilisateur anonyme
5 juil. 2012 à 00:27
supprime pre_sscan retelecharge-le puis repasse-le
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
5 juil. 2012 à 02:27
0
Utilisateur anonyme
5 juil. 2012 à 02:53
service pack 1 à installer !!!

============================

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGfc0AkQkSW

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
0
WishIwasageek Messages postés 27 Date d'inscription jeudi 23 décembre 2010 Statut Membre Dernière intervention 8 juillet 2012
5 juil. 2012 à 03:46
Le pre-script: https://pjjoint.malekal.com/files.php?id=20120705_c7k13g6w12q7

Pour le service pack 1, Windows déconseille fortement de forcer l'installation si elle ne m'est pas proposée par Windows Update. J'ai lu tous les guides et je ne comprends pas quels éléments manquent pour que je puisse accéder "normalement" au pack 1. J'ai peur qu'une installation prématurée ne foute en l'air le système. Mais si tu me dis qu'il n'y a pas de danger alors je l'installe.

Merci!

Emilie
0
Utilisateur anonyme
5 juil. 2012 à 04:01
va voir sur windows update dans ton menu demarrer/programmes
0