Trojan Barys et autres virus

WishIwasageek Messages postés 30 Statut Membre -  
 g3n-h@ckm@n -
Cher communauté d'entraide,

Mon pc a été infecté il y 10 jours par un Trojan quelconque dont j'ai cru m'être débarrassé facilement avec Avira.
Mais depuis, c'est la catastrophe et des dizaines de Trojans, worms et malwares se sont infiltrés. Aujourd'hui mon pc est quasi inutilisable, mon ventilateur marche en sur régime en permanence.

J'ai scanné et désinfecté avec Avira et Malware's byte qui détectent une quarantaine de menaces. Les rapports indiquent à chaque fois que les menaces ont été supprimées avec succès mais à chaque démarrage le système débloque, Avira m'indique que le Trojan Barys a été trouvé, des fenêtres système m'indiquent que des fichiers tentent d'être copiés et remplacés (camp23.bat). Mon onglet "Protection du système" a carrément disparu donc impossible d'écraser les anciens points de restauration...

Je ne sais plus quoi faire. A l'aide. C'est mon outil de travail et je n'ai évidemment pas eu le cd d'installation de windows 7 quand j'ai acheté le pc..

D'avance merci,

Emilie

Config Windows 7
Chrome

38 réponses

  • 1
  • 2
Résumé de la discussion

Une infection complexe par Trojan et autres malwares est signalée sur Windows 7, accompagnée de l'apparition de dizaines de menaces après des scans, d'un ventilateur en sur régime et de comportements anormaux au démarrage.
Plusieurs outils de sécurité, notamment Avira et Malwarebytes, affichent des menaces détectées et des suppressions réussies, mais les redémarrages réactivent des composants malveillants et certaines valeurs système restent inaccessibles.
Des solutions préconisées incluent l'installation du Service Pack 1 pour stabiliser Windows 7, le recours à des outils de nettoyage externes et des procédures hors ligne, et la limitation des périphériques susceptibles d'introduire des infections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut quand tu achetes le pc il est conseillé d'en faire les dvd de sauvegarde....

    poste ton rapport de mlawarebytes relatant les infections
    0
  2. WishIwasageek Messages postés 30 Statut Membre
     
    Merci pour ton aide! Ok, je lance un scan, ça peut durer un moment... ma machine est très lente.
    0
  3. g3n-h@ckm@n
     
    non je voudrais lire le rapport de scan que tu as deja effectué
    0
  4. WishIwasageek Messages postés 30 Statut Membre
     
    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.07.02.02

    Windows 7 x64 NTFS (Mode sans échec/Réseau)
    Internet Explorer 8.0.7600.16385
    Emi :: EMI-LAPTOP [administrateur]

    02/07/2012 21:57:05
    mbam-log-2012-07-02 (21-57-05).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 378183
    Temps écoulé: 59 minute(s), 27 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)
    Désolée c'est un peu indigeste. Ci-dessous.

    ...

    Clé(s) du Registre détectée(s): 1
    HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

    Valeur(s) du Registre détectée(s): 8
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|RjVCQTJCQkY3MjQyRkEyQk (Backdoor.Bot) -> Données: C:\Users\Emi\seWsm.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|svchost.exe (Trojan.Agent) -> Données: "C:\Users\Emi\AppData\Roaming\svchost.exe" -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|muteysexymylul (Trojan.Agent) -> Données: "C:\Users\Emi\AppData\Roaming\svchost.exe" -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Agent) -> Données: C:\Users\Emi\LOCALS~1\Temp\msafeq.exe -> Suppression au redémarrage.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|a (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\Desktop\chrome.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|b (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\my documents\chrome.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|c (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\Downloads\chrome.exe -> Mis en quarantaine et supprimé avec succès.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|d (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\chrome.exe -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 50
    C:\Users\Emi\AppData\Local\Temp\44681.exe (PUP.HackTool.ACGen) -> Aucune action effectuée.
    C:\Users\Emi\AppData\Local\Temp\Updates\scvhost.exe (PUP.BitMiner) -> Aucune action effectuée.
    C:\Users\Emi\seWsm.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\$Recycle.Bin\S-1-5-21-3343375311-4005270121-35972799-1001\$RMG81DU.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
    C:\$Recycle.Bin\S-1-5-21-3343375311-4005270121-35972799-1001\$RTO32FK.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RGDKAY9\339504584.jangaland[1].exe (PUP.HackTool.ACGen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RGDKAY9\Protected[1].exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JTG10TRP\file[1].exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\0008b846.exe (Backdoor.MSIL.P) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\00114163.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\005b7e64.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\00955ee4.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\00b69cde.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\00c73bcb.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\00cf9669.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\00e032e6.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\00f90b5a.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\0112121e.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\0187c77a.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\0188a22f.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\1603.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\2715.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\3088.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\4954.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\6836.exe (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\81CE.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\913F.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\B969.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\BFCF.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\D8A4.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\D934.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\eUHhp.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\sppnp.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\System.Deployment.exe (Backdoor.MSIL.P) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\asvizv.exe_knnls (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\eutreu.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\hpdydb.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\icbnti.exe (Trojan.MSIL.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\iubtbt.exe_qtwwj (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\MsAiStart.zgy (Worm.Ainslot) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\xoawud.exe (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\3 2\svchost2.exe (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\file2.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\svchost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Roaming\91534.exe (Rogue.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\Updates\msusm.exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\AppData\Local\Temp\plugtmp\Service.exe (Backdoor.Messa) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\Desktop\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\Downloads\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Emi\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. WishIwasageek Messages postés 30 Statut Membre
     
    Merci! Et désolée d'avoir posté le rapport directement sur le forum...
    0
  7. g3n-h@ckm@n
     
    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

    0
  8. WishIwasageek Messages postés 30 Statut Membre
     
    Bien noté, je m'y atèle. Merci.
    0
    1. g3n-h@ckm@n
       
      à te lire :)
      0
    2. WishIwasageek Messages postés 30 Statut Membre
       
      Ci-joint: https://pjjoint.malekal.com/files.php?id=20120703_m7t10e7r11i7

      J'ai l'impression que ma machine va déjà beaucoup mieux! Pas d'alerte d'Avira au démarrage, pas de tentative de copie de camp23.bat, et j'ai retrouvé l'onglet protection du système. Par contre, la protection du système indique que celle-ci est désactivée. Dois-je réactiver?

      Merci g3n-h@ckm@n!

      Emilie
      0
  9. WishIwasageek Messages postés 30 Statut Membre
     
    Bon... fausse joie. TR/Dropper Gen continue d'être détecté par Avira... mais le pc est globalement beaucoup moins lent.
    0
  10. g3n-h@ckm@n
     
    service pack1 à installer
    internet explorer à mettre à jour => 9
    Mozilla à mettre à jour => 13
    desinstalle sweetIM
    desinstalle babylon
    desinstalle 1ClickDownload
    desinstalle ScanSpyware 3.9.2.2

    ====================

    NE TE SERS PLUS DU PC QUE POUR DESINFECTER !!!

    =====================

    @: à L'attention de ceux qui utilisent les switchs de Pre_script :
    n'utiliser que les switchs proposés sur la page correspondante :
    https://gen-hackman.kanak.fr/

    ================================

    Clique sur ce lien : https://www.cjoint.com/?BGdwhmaOq3A

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  11. WishIwasageek Messages postés 30 Statut Membre
     
    Le pre-script: https://pjjoint.malekal.com/files.php?id=20120703_s15i8u8c15n6

    service pack1 à installer : Windows update ne me le propose pas. Dois-je forcer l'installation? Sinon tout est à jour.
    internet explorer à mettre à jour => 9 : Fait
    Mozilla à mettre à jour => 13 : Fait mais après le pre-script
    desinstalle sweetIM : Fait
    desinstalle babylon : Fait mais continue de se lancer en page d'accueil de Mozilla.
    desinstalle 1ClickDownload : Fait
    desinstalle ScanSpyware 3.9.2.2: Fait

    Au démarrage, le fichier camp23.bat continue de vouloir copier/remplacer la version existante du fichier. J'ai TOUJOURS refusé la copie. Est-ce que je devrais accepter?

    Merci!
    0
  12. WishIwasageek Messages postés 30 Statut Membre
     
    Je n'arrive plus à poster dans la discussion! Mes messages ne s'affichent pas.
    Du coup je viens de t'envoyer un mail...

    Merci!
    0
  13. WishIwasageek Messages postés 30 Statut Membre
     
    Je viens de comprendre que mes messages ne s'affichaient plus car mon lien de téléchargement était un https.

    Donc...

    J'ai suivi le tutoriel, l'analyse a pris 5 heures et je ne sais pas si elle a abouti (impossible de faire "tout sélectionner" puis "supprimer" à la fin du scan, les boutons étaient grisés). Mais le rapport indique que les menaces ont été traitées.

    Le voici: http://ww38.toofiles.com/fr/oip/documents/csv/drweb.html

    Merci mille fois.

    Emilie
    0
  14. g3n-h@ckm@n
     
    bon ben il a vidé des quarantaines...
    0
  15. WishIwasageek Messages postés 30 Statut Membre
     
    Hum... est-ce que je dois prendre ça comme une victoire?
    Est-ce qu'il y a autre chose que je puisse faire?
    0
  16. g3n-h@ckm@n
     
    supprime pre_sscan retelecharge-le puis repasse-le
    0
  17. g3n-h@ckm@n
     
    service pack 1 à installer !!!

    ============================

    @: à L'attention de ceux qui utilisent les switchs de Pre_script :
    n'utiliser que les switchs proposés sur la page correspondante :
    https://gen-hackman.kanak.fr/

    ================================

    Clique sur ce lien : https://www.cjoint.com/?BGfc0AkQkSW

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  18. WishIwasageek Messages postés 30 Statut Membre
     
    Le pre-script: https://pjjoint.malekal.com/files.php?id=20120705_c7k13g6w12q7

    Pour le service pack 1, Windows déconseille fortement de forcer l'installation si elle ne m'est pas proposée par Windows Update. J'ai lu tous les guides et je ne comprends pas quels éléments manquent pour que je puisse accéder "normalement" au pack 1. J'ai peur qu'une installation prématurée ne foute en l'air le système. Mais si tu me dis qu'il n'y a pas de danger alors je l'installe.

    Merci!

    Emilie
    0
  19. g3n-h@ckm@n
     
    va voir sur windows update dans ton menu demarrer/programmes
    0
  • 1
  • 2