[virus AdobeR.exe] Suis-je encore malade? Fermé

Question

Bonjour à tous!!!
Comme indique le titre, je me suis fais avoir par ce trojan/vers du doux nom de AdobeR.exe, qui est surment en train de se balader dans la clé USB de ma mère (elle l'utilise pour son boulot et la branche sur tous les PC qui trainent...)

Descriptif rapide:
- Branchement hier soir pour copie de fichiers (rien d'anormal aucune alerte).
- Le lendemain environ 2h apres le demarage du PC: AVAST me signal sa présence (mise à jour du 24/01/07).
- Mesure d'urgence: SCAN minutieux.
- EnnemiS reperéS (il a fait des petits, baptisés Rjump/Win32.RJump/TCZ33... etc) et éradication de la famille apres quarantaine.
- + un petit coup de CCleaner pour clore l'histoire.

Jusque là tout est beau et super, mais en cherchant sur internet les dégats que peut causer ce virus, je m'apercois que ce virus est extrement difficile à éliminer.

Me voila pris d'un doute monstrueux:
Je fais une petite recherche avec windows de adober.exe et à mon grand regret je decouvre 2 fichiers du nom de ADOBER.EXE-0BAF9A7F.pf et ADOBER.EXE-10FF63F4.pf sous format PF dans C:WINDOWS/Preftech, non detectés par AVAST lors de mon SCAN...

J'ai pris Hijack sur le net et voici le log:

Logfile of HijackThis v1.99.1
Scan saved at 14:25:33, on 25/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32
vsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\System32svp.exe
C:\Documents and Settings\Fabrice\Mes documents\jack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/?toHttps=1&redig=B36F9B1EE2224A50BE0722CC7282EFCA[...];CM=MsgrInstall
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Readereader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/229?b4d086dc2c6148fab78b3f0d5793e597
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/230?b4d086dc2c6148fab78b3f0d5793e597
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32
vsvc32.exe

Suis-je encore menacé? Aucun symptome ne s'est encore déclaré...
Puis-je effacer les ADOBER.EXE-0BAF9A7F.pf et ADOBER.EXE-10FF63F4.pf (voir plus haut) manuellemnt?
Quelles solutions?

Je vous remercie.

Regis59 · Answer

Salut

Oui tu peux les supprimer manuellement, ce sont des fichiers temporaires !!

Pour info:

Troj/RJump-I / Worm.Win32.RJump.a se propage via les disques amoviables.
Ce trojan ouvre un port  TCP entre 12000 et 19000 qui donne accès à  l'ordinateur infecté à un pirate.

Pour vérifier:

# Afficher les fichiers cachés pour cela :

    * Ouvrez le poste de travail
    * Clicquez sur le menu outils en haut à droite puis options des dossiers
    * Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
    * Cochez dans la liste "Afficher les fichiers cachés"
    * Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
    * Ne tenez pas compte du message disant que cela peut endommager le système.

# Ouvrez le poste de travail
# Faites un clic droit sur le disque C puis Ouvrir
# Supprimez le fichier autorun.inf
# Ouvrez le dossier Windows
# Recherchez le fichier AdobeR.exe puis faites un clic droit et supprimer.

Enfin, un nettoyage avec Ccleaner:
https://www.malekal.com/tutoriel-ccleaner/

A+

toto · Answer

j'ai le meme probleme, malheureusement Ccleaner n'a rien changé au problème... quand j'essaye d'ouvrir mon disque G (externe) il me demande toujousr le fichier adobeR.exe... cependant, je peux quand meme l'ouvrir avec click droit>ouvrir... mais c'est quand meme super embetant...
merci d'avance
etienne

Regis59 · Answer

sALUT ETIENNE,

Cree ton poste

a+

Tealc · Answer

Voilà, pour tous ceux qui sont débutant en informatique ou qui ont besoin de le voir pour le croire, j'ai réalisé une petite video tutoriel 

Aller voir la video sur : 

https://www.youtube.com/watch?v=VTi8HYFVteM&feature=user&gl=FR

[virus AdobeR.exe] Suis-je encore malade?

4 réponses

Discussions similaires