Sujet Précédent Sujet Suivant

[virus AdobeR.exe] Suis-je encore malade?

Fermé
alouest974 Messages postés 1 Date d'inscription jeudi 25 janvier 2007 Statut Membre Dernière intervention 25 janvier 2007 - 25 janv. 2007 à 12:33
 Tealc - 25 mai 2008 à 12:33
Bonjour à tous!!!
Comme indique le titre, je me suis fais avoir par ce trojan/vers du doux nom de AdobeR.exe, qui est surment en train de se balader dans la clé USB de ma mère (elle l'utilise pour son boulot et la branche sur tous les PC qui trainent...)

Descriptif rapide:
- Branchement hier soir pour copie de fichiers (rien d'anormal aucune alerte).
- Le lendemain environ 2h apres le demarage du PC: AVAST me signal sa présence (mise à jour du 24/01/07).
- Mesure d'urgence: SCAN minutieux.
- EnnemiS reperéS (il a fait des petits, baptisés Rjump/Win32.RJump/TCZ33... etc) et éradication de la famille apres quarantaine.
- + un petit coup de CCleaner pour clore l'histoire.

Jusque là tout est beau et super, mais en cherchant sur internet les dégats que peut causer ce virus, je m'apercois que ce virus est extrement difficile à éliminer.

Me voila pris d'un doute monstrueux:
Je fais une petite recherche avec windows de adober.exe et à mon grand regret je decouvre 2 fichiers du nom de ADOBER.EXE-0BAF9A7F.pf et ADOBER.EXE-10FF63F4.pf sous format PF dans C:WINDOWS/Preftech, non detectés par AVAST lors de mon SCAN...

J'ai pris Hijack sur le net et voici le log:

Logfile of HijackThis v1.99.1
Scan saved at 14:25:33, on 25/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe
C:\Program Files\Lexmark 2300 Series\lxcgmon.exe
C:\Program Files\Lexmark 2300 Series\ezprint.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashSimpl.exe
C:\WINDOWS\System32\rsvp.exe
C:\Documents and Settings\Fabrice\Mes documents\jack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://www.bing.com/?toHttps=1&redig=B36F9B1EE2224A50BE0722CC7282EFCA[...];CM=MsgrInstall
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {206E52E0-D52E-11D4-AD54-0000E86C26F6} - C:\PROGRA~1\FRESHD~1\FRESHD~1\fdcatch.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Program Files\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Program Files\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Open in new background tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/229?b4d086dc2c6148fab78b3f0d5793e597
O8 - Extra context menu item: Open in new foreground tab - res://C:\Program Files\Windows Live Toolbar\Components\en-us\msntabres.dll.mui/230?b4d086dc2c6148fab78b3f0d5793e597
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: lxcg_device - Unknown owner - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Suis-je encore menacé? Aucun symptome ne s'est encore déclaré...
Puis-je effacer les ADOBER.EXE-0BAF9A7F.pf et ADOBER.EXE-10FF63F4.pf (voir plus haut) manuellemnt?
Quelles solutions?

Je vous remercie.
A voir également:

4 réponses

Réponse 1 / 4
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
25 janv. 2007 à 19:22
Salut

Oui tu peux les supprimer manuellement, ce sont des fichiers temporaires !!

Pour info:

Troj/RJump-I / Worm.Win32.RJump.a se propage via les disques amoviables.
Ce trojan ouvre un port TCP entre 12000 et 19000 qui donne accès à l'ordinateur infecté à un pirate.

Pour vérifier:

# Afficher les fichiers cachés pour cela :

* Ouvrez le poste de travail
* Clicquez sur le menu outils en haut à droite puis options des dossiers
* Dans la nouvelle fenêtre, clicquez sur l'onglet Affichage en haut
* Cochez dans la liste "Afficher les fichiers cachés"
* Décochez "masquer les fichier proteger du systeme d exploitation (recommandée)"
* Ne tenez pas compte du message disant que cela peut endommager le système.

# Ouvrez le poste de travail
# Faites un clic droit sur le disque C puis Ouvrir
# Supprimez le fichier autorun.inf
# Ouvrez le dossier Windows
# Recherchez le fichier AdobeR.exe puis faites un clic droit et supprimer.

Enfin, un nettoyage avec Ccleaner:
https://www.malekal.com/tutoriel-ccleaner/

A+
0
Réponse 2 / 4
toto
21 févr. 2007 à 19:18
j'ai le meme probleme, malheureusement Ccleaner n'a rien changé au problème... quand j'essaye d'ouvrir mon disque G (externe) il me demande toujousr le fichier adobeR.exe... cependant, je peux quand meme l'ouvrir avec click droit>ouvrir... mais c'est quand meme super embetant...
merci d'avance
etienne
0
Réponse 3 / 4
Regis59 Messages postés 21143 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 1 321
21 févr. 2007 à 19:52
sALUT ETIENNE,

Cree ton poste

a+
0
benji
22 mars 2007 à 23:30
j'i eu le meme probleme. en fait ce petit malin d'adobeR modifie le lancement des DDE ou clé usb. apres la supression du virus Il faut donc ouvrir le fichier texte qui apparait sur les clé ou DDE (menu outils, otion des dossier , affichage, affichage des fichiers cachés) et supprimer les texte et ecrire =autorun au lieu de =adobeR sur la premiere ligne. supprimer les autres lignes. Redemarrer et apres tt fonctionne. G trouvé cette solution sur un autre site je sui pas un pro lol...

suite à ces virus, g dailleurs un log d'hikjackthis qui attend vos lumieres sur ce meme forum virus/securité intitulé AdobeR, FrontraF et compagnie... merci de m'aider!

adober frontraf et compagnie
0
Réponse 4 / 4
Tealc
25 mai 2008 à 12:33
Voilà, pour tous ceux qui sont débutant en informatique ou qui ont besoin de le voir pour le croire, j'ai réalisé une petite video tutoriel

Aller voir la video sur :

https://www.youtube.com/watch?v=VTi8HYFVteM&feature=user&gl=FR
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses