Trojandowloader....
luckylesexy
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
Depuis quelques temps, j'ai un virus sur mon pc "trojandowloader".
Tous les jours je le supprime avec mon anti-virus "microsoft sécurity essential", mais il revient tout le temps !!
j'ai donc utilisé spybot, sans résultat.
Ensuite j'ai utilisé roguekiller, il a trouver quelques trucs, mais je sais pas si il s'agit du virus !
voici le rapport de roguekiller:
RogueKiller V8.3.1 [Nov 20 2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Pascal [Droits d'admin]
Mode : Recherche -- Date : 30/11/2012 21:00:54
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Akamai NetSession Interface ("C:\Users\Pascal\AppData\Local\Akamai\netsession_win.exe") -> TROUVÉ
[RUN][NOTFOUND] HKUS\S-1-5-19[...]\Run : WindowsWelcomeCenter (rundll32.exe oobefldr.dll,ShowWelcomeCenter) -> TROUVÉ
[RUN][NOTFOUND] HKUS\S-1-5-20[...]\Run : WindowsWelcomeCenter (rundll32.exe oobefldr.dll,ShowWelcomeCenter) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2718039722-2330081031-2655094128-1000[...]\Run : Akamai NetSession Interface ("C:\Users\Pascal\AppData\Local\Akamai\netsession_win.exe") -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1200BEVS-60UST0 ATA Device +++++
--- User ---
[MBR] ec467da88def0267c69e0688489d600b
[BSP] a40a6f4679a5d8733cd3031aabfe9eac : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 105574 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 216217600 | Size: 8895 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_30112012_210054.txt >>
RKreport[1]_S_30112012_210054.txt
merci de votre aide :)
Depuis quelques temps, j'ai un virus sur mon pc "trojandowloader".
Tous les jours je le supprime avec mon anti-virus "microsoft sécurity essential", mais il revient tout le temps !!
j'ai donc utilisé spybot, sans résultat.
Ensuite j'ai utilisé roguekiller, il a trouver quelques trucs, mais je sais pas si il s'agit du virus !
voici le rapport de roguekiller:
RogueKiller V8.3.1 [Nov 20 2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Pascal [Droits d'admin]
Mode : Recherche -- Date : 30/11/2012 21:00:54
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Akamai NetSession Interface ("C:\Users\Pascal\AppData\Local\Akamai\netsession_win.exe") -> TROUVÉ
[RUN][NOTFOUND] HKUS\S-1-5-19[...]\Run : WindowsWelcomeCenter (rundll32.exe oobefldr.dll,ShowWelcomeCenter) -> TROUVÉ
[RUN][NOTFOUND] HKUS\S-1-5-20[...]\Run : WindowsWelcomeCenter (rundll32.exe oobefldr.dll,ShowWelcomeCenter) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2718039722-2330081031-2655094128-1000[...]\Run : Akamai NetSession Interface ("C:\Users\Pascal\AppData\Local\Akamai\netsession_win.exe") -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\iastorv.sys -> HOOKED ([MAJOR] Unknown @ 0x864231F8)
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
127.0.0.1 localhost
::1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: WDC WD1200BEVS-60UST0 ATA Device +++++
--- User ---
[MBR] ec467da88def0267c69e0688489d600b
[BSP] a40a6f4679a5d8733cd3031aabfe9eac : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 105574 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 216217600 | Size: 8895 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_30112012_210054.txt >>
RKreport[1]_S_30112012_210054.txt
merci de votre aide :)
9 réponses
Bonsoir,
Quel est le nom du fichier détecté par ton antivirus comme étant un trojandowloader ?
Dans quel dossier le localise t-il ?
A+
Quel est le nom du fichier détecté par ton antivirus comme étant un trojandowloader ?
Dans quel dossier le localise t-il ?
A+
oulaaa j'me souvient vraiment plus !:/
je vois juste le nom du virus et localisation: windows.
C'est tout :/
je vois juste le nom du virus et localisation: windows.
C'est tout :/
Nous allons utiliser cet outil de diagnostic :
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe, l'interface principale s'ouvre.
● Coche la case Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
msconfig netsvcs /md5start explorer.exe winlogon.exe userinit.exe svchost.exe services.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %SYSTEMDRIVE%\*.* CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://security-x.fr/up/
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
Aide : Tutorial OTL (par Malekal)
A +
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
== == == == == == == == == == == == == == == == == == == == == ==
1. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Laisse cochées les cases : Mettre à jour Malwarebytes Anti-Malware et Lancer Malwarebytes Anti-Malware, puis clique sur Terminer.
● Si une mise à jour est trouvée, il va télécharger et installer la dernière version.
● Une fois le programme chargé, sélectionne "Effectuer un examen rapide", puis clique sur le bouton Rechercher.
● Lorsque l'analyse est terminée, clique sur OK, puis Afficher les résultats.
● Vérifie que toutes les cases soient cochées, puis clique sur Supprimer la sélection.
● Quand la désinfection est terminée, un rapport s'ouvre dans le Bloc-notes.
● Si des éléments sont difficiles à supprimer, Malwarebytes l'indiquera, clique sur OK, laisse l'outil poursuivre la désinfection.
● Accepte de redémarrer l'ordinateur si nécessaire.
Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb
Les rapports sont automatiquement enregistrés et peuvent être consultés en cliquant sur l'onglet rapports/logs
3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
▸ Sous XP double-clic sur l'icône pour lancer l'outil.
▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Ferme impérativement le navigateur ainsi que les applications en cours.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
4. Héberge les 3 rapports et poste les liens.
A +
== == == == == == == == == == == == == == == == == == == == == ==
Ce script n'est valable que pour ce système, l'utiliser sur un autre ordinateur pourrait causer des problèmes.
Lorsque la correction commence, tous les processus en cours d'exécution vont être stoppés ce qui peut provoquer la perte momentanée du Bureau et des icônes. Ils reviendront au démarrage.
== == == == == == == == == == == == == == == == == == == == == ==
1. Relance OTL
● Dans la partie "Personnalisation", copie/colle les instructions hébergées ici
● Ferme impérativement les applications en cours.
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque dans ce dossier : C:\_OTL\MovedFiles
2. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Laisse cochées les cases : Mettre à jour Malwarebytes Anti-Malware et Lancer Malwarebytes Anti-Malware, puis clique sur Terminer.
● Si une mise à jour est trouvée, il va télécharger et installer la dernière version.
● Une fois le programme chargé, sélectionne "Effectuer un examen rapide", puis clique sur le bouton Rechercher.
● Lorsque l'analyse est terminée, clique sur OK, puis Afficher les résultats.
● Vérifie que toutes les cases soient cochées, puis clique sur Supprimer la sélection.
● Quand la désinfection est terminée, un rapport s'ouvre dans le Bloc-notes.
● Si des éléments sont difficiles à supprimer, Malwarebytes l'indiquera, clique sur OK, laisse l'outil poursuivre la désinfection.
● Accepte de redémarrer l'ordinateur si nécessaire.
Tuto : https://forum.security-x.fr/archives/(tutoriel)-malwarebyte's-anti-malware/?PHPSESSID=bl3ngphatppbfl2g9p5j9fnppb
Les rapports sont automatiquement enregistrés et peuvent être consultés en cliquant sur l'onglet rapports/logs
3. Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
▸ Sous XP double-clic sur l'icône pour lancer l'outil.
▸ Sous Vista/Seven/8 clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Ferme impérativement le navigateur ainsi que les applications en cours.
● Clique sur Suppression
● Patiente le temps du scan, accepte de redémarrer si l'outil le demande
● Le rapport doit s'ouvrir spontanément.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[S1].txt
4. Héberge les 3 rapports et poste les liens.
A +
rapport 1: https://textup.fr/36160ZN
rapport 2: https://textup.fr/36161QC
(pour malwarebytes, j'ai effacé tous les virus qui étaient dans la quarentaine, j'ai eu raison de le faire ?)
rapport 3: https://textup.fr/36162Dq
voilà !
rapport 2: https://textup.fr/36161QC
(pour malwarebytes, j'ai effacé tous les virus qui étaient dans la quarentaine, j'ai eu raison de le faire ?)
rapport 3: https://textup.fr/36162Dq
voilà !
re,
Une ligne semble ne pas avoir été supprimé par Malwarebytes, on le fera ensuite.
Un élément, une fois en quarantaine est isolé du système et inoffensif.
Donc, il vaut mieux ne pas se précipiter pour la vider sans savoir ce qu'il y a dedans (et surtout avant que je lise le rapport, ceci étant dit aucun soucis).
Relance OTL
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
Encore des alertes de l'antivirus ?
A +
Une ligne semble ne pas avoir été supprimé par Malwarebytes, on le fera ensuite.
Un élément, une fois en quarantaine est isolé du système et inoffensif.
Donc, il vaut mieux ne pas se précipiter pour la vider sans savoir ce qu'il y a dedans (et surtout avant que je lise le rapport, ceci étant dit aucun soucis).
Relance OTL
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
Encore des alertes de l'antivirus ?
A +
ok :)
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation
2. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
● Clique sur le bouton Correction.
3. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant
== == == == == == == == == MISES A JOUR == == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
== == == == == == DÉSINSTALLATION DES OUTILS == == == == == ==
1. Relance AdwCleaner en tant qu'administrateur
● Clique sur Désinstallation
2. Lance OTL
● Dans la partie "Personnalisation", copie/colle :
:commands [clearallrestorepoints]
● Clique sur le bouton Correction.
3. Relance OTL
● Clique sur le bouton Purge outils
● Puis sur OK dans la boite de dialogue qui t'invite à redémarrer le système.
● Supprime les outils et les rapports restants éventuellement sur ton Bureau
4. Tu peux garder Malwarebytes Anti-Malware comme logiciel complémentaire à ton antivirus et t'en servir contrôler ton PC avec un scan rapide de temps en temps sans oublier de le mettre à jour avant
== == == == == == == == == MISES A JOUR == == == == == == == == ==
Vérifie que les logiciels pouvant présenter des failles de sécurité sont à jour, c'est par ce biais que les infections arrivent :
Maintenir Java, Adobe Reader et le player Flash à jour ou bien tu peux utiliser cet outil : Vérifier et mettre à jour facilement les logiciels à risque avec SX Check&Update
!! Décoche les cases proposant des logiciels partenaires pendant les installations !!
Désinstalle les anciennes versions de Java si tu en as encore installées.
https://www.java.com/fr/download/help/remove_olderversions.html
== == == == == == == == == == == == == == == == == == == == == ==
La sécurité de son PC, c'est quoi ? (par Malekal)
== == == == == == == == == == == == == == == == == == == == == ==
Bonne continuation
