[Virus] Win32:Rjump et Win32:Trojan-gen
Résolu
Sinai01
Messages postés
58
Statut
Membre
-
yubi Messages postés 4 Date d'inscription Statut Membre Dernière intervention -
yubi Messages postés 4 Date d'inscription Statut Membre Dernière intervention -
Bonjour à tous,
j'ai un soucis avec un ordi, merci d'avance aux bonnes âmes qui auront le courage de m'aider (pas très calée en informatique, n'hésitez pas à employer des termes simplissimes avec moi ! ;) )
On a eu des pubs intempestives (porno essentiellement, pub pour des antivirus parfois) sous IE. On a changé de navigateur et utilisé firefox. Pas de problemes dans un premier temps, puis c'est apparu sous firefox egalement.
Avast trouve Win32:Rjump[Wrm] dans C:\windows\adober.exe, et aussi dans C:\SystemVolumeInformation\-restore{E57F60AF-D3FE-448C-B9 (celui-là sort plusieurs fois)
Avast trouve Win32:Trojan-gen{Other} dans C:\WINDOWS\System32\prodsrvs.exe
J'ai fait un scan minutieux (j'ai vu que le scan des archives était desactivé, je ne sais pas si c'est ok), et j'ai mis toutes ces choses en quarantaines comme recommandé.
Pour info, pendant le scan, avast a signalé qu'un virus était actif et a recommandé de planifier un scan au démarrage, ce que je n'ai pas pu faire (il faut une version pro peut-être).
a la fin du scan, il dit avoir trouvé 8 fichiers infectés :
C:\SystemeVolumeInformation\...\A0135486.exe
C:\SystemeVolumeInformation\...\A0135580.exe
C:\SystemeVolumeInformation\...\A0142042.exe
C:\SystemeVolumeInformation\...\A0142536.exe
C:\SystemeVolumeInformation\...\A0142658.exe
C:\SystemeVolumeInformation\...\A0142877.exe
C:\SystemeVolumeInformation\...\A0151984.exe
Pour info, un scan avait été fait il y a un petit moment avec ClamWin, voici le rapport (il date un peu, mais comme rien n'a été fait depuis sauf le scan avast ci-dessus...) :
--------------------------------------
Scan started: Thu Apr 5 16:51:21 2007
ERROR: Can't open file C:\WINDOWS\SoftwareDistribution\EventCache\344849AC-FFE9-4E0F-B35C-B22BF231382E.bin
ERROR: Can't open file C:\WINDOWS\system32\CatRoot2\tmp.edb
ERROR: Can't open file C:\WINDOWS\system32\config\default
ERROR: Can't open file C:\WINDOWS\system32\config\SAM
ERROR: Can't open file C:\WINDOWS\system32\config\SECURITY
ERROR: Can't open file C:\WINDOWS\system32\config\software
ERROR: Can't open file C:\WINDOWS\system32\config\system
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\poigyegg.default\Cache\EFE1817Dd01: Email.Phishing.RB-524 FOUND
C:\Program Files\Wanadoo\Config\labarena\Firefox\Cache\FE186ED8d01: Email.Phishing.RB-324 FOUND
C:\WINDOWS\AdobeR.exe: Worm.Rjump-1 FOUND
C:\WINDOWS\system32\linewsrv.exe: Dialer-767 FOUND
-- summary --
Known viruses: 91349
Scanned directories: 6346
Scanned files: 86216
Infected files: 4
Data scanned: 13681.59 MB
I/O buffer size: 131072 bytes
Time: 21858.388 sec (364 m 18 s)
-------------------
Completed
-------------------
Je vais faire un rapport HijackThis, que je poste dans quelques instants
j'ai un soucis avec un ordi, merci d'avance aux bonnes âmes qui auront le courage de m'aider (pas très calée en informatique, n'hésitez pas à employer des termes simplissimes avec moi ! ;) )
On a eu des pubs intempestives (porno essentiellement, pub pour des antivirus parfois) sous IE. On a changé de navigateur et utilisé firefox. Pas de problemes dans un premier temps, puis c'est apparu sous firefox egalement.
Avast trouve Win32:Rjump[Wrm] dans C:\windows\adober.exe, et aussi dans C:\SystemVolumeInformation\-restore{E57F60AF-D3FE-448C-B9 (celui-là sort plusieurs fois)
Avast trouve Win32:Trojan-gen{Other} dans C:\WINDOWS\System32\prodsrvs.exe
J'ai fait un scan minutieux (j'ai vu que le scan des archives était desactivé, je ne sais pas si c'est ok), et j'ai mis toutes ces choses en quarantaines comme recommandé.
Pour info, pendant le scan, avast a signalé qu'un virus était actif et a recommandé de planifier un scan au démarrage, ce que je n'ai pas pu faire (il faut une version pro peut-être).
a la fin du scan, il dit avoir trouvé 8 fichiers infectés :
C:\SystemeVolumeInformation\...\A0135486.exe
C:\SystemeVolumeInformation\...\A0135580.exe
C:\SystemeVolumeInformation\...\A0142042.exe
C:\SystemeVolumeInformation\...\A0142536.exe
C:\SystemeVolumeInformation\...\A0142658.exe
C:\SystemeVolumeInformation\...\A0142877.exe
C:\SystemeVolumeInformation\...\A0151984.exe
Pour info, un scan avait été fait il y a un petit moment avec ClamWin, voici le rapport (il date un peu, mais comme rien n'a été fait depuis sauf le scan avast ci-dessus...) :
--------------------------------------
Scan started: Thu Apr 5 16:51:21 2007
ERROR: Can't open file C:\WINDOWS\SoftwareDistribution\EventCache\344849AC-FFE9-4E0F-B35C-B22BF231382E.bin
ERROR: Can't open file C:\WINDOWS\system32\CatRoot2\tmp.edb
ERROR: Can't open file C:\WINDOWS\system32\config\default
ERROR: Can't open file C:\WINDOWS\system32\config\SAM
ERROR: Can't open file C:\WINDOWS\system32\config\SECURITY
ERROR: Can't open file C:\WINDOWS\system32\config\software
ERROR: Can't open file C:\WINDOWS\system32\config\system
C:\Documents and Settings\Propriétaire\Local Settings\Application Data\Mozilla\Firefox\Profiles\poigyegg.default\Cache\EFE1817Dd01: Email.Phishing.RB-524 FOUND
C:\Program Files\Wanadoo\Config\labarena\Firefox\Cache\FE186ED8d01: Email.Phishing.RB-324 FOUND
C:\WINDOWS\AdobeR.exe: Worm.Rjump-1 FOUND
C:\WINDOWS\system32\linewsrv.exe: Dialer-767 FOUND
-- summary --
Known viruses: 91349
Scanned directories: 6346
Scanned files: 86216
Infected files: 4
Data scanned: 13681.59 MB
I/O buffer size: 131072 bytes
Time: 21858.388 sec (364 m 18 s)
-------------------
Completed
-------------------
Je vais faire un rapport HijackThis, que je poste dans quelques instants
A voir également:
- [Virus] Win32:Rjump et Win32:Trojan-gen
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Virus informatique - Guide
69 réponses
Re,
1) Le rapport Hijackthis est propre. Il y a simplement une ligne que je veux enlever.
Clique sur démarrer>Exécuter>Services.msc -> Valide
Dans la liste de services, choisis cette ligne et double-clique dessus :
France Telecom Routing Table Service
Dans démarrage, tu choisis "désactivé".
Clique sur "arrêter" -> appliquer -> OK.
Clique sur démarrer>Exécuter>cmd>OK
Dans l'invite de commande, tape sc delete FTRTSVC -> OK
2) Tu dois désactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer et OK.
Décoche cette case, clique sur appliquer>OK et redémarre le PC.
3) Je te conseille aussi de renforcer ta protection en installant un firewall.
4) Si tu n'as plus de problème, tu peux marquer ton sujet comme "résolu".
Bon surf !
FillPCA
1) Le rapport Hijackthis est propre. Il y a simplement une ligne que je veux enlever.
Clique sur démarrer>Exécuter>Services.msc -> Valide
Dans la liste de services, choisis cette ligne et double-clique dessus :
France Telecom Routing Table Service
Dans démarrage, tu choisis "désactivé".
Clique sur "arrêter" -> appliquer -> OK.
Clique sur démarrer>Exécuter>cmd>OK
Dans l'invite de commande, tape sc delete FTRTSVC -> OK
2) Tu dois désactiver la restauration système. Pour cela, fais un clic droit sur « poste de travail ». Dans l’onglet « restauration du système », coche la case « désactiver la restauration système ». Clique sur appliquer et OK.
Décoche cette case, clique sur appliquer>OK et redémarre le PC.
3) Je te conseille aussi de renforcer ta protection en installant un firewall.
4) Si tu n'as plus de problème, tu peux marquer ton sujet comme "résolu".
Bon surf !
FillPCA
Super ! merci beaucoup !!!
Est-ce que tu aurais encore le courage de me dire quelles lignes on peut fixer dans hijackthis par rapport à tout ce qu'il y a au demarrage, histoire d'avoir un truc plus leger ?
Bon, c'est un détail, je ne veux pas abuser de ton temps, tu m'as déjà tellement aidé...
Est-ce que tu aurais encore le courage de me dire quelles lignes on peut fixer dans hijackthis par rapport à tout ce qu'il y a au demarrage, histoire d'avoir un truc plus leger ?
Bon, c'est un détail, je ne veux pas abuser de ton temps, tu m'as déjà tellement aidé...
Re,
Commence par placer Hijackthis dans un répertoire dédié et non sur le bureau. Tu peux le placer dans C:\HJT par exemple.
Ouvre Hijackthis>"Do a scan only" et coche ceci :
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
Clique sur fix/réparer.
Bon surf !
FillPCA
Commence par placer Hijackthis dans un répertoire dédié et non sur le bureau. Tu peux le placer dans C:\HJT par exemple.
Ouvre Hijackthis>"Do a scan only" et coche ceci :
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VCSPlayer] "C:\Program Files\Virtual CD v4 SDK\system\vcsplay.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Program Files\ZTE Corporation\ZXDSL852\CnxDslTb.exe" "ZTE Corporation\ZXDSL852"
O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
Clique sur fix/réparer.
Bon surf !
FillPCA
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ok, on va faire ça ! Merci de m'avoir consacré encore de ton temps.
Oui, Philae est ma grande sauveuse, elle m'avait déjà aidée auparavant, et elle est d'une efficacité redoutable ! Je suis fan !
Mais tu as été d'un très grand secours aussi, et vous ne pouvez pas savoir à quel point je vous remercie, tous les deux... (sans compter que vous m'avez appris des trucs, et je me sens moins bête maintenant ! ;)
Un grand merci aux helpers sans qui nous ne serions pas grand chose face au monde merveilleux des virus et autres joyeusetés !
Sur ce, j'arrête de t'embêter, et je m'en vais mettre ce topic en resolu...
Oui, Philae est ma grande sauveuse, elle m'avait déjà aidée auparavant, et elle est d'une efficacité redoutable ! Je suis fan !
Mais tu as été d'un très grand secours aussi, et vous ne pouvez pas savoir à quel point je vous remercie, tous les deux... (sans compter que vous m'avez appris des trucs, et je me sens moins bête maintenant ! ;)
Un grand merci aux helpers sans qui nous ne serions pas grand chose face au monde merveilleux des virus et autres joyeusetés !
Sur ce, j'arrête de t'embêter, et je m'en vais mettre ce topic en resolu...
Re,
Ce qui serait bien, c'est que tu dénonces ton infection :
Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"
Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = Worm RJump
---> https://malwarecomplaints.info/
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (âge, ville, département etc)
FillPCA
Ce qui serait bien, c'est que tu dénonces ton infection :
Dénonce ton infection pour faire condamner les auteurs.
Crée un message pour faire avancer les choses sur Malware-Complaints, nous devons être les plus nombreux possibles, alors rends compte de ton infection :
- Voir les règles du forum : https://malwarecomplaints.info/
- Après t'être enregistré à l'aide du bouton en haut se nommant "Register"
Si tu as plus de 13 ans, choisir : "I Agree to these terms and am over or exactly 13 years of age"
Si tu as moins, clique sur : "I Agree to these terms and am under 13 years of age"
Tu as alors sous forme de liste un sujet par type d'infection (Look2Me, Smitfraud, SpywareQuake etc..).
La tienne = Worm RJump
---> https://malwarecomplaints.info/
Si le malware que tu as eu n'apparaît pas dans la liste, ou si tu ne sais pas par quoi tu étais infecté(e), crée un message dans le sujet Autres infections
conforme au règle du forum (âge, ville, département etc)
FillPCA
salut à tous,
j'ai moi aussi un petit problème avec mon portable.
au démarrage, il m'ouvre plusieurs fois un message d'erreur :
"Norton Antivirus a détecté un virus sur votre ordinateur
Nom de l'objet : C:\WINDOWS\TEMP\tmp3C3.tmp
Nom du Virus : W32.Rajump
Action effectuée : Impossible de réparer ce fichier
Action effectuée : L'accès au fichier a été refusé"
Plusieurs fois avec des nom différent, presqu'à la suite meme.
"tmp3c4.tmp...tmp3D4....tmpA23....tmpA24....tmpA25........"
je c'est pas quoi vraiment quoi faire... T.T
please help me
(j'espère que c'est pas trop demandé...)
j'ai moi aussi un petit problème avec mon portable.
au démarrage, il m'ouvre plusieurs fois un message d'erreur :
"Norton Antivirus a détecté un virus sur votre ordinateur
Nom de l'objet : C:\WINDOWS\TEMP\tmp3C3.tmp
Nom du Virus : W32.Rajump
Action effectuée : Impossible de réparer ce fichier
Action effectuée : L'accès au fichier a été refusé"
Plusieurs fois avec des nom différent, presqu'à la suite meme.
"tmp3c4.tmp...tmp3D4....tmpA23....tmpA24....tmpA25........"
je c'est pas quoi vraiment quoi faire... T.T
please help me
(j'espère que c'est pas trop demandé...)
Bonjour,
moi je ne peux pas trop t'aider, sauf que je te conseille de crééer ton propre message pour exposer ton probleme, parce que le mien est marqué en "resolu" et il y a peu de chance qu'un helper remarque ce que tu y as ecrit...
Pour cela va dans le forum virus/securité, tout en bas de la page tu as "ecrire un nouveau message".
Bonne chance pour ton soucis !
moi je ne peux pas trop t'aider, sauf que je te conseille de crééer ton propre message pour exposer ton probleme, parce que le mien est marqué en "resolu" et il y a peu de chance qu'un helper remarque ce que tu y as ecrit...
Pour cela va dans le forum virus/securité, tout en bas de la page tu as "ecrire un nouveau message".
Bonne chance pour ton soucis !
YUBI
CREER SON PROPRE TOPIK
Il serait préférable que tu crées ton propre « topik » message personnel. Cela rendra le poste (ici) plus compréhensible, et nous pourrons traiter ton soucis avec plus d’efficacité.
Donc
Fais ce qui suit, SVP
Merci
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A++
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
CREER SON PROPRE TOPIK
Il serait préférable que tu crées ton propre « topik » message personnel. Cela rendra le poste (ici) plus compréhensible, et nous pourrons traiter ton soucis avec plus d’efficacité.
Donc
Fais ce qui suit, SVP
Merci
http://pageperso.aol.fr/balltrap34/demofairesontmessage.htm
A++
http://perso.orange.fr/rginformatique/section%20virus/demofairesontmessage.htm
