Trojan.Necurs : impossible de réinstaller Trend-microRésolu/Fermé

Question

Bonjour, 

suite à une attaque de Trojan qui affectait la machine il m'est impossible de réinstaller l'anti virus Trend.
quelqu'un a t'il une solution?

j'ai effectué ADW cleaner puis Malewarebytes puis Roguekiller.

rien n'y fait.

dans l'attente d'une âme charitable.

eric

Malekal_morte- · Answer

Salut,

Peut-être que le problème de réinstallation n'est pas liée à une infection.
Y a un code erreur ?

Malwarebytes a détecté des choses?
Tu as un rapport?

ovbt · Answer

je viens de faire un nouveau scan avec Malware, alors qu'il n'y avait rien a détecté hier soir mais impossibilité de charger la mise à jour des Rootkits, il a réussi à trouver de nouvelles infections.

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 13/05/2014
Heure de l'examen: 11:41:54
Fichier journal: maleware.txt
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.05.13.06
Base de données Rootkits: v2014.03.27.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x86
Système de fichiers: NTFS
Utilisateur: ericfix

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 463418
Temps écoulé: 21 min, 50 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 11
Trojan.Rootkit.Nec, C:\WINDOWS\SYSTEM32\drivers\eca9325b4d49f3.sys, Mis en quarantaine, [9d8fc971db052cd4a1eb3ec4dcbfe239], 
Exploit.Drop.GS, c:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [d62a26da2ad66a9613343b7ab44ea35d], 
Exploit.Drop.GSLAD, c:\Windows\ServiceProfiles\NetworkService\AppData\Local\syshost.exe, Mis en quarantaine, [c63a4eb23ec2b0501ae615a138ca916f], 
Exploit.Drop.GS, c:\Windows\ServiceProfiles\LocalService\syshost.exe, Mis en quarantaine, [d12f06fa36ca5ba53bf5a90dd72bcf31], 
Spyware.Agent, c:\Users\ericportable\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [3bc549b7946cab55bae6172fbe45649c], 
Spyware.Agent, c:\Users\ezenouda.old\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [0ef218e8758b3ec2465ac383897add23], 
Spyware.Agent, c:\Users\ezenouda\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [5fa1c53b7a868c74a9f701457291de22], 
Spyware.Agent, c:\Users
ounours\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [03fd30d0fb0521dfd1cfd37346bd7f81], 
Spyware.Agent, c:\Users	dondelinger\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [26da2ed2d12fcf3107995aec39ca5ba5], 
Spyware.Agent, c:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [3fc1ce32629ee31d90102521c2412bd5], 
Spyware.Agent, c:\Windows\Temp\syshost.exe, Mis en quarantaine, [728e738d09f7d030dcc466e0847f1de3], 

Secteurs physiques: 0
(No malicious items detected)


(end)

Malekal_morte- · Answer

humm ok Trojan.Necurs. 
Effectivement, ça peux foutre le boxon pour l'antivirus.

~~


[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel) 
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge. 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
[*] Copie/colle le contenu du rapport ici. 

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

ovbt · Answer

je me demande si je n'ai pas fait une boulette car Rogue était déja installé et j'ai refait une install sans désintaller la précédente, du coup cela fait plus d'une heure que le programme rame sur "Clé de service"?

ovbt · Answer

tu veux dire en redémarrant avec F8 ?

Malekal_morte- · Answer

essaye de fermer RogueKiller et faire cela :

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

ovbt · Answer

c'est étrange je répond au fil de la discussion et rien ne s'affiche. on dirait que le site a des problèmes. Rogue a enfin fini et je poste le rapport. c'est étrange je répond au fil de la discussion et rien ne s'affiche. on dirait que le site a des problèmes. Rogue a enfin fini et je poste le rapport. RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software mail : https://www.adlice.com/contact/ Remontees : https://forum.adlice.com/ Site Web : http://www.surlatoile.org/RogueKiller/ Blog : https://www.adlice.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur : ericfix [Droits d'admin] Mode : HOSTS RAZ -- Date : 05/13/2014 13:57:47 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 0 ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 08sr.combineads.info # hosts anti-adware / pups 127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups 127.0.0.1 2010-fr.com # hosts anti-adware / pups 127.0.0.1 2012-new.biz # hosts anti-adware / pups 127.0.0.1 212link.com # hosts anti-adware / pups 127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups 127.0.0.1 24h00business.com # hosts anti-adware / pups 127.0.0.1 a.adorika.net # hosts anti-adware / pups 127.0.0.1 a.ad-sys.com # hosts anti-adware / pups 127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups 127.0.0.1 ad.adn360.com # hosts anti-adware / pups 127.0.0.1 adcash.com # hosts anti-adware / pups 127.0.0.1 adeartss.eu # hosts anti-adware / pups 127.0.0.1 adesoeasy.eu # hosts anti-adware / pups 127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups 127.0.0.1 adm.soft365.com # hosts anti-adware / pups 127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups 127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups 127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups [...] ¤¤¤ Nouveau fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[0]_H_05132014_135747.txt >> RKreport[0]_D_05072014_162655.txt;RKreport[0]_D_05132014_135407.txt;RKreport[0]_S_05072014_160115.txt RKreport[0]_S_05072014_171701.txt;RKreport[0]_S_05132014_135359.txt

ovbt · Answer

étrange!!!
y a t'il une taille maxi à ne pas dépasser pour le post des rapports, car c'est la 3ème fois et le site annonce message supprimé??

Malekal_morte- · Answer

ce sont les protections (posts trop longs etc).
Ca doit être bon là.

~~

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.


~~


puis:


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

ovbt · Answer

voici:
https://pjjoint.malekal.com/files.php?id=20140513_n8t13q7u11d6

ovbt · Answer

https://pjjoint.malekal.com/files.php?id=OTL_20140513_w10i15w5g15v11

je n'ai pas cliqué sur correction.

ovbt · Answer

https://pjjoint.malekal.com/files.php?id=OTL_Extras_20140513_y7h8l6d15g8

fichier Extra.txt qui était caché derrière.

Malekal_morte- · Answer

Là ça donne quoi si tu veux tenter de réinstaller Trend-Micro ?

ovbt · Answer

dois-je cliquer sur "correction de OTL"?

ovbt · Answer

échec de l'installation sans erreur
c'est une install que je prend sur le réseau de l'entreprise ou je travaille.
avant elle s'installait partiellement et donnée un code erreur mais maintenant çà bloque avant.

ovbt · Answer

j'ai réussi à activer la version d'évaluation de Trend et depuis la machine est plus que lente avec des difficultés à accéder aux fichiers et aux programmes.

Malekal_morte- · Answer

J'ai pas l'impression que la machine soit encore infectée.
J'ai plutôt l'impression que tes difficultés sont dû à des résidus (modifications de Windows qui font que) peut-être aussi qu'il reste des bouts de Trend qui foute la grouille.

Tu peux faire un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32

Dans les paramètres avancés, active la détection des programmes parasites.
donne le rapport via http://pjjoint.malekal.com

ovbt · Answer

je ne suis plus au bureau, j'attaquerai la procédure demain matin.

merci beaucoup pour le coup de main.

bonne nuit

ovbt · Answer

bonjour!

ci-joint rapport
Kapersky:

https://pjjoint.malekal.com/files.php?id=20140514_b11o12u15z87

ovbt · Answer

désolé je me suis trompé de programme , je recommence.

Trojan.Necurs : impossible de réinstaller Trend-micro

23 réponses

Newsletters