Trojan.Necurs : impossible de réinstaller Trend-micro [Résolu/Fermé]

Signaler
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014
-
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014
-
Bonjour,

suite à une attaque de Trojan qui affectait la machine il m'est impossible de réinstaller l'anti virus Trend.
quelqu'un a t'il une solution?

j'ai effectué ADW cleaner puis Malewarebytes puis Roguekiller.

rien n'y fait.

dans l'attente d'une âme charitable.

eric

23 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
Salut,

Peut-être que le problème de réinstallation n'est pas liée à une infection.
Y a un code erreur ?

Malwarebytes a détecté des choses?
Tu as un rapport?
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

je viens de faire un nouveau scan avec Malware, alors qu'il n'y avait rien a détecté hier soir mais impossibilité de charger la mise à jour des Rootkits, il a réussi à trouver de nouvelles infections.

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 13/05/2014
Heure de l'examen: 11:41:54
Fichier journal: maleware.txt
Administrateur: Oui

Version: 2.00.1.1004
Base de données Malveillants: v2014.05.13.06
Base de données Rootkits: v2014.03.27.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Chameleon: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x86
Système de fichiers: NTFS
Utilisateur: ericfix

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 463418
Temps écoulé: 21 min, 50 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Shuriken: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 11
Trojan.Rootkit.Nec, C:\WINDOWS\SYSTEM32\drivers\eca9325b4d49f3.sys, Mis en quarantaine, [9d8fc971db052cd4a1eb3ec4dcbfe239],
Exploit.Drop.GS, c:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [d62a26da2ad66a9613343b7ab44ea35d],
Exploit.Drop.GSLAD, c:\Windows\ServiceProfiles\NetworkService\AppData\Local\syshost.exe, Mis en quarantaine, [c63a4eb23ec2b0501ae615a138ca916f],
Exploit.Drop.GS, c:\Windows\ServiceProfiles\LocalService\syshost.exe, Mis en quarantaine, [d12f06fa36ca5ba53bf5a90dd72bcf31],
Spyware.Agent, c:\Users\ericportable\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [3bc549b7946cab55bae6172fbe45649c],
Spyware.Agent, c:\Users\ezenouda.old\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [0ef218e8758b3ec2465ac383897add23],
Spyware.Agent, c:\Users\ezenouda\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [5fa1c53b7a868c74a9f701457291de22],
Spyware.Agent, c:\Users\nounours\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [03fd30d0fb0521dfd1cfd37346bd7f81],
Spyware.Agent, c:\Users\tdondelinger\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [26da2ed2d12fcf3107995aec39ca5ba5],
Spyware.Agent, c:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\syshost.exe, Mis en quarantaine, [3fc1ce32629ee31d90102521c2412bd5],
Spyware.Agent, c:\Windows\Temp\syshost.exe, Mis en quarantaine, [728e738d09f7d030dcc466e0847f1de3],

Secteurs physiques: 0
(No malicious items detected)


(end)
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

toujours impossibilité d'installer Trend après la mise en quarantaine
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
humm ok Trojan.Necurs.
Effectivement, ça peux foutre le boxon pour l'antivirus.

~~


[*] Télécharger sur le bureau https://forum.malekal.com/viewtopic.php?t=29444&start= (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

je me demande si je n'ai pas fait une boulette car Rogue était déja installé et j'ai refait une install sans désintaller la précédente, du coup cela fait plus d'une heure que le programme rame sur "Clé de service"?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
non, je pense qu'il a dû mal :)
Essaye en mode sans échec.
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

tu veux dire en redémarrant avec F8 ?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
essaye de fermer RogueKiller et faire cela :

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

c'est étrange je répond au fil de la discussion et rien ne s'affiche.
on dirait que le site a des problèmes.
Rogue a enfin fini et je poste le rapport.

c'est étrange je répond au fil de la discussion et rien ne s'affiche.
on dirait que le site a des problèmes.
Rogue a enfin fini et je poste le rapport. RogueKiller V8.8.15 [Mar 27 2014] par Adlice Software
mail : https://www.adlice.com/contact/
Remontees : https://forum.adlice.com/
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : ericfix [Droits d'admin]
Mode : HOSTS RAZ -- Date : 05/13/2014 13:57:47
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 08sr.combineads.info # hosts anti-adware / pups
127.0.0.1 08srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 12srvr.combineads.info # hosts anti-adware / pups
127.0.0.1 2010-fr.com # hosts anti-adware / pups
127.0.0.1 2012-new.biz # hosts anti-adware / pups
127.0.0.1 212link.com # hosts anti-adware / pups
127.0.0.1 2319825.ourtoolbar.com # hosts anti-adware / pups
127.0.0.1 24h00business.com # hosts anti-adware / pups
127.0.0.1 a.adorika.net # hosts anti-adware / pups
127.0.0.1 a.ad-sys.com # hosts anti-adware / pups
127.0.0.1 a.daasafterdusk.com # hosts anti-adware / pups
127.0.0.1 ad.adn360.com # hosts anti-adware / pups
127.0.0.1 adcash.com # hosts anti-adware / pups
127.0.0.1 adeartss.eu # hosts anti-adware / pups
127.0.0.1 adesoeasy.eu # hosts anti-adware / pups
127.0.0.1 adf.girldatesforfree.net # hosts anti-adware / pups
127.0.0.1 adm.soft365.com # hosts anti-adware / pups
127.0.0.1 adomicileavail.googlepages.com # hosts anti-adware / pups
127.0.0.1 ads7.complexadveising.com # hosts anti-adware / pups
127.0.0.1 ads.adplxmd.com # hosts anti-adware / pups
[...]


¤¤¤ Nouveau fichier HOSTS: ¤¤¤
127.0.0.1 localhost


Termine : << RKreport[0]_H_05132014_135747.txt >>
RKreport[0]_D_05072014_162655.txt;RKreport[0]_D_05132014_135407.txt;RKreport[0]_S_05072014_160115.txt
RKreport[0]_S_05072014_171701.txt;RKreport[0]_S_05132014_135359.txt
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

étrange!!!
y a t'il une taille maxi à ne pas dépasser pour le post des rapports, car c'est la 3ème fois et le site annonce message supprimé??
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
ce sont les protections (posts trop longs etc).
Ca doit être bon là.

~~

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.


~~


puis:


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

https://pjjoint.malekal.com/files.php?id=OTL_Extras_20140513_y7h8l6d15g8

fichier Extra.txt qui était caché derrière.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
Là ça donne quoi si tu veux tenter de réinstaller Trend-Micro ?
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

dois-je cliquer sur "correction de OTL"?
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
non
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

échec de l'installation sans erreur
c'est une install que je prend sur le réseau de l'entreprise ou je travaille.
avant elle s'installait partiellement et donnée un code erreur mais maintenant çà bloque avant.
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

j'ai réussi à activer la version d'évaluation de Trend et depuis la machine est plus que lente avec des difficultés à accéder aux fichiers et aux programmes.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
J'ai pas l'impression que la machine soit encore infectée.
J'ai plutôt l'impression que tes difficultés sont dû à des résidus (modifications de Windows qui font que) peut-être aussi qu'il reste des bouts de Trend qui foute la grouille.

Tu peux faire un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32

Dans les paramètres avancés, active la détection des programmes parasites.
donne le rapport via http://pjjoint.malekal.com
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

je ne suis plus au bureau, j'attaquerai la procédure demain matin.

merci beaucoup pour le coup de main.

bonne nuit
Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

Messages postés
18
Date d'inscription
mardi 13 mai 2014
Statut
Membre
Dernière intervention
14 mai 2014

désolé je me suis trompé de programme , je recommence.
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 725
pas de soucis :)