Trojans/Virus qui bloque les antivirus

nathan3007yt Messages postés 23 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour, J'ai attrapé un Virus (lequel je sais pas ) qui me bloque tout les anti-virus (malware,etc) Ma session est encore marqué admin mais je n'est plus aucun droit et bloque tout les nouveau .exe
PS: Je ne peux pas telecharger les logiciels de type HiJackThis

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Commence par un nettoyage adwcleaner : https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start=
    Donne le rapport de nettoyage dans un nouveau message.

    Salut,

    Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Cela va générer trois rapports FRST :
    • FRST.txt
    • Shortcut.txt
    • Additionnal.txt


    Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    --
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Ton PC est infecté par des trojans.
    Je voudrais récupérer certains d'entre eux.

    Tu peux envoyer ces ficheirs sur http://upload.malekal.com :
    C:\ProgramData\181994\sysmon.exe
    C:\Users\Nathan\AppData\Roaming\5scmo.exe
    C:\Users\Nathan\AppData\Roaming\cdlg4.exe
    C:\Users\Nathan\AppData\Roaming\itoo7.exe
    C:\Users\Nathan\AppData\Roaming\jo59n.exe
    C:\Users\Nathan\AppData\Roaming\t68wi.exe
    C:\Users\Nathan\AppData\Roaming\ujgrs.exe
    C:\Users\Nathan\AppData\Roaming\ujl3g.exe
    C:\Users\Nathan\AppData\Roaming\urbc3.exe

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    HKLM-x32\...\Winlogon: [Userinit] userinit.exe,C:\Windows\system32\clientsvr.exe [X]
    HKLM\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
    HKU\S-1-5-19\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
    HKU\S-1-5-19\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
    HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
    HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer\Run: [Policies] => C:\Windows\system32\install\Svchost.exe
    HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Policies\Explorer: [NofolderOptions] 0
    HKU\S-1-5-21-3949511555-1235052173-1488048153-1001\...\Winlogon: [Shell] C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] () <==== ATTENTION
    HKU\S-1-5-18\...\RunOnce: [System Monitor] => C:\ProgramData\181994\sysmon.exe [259584 2015-07-14] ()
    HKU\S-1-5-18\...\Policies\system: [DisableLockWorkstation] 0
    HKU\S-1-5-18\...\Policies\Explorer: [NofolderOptions] 0
    IFEO\AvastSvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\AvastUI.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avcenter.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avconfig.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avgcsrvx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avgidsagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avgnt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avgrsx.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avguard.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avgui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avgwdsvc.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avp.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\avscan.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\bdagent.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\blindman.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\ccuac.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\ComboFix.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\egui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\GameScannerService.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\hijackthis.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\instup.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\keyscrambler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\mbam-chameleon.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\mbampt.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\mbamscheduler.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\MpCmdRun.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\MSASCui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\MsMpEng.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\msseces.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\NIS.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\NortonNISDownloader.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\Norton_Removal_Tool.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\rstrui.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\SDFiles.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\SDMain.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\SDWinSec.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\spybotsd.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\wireshark.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    IFEO\zlclient.exe: [Debugger] C:\ProgramData\181994\sysmon.exe
    2015-07-14 14:37 - 2015-07-14 14:37 - 00000000 __SHD C:\ProgramData\181994
    2015-07-14 14:26 - 2015-07-14 14:37 - 00259584 _____ C:\Windows\SysWOW64\clientsvr.exe
    2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\jo59n.exe
    2015-07-14 14:26 - 2015-07-14 14:26 - 00259584 _____ C:\Users\Nathan\AppData\Roaming\itoo7.exe
    2015-07-14 14:26 - 2015-07-14 14:26 - 00000006 __RSH C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d
    2015-07-14 14:26 - 2015-07-14 14:26 - 00000000 __SHD C:\ProgramData\182094
    2015-06-27 18:35 - 2015-06-27 18:35 - 00000036 _____ C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
    2015-06-25 14:04 - 2015-06-25 14:04 - 00085011 _____ C:\Users\Nathan\AppData\Roaming\urbc3.exe
    2015-06-25 14:03 - 2015-06-25 14:03 - 00085021 _____ C:\Users\Nathan\AppData\Roaming\ujgrs.exe
    2015-06-24 13:46 - 2015-06-24 13:46 - 00226251 _____ C:\Users\Nathan\AppData\Roaming\5scmo.exe
    2015-06-24 13:46 - 2015-06-24 13:46 - 0226251 _____ () C:\Users\Nathan\AppData\Roaming\5scmo.exe
    2015-05-05 08:49 - 2015-05-05 08:49 - 0894976 _____ () C:\Users\Nathan\AppData\Roaming\cdlg4.exe
    2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\itoo7.exe
    2015-07-14 14:26 - 2015-07-14 14:26 - 0259584 _____ () C:\Users\Nathan\AppData\Roaming\jo59n.exe
    2005-04-29 08:16 - 2015-02-19 00:25 - 0004346 ____H () C:\Users\Nathan\AppData\Roaming\Nathanlog.dat
    2015-06-27 18:35 - 2015-06-27 18:35 - 0000036 _____ () C:\Users\Nathan\AppData\Roaming\SuYZkvrV.tmp
    2015-05-08 12:55 - 2015-05-08 12:55 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\t68wi.exe
    2015-06-25 14:03 - 2015-06-25 14:03 - 0085021 _____ () C:\Users\Nathan\AppData\Roaming\ujgrs.exe
    2015-05-09 14:44 - 2015-05-09 14:44 - 0896000 _____ () C:\Users\Nathan\AppData\Roaming\ujl3g.exe
    2015-06-25 14:04 - 2015-06-25 14:04 - 0085011 _____ () C:\Users\Nathan\AppData\Roaming\urbc3.exe
    2015-07-14 14:26 - 2015-07-14 14:26 - 0000006 __RSH () C:\ProgramData\03404ce119fd6c36b876bfbb131bd3bbdbd9874d

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.F
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    Ouvre Mon Ordinateur
    Puis le disque C
    Ensuite le Dossier FRST
    Dedans se trouve un dossier Quarantine
    Sur ce dossier Quarantine, fais un clic droit puis envoyer vers dossier compressé.
    Envoie le Quarantine.zip sur http://upload.malekal.com

    0
    1. nathan3007yt Messages postés 23 Statut Membre
       
      J'ai upload le ficher avec les trojans mais je n'est pas eu de lien donc je te laisse regarder il s'appele Trojan.rar
      0
    2. nathan3007yt Messages postés 23 Statut Membre
       
      Pareil pour Quarantine.rar
      0
    3. nathan3007yt Messages postés 23 Statut Membre
       
      Mais toujours pas moyen de download un antivirus.
      0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Merci pour les uploads, ce sont des Trojans de type RATs (Remote Access Tools)
    Il a pompé des mots de passe, regarde les fichiers login.txt et payment.txt dans la quarantaine.

    Etonnant Microsoft le détecte, Windows Defender aurait dû te le bloquer.
    Faut croire qu'il a été endommagé par l'infection.

    SHA256: 210947540cb494814c05ae3043579e4984a122ef5f180acd3c4c9cfd52480c0e
    Nom du fichier : itoo7.exe
    Ratio de détection : 29 / 55
    Date d'analyse : 2015-07-18 07:43:13 UTC (il y a 26 minutes)

    Antivirus Résultat Mise à jour
    AVware Trojan.Win32.Generic!BT 20150718
    Ad-Aware Trojan.GenericKD.2567225 20150718
    Agnitum Trojan.Agent!h0PKSgq7hGw 20150717
    Antiy-AVL Trojan[:HEUR]/Win32.AGeneric 20150718
    Arcabit Trojan.Generic.D272C39 20150718
    Avast MSIL:Injector-LY [Trj] 20150718
    Avira TR/Agent.259584.54 20150717
    Baidu-International Trojan.MSIL.Agent.ABP 20150717
    BitDefender Trojan.GenericKD.2567225 20150718
    DrWeb Trojan.DownLoader14.49477 20150718
    ESET-NOD32 MSIL/Agent.ABP 20150718
    F-Secure Trojan.GenericKD.2567225 20150718
    Fortinet W32/Generic.ABP!tr 20150718
    GData Trojan.GenericKD.2567225 20150718
    Ikarus Trojan.MSIL.Agent 20150718
    K7GW Trojan ( 004c848a1 ) 20150718
    Kaspersky HEUR:Trojan.Win32.Generic 20150718
    McAfee Artemis!70E943E97B97 20150718
    McAfee-GW-Edition Artemis!Trojan 20150717
    MicroWorld-eScan Trojan.GenericKD.2567225 20150718
    Microsoft TrojanSpy:MSIL/Omaneat!rfn 20150718
    Panda Trj/CI.A 20150718
    Qihoo-360 HEUR/QVM03.0.Malware.Gen 20150718
    Sophos Mal/Generic-S 20150718
    Symantec Trojan.Gen 20150718
    Tencent Win32.Trojan.Generic.Ahyn 20150718
    VIPRE Trojan.Win32.Generic!BT 20150718
    Zillya Backdoor.PePatch.Win32.79714 20150718
    nProtect Trojan.GenericKD.2567225 20150717


    et :

    SHA256: 4c96572b2a874be17f327f26c1ed29d3d4b081321a43be63d3ef14f84ce7cb09
    Nom du fichier : cdlg4.exe
    Ratio de détection : 26 / 55
    Date d'analyse : 2015-07-18 07:42:56 UTC (il y a 26 minutes)

    Antivirus Résultat Mise à jour
    AVG MultiDropper_c.AOTK 20150718
    AVware Trojan.Win32.Generic!BT 20150718
    Avast AutoIt:MalOb-HP [Trj] 20150718
    Avira DR/Autoit.A.7213 20150717
    Baidu-International Trojan.Win32.Injector.BLQ 20150717
    CAT-QuickHeal Trojan.Scrarev.r5 20150717
    Comodo UnclassifiedMalware 20150718
    Cyren W32/AutoIt.DB.gen!Eldorado 20150718
    DrWeb Trojan.DownLoader11.34675 20150718
    ESET-NOD32 Win32/TrojanDropper.Autoit.JR 20150718
    F-Prot W32/AutoIt.DB.gen!Eldorado 20150718
    Fortinet W32/Autoit.BLW!tr 20150718
    GData Win32.Trojan.Agent.4R1AGM 20150718
    Ikarus Trojan.Win32.Injector 20150718
    K7AntiVirus Trojan ( 700000111 ) 20150718
    K7GW Trojan ( 700000111 ) 20150718
    McAfee RDN/Generic.dx!dsk 20150718
    McAfee-GW-Edition BehavesLike.Win32.Dropper.ch 20150717
    Microsoft Trojan:Win32/Scrarev.C 20150718
    Rising PE:Trojan.Win32.Generic.18A34749!413353801 20150713
    Sophos Mal/Generic-S 20150718
    Symantec WS.Reputation.1 20150718
    Tencent Autoit.Trojan.Autoit.Hvsq 20150718
    TrendMicro TROJ_GEN.R072C0DEL15 20150718
    VIPRE Trojan.Win32.Generic!BT 20150718
    nProtect Trojan-Downloader/W32.Genome.894976.C 20150717


    ~~

    A faire :
    Installe Avast! : https://www.malekal.com/tutoriel-antivirus-avast/
    Surtout active les détections LPIs.
    0
    1. nathan3007yt Messages postés 23 Statut Membre
       
      Je peux installer avast mais pas mon antivirus que j'ai payer (Norton Internet Security),
      Sa me marque que le gestionnaire de téléchargement est déjà ouvert et le problème est qu'il n'y y'en a pas d'ouvert même après restart du pc.
      0
    2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      surement parce qu'il doit rester des trucs ouverts.
      Ca ne sert à rien d'installer Avast!, si tu comptes installer Norton.
      Un seul antivirus par PC.

      Si tu as acheté Norton, le mieux c'est de contacter le support pour qu'il te guide pour le réinstaller. Ils sauront mieux t'aider.

      Au pire pour nettoyer :

      Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
      Enregistre le rapport
      Envoie le sur http://pjjoint.malekal.com
      Donne le lien ici.
      0
    3. nathan3007yt Messages postés 23 Statut Membre
       
      D'accord et pour les droits d'admin de mon pc vu que la je n'est quasiment aucun droit.
      0
    4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Fais le scan NOD32.

      Tu entends quoi par "avoir aucun droit" ?
      0
    5. nathan3007yt Messages postés 23 Statut Membre
       
      Bah, par exemple je peux pas supprimer de fichier .exe genre par exemple, j'ai un .exe ou un dossier avec un .exe impossible de le supprimer, la seule facon dont j'ai reussi c'est ouvrir un cmd en admin en taper del c:/...
      0
  5. sagoni Messages postés 41 Date d'inscription   Statut Membre Dernière intervention   9
     
    Nathan vous perdez plus de temps que ce que je vous ai proposé.
    0
  6. sagoni Messages postés 41 Date d'inscription   Statut Membre Dernière intervention   9
     
    Bonsoir,

    Un conseil le formatage de votre disque dur est une bonne solution car si vous etes infecter il y a surement d'autre malware et rootkit indétectable par plusieurs antivirus dans votre pc.
    -1
    1. nathan3007yt Messages postés 23 Statut Membre
       
      Je ne pourrais pas reinstaller windows apres...
      0
    2. sagoni Messages postés 41 Date d'inscription   Statut Membre Dernière intervention   9
       
      Pourquoi ?
      0
    3. nathan3007yt Messages postés 23 Statut Membre
       
      car mon cd est déjà utilisé
      0
    4. sagoni Messages postés 41 Date d'inscription   Statut Membre Dernière intervention   9
       
      Depuis 2005 plus besoin de cd pour réinitialiser. Va sur google et tape réinitialisation suivie du model de ton pc.
      0
    5. nathan3007yt Messages postés 23 Statut Membre
       
      C'est un pc gaming monté par mes soins
      0