Répondre à la discussion
Page 1 sur 2 1 DernièreDernière
Affichage des résultats 1 à 30 sur 43

Infecté par trojan TR/Crypt.FKM/Gen



  1. #1
    Canidé

    Infecté par trojan TR/Crypt.FKM/Gen


    ------

    Bonjour

    Mon Antivir détecte ce cheval de troie sur le fichier C:\WINDOWS\vwffl1.dll que je n'arrive pas à localiser avec l'explorateur et ceci à chaque tentative de connection internet et chaque ouverture de l'explorateur windows.
    Quoique je fasse dans la fenêtre de détection ( delete,rename,deny access,quarentaine,etc)il me laisse passer mais reaparait à la prochaine tentative de connection.
    Pouvez vous , s'il vous plait , me donner la façon de me débarrasser de ce problème.

    Merci

    Configuration: Windows XP pro
    Internet Explorer 6.0

    -----

  2. Publicité
  3. #2
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonsoir Canidé,

    Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

    Bonne soirée
    Cyrrus

  4. #3
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonsoir et merci de bien vouloir vous occuper de mon problème,

    Voici les rapports.
    Fichiers attachés Fichiers attachés

  5. #4
    synthexe

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonjour

    Tu dois absolument installer un FireWall (Pare-feu), c'est indispensable pour la sécurité de ta machine ( renseigne toi ici pour en installer un : http://www.futura-sciences.com/compr...sier627-1.php).

    Lance hijackthis et clique sur Do a System Scan Only.
    Coche les lignes suivantes, si présentes :
    R3 - Default URLSearchHook is missing
    O2 - BHO: Class - {E2371339-5EF2-ADE2-5C66-75CD99F41AC2} - C:\WINDOWS\vwffl1.dll (file missing)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked

    Assure toi d'avoir accès à tous les fichiers et dossiers :[*]Ouvre votre poste de travail.[*]Menu "Outils", "Option des dossiers", onglet "Affichage" :[*]Active la case : "Afficher les fichiers et dossiers cachés"[*]Désactive la case : "Masquer les extensions des fichiers dont le type est connu"[*]Désactive la case : "Masquer les fichiers protégés du système d'exploitation"[*]Clique sur "Appliquer".
    Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

    Cherche et supprime les fichiers suivants (en gras), si présents :
    C:\WINDOWS\vwffl1.dll <-- le fichier
    • Fais un scan en ligne Kaspersky avec Internet Explorer :
    • Dans la nouvelle fenêtre, clique sur J'accepte.
    • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    • Patiente pendant l'installation des Mises à jour.
    • Choisis par la suite l'analyse du Poste de travail
    • Sauvegarde puis colle le rapport généré en fin d'analyse.
    AIDE : Configurer le contrôle des ActiveX
    NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

    Qu'en est-il de tes dysfonctionnements (apres redémarrage) ?

    Poste nous le rapport Kaspersky et un nouveau hijackthis.

    Bonne soirée
    La vie ne vaut rien, mais rien ne vaut la vie ...

  6. #5
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonjour et bon dimanche,

    Voici en pièces jointes les rapports demandés:

    J'ai seulement scanné avec Kaspersky online ; je n'ai pas nettoyé car pas indiqué.

    Lors du scan, Antivir a fait une détection " TR/Agent.DAD
    sur le fichier C:\WINDOWS\canonmoniteur.exe.v ir à laquelle j'ai répondu "ignore" .

    En ce qui concerne les dysfonctionnements après redémarrage, toujours les même détections "TR/Crypt.FKM.GEN sur le fichier C:\WINDOWS\vwffl1.dll lors des tentatives de connection à internet sauf outlook pas de détection; en plus de temps en temps 2 détections consécutives, celle citée ci dessus plus TR/Crypt.FKM.Gen sur C:\WINDOWS\VWFFL1.dll
    ( la même mais avec le fichier écrit en lettres majuscules )

    Merci et je reste dans l'attente de vous relire

    Je viens de m'apercevoir qu'en essayant de mettre les pièces jointes j'ai également la détection en question.
    Fichiers attachés Fichiers attachés

  7. A voir en vidéo sur Futura
  8. #6
    synthexe

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonsoir
    • Télécharge OTMoveIt de OldTimer : http://download.bleepingcomputer.com...r/OTMoveIt.exe .
    • Sauvegarde le sur ton Bureau.
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier):
    D:\Mes vidéos\Incoming\Crack Autodesk Autocad Lt 2006 All Builds By Core.zip
    C:\WINDOWS\canonmoniteur.exe.v ir
    C:\WINDOWS\VWFFL1.dll
    C:\WINDOWS\vwffl1.dll
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le bouton rouge Moveit!.
    • Ferme [b]OTMoveIt[/.b]
      Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Poste moi le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles
    La vie ne vaut rien, mais rien ne vaut la vie ...

  9. Publicité
  10. #7
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonjour Synthexe,

    Voici le rapport Otmoveit demandé en pièce jointe.

    Précision:j'ai 2 PC raccordés à la livebox par connections ethernet.Sur le mien, celui infecté, je n'arrive pas à me connecter sur les liens que tu m'as proposés, j'ai tout essayé même de passer par google, de taper l'adresse manuellement dans la barre d'adresse explorer; rien à faire à chaque fois le même résultat , la fameuse page blanche : " Impossible de trouver la page " et en bas il est écrit "Impossible de trouver le serveur ou erreur DNS dans Internet Explorer ".
    Pour obtenir le fichier Otmoveit.exe j'ai envoyé le lien que tu m'as transmis à l'autre PC par mail car il a une adresse mail perso et avec le second PC j'ai pu me connecter pour télécharger le fichier?
    Je l'ai rapatrié ensuite sur ce PC car il y a un partage de dossiers entre les 2 PC.
    Pourquoi ce phénomène ???

    A bientôt
    Fichiers attachés Fichiers attachés

  11. #8
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Rebonjour,
    Je voudrai apporter une précision peut être est-elle intéressante pour toi:
    J'ai refais la manipe avec le fichier C:\WINDOWS\canonmoniteur.exe.v ir car j'ai remarqué que dans ta liste il y avait un espace entre le v et le i de vir mais le résultat est le même "not found" pourtant avec l'explorateur windows je vois le fichier C:\WINDOWS\canonmoniteur.exe.v ir ? par contre les deux autres je ne les vois pas et les options des dossiers sont bien comme tu me l'as demandé dans le messsage ci dessus du 15/02 à 16h16.

    J'espère que cela t'aidera un peu dans ta réflexion.

    A+

  12. #9
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Alors là je n'y comprends plus rien:
    quand j'écris C:\WINDOWS\canonmoniteur.exe.v ir dans le texte du message à envoyer il n'y a pas d'espace entre le v et le i de vir mais lorsque le message est posté un espace se met automatiquement entre v et i de vir mais seulement dans le fichier pas dans vir isolé comme ci dessus.
    peut-tu m'éclairer?

  13. #10
    synthexe

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    quand j'écris C:\WINDOWS\canonmoniteur.exe.v ir dans le texte du message à envoyer il n'y a pas d'espace entre le v et le i de vir mais lorsque le message est posté un espace se met automatiquement entre v et i de vir mais seulement dans le fichier pas dans vir isolé comme ci dessus.
    peut-tu m'éclairer?
    C'est du a une sécurité sur Futura-Sciences qui tronque les chemins d'acces automatiquement, pour palier a ce probleme, une solution simple, mettre les chemins d'acces entre les balises [ code] et [ /code](sans l'espace entre [ et code) (je n'y est pas pensé, j'ai mis entre des balises quote ...)
    Ce qui donne :
    Code:
    C:\WINDOWS\canonmoniteur.exe.vir
    • Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
    • Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
    • Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
    • Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe
    La vie ne vaut rien, mais rien ne vaut la vie ...

  14. #11
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Je ne peux pas lancer BlackLight car quand je double clique urr blbeta.exe j'obtiens une fenêtre F-Secure:

    "F-Secure BlackLight could not acquire necessary privileges ( SeDebugPrivilege).
    - Your computer settings may prevent acquiring these privileges.
    - A malicious program might have desabled these privilèges."

    Je n'ai que la possibililté de faire ok et il ne demarre pas.

    Que fais-je docteur?

  15. #12
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonjour Canidé, Synthexe,

    Juste pour avancer Synthexe :

    1. Télécharge SeDebug-Restore.exe
    2. Double clique sur le fichier. Attendre la fin du travail.
    3. Redemarrer le pc.

    BL devrait fonctionner ensuite.

    Cyrrus

  16. Publicité
  17. #13
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Merci Cyrrus, je fais ça.

  18. #14
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Je n'arrive pas à me connecter avec vos liens, pour télécharger SeDebud-Registre.exe j'ai du effectué la même manipulation citée plus haut aujourd'hui à 8h43.
    Avez vous une explication?

  19. #15
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Désolé je ne peux toujours pas lancer blbeta.exe même fenêtre qui s'affiche, j'ai même essayé de le retélécharger après le redemarrage.

  20. #16
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Voici le message de la fenêtre Dos affichée lorsque SeDebug-Restore.exe a eu terminé (très rapidement) son travail:

    "Granting SeDebugPrivilege to administrators.....failed
    (GetAccountSid(Administrators) =1332

    Please reboot your machine

    Press any key to exit "

  21. #17
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Re,

    As tu essayé en mode sans échec ? Si non fais le...

  22. #18
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    En fait non...si cela ne dérange pas Synthexe je vais essayer autre chose tant qu'il n'est pas là :

    Télécharge VundoFix.exe (par Atribune) sur ton Bureau.
    • Double-clique VundoFix.exe afin de le lancer.
    • Clique sur le bouton Scan for Vundo.
    • Lorsque le scan est complété, clique sur le bouton Remove Vundo.
    • Une invite te demandera si tu veux supprimer les fichiers, clique YES
    • Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
    • Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
    • Démarre ton PC à nouveau.
    • Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.


  23. Publicité
  24. #19
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonsoir et merci pour ce que vous faites

    Je n'ai pas eu de réponse au sujet du problème ennoncé ci dessus aujourd'hui à 8h43 et 16h44?

    Voici les deux rapports demandés
    Fichiers attachés Fichiers attachés

  25. #20
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Re Canidé,

    Coup dans l'eau, bien fait pour moi. Pour ton problèmes de téléchargement du tool, je n'ai pas vraiment d'idée là dessus. Je peux juste te dire que c'est normal qu'il n'ait pas marché (en gros j'ai fait n'importe quoi !).

    Je vais arranger le problème de BL et regardé pour ton problème de download (non parce que maintenant que j'ai mis la main dedans...Synthexe va me tuer XD).

    1. Télécharge VX2Finder de Subratam.
    2. Lance le et clique sur Restore Policy
    3. Clique sur Hosts Log et enregistre le fichier créé sur ton Bureau.
    4. Redemarre ton ordinateur

    Poste les rapports de VX2Finder (hosts.txt) ainsi que celui de BL.

    Cyrrus
    edit : Normal, il n'a rien trouvé...

  26. #21
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    PS:le PC ne s'est pas éteint comme cela était prévu dans ton message.

  27. #22
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Rapport de X2Finder quand à BL même fenêtre impossible de le lancer.
    Fichiers attachés Fichiers attachés

  28. #23
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Grrr m'énerve çà...

    [quote]Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.
    Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.
    • Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
    • Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
    • Coche Run this program as a task
    • Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
    • Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
    • Lorsque le scan termine, clique sur le bouton Remove L2M
    • Un message Done Scanning apparaîtra, clique OK.
    • Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
    • Ton PC va maintenant s'éteindre.
    • Démarre ton PC normalement.
    • Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
    *Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

    Désolé pour tout ces coup dans l'eau, première fois que je rencontr un tel cas...

    PS : Désactive Antivir pendant la manip, il se peut qu'il bloque la modification...
    Dernière modification par Cyrrus ; 19/02/2007 à 21h01.

  29. #24
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    J'ai réussi à récupérer LooK2Me-Destroyer.exe par l'intermédiaire du second ordinateur.
    Lorsque je double clique sur l'icone rond L2M avec le 2 dans le point d'exclamation ,installé sur mon bureau,
    IL NE SE PASSE RIEN

    Docteur à l'aide

  30. Publicité
  31. #25
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Re,

    As tu essayé de la lancer en mode sans échec...?

  32. #26
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bon,

    Apparemment il y a aurait une bestiole sous jacente...

    On va vérifier (courage !) :

    Télécharge Rootkit Unhooker de EP_X0FF/MP_ART, <DNY>
    • Lance l'installer et clique sur "Install"
    • Puis lance Rootkit Unhooker.
    • Va dans l'onglet Report et clique sur "Scan"
    • Le tool va te demander quoi scanner : ne décoche que la première case => SSDT Hooks Detector/Restorer.
    • Clique ensuite sur Ok.
    • RkU va scanner ton pc. Dans la partie "Hidden Files Detector, il va te demander quel disque scanner, choisis ton disque principale (C:\ en général).
    • Une fois le scan terminé clique sur File - Save Report as et sauvegarde le sur ton Bureau.
    Poste moi le rapport de RkU

  33. #27
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Mode sans echec idem pour L2M

  34. #28
    Cyrrus

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Normal, en gros malin que je suis j'oublie que L2M ne se lance pas en MSE...

    Vraiment désolé...je patauge complètement ce soir...

  35. #29
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Voici le rapport:
    PS: j'avais toujours la fenêtre d'attente pendant le scan et cela faisait longtemps qu'il n'y avait plus d'accès au disque dur ( voyant éteint en continue) j'ai donc cliquer sur Cancel et enregistrer le rapport.
    j'espère ne pas avoir fait de bétises.
    Fichiers attachés Fichiers attachés

  36. #30
    Canidé

    Re : Infecté par trojan TR/Crypt.FKM/Gen

    Bonjour CYRRUS

    As-tu reçu mon message?

Sur le même thème :

Page 1 sur 2 1 DernièreDernière

Discussions similaires

  1. Trojan = CR/Crypt.FKM.Gen
    Par Floloa dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 58
    Dernier message: 06/02/2008, 19h58
  2. Win32 Trojan-gen
    Par letuneurdu33 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 15
    Dernier message: 13/10/2007, 14h56
  3. Win32:Trojan-gen
    Par Karde dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 17
    Dernier message: 30/08/2007, 10h12
  4. trojan-gen
    Par chrisis dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 3
    Dernier message: 26/08/2007, 10h41
  5. infecté par trojan bat starpage
    Par milche dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 3
    Dernier message: 05/08/2007, 19h25