Infecté par trojan TR/Crypt.FKM/Gen

[invitee82daedd]

Bonjour

Mon Antivir détecte ce cheval de troie sur le fichier C:\WINDOWS\vwffl1.dll que je n'arrive pas à localiser avec l'explorateur et ceci à chaque tentative de connection internet et chaque ouverture de l'explorateur windows.
Quoique je fasse dans la fenêtre de détection ( delete,rename,deny access,quarentaine,etc)il me laisse passer mais reaparait à la prochaine tentative de connection.
Pouvez vous , s'il vous plait , me donner la façon de me débarrasser de ce problème.

Merci

Configuration: Windows XP pro
Internet Explorer 6.0
-----

[Cyrrus]

Bonsoir Canidé,

Effectue je te prie la procedure preliminaire. Poste les rapports en pieces jointes.

Bonne soirée
Cyrrus

[invitee82daedd]

Bonsoir et merci de bien vouloir vous occuper de mon problème,

Voici les rapports.

[invite275db609]

Bonjour

Tu dois absolument installer un FireWall (Pare-feu), c'est indispensable pour la sécurité de ta machine ( renseigne toi ici pour en installer un : http://www.futura-sciences.com/compr...sier627-1.php).

Lance hijackthis et clique sur Do a System Scan Only.
Coche les lignes suivantes, si présentes :

R3 - Default URLSearchHook is missing
O2 - BHO: Class - {E2371339-5EF2-ADE2-5C66-75CD99F41AC2} - C:\WINDOWS\vwffl1.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

Ferme tous les programmes, sauf hijackthis et clique sur Fix Checked

Assure toi d'avoir accès à tous les fichiers et dossiers :[*]Ouvre votre poste de travail.[*]Menu "Outils", "Option des dossiers", onglet "Affichage" :[*]Active la case : "Afficher les fichiers et dossiers cachés"[*]Désactive la case : "Masquer les extensions des fichiers dont le type est connu"[*]Désactive la case : "Masquer les fichiers protégés du système d'exploitation"[*]Clique sur "Appliquer".
Maintenant, tu as accès à tous les fichiers et dossiers du système d'exploitation.

Cherche et supprime les fichiers suivants (en gras), si présents :
C:\WINDOWS\vwffl1.dll <-- le fichier

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Dans la nouvelle fenêtre, clique sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde puis colle le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Qu'en est-il de tes dysfonctionnements (apres redémarrage) ?

Poste nous le rapport Kaspersky et un nouveau hijackthis.

Bonne soirée

[A voir en vidéo sur Futura]

[invitee82daedd]

Bonjour et bon dimanche,

Voici en pièces jointes les rapports demandés:

J'ai seulement scanné avec Kaspersky online ; je n'ai pas nettoyé car pas indiqué.

Lors du scan, Antivir a fait une détection " TR/Agent.DAD
sur le fichier C:\WINDOWS\canonmoniteur.exe.v ir à laquelle j'ai répondu "ignore" .

En ce qui concerne les dysfonctionnements après redémarrage, toujours les même détections "TR/Crypt.FKM.GEN sur le fichier C:\WINDOWS\vwffl1.dll lors des tentatives de connection à internet sauf outlook pas de détection; en plus de temps en temps 2 détections consécutives, celle citée ci dessus plus TR/Crypt.FKM.Gen sur C:\WINDOWS\VWFFL1.dll
( la même mais avec le fichier écrit en lettres majuscules )

Merci et je reste dans l'attente de vous relire

Je viens de m'apercevoir qu'en essayant de mettre les pièces jointes j'ai également la détection en question.

[invite275db609]

Bonsoir

• Télécharge OTMoveIt de OldTimer : http://download.bleepingcomputer.com...r/OTMoveIt.exe .
• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier):

D:\Mes vidéos\Incoming\Crack Autodesk Autocad Lt 2006 All Builds By Core.zip
C:\WINDOWS\canonmoniteur.exe.v ir
C:\WINDOWS\VWFFL1.dll
C:\WINDOWS\vwffl1.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le bouton rouge Moveit!.
• Ferme [b]OTMoveIt[/.b]
  Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Poste moi le rapport de OTMoveIT dispo ici : C:\_OTMoveIt\MovedFiles

[invitee82daedd]

Bonjour Synthexe,

Voici le rapport Otmoveit demandé en pièce jointe.

Précision:j'ai 2 PC raccordés à la livebox par connections ethernet.Sur le mien, celui infecté, je n'arrive pas à me connecter sur les liens que tu m'as proposés, j'ai tout essayé même de passer par google, de taper l'adresse manuellement dans la barre d'adresse explorer; rien à faire à chaque fois le même résultat , la fameuse page blanche : " Impossible de trouver la page " et en bas il est écrit "Impossible de trouver le serveur ou erreur DNS dans Internet Explorer ".
Pour obtenir le fichier Otmoveit.exe j'ai envoyé le lien que tu m'as transmis à l'autre PC par mail car il a une adresse mail perso et avec le second PC j'ai pu me connecter pour télécharger le fichier?
Je l'ai rapatrié ensuite sur ce PC car il y a un partage de dossiers entre les 2 PC.
Pourquoi ce phénomène ???

A bientôt

[invitee82daedd]

Rebonjour,
Je voudrai apporter une précision peut être est-elle intéressante pour toi:
J'ai refais la manipe avec le fichier C:\WINDOWS\canonmoniteur.exe.v ir car j'ai remarqué que dans ta liste il y avait un espace entre le v et le i de vir mais le résultat est le même "not found" pourtant avec l'explorateur windows je vois le fichier C:\WINDOWS\canonmoniteur.exe.v ir ? par contre les deux autres je ne les vois pas et les options des dossiers sont bien comme tu me l'as demandé dans le messsage ci dessus du 15/02 à 16h16.

J'espère que cela t'aidera un peu dans ta réflexion.

A+

[invitee82daedd]

Alors là je n'y comprends plus rien:
quand j'écris C:\WINDOWS\canonmoniteur.exe.v ir dans le texte du message à envoyer il n'y a pas d'espace entre le v et le i de vir mais lorsque le message est posté un espace se met automatiquement entre v et i de vir mais seulement dans le fichier pas dans vir isolé comme ci dessus.
peut-tu m'éclairer?

[invite275db609]

quand j'écris C:\WINDOWS\canonmoniteur.exe.v ir dans le texte du message à envoyer il n'y a pas d'espace entre le v et le i de vir mais lorsque le message est posté un espace se met automatiquement entre v et i de vir mais seulement dans le fichier pas dans vir isolé comme ci dessus.
peut-tu m'éclairer?

C'est du a une sécurité sur Futura-Sciences qui tronque les chemins d'acces automatiquement, pour palier a ce probleme, une solution simple, mettre les chemins d'acces entre les balises [ code] et [ /code](sans l'espace entre [ et code) (je n'y est pas pensé, j'ai mis entre des balises quote ...)
Ce qui donne :

Code:

C:\WINDOWS\canonmoniteur.exe.vir

• Télécharge Blacklight (de F-Secure); clique sur "I ACCEPT" au bas de la page. Sauvegarde le sur ton Bureau.
• Double-clique blbeta.exe et accepte la licence; clique Scan puis Next
• Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
• Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

[invitee82daedd]

Je ne peux pas lancer BlackLight car quand je double clique urr blbeta.exe j'obtiens une fenêtre F-Secure:

"F-Secure BlackLight could not acquire necessary privileges ( SeDebugPrivilege).
- Your computer settings may prevent acquiring these privileges.
- A malicious program might have desabled these privilèges."

Je n'ai que la possibililté de faire ok et il ne demarre pas.

Que fais-je docteur?

[Cyrrus]

Bonjour Canidé, Synthexe,

Juste pour avancer Synthexe :

1. Télécharge SeDebug-Restore.exe
2. Double clique sur le fichier. Attendre la fin du travail.
3. Redemarrer le pc.

BL devrait fonctionner ensuite.

Cyrrus

[invitee82daedd]

Merci Cyrrus, je fais ça.

[invitee82daedd]

Je n'arrive pas à me connecter avec vos liens, pour télécharger SeDebud-Registre.exe j'ai du effectué la même manipulation citée plus haut aujourd'hui à 8h43.
Avez vous une explication?

[invitee82daedd]

Désolé je ne peux toujours pas lancer blbeta.exe même fenêtre qui s'affiche, j'ai même essayé de le retélécharger après le redemarrage.

[invitee82daedd]

Voici le message de la fenêtre Dos affichée lorsque SeDebug-Restore.exe a eu terminé (très rapidement) son travail:

"Granting SeDebugPrivilege to administrators.....failed
(GetAccountSid(Administrators) =1332

Please reboot your machine

Press any key to exit "

[Cyrrus]

Re,

As tu essayé en mode sans échec ? Si non fais le...

[Cyrrus]

En fait non...si cela ne dérange pas Synthexe je vais essayer autre chose tant qu'il n'est pas là :

Télécharge VundoFix.exe (par Atribune) sur ton Bureau.

• Double-clique VundoFix.exe afin de le lancer.
• Clique sur le bouton Scan for Vundo.
• Lorsque le scan est complété, clique sur le bouton Remove Vundo.
• Une invite te demandera si tu veux supprimer les fichiers, clique YES
• Après avoir cliqué "Yes", le Bureau disparaîtra un moment lors de la suppression des fichiers.
• Tu verras une invite qui t'annonce que ton PC va s'éteindre ("shutdown"); clique OK
• Démarre ton PC à nouveau.
• Copie/colle le contenu du rapport situé dans C:\vundofix.txt ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
  
  

[invitee82daedd]

Bonsoir et merci pour ce que vous faites

Je n'ai pas eu de réponse au sujet du problème ennoncé ci dessus aujourd'hui à 8h43 et 16h44?

Voici les deux rapports demandés

[Cyrrus]

Re Canidé,

Coup dans l'eau, bien fait pour moi. Pour ton problèmes de téléchargement du tool, je n'ai pas vraiment d'idée là dessus. Je peux juste te dire que c'est normal qu'il n'ait pas marché (en gros j'ai fait n'importe quoi !).

Je vais arranger le problème de BL et regardé pour ton problème de download (non parce que maintenant que j'ai mis la main dedans...Synthexe va me tuer XD).

1. Télécharge VX2Finder de Subratam.
2. Lance le et clique sur Restore Policy
3. Clique sur Hosts Log et enregistre le fichier créé sur ton Bureau.
4. Redemarre ton ordinateur

Poste les rapports de VX2Finder (hosts.txt) ainsi que celui de BL.

Cyrrus
edit : Normal, il n'a rien trouvé...

[invitee82daedd]

PS:le PC ne s'est pas éteint comme cela était prévu dans ton message.

[invitee82daedd]

Rapport de X2Finder quand à BL même fenêtre impossible de le lancer.

[Cyrrus]

Grrr m'énerve çà...

[quote]Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter.
Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.

• Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
• Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
• Coche Run this program as a task
• Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
• Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
• Lorsque le scan termine, clique sur le bouton Remove L2M
• Un message Done Scanning apparaîtra, clique OK.
• Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
• Ton PC va maintenant s'éteindre.
• Démarre ton PC normalement.
• Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.

*Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

Désolé pour tout ces coup dans l'eau, première fois que je rencontr un tel cas...

PS : Désactive Antivir pendant la manip, il se peut qu'il bloque la modification...

[invitee82daedd]

J'ai réussi à récupérer LooK2Me-Destroyer.exe par l'intermédiaire du second ordinateur.
Lorsque je double clique sur l'icone rond L2M avec le 2 dans le point d'exclamation ,installé sur mon bureau,
IL NE SE PASSE RIEN

Docteur à l'aide

[Cyrrus]

Re,

As tu essayé de la lancer en mode sans échec...?

[Cyrrus]

Bon,

Apparemment il y a aurait une bestiole sous jacente...

On va vérifier (courage !) :

Télécharge Rootkit Unhooker de EP_X0FF/MP_ART, <DNY>

• Lance l'installer et clique sur "Install"
• Puis lance Rootkit Unhooker.
• Va dans l'onglet Report et clique sur "Scan"
• Le tool va te demander quoi scanner : ne décoche que la première case => SSDT Hooks Detector/Restorer.
• Clique ensuite sur Ok.
• RkU va scanner ton pc. Dans la partie "Hidden Files Detector, il va te demander quel disque scanner, choisis ton disque principale (C:\ en général).
• Une fois le scan terminé clique sur File - Save Report as et sauvegarde le sur ton Bureau.

Poste moi le rapport de RkU

[invitee82daedd]

Mode sans echec idem pour L2M

[Cyrrus]

Normal, en gros malin que je suis j'oublie que L2M ne se lance pas en MSE...

Vraiment désolé...je patauge complètement ce soir...

[invitee82daedd]

Voici le rapport:
PS: j'avais toujours la fenêtre d'attente pendant le scan et cela faisait longtemps qu'il n'y avait plus d'accès au disque dur ( voyant éteint en continue) j'ai donc cliquer sur Cancel et enregistrer le rapport.
j'espère ne pas avoir fait de bétises.

[invitee82daedd]

Bonjour CYRRUS

As-tu reçu mon message?