Répondre à la discussion
Page 1 sur 2 1 DernièreDernière
Affichage des résultats 1 à 30 sur 49

Attaque par Win32trojan




  1. #1
    Dr Jekill

    Attaque par Win32trojan

    Bonjour
    Depuis hier celà va mal .Alors que je surfais sur le net, un message s'est affiché : "Internet Explorer soit fermer". Puis Avast a signalé (+sirène !) une infection par "Win32trojan" et mon fond d'écran est devenu rouge . mise en qurantaine comme recommandé. Le gestionnaire de tâches est "désactivé par l'administrateur" et le PC rame un max. Help.
    Ci_joint en pièces jointes les 2 analyses habituellement demandées

    -----

    Fichiers attachés Fichiers attachés

  2. Publicité
  3. #2
    igor51

    Re : Attaque par Win32trojan

    Bonjour et Bienvenu sur Futura

    1. Télécharger The Avenger par Swandog46 sur votre Bureau.
    • Click sur Avenger.zip pour ouvrir le fichier
    • Extraire avenger.exe sur votre bureau

    2. Copier tout le texte de la boîte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Drivers to unload:
    windev-6e8a-7454.sys
    Files to delete:
    C:\WINDOWS\system32\windev-6e8a-7454.sys
    C:\WINDOWS\system32\windev-peers.ini

    Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
    si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.


    3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.
    • Sous "Script file to execute" choisir "Input Script Manually".
    • Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
    • Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
    • Cliquer Done
    • ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
    • Répondre "Yes" deux fois quand demandé.

    4. The Avenger va automatiquement faire ce qui suit:
    • Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
    • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
    • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    • The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

    5. Pour finir poste le ficher c:\avenger.txt dans votre réponse avec un nouveau log HijackThis en utilisant REPONDRE



    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  4. #3
    Dr Jekill

    Re : Attaque par Win32trojan

    Merci Igor de vous etre occupé de mon cas douloureux.
    Comme demandé,
    veuillez trouver en pièce jointe l'analyse Hijackthis
    Fichiers attachés Fichiers attachés


  5. #4
    igor51

    Re : Attaque par Win32trojan

    Bonsoir,

    Rend toi sur cette page >> http://secubox.gateweb.org/mad.php

    clique sur Parcourir et recherche le fichier suivant
    C:\avenger\backup.zip.

    Dans "message destiné à notre équipe", inscrit ceci :

    http://forums.futura-sciences.com/thread147834.html fichier inconnu, igor51

    Ensuite poste moi le rapport généré par the Avenger présent ici > c:\avenger.txt

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  6. #5
    Dr Jekill

    Re : Attaque par Win32trojan

    Excusez moi Igor Je viens de m'apercevoir que dans les pièces jointe j'ai omis de mettre "avenger.text" Hélas je ne le trouve pas ! La recherche demeure muette... que faire ? Recommencer toute l'opération ? Au passage le fond d'écran n'a pas reparu . Il est donc toujours rouge pompier !

  7. A voir en vidéo sur Futura
  8. #6
    Dr Jekill

    Re : Attaque par Win32trojan

    Bonsoir, Igor
    La petite manip a été faite et voici "avenger.text" en pièces jointes
    Encore merci et @ +
    Dr Jekill
    Dernière modification par igor51 ; 25/05/2007 à 17h31.

  9. #7
    igor51

    Re : Attaque par Win32trojan

    Re,


    voici la suite.

    Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


    *
    Option 1

    Double-clique sur SmitfraudFix.exe
    Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
    un texte va apparaitre, qui liste les fichiers infectés si présent.
    Poste le rapport dans ta prochaine réponse.

    **Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
    SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.


    Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consultin...rocessutil.htm


    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  10. Publicité
  11. #8
    Dr Jekill

    Re : Attaque par Win32trojan

    Désolé Igor , je n'ai pas envoyé le bon fichier. Le voici enfin ! C'est la pécipitation due à mon age.
    Jekill
    Fichiers attachés Fichiers attachés

  12. #9
    igor51

    Re : Attaque par Win32trojan

    Pas de problème

    Je t'ai posté la suite de la procédure dans mon précédent message.

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  13. #10
    Dr Jekill

    Re : Attaque par Win32trojan

    Re Igor
    Voici le rapport Smitfrau

  14. #11
    Dr Jekill

    Re : Attaque par Win32trojan

    Pauvre Igor !
    Apparement le fichier n'est pas passé!
    J'espère que ce coup ci...
    Jekill
    Fichiers attachés Fichiers attachés

  15. #12
    igor51

    Re : Attaque par Win32trojan

    Re,

    Télécharge AVG Anti-Spyware
    1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
    2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
    3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    1. Du mode Sans Échec, lance AVG Anti-Spyware,
    2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
    3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
    4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
    5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

    Toujours en mode sans échec :

    Une fois en Mode sans échec, double-clique sur SmitfraudFix.exe
    Selectionne l'option #2 - Nettoyage en tapant 2 et appuie sur "Entrée" pour supprimer les fichiers infectés.

    A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

    Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu..

    Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage.; si ce n'est pas le cas, redémarre en mode normal manuellement.
    Un rapport sera généré, avec les résultats de l'opération de nettoyage; poste ce rapport dans ta prochaine réponse
    Le rapport peut être trouver à la racine du disque système, souvent C:\rapport.txt

    Attention : L'option 2 pourra supprimer le fond d'écran.


    Dans ta prochaine répons,e j'attends les rapports suivant :

    -> AVG-AS
    -> Smitfraudfix option 2
    -> un nouveau rapport Hijackthis.

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  16. #13
    Dr Jekill

    Re : Attaque par Win32trojan

    Yoopee Igor
    Tout est rentré dans l'ordre après avoir effectué les toutes dernières manip. Comme annoncé, le fond d'ecran a disparu mais cétait le standard "Dunes" alors...
    En tout cas merci pour votre patience mise au service d'une compétence sans faille . De plus pour un lourdeau comme moi, cela m'apprend à manipuler des fichiers, ce que je n'avais jamais pratiqué avant. Les explications pas à pas sont très claires et on est content de s'en sortir proprement. Virtuellement hélas, je vous confectionnerai ... une tarte "tatin" dont vous me direz des nouvelles.
    Voici les rapports AVGAS
    Smitfrau 2
    et nouveau Hijackthis
    Bye et encore bravo.
    Fichiers attachés Fichiers attachés

  17. #14
    igor51

    Re : Attaque par Win32trojan

    Bonjour Dr Jekill,


    tu t'es trompé de rapport, peux-tu me poster le rapport d'AVG-AS ?

    Ce n'est pas encore tout à fait fini, on doit encore vérifier qu'il ne reste vraimetn plus rien, mais le plus gros de la désinfection est fait.

    Je te donnerai la suite des opérations lorsque tu m'auras posté le rapport.

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  18. #15
    Dr Jekill

    Re : Attaque par Win32trojan

    Bonjour Igor,
    Obligations familiales obligent, je viens juste de me connecter pour apprendre ma nouvelle erreur...
    Désolé : voici le bon rapport du moins j'espère
    Fichiers attachés Fichiers attachés

  19. #16
    igor51

    Re : Attaque par Win32trojan

    Bonjour Dr Jekill,

    Pas de problème, surtout prend ton temps

    Bon aller les dernières vérifications :
    • Fais un scan en ligne Kaspersky avec Internet Explorer :
    • Clique sur
    • Clique maintenant sur J'accepte.
    • Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    • Patiente pendant l'installation des Mises à jour.
    • Clique sur Suivant.
    • Choisis par la suite l'analyse du Poste de travail
    • Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.
    AIDE : Configurer le contrôle des ActiveX
    Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.


    ---------------------------------------------------------------------------


    Télécharge sur ton bureau : http://www.malekal.com/download/clean.zip
    1. Fais un clic droit sur ton fichier clean.zip et dans le menu déroulant, choisis extrait tout ou extraire ici
    2. Cela va créer un dossier clean.
    3. Double-clique sur ce dossier clean, tu y trouveras dedans plusieurs fichiers.
    4. Double-clique sur clean. Cela va ouvrir une fenêtre noire.
    5. Un menu va apparaître, choisis l'option 1 en appuyant sur la touche 1 de ton clavier.
    Clean va travailler.
    Un rapport va etre généré, poste ce rapport dans ta prochaine réponse.



    Poste moi les deux rapports en pièce jointe.

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  20. #17
    Dr Jekill

    Re : Attaque par Win32trojan

    Cher Igor
    J'ai bien cherché à à faire un scan avec Kaspersky on line mais après un moment, il affiche qu'il faut être en compte administrateur et avec un taux de sécurité moyen pour y accéder. Or ces conditions sont respectées ! Comment contourner ce problème ?
    Merci par avance du tuyau qui ne manquera pas de suivre.

  21. #18
    igor51

    Re : Attaque par Win32trojan

    Re,

    Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau.
    • Ferme toutes les fenêtres actives avant de passer à l'étape suivante.
    • Double-clique Look2Me-Destroyer.exe afin de lancer l'outil.
    • Coche Run this program as a task
    • Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK
    • Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal.
    • Lorsque le scan termine, clique sur le bouton Remove L2M
    • Un message Done Scanning apparaîtra, clique OK.
    • Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK.
    • Ton PC va maintenant s'éteindre.
    • Démarre ton PC normalement.
    • Poste le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse.
    *Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau.

    Voila qui devrait résoudre ce petit problème, un fois l'outils passait, re-essaie le scan en ligne.

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  22. #19
    Dr Jekill

    Re : Attaque par Win32trojan

    Bonsoir Igor
    Comme demandé , j'ai effectué la manip L2M
    Voici donc les rapports L2M
    et Hijackthis
    Bonne soirée
    Fichiers attachés Fichiers attachés

  23. #20
    igor51

    Re : Attaque par Win32trojan

    Bonjour,

    peux-tu refaire un scan avec kaspersky ?

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  24. #21
    Dr Jekill

    Re : Attaque par Win32trojan

    Bon dimanche Igor,
    Voici le rapport Kaspersky du long (+ d'1 heure)scan.
    Apparement il y aurait quatre virus et cinq objets infectés.
    Merci Doc pour tous vos bons soins.
    Jekill
    Fichiers attachés Fichiers attachés

  25. #22
    igor51

    Re : Attaque par Win32trojan

    Bonjour Dr Jekill,

    On finit

    Télécharge OTMoveIt de OldTimer.
    • Sauvegarde le sur ton Bureau.
    • Double-Clique sur OTMoveIt.exe pour le lancer.
    • Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):

      Code:
      C:\WINDOWS\system32\tjcrgyxf.exe
      C:\WINDOWS\system32\alt.exe.exe
    • Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
    • Clique sur le boutton rouge Moveit!.
    • Ferme OTMoveIt
    Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

    Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

    ---------------------------------------------------------------------------

    • Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
    • Coche la case "Désactiver le système de restauration..."
    • Redémarre l'ordinateur
    • Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
    • Décoche la case "Désactiver le système de restauration..."
    Et voila, un nouveau point de restauration qui est a priori propre
    --------------------------------------------------------------------------

    Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

    Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

    Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

    Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
    Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Smitfraud

    Aide-toi des règles de Malware Complaints pour formater ton message.
    Merci de ton aide


    ---------------------------------------------------------------------------

    As-tu encore des problèmes ?


    Bon Dimanche
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  26. #23
    Dr Jekill

    Re : Attaque par Win32trojan

    Re Igor
    Dans l'analyse Kaspersky, je viens de voir une rubrique, à droite "nettoyer maintenant", faut-il cliquer dessus ? De toutes façons, je ne ferai rien sans votre avis. J'attends donc. @ +
    Jekill

  27. #24
    igor51

    Re : Attaque par Win32trojan

    Bonjour,

    non non suis juste mes instructions ( message #22 ), cela nettoyera coorectement ton système

    Bon Dimanche
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  28. #25
    Dr Jekill

    Re : Attaque par Win32trojan

    Re Igor,
    Alonso a gagné Monaco !
    Voici le rapport OT Move mais j'ai eu des difficultés : un fenêtre "Security Center" qu i s'ouvre à presque chaque essai d'envoi ...
    A tout à l'heur pour le "podium" et les remerciements.
    Fichiers attachés Fichiers attachés

  29. #26
    igor51

    Re : Attaque par Win32trojan

    Re,

    peux-tu m'en dire plus sur cette fenêtre " Security Center" ? Quel genre de message montre-t'il ?

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  30. #27
    Dr Jekill

    Re : Attaque par Win32trojan

    Cher Igor,
    pour répondre à la question de la fenêtre intempestive, elle se présente avec un disque rouge barré d'1 croix blanche suivi de l'écusson du centre de sécurité. Le message suiant vient :SECURITY CENTER.Help protect your PCWarning spyware files are detected on your computer. It's highly recommended to scan the system immediately to remove all spywre and adwre programs. Spyware gathers your private information [/B]without your constent. This information includes password and credit card details etc...
    Remove all spyware from your PC
    Click here for free scan
    Je ne sais pas faire de copie d'ecran mais , ai recopié le principal.
    Sinon comme demandé, le PC a été redémarré après avoir décoché la restauration et rétabli après redémarrage. Ai-je été suffisamment précis dans ma réponse ?
    Jekill

  31. #28
    igor51

    Re : Attaque par Win32trojan

    Re,


    très précis comme description.

    Télécharge SmitfraudFix (by S!Ri) sur ton Bureau.


    *
    Option 1

    Double-clique sur SmitfraudFix.exe
    Selectionne l'option #1 - Chercher en appuyant sur 1 et presse "Entrée";
    un texte va apparaitre, qui liste les fichiers infectés si présent.
    Poste le rapport dans ta prochaine réponse.

    **Si l'outils n'arrive pas à se lancer de ton Bureau, déplace
    SmitfraudFix.exe directement à la racine de ton système (généralement C:), et lance le de là.


    Note : process.exe est détecté par certain antivirus (AntiVir, Dr.Web, Kaspersky) comme un "RiskTool"; ce n'est pas un virus, mais un programme pour tuer les processus.Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
    http://www.beyondlogic.org/consultin...rocessutil.htm



    Poste moii le rapport en pièce jointe

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  32. #29
    Dr Jekill

    Re : Attaque par Win32trojan

    Bonsoir Igor,
    Excusez le temps de réponse: la livebox m'avait déconnecté.
    Voici le rapport Smitfraud
    Fichiers attachés Fichiers attachés

  33. #30
    igor51

    Re : Attaque par Win32trojan

    Re,

    ne t'inquiète pas, tu as tout ton temps pour répondre.
    • Double-clique sur le dossier Diaghelp
    • Double-clique sur go.cmd (le .cmd peut ne pas apparaître)
    • Une fenêtre va s'ouvrir, choisis l'option 1
    • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
    • A la fin de l'analyse, il te sera redemandé de redémarrer l'ordinateur... Une fois l'ordinateur redémarré le rapport va apparaître sur le bloc-note..
    • Poste le rapport qui s'affiche dans ton prochain post.

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

Page 1 sur 2 1 DernièreDernière

Discussions similaires

  1. Attaque du cuivre par l'ammoniac
    Par thierrysauzeau dans le forum Chimie
    Réponses: 11
    Dernier message: 10/03/2017, 18h00
  2. attaque du zinc par un acide(sulfurique)
    Par mactavish dans le forum Chimie
    Réponses: 19
    Dernier message: 20/03/2010, 10h58
  3. Attaque par phishing?
    Par Sniperali dans le forum Internet - Réseau - Sécurité générale
    Réponses: 6
    Dernier message: 17/05/2007, 12h38
  4. Attaque du zinc par l'acide
    Par Toxikhomo dans le forum Chimie
    Réponses: 7
    Dernier message: 19/11/2006, 12h16
  5. attaque du cuivre par de l'acide sulfurique
    Par quentinou dans le forum Chimie
    Réponses: 10
    Dernier message: 04/05/2006, 12h16