Trojan = CR/Crypt.FKM.Gen

[invite398c5e9f]

Bonjour a tous, et merci de prendre le temps de lire ce message.


Tout juste apres la reinstallation de windows, (et avant que j'active le routeur sur ma freebox et que j'installe mon antivirus) j'ai choper ce Trojan : CR/Crypt.FKM.Gen

Antivir le détecte mais n'arrive pas a le supprimer.

A chaque tentative de connection internet, il creer un compte admin, et bloque tout les acces via le firewall ...

J'ai vu/lu plusieurs procédure, mais toutes sont différentes car ce Trojan, n'a pas le meme impact chez tout le monde (action alléatoire)

Voici donc le rapport fait par antivir apres le scan :


J'hésite a reinstall windows tout de suite pour m'eviter des tracas, mais si une solution pouvaient etre trouvé avant ... :s
Merci d'avance

PS: je viens de me rendre compte que je n'ai pas posté dans la bonne section du forum, merci de deplacer le sujet.
-----

[invite398c5e9f]

Je n'arrive pas a editer mon poste une deuxieme fois.

Voici les rapports de la procédure préliminaire :

[yoda1234]

PS: je viens de me rendre compte que je n'ai pas posté dans la bonne section du forum, merci de deplacer le sujet.

Bonjour et bienvenue sur FSG

C'est fait, ainsi que la mise en pièces jointes de ton rapport antivir.

[igor51]

Bonsoir,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne soirée

[A voir en vidéo sur Futura]

[invite398c5e9f]

Désolée d'avoir tardé a poster les reports, mais en rentrant du boulot, je me suis dit que vu que l'install etait neuve ... j'avais qu'a reinstaller Windows par dessus ...
Donc boot du pc sur le lecteur CD/DVD ; reinstall de win ; install de norton ; install free ; et la c'est le drame ... toujours aucune connection !

Je reformat/install de diverses facon mais toujours le meme soucis.
Finalement il y a une fois ou je n'installe PAS norton anti virus, et ou j'installe antivir.

Tout ce passe bien, et j'ai pu reinstaller et faire mes updates, MAIS j'ai eu des alertes via antivir indiquant que j'etais infectés par des trojans (TR/Vundo.Gen; TR/Agent.37420; TR/Drop.Age.11148.A; Trojan.Duntek; Trojan.Vundo; et j'ai du en oublier ...)

J'ai donc refait la procédure préliminaires (rapports : hijackthis1.log et resultat.txt) ET la procédure SDFix indiqué par igor (rapports : hijackthis2.log et report.txt)


A vous les cerveaux !

[invite398c5e9f]

Une bonne ame pour me decrypter tout ca et m'indiquez la marche a suivre pour supprimer definitivement ces Tojans ? :s

[igor51]

Bonjour,

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne journée

[invite398c5e9f]

Bonjour !
Il est impossible d'utiliser ComboFix : apres le telechargement et lors du lancement du .exe, une fenetre apparait rapidement indiquant que la version de combofix est expiré et qu'il me faut telecharger une plus récente.

Cependant, impossible de trouver une version suffisament récente pour que ca marche, pire je suis tombé sur ceci : http://www.commentcamarche.net/forum...tention-urgent


Je réessayerais demain :'(

[igor51]

Bonsoir,

hummm, supprime Combofix, j'ai eu des nouvelles infos hier soir, une mise à jour importante pour Combofix...Il va falloir faire autrement...

Crées un fichier avec le bloc note et colle ce texte dedans :

Code:

@ECHO OFF
dir C:\Windows\System32\dllcache /a h > files.txt
notepad files.txt
del /q files.txt
exit

- Dans le menu "Fichier":"Enregistrer sous"
- Enregistrer dans : Bureau
- Nom du fichier : check.bat
- Type : tous les fichiers
- cliquer sur Enregistrer
- quitter Notepad

Double clique sur le fichier check.bat : une fenêtre va s'ouvrir rapidement,c'est normal

Poste moi le rapport généré

Bonne soirée

[invite398c5e9f]

Hello !

Voici le rapport que tu m'as demandé ! Désolée de ne pas repondre plus vite, mais la vie prend beaucoup de temps en ce moment

Merci a toi de prendre tout ce temps !

[igor51]

Bonsoir,

Combofix étant de retour, on va pouvoir s'en servir

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Bonne soirée

[invite398c5e9f]

Voici les rapports combo fix et hitachi.

Si cela peut t'aider : a chaque ouverture d'un fenetre internet explorer, lancement d'un jeu qui utilise une connexion internet, au lancement de msn ou d'emule ... antivir detecte une activité de torjan : TR/Spy.agent.350608 et tant que je n'ai pas "delete" le fichier via antivir, la nouvelle connexion ne se fera pas.
exemple : la pour rajouter les pieces jointes (nouvelle fenetre ie) antivir detecte le trojan.

[igor51]

Bonsoir,

Dans un document texte, copie/colle tout ce qui se trouve entre les balises codes :

Code:

File::
C:\WINDOWS\system32\drivers\ip6fw.sys

Driver::
ip6fw

Nomme le CFScript

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonne soirée

[invite398c5e9f]

voici le rapport de combofix avec le script

[igor51]

Bonsoir

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste moi le rapport généré

Bonne soirée

[invite398c5e9f]

Bonsoir !

Alors, j'ai bien suivi ta procédure seulement, en etant trop presser je n'ai pas enregistrer le rapport avg.

Je peux te dire que dans la liste il y avait une majorité de cookies apparament.

J'ai refait un scan avec hijackthis dont je te met le rapport.

Et je peux te dire que antivir detecte toujours spy.agent.320608 au lancement d'une connexion a la toile.

Bon courage

[invite398c5e9f]

Que dire sinon que c'est pire qu'avant, j'ai une fenetre antivir qui pop toute les 5 secondes, pour m'avertir de la présence de TR/spy.agent.320608.

Je ne peux plus rien faire

[invite398c5e9f]

Igor (ou quelqu'un d'autre) aurais tu la solution de ce probleme ?

[invite398c5e9f]

Igor semble avoir jeté l'eponge ...

Quelqu'un d'autre pour reprendre la releve ?

[igor51]

Bonsoir,

je n'ai pas jeté mais j'ai été très pris cette semaine....

Télécharge SREng (par Smallfrogs)

• Extrais tout son contenu sur ton Bureau
• Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil
• Clique sur Smart Scan
• Ensuite, clique sur le bouton [Scan]
• Lorsque complété, clique sur le bouton [Save Reports]
• Sauvegarde le rapport sur ton Bureau

Poste le fichierSREnglLOG.log dans ta prochaine réponse.

Bonne soirée

[invite398c5e9f]

je comprend tout a fait
désolée, mais c'est vrai que j'en ai marre de ces fichus virus

voici le rapport de sreng2 et un de avg antivirus vu que j'ai toute une nouvelle serie de spyware/worms qui ce sont reveler.

[igor51]

Bonsoir


Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

  C:\WINDOWS\system32\ljjhfdc.dll
  C:\WINDOWS\System32\DRIVERS\secdrv.sys
  C:\WINDOWS\System32\ddccb.dll
  C:\WINDOWS\system32\mfbkspgq.dll
  C:\WINDOWS\system32\ljjhfdc.dll
  C:\WINDOWS\System32\ddccb.dll
  C:\WINDOWS\system32\mfbkspgq.dll
  
  C:\WINDOWS\system32\mfbkspgq.dll

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

Bonne soiré"e

[invite398c5e9f]

Hello voici le rapport !

Mais je peux deja te dire que le virus ce trouvant a l'emplacement : C:\WINDOWS\System32\ddccb.dll est toujours présent ^^

[igor51]

Bonsoir,

même après le redémarrage ??

File move failed. C:\WINDOWS\System32\ddccb.dll scheduled to be moved on reboot

• Télécharge le fichier en pièce jointe.
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Bonne soirée

[invite398c5e9f]

quand je tente d'enregistrer sur mon bureau ton fichier txt, ca ne m'enregistre qu'une page ie ET quand je clic dessus j'ai ce message :

Message vBulletin
Floloa, vous n'avez pas la permission d'accéder à cette page. Ceci peut être dû à plusieurs raisons :

Vous n'avez pas la permission d'accéder à la page que vous essayez d'afficher. Êtes-vous en train d'essayer de modifier le message de quelqu'un d'autre ou d'accéder à des options d'administration ? Vérifiez que vous êtes autorisé à effectuer cette action dans les règles du forum.
Si vous essayez d'envoyer un message, l'administrateur a peut-être désactivé votre compte, ou celui-ci est en attente d'activation si vous venez de le créer, ou de réactivation si vous avez changé votre email, ou encore peut-être de validation par un modérateur.

[Cyrrus]

Bonjour Floloa,

Juste en passant (coucou Igor !) : il ne faut pas faire clic-droit > Enregistrez sous.

Il suffit simplement de cliquer sur le fichier, et tu auras une boite de dialogue pour l'enregistrer.

Bonne continuation

[invite398c5e9f]

en cliquant sur le fichier je me retrouve sur la meme page avec le message vBulletin

si quelqu'un reussi a lelire je veux bien un copier coller dans ma boite MP je saurais le remettre en fichier .txt
MERCI d'avance

et oui Igor meme en redemarrant vu que antivir le detecte toujours a l'ouverture d'une fenetre ie/lancement de tout programme ave connexion internet !

[invite398c5e9f]

Voici le rapport de combofix.

aucun changement dans mes rapports antivir (donc toujours presence de popup signalant la présence du virus.)

Je commence a desesperer et a me demander si un formatage bas niveau via disquete ne va pas m'etre imposé (vu que j'ai deja fait un formatage normale)

[igor51]

Bonjour,

franchement c'est rare de nos jours un malware qui résiste à un formatage...je pense plutot que l'infection se trouve sur ton disque et que tu l'as ré-active en réinstallant un programme...

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Copie/colle l'entièreté du fichier texte ouvert, par clic droit dessus, sélectionner tout/copier.

Poste ce rapport dans ta réponse dans ta réponse ainsi qu'un nouveau log Hijackthis.

Bonne journée

[invite398c5e9f]

hello voici les rapports que tu m'a demandé.