Infection Win32.trojanGen

[invite388298b1]

Bonjour à tous, il y a un mois, j'ai chopé le virus "virut". J'ai reformaté et tout fonctionnait normalement. Mais récemment l'image du bureau disparait, presque tous les fichier .exe ou .rar que je télécharge (ou copie d'un disque externe) sont qualifiés de virus pas Avast! Bref je pense que mon pc est re-infecté. Merci à celui qui voudra bien m'aider!
-----

[Cyrrus]

Bonjour,

Rien de méchant dans les logs.

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Cyrrus

[invite388298b1]

Bonsoir et merci de ton aide Cyrrus,
voici le raport demandé. Pour info, j'ai remarqué que j'ai un "explorer.exe" qui tourne en permanence dans mes processus. Quand je l'arrête je retrouve mon fond d'écran mais tous les éléments du bureau disparraîssent. Pour le résultat du scan j'ai un fichier infecté.

[Cyrrus]

Bonjour,

Ton fond d'écran disparait au sens où il est remplacé par un autre ?

Rien dans les log..c'est étonnant


Téléchargez OTViewIt sur votre Bureau.

• Fermez toutes les fenêtres de programme, puis lancez-le
• Cliquez sur le bouton Run Scan et laissez le programme tourner sans l'interrompre
• Il va produire deux rapports (logs), l'un d'eux nommé OTViewIt.txt va s'ouvrir dans le Bloc-notes, l'autre nommé Extras sera enregistré sur le Bureau. Envoyez ces deux logs en réponse.
• Il faudra peut-être que vous utilisiez deux messages pour envoyer ces deux logs sur le forum

Cyrrus

[A voir en vidéo sur Futura]

[invite388298b1]

Bonjour, Voici les logs. Pour mon fond d'écran, il a été remplacé par du gris un jour oû comme mon PC ramait je suis allé voir mes processus et arrété "explorer.exe". Depuis mon fond d'écran réapparait pendant la fermeture de Windows. Pour être plus précis, quand j'arrête explorer.exe : mon fond d'écran réapparaît, toutes mes îcones disparraissent et je n'ai plus de barre de tâche. En esperant ces infos utiles et encore merci! Bonne soirée.

[invite388298b1]

le second log était beaucoup trop lourd! j'ai refait un scan en laissant la configuration initiale (sur le premier j'avait coché "all users" et demandé "all" fichiers. donc voici les logs qui en découlent

[Cyrrus]

Bonjour,

Ok, il reste effectivement des traces de Vundo :

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.
.............................. .............................. .....................
Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Cyrrus

[invite388298b1]

Bonsoir,

Voici les logs demandés. Pour info et comme je ne sais pas si ça apparait sur les rapports voici les évennements bizarre pendant les divers scans :
COMBOFIX : quand le scan a commencé, mon fond d'écran est réaparu mais icônes et barre des tâche ont disparue (même symptômes que plus haut)
SDFix : à la fin, après avoir quitter le Mode Sans Echec et redemarer, se sont affichés à plusieurs reprises les mentions suivantes :
"Unable to open the file "C:\window\temp\SDFix_filechec k\setup.exe"" et "Unable to open the file "C:\window\temp\SDFix_filechec k\Kontakt.exe"".

Enfin, malheureusement je trouve que mon PC rame toujours surtout sur Internet. Est-ce normal qu'il y ai 34 processus actifs lorsque seule une page web est active?

Bref, merci pour le temps que tu consacrera à ces rapports.

Bonne soirée

[Cyrrus]

Bonjour,

Il reste quelques fichiers, on va s'en occuper :

• Crée un fichier texte nommé CFScript.txt et copie/colle ce qui suit à l'intérieur :
  
  Code:

  File::
  c:\windows\fnnijbga.ini
  c:\windows\fnnijbnb.ini
  c:\windows\fnnijbjc.ini

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

[invite388298b1]

Bonsoir, voila le rapport. Bonne soirée

[Cyrrus]

Bonsoir,

Niveau rapport c'est bon. A part les lenteurs, où en sont les symptômes ?

Est-ce normal qu'il y ai 34 processus actifs lorsque seule une page web est active?

Tous ne sont pas liés à la navigation. Sur le dernier log hijackthis j'en compte 27. Peux tu faire un log hijackthis au moment ou tu vois ces 34 processus actif ? Poste le.

Bonne soirée
Cyrrus

[invite388298b1]

Bonjour Cyrrus,

Pour les symptomes, je n'ai toujours pas retrouvé mon fond d'écran (je pense que si je le changait l'écran gris disparaitrai, mais je préfère le garder comme temoin). Pour les processus, je te poste 2 rapports. Le premier (hijackthis3) a été fat alors que mon PC tournai deja depuis un moment. tu verra un processus IEXPORE.EXE qui me parait bien suspect. j'ai voulu l'arreter, mais il avait disparut. j'ai refait un scan et il n'apparaissait plus non plus sur le rapport. Alors je t'ai fait un second scan après redemarage. Enfin, j'utilise Utorrent avec lequel je n'avait jamais eu aucun problème, mais depuis mon quelque temps il me dit que le port que j'utilise est fermé (j'en ai essayé plusieurs) ça n'a peut être aucun rapport mais bon
Voila, merci encore

Bonne journée

[invite388298b1]

Bonjour,
Juste un petit message sans prétention pour savoir si tu ne m'aurais pas oublié?

[Cyrrus]

Bonsoir,

Juste un petit message sans prétention pour savoir si tu ne m'aurais pas oublié?

Oublié non, mais mes exams approchent donc le forum passe au second plan.

IEXPLORE.EXE correspond à Internet Explorer. Pour ton fond d'écran, je ne comprend pas pourquoi tu souhaites le garder...

Remplace Avast par Antivir. Je sais, Antivir est moins joli, mais il est plus léger et plus performant. Si tu veux une interface en français ET joli ET à peu près aussi performante > AVG8 free.

Cyrrus

[invite388298b1]

Bonjour,
ok, je vais modifier mon fond d'écran et tester Antivir. Merci pour tout et bon courage pour tes exams.

ps: y a-t-il une marche à suivre pour supprimer les programmes installés pour la désinfection et dont je n'ai plus besoin?

Bonne journée.

[Cyrrus]

Bonsoir,

: y a-t-il une marche à suivre pour supprimer les programmes installés pour la désinfection et dont je n'ai plus besoin?

Certains se désinstalle via Ajout/Suppr de prog, d'autres se supprime tout simplement.

Cyrrus