Win 32 : trojan-gen {other}

[invite91f70d18]

Bonjour à tous,
Je viens ici car j'ai bien sûr un pb avec un trojan !
Après avoir passé la quasi totalité de ma journée d'hier à lire les forums d'entraide et à faire des manip à tour de bras, je ne sais plus très bien quoi faire ....
Je ne suis pas experte en info, mais pour venir ici, vous vous en doutez déjà ...
Donc suite à un formatage un peu trop "rapide" de la part d'un ami qui s'était gentiment dévoué pour me réinstaller mon ordi, j'ai récupéré la plupart de mes fichiers mais mon fichier pst était corrompu. J'ai voulu télécharger un log pour le réparer, mais, bien fait pour moi, j'aurais dû m'en douter ... ce n'était qu'une saleté de virus !!!
Pourtant scanné avec spybot et avast avant, mais pas détecté comme un danger potentiel.
Une fois l'exe lancé, mon avast s'est mis a arrêter tous ses services puis s'est fermé, idem pour spybot. Ensuite le pc s'est éteint et rallumé mais les antivirus, antispyware et firewall ne fonctionnaient plus. Même plus possible de les lancer manuellement, pb au niveau du registre, fichiers non valides etc...
Après avoir installé Findykill, il y a eu du mieux, car j'ai ensuite pu désinstaller avast et spybot, puis les réinstaller pour qu'ils se lancent. Avast m'a ensuite trouvé des fichiers infectés sous C:\System Volume Information\_restore"nom des volumes"\RP56 (4 fichiers au total. Mis en quarantaine pour l'instant. Au début supprimés, mais comme ils revenaient, j'ai suivi conseil d'un topic qui disait de désactiver la restauration système le temps de se débarrasser de cette cochonerie.
Depuis j'ai eu des log qui ne fonctionnaient plus car supprimés par findykill. J'en ai réinstallé, mais je ne suis pas sûre d'avoir résolu mon pb de virus. J'ai l'impression que mon pc est plus lent que d'hab, et me dis qu'il est encore qq part dans le coin.
J'ai aussi installé ComboFix et HijackThis mais je ne sais pas comment interpréter toutes ses analyses ...
Ensuite, désespérée, je suis tombée sur votre forum et j'ai lu les premiers conseils en cas d'attaque. J'ai donc installé ATF-Cleaner et l'ai lancé, il y avait un fichier récalcitrant, mais ce matin au redémarrage, j'ai relancé l'appli et c'était ok. Ensuite, hier soir tjs, j'ai installé RSIT et l'ai lancé. J'ai les 2 rapports que je vous joins avec ce message. (je les ai lancés hier soir, si il faut les refaire au jour J, dites le moi).
Petite infos supplémentaire, je me suis apperçue hier soir que mon outlook s'était réinitialisé (plus de compte de messagerie attaché) et que même en me connectant via le web sur ma messagerie "neuf", je ne vois plus les nouveaux messages, et ce matin quarément une page blanche au lieu de voir les mails et autres fonctionnalités .... En revanche, j'ai un vieux portable qui n'avance à rien mais m'a bien dépanné ce matin, je peux me connecter de ce portable et lire mes mails sans problème.
Autre remarque, Avast, dans la zone de quarantaine, avait sauvegardé dans les fichiers importants le fichier suivant : kernell32.dll. Comme je n'ai pas installé ce log qui était infecté (oui j'ai tenté une autre install avant le fameux exe qui m'a mis toute cette pagaille). J'ai donc supprimé ce fichier de la zone, mais il est réapparu depuis ....

Voilà, après avoir écrit un roman pour essayer d'être la plus claire possible, j'espère que vous allez pouvoir m'aider car j'ai l'impression que ce n'est pas fini tout ça...
Merci d'avance à vous.
Linceb
-----

[invite4c6c2965]

Salut,
tu as fait tout un tas de trucs , à présent il faut poster le resultat du scan Combofix
et de FindyKill. En attendant supprime avast par ajout-supp de programmes, remplace-le
par >AntiVir< , bien meilleur qu'avast. Il est en français et tout aussi gratuit.
Configure-le comme sur le tuto puis fais un scan. Poste le rapport final.

[invite91f70d18]

Salut,
Et merci de bien vouloir m'aider.
Donc voici les résultats d'hier de ComboFix et Findykill
Pour AntiVir, je n'ai pas pu télécharger via le lien fourni, je suis allée sur un autre site, mais la version est antérieure et je n'arrive pas à télécharger les maj. La connexion est très longue puis erreur lors du téléchargement. Du coup ma version n'est pas à jour.
Je vais essayer de récupérer la version sur un autre ordi et de copier par clé usb, qui ne me servira plus tant que je n'aurais pas régler pb ... on ne sait jamais...
Donc je t'envoie le rapport AntiVir dès que j'ai pu lancer le scan.
Merci encore

[invite4c6c2965]

Combofix a été lancé 2 fois donc le rapport perd de son intérêt sauf s'il n'a rien trouvé la 1ere fois.
supprime le/les cracks que tu as pu télécharger car ils sont relanceront fatalement l'infection s'ils ne
sont pas supprimé de l'ordi.
concernant tes outils de sécurité après une infection par Bagle il est préférable de les désinstaller
les outils étant "casser" par l'infection et de les réinstaller à partir de copies nouvellement télécharger.

[A voir en vidéo sur Futura]

[invite91f70d18]

Pour le rapport ComboFix, je ne sais pas ce qu'il avait trouvé la 1ère fois, je pensais qu'il allait ouvrir une fenêtre, comme un antivirus, du coup j'ai cru qu'il n'avait pas fonctionné, et je l'ai relancé ... dsl
Pour le reste, j'avais désinstallé spybot et avast, et retéléchargé puis réinstallé car ne fonctionnaient plus. L'exe infecté je l'ai supprimé de suite, dès les 1ers symptomes.
Pour Antivir, je n'arrive pas à mettre à jour !!! Je t'envoie le rapport de ma dernière tentative de maj.
Je vois qu'il y a possibilité de faire maj manuelle, où est-ce que je peux récupérer le fichier VDF ? peut-être que je pourrais le faire de cette façon ?

[invite4c6c2965]

la mise à jour manuelle AntiVir:
http://dl.antivir.de/down/vdf/ivdf_fusebundle_nt_en.zip

[invite91f70d18]

Super ! Merci
J'ai donc lancé le scan après la maj d'Antivir.
Voilà le rapport.

[invite4c6c2965]

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

[invite91f70d18]

voilà le rapport

[invite4c6c2965]

comment se porte ton ordi ?

[invite91f70d18]

Bonjour,
Ecoutes, je ne sais pas trop, je trouve qu'il est plus lent que d'habitude ... maintenant avec toutes les instal que j'ai faites pour erradiquer ce truc, peut-être qu'il lance plus de services qu'avant du coup un peu plus lent. Par contre, je suis inquiète par rapport à ma messagerie. Je n'ai plus accès à mon compte de messagerie qui était sur outlook, même si j'essaie d'y accéder par le web de ma machine. Je ne peux y accéder que par un autre ordi.
J'ai dû réinstaller msn messenger aussi qui ne fonctionnait plus, peut être y aura-t-il d'autres appli dans cette situation, je verrai à l'usage.
Tu penses que mon ordi est désinfecté c'est ça ?

[invite4c6c2965]

Aucun fichier suspect en vue, pour les applications malades souvent après une grosse infection
on se retrouve avec des programmes cassés, la plupart du temps se sont les outils de sécurité
qu'il faut réinstaller.Concrant les comptes il faut savoir qu'après ce type d'infection il vaut mieux
changer ses mots de passe, donc mot de passe de messagerie aussi.
Les infections par Bagle ou Virut ne sont pas anodines, on croit télécharger un crack pour rendre
un logiciel gratuit et finalement on permet à un réseau de prendre possession de l'ordi jusqu'à désinfection.

[invite91f70d18]

OK,
donc, si je comprends bien, il serait plus sûr de réinstaller les appli, mis à part windows, et de changer tous mes mots de passe, même ceux que je n'ai pas tapé pdt l'infection ?
Sinon, à part ça, mon pb serait réglé ?
Merci à toi en attendant pour ton aide.

[invite4c6c2965]

si Outlook ne marche réinstalle Outlook seulement, et seulement celles qui te semblent
en carafe. si tu veux tu peux faire un dernier scan en ligne pour s'assurer de la propreté de l'ordi.


1 ) Rends-toi sur la page de Kaspersky WebScanner

2 ) Choisis "Online Scanner" comme indiqué sur l'image.

3 ) Accepte le contrat de licence :

4 ) Il s'agit maintenant d'une application JAVA, tu dois bien sûr l'exécuter pour pouvoir vérifier ton PC.

5 ) Laisse-le télécharger les mises à jour et clique ensuite sur Poste de travail.

6 ) La vérification prend beaucoup de temps (parfois des heures), rassure-toi, évite d'utiliser ton PC pendant ce temps-là...

==> Quand il t'affiche "Réussie" à côté de "État", clique sur la case verte Rapport pour enregistrer le compte-rendu de l'analyse...

7 ) Sauvegarde ce rapport sur ton bureau comme indiqué sur l'image.

8 ) Ouvre le fichier que tu viens d'enregistrer et copie-colle son contenu dans ta prochaine réponse. Ce fichier doit ressembler à ceci :

[invite91f70d18]

J'ai essayé de lancer Kapersky mais la 1ère fois il a bien téléchargé les maj, seulement s'est arrêté là !!! j'ai donc refermé, et relancé, mais maintenant me met message d'erreur. J'ai même effacer tous les fichiers temporaires et historiques ie, mais rien n'y fait.
J'ai fait une copie d'écran avec le message que tu trouveras en fichier joint.
Dsl de continuer de t'embêter avec ça ...
Merci

[invite4c6c2965]

essaie avec celui-ci:

fait un scan en ligne coche toutes les cases,à la fin colle ici
le rapport se situant en C:\Program Files\EsetOnlineScanner\log.tx t

[invite91f70d18]

Voilà le résultat du scan, tout a l'air OK.
Je ne sais pas pourquoi ma connexion internet est plus lente du coup mais bon, faut pas devenir parano...
Dernières questions avant de te laisser tranquille, est-ce que je peux/dois désinstaller ComboFix, FindyKill, ToolsCleaner, ATF Cleaner ? Et qu'est-ce que CrypKey (un service qui se lance mais comme je n'y connais rien ... je ne sais pas si c'est un service système ou un truc pas utile) ?
Merci beaucoup pour ton aide et ta patience !

[invite91f70d18]

Bon, je crois qu'il est grand temps que j'aille dormir !!! Je viens de m'apercevoir que j'ai oublié de joindre le fichier !!!
Et bien sûr, comme j'ai demandé la désinstal à la fermeture de la fenetre de scan ... Je n'ai plus le fichier sur l'ordi ....
Je relance et enverrai demain, mais il n'avait rien trouvé en tout cas.
Bon week en attendant et encore merci.

[invite4c6c2965]

si ce n'est pas toi qui a installé CrypKey supprime-le par ajout-supp des programmes.
le autres tools devraient avoir été supprimé par ToolsCleaner, ce n'est pas le cas ?
(combofix,rsit,etc..)

[invite91f70d18]

Salut,
Voilà le fichier cette fois.
Il semble qu'il n'y a plus de risque, mais il a dû me mettre en carafe mon accès internet, ou mon ie, je ne sais pas, j'ai des trucs de plus en plus bizarres .... je vais essayer de réinstaller, on verra bien.
Si tu peux juste me dire si je peux désinstaller les log utilisés pour la désinfection et si le CrypKey est un élément essentiel stp.
Merci pour tout, c'est vraiment sympa à toi d'avoir pris le tps de m'aider.

[invite91f70d18]

Non, les autres tools sont toujours là.
Pour CrypKey, je vais le supprimer, je ne sais pas ce que c'est

[invite91f70d18]

J'ai répondu un peu vite ! En fait CrypKey n'est pas dans les programmes à supprimer, il n'apparait que dans les services qui tournent.
Et dsl d'avoir reposé 2 fois ma question, je n'avais pas vu ta réponse....

[invite91f70d18]

Bon après vérif, ToolCleaner m'a tout désinstallé sauf ComboFix, j'avais toujours les raccourcis des autres tools sur le bureau, c'est pour ça que j'ai cru qu'ils étaient toujours là.
Je viens de réessayer de supprimer ComboFix avec ToolsCleaner, mais il n'y arrive pas.

[invite4c6c2965]

voila à quoi sert CrypKey ,je ne connaissais pas:

Ce processus est utilisé avec différents logiciels, son rôle est de valider la licence attribuée à ces logiciels et de vérifier pour certains que c'est bien un CD original qui est utilisé. Sans ce processus vous ne pourrez plus exécuter les logiciels qui le requiert.

supprime Combofix manuellement, puis regarde s'il reste C:\combofix et C:\qoobox

[invite91f70d18]

J'ai supprimé ComboFix manuellement.
Ca a l'air d'aller pour le reste, j'ai utilisé Glary Utilities pour supprimer des programmes internet qui étaient erronés, il ne trouvait pas le lien ... ma connexion me parait revenue à la normale depuis cette manip.
Merci encore pour tout parce que j'étais partie pour tout reformater à qq semaines de ma réinstal là !!!!
Tant pis pour mon pst corrompu ... on va se faire une raison.
Bon courage à toi
@+

[invite4c6c2965]

qu'est-ce que tu appelles mon "pst" ?

[invite91f70d18]

mon fichier outlook que j'ai récupéré difficilement après un formatage trop rapide de la part d'un ami ...
seulement mon fichier est corrompu et le scanpst ne peut pas le récupérer. J'ai trouvé Stellar Phoenix Outlook Repair qui m'a bien réparé le fichier, mais comme c'est une version démo, il ne m'a récupéré que les noms de contacts avec rien dedans, mais un lien vers la demande d'achat du log, idem pour mes mails et mon agenda.
Et c'est en recherchant un log pour récupérer mes infos que j'ai mis le souk sur l'ordi !

[invite4c6c2965]

vu les dégâts que cela a causé il vaut mieux s'en tenir là. les cracks c'est réellement dangereux pour le pc
et la vie privée...

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

[invite91f70d18]

Oui, je viens de m'en rendre compte à mes frais !
Je pense que je vais revenir dans le coin, car j'ai des amis qui ont un pb de trojan depuis mars et qui n'ont rien fait car n'y connaissent rien ...
je suis en train de scanner leur pc et j'ai déjà 3 fichiers ...
Enfin ceci fera l'objet d'une autre discussion.
Merci pour ton aide et j'ai bien compris la leçon ... on va éviter tous ces téléchargements pas très clairs ...
@+