Trojan Virtumonde.prx et .sci

[invite790cd695]

Bonjour, j'ai depuis quelques semaines un trojan que je ne suis pas capable de supprimer. Virtumonde.prx et virtumonde .sci.
J'ai spy bot qui le trouve, mais il ne peux le corriger et l'effacer.
Je commence aussi à avoir des messages qu'il me manque des fichiers DLL (Ex:Module jyku.fjo) Après avoir fait une recherche sur le net avec ceci: jyku.fjo. Cela m'indique que ce serait du à un virus.

Mon antivirus: Avira Antivir ne trouve rien.


J'aimerai avoir votre aide pour me débarrassé de ce trojan en m'indiquant si possible la façon de faire.

J'ai joint les fichiers info et log tel que stipuler dans votre marche à suivre.
PS: J'ai bien aimé les conseils d'installation de fichiers pour protéger mon ordinateur. Je croyais être bien protéger, malheureusement non.

Merci à l'avance de votre aide. Cela va être très apprécié.
-----

[invitec04351b8]

Bonjour,

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

@+

[invite790cd695]

Merci, j'ai trouvé 3 malwares.
Je n'ai plus mes messages qu'il me manque des fichiers DLL.
C'est encouragant.

Je vais refaire un scan avec Spy bot pour voir s'il retrouve le trojan virtumonde.

[invitec04351b8]

Bonjour,

tes fichiers manquants ne m'inquiétaient pas vraiment.

C'était le signe que tes outils de sécurité avaient fait une partie du travail en neutralisant le fichier. Par contre, il restait des traces dans le registre et un possible fichier de réinfection.

===

Fais redémarrer l'ordi,

refais tourner RSIT

et poste le rapport obtenu.

===

Tiens moi au courant de la manière dont fonctionne l'ordi.

@+

[A voir en vidéo sur Futura]

[invite790cd695]

Mon ordinateur se comporte bien jusqu'à date .

J'ai refais un scan avec RSIT tel que vous me l'avez demandé. Je l'ai appeler log2.

J'ai fait un scan avec Spybot à 2 reprises, après un démarrage et rien de détecté.

Je suis très content.

Merci encore c'est très apprécié.
Je ne sais pas comment vous vous retrouvé dans la lecture des fichiers log., mais chapeau.

[invitec04351b8]

Bonjour,

jusqu'à date, quel temps il fait à Montréal (ou à Trois Rivières)

===

J'ai quelques interrogations.

La première est de savoir à quoi correspond

H:\iStudio.exe (à la fois ce qu'est H:\, le lecteur de CD-ROM, une clé USB, ...) et à quel logiciel correspond le fichier (sur Cd, trouvé sur le NEt, ...).

La seconde est des informations contradictoires sur

PowerReg Scheduler.exe

Pour celle-ci, je te demanderai un scan complémentaire.

===

En attendant, tu peux déjà mettre à jour Windows en installant le SP3 :

démarrer, Aide et Support, Maintenez votre ordinateur à jour avec Windows Update. Tu suis les instructions. Si cela ne se fait pas spontanément, tu cherches la mise à jour du SP3.

Tu mets aussi à jour ta console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

===

En ce qui concerne le scan complémentaire, tu fais ceci :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

@+

[invite790cd695]

Désolé pour le délais. Un gros pépin de vie est arrivé, mais je n'entre pas dans les détails, c'est pas la place ici.

Ici c'est Sherbrooke. Présentement c'est froid.
Merci encore.


Pour vos questions, H est un port usb
Pour savoir ce qu'est PowerReg et Scheduler.exe, je ne sais pas!

J'ai installé le SP3

J'ai suivi vos instructions et voici les fichiers.
Merci encore pour votre aide.
J'ai l'impression de faire du ménage dans mon ordinateur et j'aime cela.

Bonne fin de journée!

[invitec04351b8]

Bonjour,

en examinant à fond ton rapport, je vois :

O47 - AAKE:Key Export SP - "C:\Program Files\StormII\box\Stline.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\StormII\box\Stline.exe

Tu peux me dire de quoi il s'agit ?

====

En attendant, fais ça :

Copie dans le Presse-papier ce qui est dans le cadre orange (sans le mot code) (sélectionne le avec la souris et fais simultanément Ctrl et C)

Code:

O4 - Global Startup: PowerReg Scheduler.exe . (.Pas de propriétaire - PRegScheduler MFC Application.)  -- C:\Documents And Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\PowerReg Scheduler.exe

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invite790cd695]

Pour ce qui est de:
O47 - AAKE:Key Export SP - "C:\Program Files\StormII\box\Stline.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\StormII\box\Stline.exe

Cela me dit rien. Je ne le voit même pas dans C:\ program files. Donc ???

J'ai fait aussi ce qui vous m'avez demandé (Sans savoir ce que je fais ) Mais cela m'encourage quand même.

Merci encore et voici le rapport.

[invitec04351b8]

Bonjour,

on ne fait pas des choses très compliquées juste modifier la base de registre et les fichiers

Plus sérieusement, soit je t'ai fait passer des outils pour examiner l'état de ton système (en se concentrant sur les endroits que les malwares préfèrent), soit je t'ai fait passer des outils pour corriger.



Copie dans le Presse-papier ce qui est dans le cadre orange (sans le mot code) (sélectionne le avec la souris et fais simultanément Ctrl et C)

Code:

O47 - AAKE:Key Export SP - "C:\Program Files\StormII\box\Stline.exe" [Disabled] .(.Pas de propriétaire - Pas de description.) (.not file.) -- C:\Program Files\StormII\box\Stline.exe

O4 - Global Startup: PowerReg Scheduler.exe . (.Pas de propriétaire - PRegScheduler MFC Application.) -- C:\Documents And Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ PowerReg Scheduler.exe

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===
Pour améliorer la sécurité de l'ordi :

Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

http://www.malekal.com/tutorial_Online_Armor.php

===

Un peu de nettoyage :

Ouvre ce lien : Restauration du système

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===

Nettoyage des outils :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

===

Vide ta Corbeille.

===

Quelques conseils (merci à B.Marlow)

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

sans oublier de nettoyer tous les jours avec ATF Cleaner et de vérifier, de temps en temps, avec MBAM (après l'avoir mis à jour).

@+

[invite790cd695]

Rebonjour,
j'ai enlevé la ligne de la base de registre, mais par erreur, j'ai fait CTRL-C du rapport et j'ai fermé le programme ZHPFix.exe. Quand j'ai voulu copier le rapport cela n'a pas marché.
Mais la correction a été effectué pareil.

J'ai installé le pare feu.

J'ai fait le point de restauration

Mais je n'ai pas essacer les tools.

Car j'ai une question.

J'ai depuis que j'ai effacer un programme Pareto file recovery, un message qu'il lui manque un fichier DLL.

J'ai lu dans la base de registre la ligne suivante:

O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\ParetoLogic Registration.job

Ainsi donc, puis-je faire comme à votre dernier post mais avec la ligne 39 pour ne plus avoir de message (Pop-up) soit:

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Merci encore de votre aide.
Je vais mettre toute les protections conseillés sur mes 2 autres ordinateurs de maison.

[invitec04351b8]

Bonjour,

ta manip pour supprimer la ligne O39 est correcte.

Si cela ne suffit pas, donne moi le nom de la dll absente.

@+

[invite790cd695]

Ma manipulation pour la ligne 039 a marchée.
Merci encore pour tout les conseils et votre patience.
Le pc roule bien sans pépins et il est bien protégé maintenant.



Habituellement je me débrouillais assez bien avec les virus, mais là j'ai du avoir recourt à vous:Experts. Vous qui m'avez trouvés encore d'autres infections non connus.

merci encore et bonne journée!

[invitec04351b8]

Bonjour,

de rien pour l'aide, ce fut avec plaisir.

Bon surf.

@+