Infecté cheval de troie win32: Ransom.cc (Trj)

[luis roman]

Bonjour,

 

avast a détecté un cheval de troie sur mon ordinateur

nom : Win32 : Ransom.cc (Trj)

(base données : 101007-1 7/10/2010)

 

il ne m' a pas été possible de mettre en quarantaine le fichier correspondant Recovery.tib (localisé ds E:\) car Espace insuffisant sur disque (~3Go)

 

pouvez-vous SVP m' aider à me débarrasser de ce Trojan ?

 

merci par avance de votre aide précieuse

Luis

[pear]

Bonjour,

 

Recovery.tib , c'est votre Image disque Acronis , non ?

 

Télécharger ESET Online Scanner sur le Bureau en cliquant sur ce logo:

# Double-cliquer sur le fichier esetsmartinstaller_enu.exe pour installer le scanner.

Attention: Sous Windows VISTA, cliquer droit sur esetsmartinstaller_enu.exe puis sélectionner "exécuter en tant qu'administrateur"

# Accepter la licence en cochant la case "YES, i accept the terms of use", puis cliquer sur le bouton "Start"

# Une fois le scanner installé, configurez-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

 

# Lancer la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour et lance le scan: une barre de progression indique où en est la recherche

# Quand le scan est terminé, si des virus ont été détectés, cliquez sur la ligne "List of found threats":

 

# Une nouvelle fenêtre aparaît: cliquer sur "Export to text file" et enregistrer le rapport sur le Bureau en le nommant logESET.txt

# Cliquer sur le bouton "Back" pour retourner à l'interface précédente, puis cocher la case "Uninstall application on close"

 

* Cliquer enfin sur le bouton "Finish" puis fermer la fenêtre du scanner

* Ouvrez le fichier logESET sur le Bureau et copier-coller son contenu dans la prochaine réponse

[luis roman]

Bonjour,

 

Recovery.tib , c'est votre Image disque Acronis , non ?

 

Télécharger ESET Online Scanner sur le Bureau en cliquant sur ce logo:

# Double-cliquer sur le fichier esetsmartinstaller_enu.exe pour installer le scanner.

Attention: Sous Windows VISTA, cliquer droit sur esetsmartinstaller_enu.exe puis sélectionner "exécuter en tant qu'administrateur"

# Accepter la licence en cochant la case "YES, i accept the terms of use", puis cliquer sur le bouton "Start"

# Une fois le scanner installé, configurez-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

 

# Lancer la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour et lance le scan: une barre de progression indique où en est la recherche

# Quand le scan est terminé, si des virus ont été détectés, cliquez sur la ligne "List of found threats":

 

# Une nouvelle fenêtre aparaît: cliquer sur "Export to text file" et enregistrer le rapport sur le Bureau en le nommant logESET.txt

# Cliquer sur le bouton "Back" pour retourner à l'interface précédente, puis cocher la case "Uninstall application on close"

 

* Cliquer enfin sur le bouton "Finish" puis fermer la fenêtre du scanner

* Ouvrez le fichier logESET sur le Bureau et copier-coller son contenu dans la prochaine réponse

Bonjour Pear,

 

merci de votre aide !

voici le résultat du scan effectué (pas de trace de win32: Ransom ??)

 

dans l' attente de la marche à suivre,

Luis

 

E:\BACKUP\Documents and Settings\luis\Bureau\setup(2).exe probably a variant of Win32/Adware.HotBar.G application

E:\BACKUP\Documents and Settings\luis\Bureau\setup.exe probably a variant of Win32/Adware.HotBar.G application

E:\BACKUP\Documents and Settings\luis\Local Settings\Temporary Internet Files\Content.IE5\YESYDDA1\CAPWA1HZ.htm HTML/ScrInject.B.Gen virus

E:\BACKUP\WINDOWS\system32\cwoaeolw.ini Win32/Adware.Virtumonde.NEO application

E:\BACKUP\WINDOWS\system32\oUtAaccf.ini Win32/Adware.Virtumonde.NEO application

E:\BACKUP\WINDOWS\system32\oUtAaccf.ini2 Win32/Adware.Virtumonde.NEO application

E:\BACKUP\WINDOWS\system32\prmijroo.ini Win32/Adware.Virtumonde.NEO application

E:\BACKUP\WINDOWS\system32\rbchurcj.ini Win32/Adware.Virtumonde.NEO application

E:\BACKUP\WINDOWS\system32\vDNXyyay.ini Win32/Adware.Virtumonde.NEO application

E:\BACKUP\WINDOWS\system32\vDNXyyay.ini2 Win32/Adware.Virtumonde.NEO application

[pear]

Bonjour,

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

 

Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[luis roman]

Bonjour,

 

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

 

Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

 

Bonsoir Pear,

Ci dessous le rapport du Premier passage de MBAM.

je relance MBAM et vous enverrai le 2eme rapport à l' issue.

merci de votre aide,

A bientot

Luis

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4814

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

13/10/2010 22:30:44

mbam-log-2010-10-13 (22-30-44).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 253923

Temps écoulé: 46 minute(s), 40 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

E:\BACKUP\Documents and Settings\luis\Bureau\setup(2).exe (Trojan.Agent) -> Quarantined and deleted successfully.

E:\BACKUP\Documents and Settings\luis\Bureau\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\LUIS\Local Settings\Temp\114.jpg (Trojan.Clicker) -> Quarantined and deleted successfully.

[luis roman]

Bonsoir Pear,

Ci dessous le rapport du Premier passage de MBAM.

je relance MBAM et vous enverrai le 2eme rapport à l' issue.

merci de votre aide,

A bientot

Luis

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4814

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

13/10/2010 22:30:44

mbam-log-2010-10-13 (22-30-44).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 253923

Temps écoulé: 46 minute(s), 40 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 2

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 3

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

E:\BACKUP\Documents and Settings\luis\Bureau\setup(2).exe (Trojan.Agent) -> Quarantined and deleted successfully.

E:\BACKUP\Documents and Settings\luis\Bureau\setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\LUIS\Local Settings\Temp\114.jpg (Trojan.Clicker) -> Quarantined and deleted successfully.

 

 

Bonjour Pear,

 

ci-dessous le rapport de la deuxieme analyse.

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4814

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

13/10/2010 23:28:27

mbam-log-2010-10-13 (23-28-27).txt

 

Type d'examen: Examen complet (C:\|D:\|E:\|)

Elément(s) analysé(s): 254445

Temps écoulé: 47 minute(s), 10 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

merci d' avance pour votre retour

Luis

[pear]

Bonjour,

 

Vous avez été infecté par trojan Clicker.

Il attaque le Mbr.

On vérifie:

 

Télécharger MBRCheck GtG

ou là:

Télécharger MBRCheck BleepingComputer

et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Si ce message apparait

 

Found non-standard or infected MBR.

des options s'afficheront

Taper Ypour avoir plus d'options ou N pour quitter

 

Vous avez là une infection du MBr qui explique la lenteur de votre machine.

Si vous avez une machine d"assembleur, pas de problème pour désinfecter.

Si c'est une machine de marque(ACER, HP, Packard Bell, Asus, Dell, Fudjitsu Siemens, Sony , Medion, Gateway etc..)elle est probablement tatouée.

Le tatouage ne sert que pour pouvoir installer la copie de Windows livrée avec la machine d'origine seulement et uniquement pour cette machine.

packard bell , acer = tatouage bios + MBR

HP , compac , DELL , asus , lenovo , fujitsu siemens = tatouage bios seulement

tatouage bios signifie qu'on peut changer de système ou le disque dur et réinstaller !

tatouage bios + MBR = plus difficile car il s'ensuit que la réparation du Mbr vous empêcherait d'utiliser la partition de Réparation Usine en cas de besoin.

 

A vous de décider car c'est de votre machine qu'il s'agit.

 

La suite , si vous en êtes d'accord

 

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

 

Choisissez l'option 1

A Enter the physical disk number to fix (0-99, -1 to cancel):

Entrez le numéro de votre disque système (Généralement 0)

 

Choisissez l'option 2

 

A Enter the physical disk number to fix (0-99, -1 to cancel):

Entrez le numéro de votre disque système (Généralement 0)

 

puis Please select the MBR code to write to this drive

Taper le N° correspondant à votre système.

Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

 

Par exemple:

Selectionner option 2, puis 0 (zero) pour le disque système et encore 0 (zero)pour le code MBR par défaut.

 

A la question Do you want to fix the MBR code?

Cliquer 'YES et valider par ENTREE

Ce message s'affiche:

Successfully wrote new MBR code!

taper Exit

- Un rapport texte sera créé sur le Bureau, nommé MBRCheck_date_heure

- copier/coller le contenu du rapport ici

Redémarrer .

Modifié le 14 octobre 2010 par pear