[Résolu] Trojan sur mon PC

[nachoux33]

Bonjour,

Depuis quelques jours, mon PC qui n'est déjà pas à l'origine une formule 1, s'est mis à ramer plus qu'avant.

Je l'ai défrag, mais pas de mieux.

J'ai lancé une analyse complète par mon AVIRA ANTIVIR, qui a pris au moins 4 à 5 heures, et il m'a détecté ce cher "TR/Dropper.MSIL.Gen". Visiblement, je pense que c'est lui qui est à l'origine de mes soucis, car depuis, j'ai du mal à utiliser mon PC, et même à me connecter sur le WEB, avec des messages d'erreur comme si j'avais rentré la mauvaise URL.

J'espère que je n'ai choppé que ça, et que vous pourrez m'aider.

Par avance, merci.

Modifié le 5 juillet 2012 par nachoux33

[pear]

Bonjour,

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", décocher les lignes suivantes:

((Lignes à décocher:celles que vous avez volontairement modifiées)

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des indexes)

 

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

 

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

[nachoux33]

Bonjour,

d'abord je tiens à vous remercier pour votre gentillesse de vous occuper de mon problème.

 

Voici les rapports que vous demandez :

 

Premierement :

 

RogueKiller V7.6.2 [02/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/56)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: Suppression -- Date: 02/07/2012 23:05:05

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NOT SELECTED

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805B1D78 -> HOOKED (Unknown @ 0xF8A61FDC)

SSDT[41] : NtCreateKey @ 0x8061ABE2 -> HOOKED (Unknown @ 0xF8A61F96)

SSDT[50] : NtCreateSection @ 0x805A0800 -> HOOKED (Unknown @ 0xF8A61FE6)

SSDT[53] : NtCreateThread @ 0x805C735E -> HOOKED (Unknown @ 0xF8A61F8C)

SSDT[63] : NtDeleteKey @ 0x8061B07E -> HOOKED (Unknown @ 0xF8A61F9B)

SSDT[65] : NtDeleteValueKey @ 0x8061B24E -> HOOKED (Unknown @ 0xF8A61FA5)

SSDT[68] : NtDuplicateObject @ 0x805B398C -> HOOKED (Unknown @ 0xF8A61FD7)

SSDT[98] : NtLoadKey @ 0x8061CE06 -> HOOKED (Unknown @ 0xF8A61FAA)

SSDT[122] : NtOpenProcess @ 0x805C13E2 -> HOOKED (Unknown @ 0xF8A61F78)

SSDT[128] : NtOpenThread @ 0x805C166E -> HOOKED (Unknown @ 0xF8A61F7D)

SSDT[193] : NtReplaceKey @ 0x8061CCB6 -> HOOKED (Unknown @ 0xF8A61FB4)

SSDT[204] : NtRestoreKey @ 0x8061C5C2 -> HOOKED (Unknown @ 0xF8A61FAF)

SSDT[213] : NtSetContextThread @ 0x805C8FB6 -> HOOKED (Unknown @ 0xF8A61FEB)

SSDT[247] : NtSetValueKey @ 0x80619154 -> HOOKED (Unknown @ 0xF8A61FA0)

SSDT[257] : NtTerminateProcess @ 0x805C866A -> HOOKED (Unknown @ 0xF8A61F87)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF8A61FF0)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF8A61FF5)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HM160HC +++++

--- User ---

[MBR] d872b96568688030fc85990956f3354a

[bSP] 7e09e45da5e9ddcbe9bfcdf5394676e9 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 52619 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 107764020 | Size: 99998 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

 

 

Ensuite :

 

RogueKiller V7.6.2 [02/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/56)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: Suppression -- Date: 02/07/2012 23:05:53

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NOT SELECTED

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805B1D78 -> HOOKED (Unknown @ 0xF8A61FDC)

SSDT[41] : NtCreateKey @ 0x8061ABE2 -> HOOKED (Unknown @ 0xF8A61F96)

SSDT[50] : NtCreateSection @ 0x805A0800 -> HOOKED (Unknown @ 0xF8A61FE6)

SSDT[53] : NtCreateThread @ 0x805C735E -> HOOKED (Unknown @ 0xF8A61F8C)

SSDT[63] : NtDeleteKey @ 0x8061B07E -> HOOKED (Unknown @ 0xF8A61F9B)

SSDT[65] : NtDeleteValueKey @ 0x8061B24E -> HOOKED (Unknown @ 0xF8A61FA5)

SSDT[68] : NtDuplicateObject @ 0x805B398C -> HOOKED (Unknown @ 0xF8A61FD7)

SSDT[98] : NtLoadKey @ 0x8061CE06 -> HOOKED (Unknown @ 0xF8A61FAA)

SSDT[122] : NtOpenProcess @ 0x805C13E2 -> HOOKED (Unknown @ 0xF8A61F78)

SSDT[128] : NtOpenThread @ 0x805C166E -> HOOKED (Unknown @ 0xF8A61F7D)

SSDT[193] : NtReplaceKey @ 0x8061CCB6 -> HOOKED (Unknown @ 0xF8A61FB4)

SSDT[204] : NtRestoreKey @ 0x8061C5C2 -> HOOKED (Unknown @ 0xF8A61FAF)

SSDT[213] : NtSetContextThread @ 0x805C8FB6 -> HOOKED (Unknown @ 0xF8A61FEB)

SSDT[247] : NtSetValueKey @ 0x80619154 -> HOOKED (Unknown @ 0xF8A61FA0)

SSDT[257] : NtTerminateProcess @ 0x805C866A -> HOOKED (Unknown @ 0xF8A61F87)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF8A61FF0)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF8A61FF5)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HM160HC +++++

--- User ---

[MBR] d872b96568688030fc85990956f3354a

[bSP] 7e09e45da5e9ddcbe9bfcdf5394676e9 : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 52619 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 107764020 | Size: 99998 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

Ensuite :

 

RogueKiller V7.6.2 [02/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/56)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: HOSTS RAZ -- Date: 02/07/2012 23:09:44

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

 

 

 

Ensuite :

 

RogueKiller V7.6.2 [02/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/56)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: Proxy RAZ -- Date: 02/07/2012 23:23:50

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[7].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt ; RKreport[7].txt

 

 

 

Ensuite :

 

RogueKiller V7.6.2 [02/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/56)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: DNS RAZ -- Date: 02/07/2012 23:11:21

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

 

 

 

puis :

 

RogueKiller V7.6.2 [02/07/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/56)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Utilisateur [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 02/07/2012 23:14:05

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 299 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 6 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 84 / Fail 0

Mes documents: Success 124 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 872 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\CdRom0 -- 0x5 --> Skipped

[E:] \Device\HarddiskVolume2 -- 0x3 --> Restored

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

 

 

 

 

 

Voila, maintenant j'attaque les opérations avec Mbam

 

Merci encore de votre attention

[nachoux33]

Bonjour,

J'ai effectué les manips avec Mbam, et voici le rapport final :

 

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.07.04.04

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

Utilisateur :: UTILISAT-AAB237 [administrateur]

 

04/07/2012 16:16:02

mbam-log-2012-07-04 (16-16-02).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 272400

Temps écoulé: 7 minute(s), 38 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 1

C:\Documents and Settings\Utilisateur\Application Data\WinUpdtr (Trojan.Agent.DGen1) -> Mis en quarantaine et supprimé avec succès.

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

Cela veut il dire que je suis débarrassé de mon souci ?

[pear]

Cela veut il dire que je suis débarrassé de mon souci ?

 

Cela veut seulement dire Que Mbam a Mis en quarantaine et supprimé avec succès le Trojan.Agent.DGen1.

 

Le problème est que chaque société de désinfection nomme les malwares à sa convenance.

Je ne puis donc vous assurer que c'est le même néfaste que le votre.

 

Avez vous encore des détections par Antivir ?

[nachoux33]

Ok je vois...

 

Je vais donc relancer mon Avira antivir et lui faire faire une analyse et je vous tiens au courant.

 

En tous cas merci encore...

[nachoux33]

Bonjour,

 

Visiblement, Avira ne me trouve plus rien, donc je suppose que c'est ok...

J'ai encore juste une petite question : Un icône Mbam s'est positionné dans la barre de tâches, faut il que je le conserve actif ? et si oui, ne rentre t'il pas en conflit avec Avira ?

 

Merci encore pour votre aide...

[pear]

C'est non pour les 2 questions.

[nachoux33]

Ok,

 

Ben merci beaucoup pour votre aide, je le désactive et je marque le sujet comme "Résolu".

 

Bonne continuation à toute l'équipe...