virusTR/Hijacker.Gen? Comment le supprimer? - Virus/Spywares - Windows & Software
Marsh Posté le 25-06-2009 à 16:26:38
Bonjour,
Ces deux lignes sont néfastes :
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
O20 - Winlogon Notify: d0c87e7e623 - C:\WINDOWS\System32\Crxlat3232.dll
On va essayer ce scan généraliste (et si ça ne suffit pas on fera un script de suppression) :
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Marsh Posté le 25-06-2009 à 17:17:34
J'ai pu supprimer le fichier crxlat3232.dll en boutant avec un disc de boot win xp. Puis j'ai pu enlever les entrées avec hijjackthis. J'ai recupéré le mode sans echec avec safeboot repair.
malwarebytes m'a aussi supprimé d'autre trucs :
Dossier(s) infecté(s):
C:WINDOWSsystem32SystemX86 (Worm.Archive) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:WINDOWSsystem32systemx8611.tmp (Worm.Archive) -> Quarantined and deleted successfully.
c:WINDOWSsystem32systemx866.tmp (Worm.Archive) -> Quarantined and deleted successfully.
c:WINDOWSsystem32systemx867.tmp (Worm.Archive) -> Quarantined and deleted successfully.
c:WINDOWSsystem32systemx868.tmp (Worm.Archive) -> Quarantined and deleted successfully.
c:WINDOWSsystem32systemx869.tmp (Worm.Archive) -> Quarantined and deleted successfully.
c:WINDOWSsystem32systemx86A.tmp (Worm.Archive) -> Quarantined and deleted successfully.
c:WINDOWSsystem32systemx86B.tmp (Worm.Archive) -> Quarantined and deleted successfully.
c:WINDOWSsystem32systemx86C.tmp (Worm.Archive) -> Quarantined and deleted successfully.
voici le dernier log :
log
Je pense que c'est bon maintenant
Merci pour ton aide.
Marsh Posté le 27-06-2009 à 08:37:15
ReplyMarsh Posté le 01-07-2009 à 13:07:31
Excuse-moi, je n'ai pas eu le temps de te répondre avant aujourd'hui, j'espère que tu es encore là
Cette ligne est toujours là :
O4 - HKCU\..\Policies\Explorer\Run: [NTSpool] NTSpool.exe
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection /!\
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
Marsh Posté le 01-07-2009 à 18:16:38
Voici le Log Combofix
Marsh Posté le 02-07-2009 à 12:03:14
Re,
Je voudrais que tu fasses analyser un fichier stp :
• Rends toi sur le site http://www.virustotal.com/fr/
• Clique sur Parcourir, et navigue jusqu'au fichier suivant et valide : c:\documents and settings\BIENVE~1\LocalSettings\Temp\mc25.tmp
• Clique sur "Envoyer le fichier" : s'il a déjà été analysé, demande une nouvelle analyse.
• Fais un copier/coller du rapport sur le forum.
Si tu ne trouves pas le fichier, fais ceci :
• Menu Démarrer --> Panneau de configuration --> Options des dossiers --> Affichage
• Coche "Afficher les fichiers et dossiers cachés", décoche "Masquer les extensions de fichiers connus", décoche "Masquer les fichiers protégés du Système", puis valide.
• Tu pourras à nouveau masquer les fichiers cachés une fois la manipulation terminée, si tu le souhaites.
Marsh Posté le 02-07-2009 à 14:37:43
Je ne retrouve pas le fichier même en affichant les fichiers cachés et systeme
Marsh Posté le 02-07-2009 à 19:32:40
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour endemyon, il n'est pas transposable sur un autre ordinateur !
• Télécharge ce dossier endemyon.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.
• Désactive tes logiciels de protection
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur ce lien)
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt
Marsh Posté le 29-07-2009 à 09:14:22
désolé pour le retard mais j'étais en vacances.
Voici le lien du log ici
Marsh Posté le 29-07-2009 à 19:32:00
ReplyMarsh Posté le 29-07-2009 à 20:53:45
Ton ordinateur n'est plus infecté
Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (7).
1) Sécurise ton ordinateur
• Anti-virus :
Antivir est un excellent choix, garde le. Juste un petit réglage à faire : double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « mode expert » --> coche « Rech. Rootkits au dem. de la recherche »
• Anti-spyware :
* Installe Spybot (décoche le TeaTimer lors de l'installation). Mets le à jour une fois par semaine, et fais les vaccinations à chaque fois.
* En complément, garde MalwareBytes pour son scan de nettoyage performant.
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
• Adobe Reader n’est pas à jour, c’est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version.
• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).
2) Lance Hijackthis (RSIT l'a installé ici : C:\Program Files\trend micro\Bienvenue.exe), choisis "scan system only" et coche les lignes suivantes qui sont inutiles :
O4 - HKCU\..\Run: [Gadwin PrintScreen] d:\PrintScreen\PrintScreen.exe /nosplash
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Bienvenue\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Si tu as bien mis à jour Adobe Reader comme je te l'ai recommandé, cette ligne devrait apparaitre, tu peux la cocher : O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"
3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
4) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
(Tu peux garder ce logiciel et l'utiliser régulièrement).
5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin
Marsh Posté le 30-07-2009 à 08:43:01
Reply
Marsh Posté le 25-06-2009 à 09:59:15
J'ai attrapé un virus qui essai d'atteindre des sites malveillants. Impossible de m'en débarrasser. Je pense que le fichier infecté est crxlat3232.dll dans windows/system32. Il est impossible de le supprimer, impossible de booter en mode sans échec, impossible d'utiliser les antivirus en ligne. Avast ne me trouve rien.
Virus total me donne comme noms : hijacker.gen w32eldorado
Si quelqu'un pouvait d'aider....
Voici le log RSIt
http://www.toofiles.com/fr/oip/documents/txt/8659_log.html
Merci d'avance
Message édité par endemyon le 25-06-2009 à 10:24:15
---------------
Mes photos : http://500px.com/endemyon