Trojan:Win32/Dynamer!ac et plein d'autres... :(

bonjour , donc si tu n'as plus de détections , tout est bon du coup

J'ai désinstallé ZoneAlarm, je me suis aperçu que finalement le pare-feu de Windows 7 est suffisant.
Ca a l'air bon, drWeb n'a rien trouvé.

ok désactive zone alarm completement avant

Oui, et il me semble qu'il refuse de s'exécuter si l'exe date de plusieurs heures de toute façon.
Je vais refaire un scan cette nuit pour voir.

hello il se met bien à jour drweb quand tu le lances ? tu lances à chaque fois la derniere version ?

J'ai fait un scan avec drWeb, il a encore trouvé deux trojans...
Encore Trojan.PWS.Panda.5661 dans ZoneAlarm\zatray.exe
Et Trojan.MulDrop6.41854 dans EasyPHP-DevServer
http://www.cjoint.com/c/FHiuDhrapzx
Est-ce que ce sont juste des faux positifs ?

ok par contre zone alarm je le fuis comme la peste ce parefeu il m'a fait beugger trop de pc

Le trial de Windows 7 sur le site de microsoft.
Zone Alarm sur https://www.zonealarm.com/software/free-firewall/
Le pilote nvidia sur nvidia.fr
drWeb sur le lien que tu m'as donné.
MalwareBytes je ne sais plus, j'ai repris un vieux fichier d'install que j'avais déjà, mais il vient probablement du site officiel aussi. Ca fait des années que je fuis les sites de téléchargement alternatifs, j'en ai connu trop qui ajoutaient sournoisement des trucs dans l'install, qui modifiaient le moteur de recherche par défaut sans prévenir etc.
Pour Unlocker je ne me souviens plus du tout non-plus. C'est un petit truc qui sert juste à dévérouiller les fichiers qui restent vérouillés par un processus et qu'on n'arrive pas à effacer, donc ce n'est pas étonnant qu'il soit parfois pris pour un virus, mais là apparemment c'est juste la toolbar proposée pendant l'install qui a été détectée.

tu les as téléchargé où les progs ?

J'ai réinstallé, et j'ai encore des infections...

( Au passage j'ai mis Windows 7 pour essayer plutot que XP, et j'ai remplacé Sunbelt Firewall, incompatible avec 7, par ZoneAlarm. )

Malwarebytes Anti-Malware a trouvé :
3 fois PUP.Optional.Conduit et 1 fois PUM.Optional.DisableShowMyComputer dans la base de registre.

drWeb a trouvé :
Trojan.PWS.Panda.5661 dans zatray.exe.2196 dans la ram (ZoneAlarm?)
Trojan.PWS.Nitro dans nvvscv.exe.1308 dans la ram (pilote NVidia?)
Adware.Toolbar.493 dans unlocker_1-9-2_fr_20237.exe

J'uploade les rapports ou ce sont juste de faux positifs ?

bonjour

personnellement je trouve un peu bête de couper le disque en plusieurs morceaux, et de toutes facons certaines infectent les executables de toutes les partitions ( html , exe, dll, scr, etc.... ) , donc mieux vaut souvent sauvegarder sur un externe qui reste déconnecté et n utiliser le disque , uniquement pour le système ( qui soit-dit-en-passant ,e s'en portrera que mieux ayant beaucoup de place pour travailler

)

Je ne formate que le C quand je réinstalle Windows, pas le D et le E ni les données importantes qu'elles contiennent même si j'en ai évidement une copie sur disque externe par précaution, donc j'avais peur qu'un virus y reste caché et détériore aussitôt mon Windows "tout neuf".
Bah c'est cool si je m'en suis enfin sorti. Merci bien.

Ok, je surveillerai et je reviendrai si je note quelque-chose.

( Je ne trouve comment marquer ce sujet en résolu. )

oui

toutes facons , rares sont les infections qui survivent à un formatage lol ^^

du moment que tu formates la partition avant comme ca t'es sur lol

tiens au courant tout de même

Ca serait bizarre, ça fait des années que je l'utilise et ça n'était jamais arrivé. Ca ne serait pas plutot un des virus qui aurait altéré des fichiers de Windows ?
Je pense que je vais réinstaller Windows prochainement, mais je voulais être sûr d'être débarrassé des virus avant.
Tout a l'air bon d'après les derniers rapports ?

bonjour désinstalle sunbelt firewall , je pense que c'est lui qui te crée des problemes

Comportement suspect, je ne sais pas si ça a un rapport avec une infection, mais c'est arrivé une fois hier et deux fois aujourd'hui : la barre des tâches ne répond plus, ctrl+alt+sup ne fait plus apparaitre le gestionnaire des tâches, je ferme tout avec alt+f4 mais à la fin il ne propose pas de redémarrer ou arrêter l'ordi comme il devrait, je ne peux alors rien faire d'autre qu'un reset...
edit : Ca vient encore de le faire...

edit : Et de temps en temps j'ai encore ce message très suspect qui apparait :
firefox.exe - repositionnement de DLL système non autorisé
La DLL système kernel32.dll a été repositionnée en mémoire. L'application ne s'exécutera pas correctement. Le repositionnement a été fait car la DLL Dynamic Allocated Memory occupait une zone d'adresse réservée pour les DLL système de Windows NT. Le vendeur ayant fourni la DLL doit être contacté pour en objtenir une nouvelle.

Oups en effet je n'avais sélectionné que la partie visible.
http://www.cjoint.com/c/FGesY3pAl2x
http://www.cjoint.com/c/FGesZfBsFzx

hello tu peux désinstaller ça , ça sert à rien :

SUPERAntiSpyware

supprime ca :

C:\Documents and Settings\All Users\Application Data\69B6DBD2-8E05-476F-B662-CF8D235FD499

===

t'as pas pris tout le texte pour le scan OTL

http://www.cjoint.com/c/FGeagZiCvUx
http://www.cjoint.com/c/FGeag22D0vx

hello on va essayer un autre diag

Copie le script ci dessous :

Code : Tout sélectionner

HKCU\Software
HKCU\Software\AppDataLow /s
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /s
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /s
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU /s
HKLM\System\CurrentControlSet\Control\Session Manager\AppcertDlls /s
%Homedrive%\*
%Homedrive%\*.
%Homedrive%\Recycler\*.exe /s
%Homedrive%\Recycler\*.scr /s
%Homedrive%\Recycler\*.pif /s
%Homedrive%\Recycler\*.vb* /s
%Homedrive%\$Recycle.bin\*.exe /s
%Homedrive%\$Recycle.bin\*.scr /s
%Homedrive%\$Recycle.bin\*.pif /s
%Homedrive%\$Recycle.bin\*.vb* /s
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\*
%Userprofile%\Local Settings\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
%Userprofile%\Local Settings\Application Data\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
%programFiles%\*
%programFiles%\*.
%programfiles%\Google\Desktop\*.
%ProgramFiles%\Common Files\*
%ProgramFiles%\Common Files\*.
%ProgramFiles(X86)%\Common Files\*
%ProgramFiles(X86)%\Common Files\*.
%Systemroot%\Installer\*
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\PSS\* /s
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\syswow64\Tasks\*
%systemroot%\syswow64\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir %Homedrive%\* /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT

Télécharge OTL (by OldTimer) sur ton bureau.
Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
Coche/Sélectionne les cases comme l'image ci dessous
Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
Clique sur Analyse
Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
Héberge les rapports OTL.txt et Extras.txt sur url=http://cjoint.com , puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

En cas de problème avec SOSUpload, utiliser Cjoint

Non, winupdate83.exe ne semble pas exister.

En mode sans échec sans réseau, même erreur.

Par contre, j'ai à nouveau filmé l'écran et cette fois une autre ligne apparait, très brievement, entre winupdate83.exe et l'erreur, mais ce n'est pas un fichier :
HKU\S-1-5-21-746137067-1409082233-682003330-1003|Desktop|-|Wal , le reste est coupé par la taille de la fenêtre.
J'ai jeté un oeuil dans la base de registre, HKEY_USERS\S-1-5-21-746137067-1409082233-682003330-1003 existe mais il n'y a pas "Desktop" dedans.

re

mais tu l'as ce ficher ? toujours ?

C:\WINDOWS\system32\winupdate86.exe

retente pre_scan en mode sans echec sans prise en charge reseau

Non, je n'ai que très peu de trucs crackés et ils datent de la préhistoire. L'infection vient surement des tones de freewares douteux et des jeux flash, et c'est là-dedans que presque tous les fichiers infectés étaient. D'ailleurs j'avais refait un scan de drWeb il y a quatre ou cinq jours et il avait encore trouvé une infection dans le freeware vidéo "freemake".

drWeb n'a rien trouvé cette fois.
http://www.cjoint.com/c/FGboPXFpozx
(Tiens http://cjoint.com ne fait plus crasher mon firefox comme l'autre jour.)

A l'ouverture du rapport j'ai remarqué qu'il n'avait pas d'entête cette fois, ça commence directement avec des fichiers. Je refais un autre scan du coup ?

ok bonjour

je crois que tu t'es mis dans une sacrée panade avec tes cracks.....

Télécharger drWeb , et l’enregistrer sur le bureau , grace à ce lien :

https://www.freedrweb.com/download+cureit+free/?lng=fr

Branche tous tes periphériques USB (mp3 , mp4 , disques durs externes , clés usb , appareil photo….) , tout ce qui a pu etre connecté à l’ordinateur.

Lance DrWeb CureIt , Clique sur OK
Le programme va vérifier qu’il soit bien à jour.

Coche la case « j’accepte de participer blablabla…… , puis clique sur continuer
Sur la page d’accueil , clique sur « sélectionner des objets pour l’analyse »
Coche tout à gauche , puis selectionne « Cliquez ici pour selectionner des fichiers et dossiers » .

Coche « Mon ordinateur » , ce qui aura pour effet de cocher tous les stockages de mémoires préalablement branchés comme précité , puis clique sur « OK »

Clique sur "OK" puis sur « lancer l’analyse »
L’analyse complète s’ effectue ….
Une fois terminée , laisser toutes les infections trouvées sur « Désinfecter » , puis cliquer sur « neutraliser »
DrWeb va neutraliser les menaces et afficher le résultat
DrWeb va demander de redémarrer l’ordinateur pour parfaire le nettoyage , faites-le
Pour poster le rapport ensuite , se rendre dans :

C: (généralement)\<users , utilisateurs , ou Documents ans settings pour XP>\La session\DrWeb
Dans ce dossier se trouve « CureIt.log« .

Cliquer droit dessus puis sélectionner « envoyer vers » => dossiers compressés

Héberger l’archive ainsi créée sur http://cjoint.com et donner le lien

Ca bloque toujours...

c:\Pre_Scan.txt

Les trois autres liens sont des erreurs 404.

Le dernier fichier scanné avant l'erreur est :
C:\WINDOWS\system32\winupdate86.exe

bonjour

Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
Télécharge Pre_Scan sur ton bureau !
Si le lien n'est pas fonctionnel :
- #ICI (renommé winlogon)
Si l'outil est bloqué par l'infection essaye avec d'autres extensions :
- #SCR
- #PIF
- #COM
Le scan ne dure généralement pas plus de 10 mn
A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

Note : une copie est également disponible sur le bureau

QuickDiag.txt

normalement non j'ai jamais vu ce probleme....

fais voir le bout de rapport qu'il y a dans C: ?

Non, je n'ai que Avast et Sunbelt Firewall et je les avais désactivé tous les deux. J'ai même essayé en mode sans échec et j'ai toujours ce message. Ca ne serait pas incompatible avec XP ?

tu aurais pas oublié de désactiver l antivirus ou windows defender ou autre protection ?

Je ne vois pas de nom de fichier :

bonjour sur quel fichier bloque-t-il , qui est écrit dans son interface au moment du message d'erreur ?

et il est demandé de mettre les outils sur le bureau et non dans un dossier farfelu

Chaque fois ce message apparait après quelques secondes :

J'ai cherché "autoit" "error: the requested action with this object has failed" mais je n'ai eu que des résultats incohérents.

bonjour on va quand même faire un diag pour être sur qu il ne reste rien et qui n'aurait pas été détecté :

désactive ton antivirus le temps du téléchargement et du scan
Télécharge quickDiag sur ton bureau
lance-le ( pour vista/7/8/8.1/10 = clic droit "Executer en tant qu'administrateur" )
clique sur "Quick" puis une fois terminé :
héberge le rapport sur http://cjoint.com
Donne le lien obtenu dans ta prochaine réponse

note : le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt, et une copie du même nom sera disponible à la racine de ton disque ( logiquement C: )

Ok. Je referai des scans complets de drWeb de temps en temps pour être sûr, mais sinon je peux considérer mon ordi désinfecté donc ?
Et bien merci beaucoup pour ton aide.

coucou et oui drweb se mettant à jour tout le temps , il se peut qu il ait recu tes fichiers et les ai décortiqués pour trouver du code malveillant et l'ajouter à sa base de données

Oui pourtant.
D'ailleurs j'ai ouvert le "gestionnaire de quarantaine" de drWeb et j'y vois les fichiers détectés aujourd'hui, et des fichiers de l'autre fois.

J'ai cherché le jeu flash infecté dans le rapport d'aujourd'hui et dans celui de l'autre jour, pour voir.

Aujourd'hui il y a :
E:\jeux\flash\...\reel-gold.exe - infected with Trojan.KeyLogger.17152
E:\jeux\flash\...\reel-gold.exe - infected

L'autre jour il y avait :
>E:\jeux\flash\...\reel-gold.exe is ZLIB container
>>E:\jeux\flash\...\reel-gold.exe\data001 is BINARYRES container
>>>E:\jeux\flash\...\reel-gold.exe\data001\data001 is ZLIB container
>>>>E:\jeux\flash\...\reel-gold.exe\data001\data001\data001 is SWF container
>>>E:\jeux\flash\...\reel-gold.exe\data001\data002 is SWF container
>>E:\jeux\flash\...\reel-gold.exe\data002 - packed by ASPACK
E:\jeux\flash\...\reel-gold.exe - container

Pour le vieux jeu pc, aujourd'hui il y a
E:\jeux\jeux PC\StarWars Racer\register.exe - infected with Trojan.DownLoader21.58670
E:\jeux\jeux PC\StarWars Racer\register.exe - infected
l'autre jour il y avait
E:\jeux\jeux PC\StarWars Racer\register.exe - Ok

tu as supprimé les infections détectées ?

J'ai refait un scan complet avec drWeb et il a trouvé 4 fichiers infectés...

Adware.Toolbar.665 et Adware.Toolbar.576 dans deux freewares que j'ai téléchargé ces derniers jours. Je crois que c'est juste parce que pendant l'installation ils proposent d'installer des fichues toolbars. Donc ça ce n'est rien.

Par contre les deux autres sont des troyens dans des vieux jeux qui étaient déjà là :
E:\jeux\flash\...\reel-gold.exe - infected with Trojan.KeyLogger.17152
E:\jeux\jeux PC\StarWars Racer\register.exe - infected with Trojan.DownLoader21.58670

bonjour non c'est un faux positif de la part d'avast , drweb l aurait détecté ayant des moteurs bien plus évolués qu'avast et de bien meilleure qualité de détection

FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

Répondre

Revue du sujet : Trojan:Win32/Dynamer!ac et plein d'autres... :( Étendre la vue

Forum d'Entraide Informatique (FEI)

FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique