Defender et Win32/Renos.IO trojan

Le
Bugg64
Bonjour,
Ma machine a été infectée ce week-end par un malware. Windows Defender le
détecte (aka Trojan Downloader:Win32/Renos.IO) et me propose de le supprimer
(bouton "tout supprimer"), ce que je fais.

Malheureusement, il revient de temps à autre (environ toutes les 30 à 60
minutes, et à chaque reboot). A chaque fois, je le supprime via Defender.

J'ai remarqué la présence simultanée d'un process qui me semble "bizarre" :
4567412.tmp qui tourne, sans qu'il soit possible de le localiser. Tuer ce
process manuellement retarde apparement l'occurence du problème

J'ai cherché un peu partout sur les forums liés à la sécurité, pour le
moment sans succès. Je suis preneur de toute information qui pourrait m'aider
à me débarrasser de cette cochonnerie

Merci d'avance.
Cordialement.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Herser
Le #19573291
Bugg64 wrote:
Bonjour,
Ma machine a été infectée ce week-end par un malware. Windows
Defender le détecte (aka Trojan Downloader:Win32/Renos.IO) et me
propose de le supprimer (bouton "tout supprimer"), ce que je fais.

Malheureusement, il revient de temps à autre (environ toutes les 30 à
60 minutes, et à chaque reboot). A chaque fois, je le supprime via
Defender.

J'ai remarqué la présence simultanée d'un process qui me semble
"bizarre" : 4567412.tmp qui tourne, sans qu'il soit possible de le
localiser. Tuer ce process manuellement retarde apparement
l'occurence du problème...

J'ai cherché un peu partout sur les forums liés à la sécurité, pour le
moment sans succès. Je suis preneur de toute information qui pourrait
m'aider à me débarrasser de cette cochonnerie...

Merci d'avance.
Cordialement.



Bonsoir

Commence par télécharger MalwareBytes AntiMalware (=MBAM) :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Lis ce tuto, fais la mise à jour d'aujourd'hui
Et scanne ton PC en mode complet.

Le scan peut durer (1h et plus)
Il se termine par un fichier log
Peux-tu nous l'envoyer via cijoint :
http://www.cijoint.fr/index.php
Dépose le sur CiJoint et envoie nous ici le lien Internet (URL)

Le Trojan devrait avoir disparu

Pour confirmer, fais pareil avec HiJackThis :
http://www.zebulon.fr/dossiers/43-hijackthis.html
Scanne ton PC (c'est rapide) et envoie nous le fichier log, via CiJoint

Herser
j
Le #19573701
Bonsoir à tous !

"Bugg64" a écrit dans le message
news:

Bonjour,
Ma machine a été infectée ce week-end par un malware. Windows Defender le
détecte (aka Trojan Downloader:Win32/Renos.IO) et me propose de le
supprimer
(bouton "tout supprimer"), ce que je fais.

Malheureusement, il revient de temps à autre (environ toutes les 30 à 60
minutes, et à chaque reboot). A chaque fois, je le supprime via Defender.

J'ai remarqué la présence simultanée d'un process qui me semble "bizarre"
:
4567412.tmp qui tourne, sans qu'il soit possible de le localiser. Tuer ce
process manuellement retarde apparement l'occurence du problème...

J'ai cherché un peu partout sur les forums liés à la sécurité, pour le
moment sans succès. Je suis preneur de toute information qui pourrait
m'aider
à me débarrasser de cette cochonnerie...

Merci d'avance.
Cordialement.



Effectivement, comme te l'a proposé notre ami Herser:
MBAM a réussi par là -->

http://forum.zebulon.fr/trojandownloader-win32-renosio-t164166.html

(
http://www.commentcamarche.net/forum/affich-12822941-trojandownloader-win32-renos-io )

Et dis-ns :o)

--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://www.virustotal.com/en/virustotalx.html
Bugg64
Le #19575051
"Herser" a écrit :

Bonsoir

Commence par télécharger MalwareBytes AntiMalware (=MBAM) :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Lis ce tuto, fais la mise à jour d'aujourd'hui
Et scanne ton PC en mode complet.

Le scan peut durer (1h et plus)
Il se termine par un fichier log
Peux-tu nous l'envoyer via cijoint :
http://www.cijoint.fr/index.php
Dépose le sur CiJoint et envoie nous ici le lien Internet (URL)

Le Trojan devrait avoir disparu

Pour confirmer, fais pareil avec HiJackThis :
http://www.zebulon.fr/dossiers/43-hijackthis.html
Scanne ton PC (c'est rapide) et envoie nous le fichier log, via CiJoint

Herser




Bonsoir,
Tout d'abord merci pour cette réponse rapide.
J'ai téléchargé mbam et hijackthis. Malheureusement, aucun des 2 ne se lance
correctement (message "mbam a cessé de fonctionner correctement), avant même
tout autre message. Pareil pour Hijackthis.
Je suis sous Vista32.
Antivirus AVG 8.5 , à jour
Defender à jour.

J'ai essayé de tourner ces 2 softs en mode admin, puis dans d'autres mode de
compatibilité, sans succès....

Pendant mes manips, j'ai eu la "mauvaise" surprise d'avoir AVG qui déclenche
sur "C:windowssystem32MSIVXuje...(plein de lettres).dll - Trojan horse
injector.EL" . Cela se déclenche sur chaque appel d'un browser (IE ou
Mozilla). Un move to vault ne résoud pas le problème.
J'ai le sentiment (non confirmé) qu'il s'agit de quelque chose de lié (avec
le pb initial), car je n'ai fait aucune autre manip depuis....

Le fichier vu par AVG n'existe pas apparement...

Bref j'y perds un poil mon latin.... ^^

Y aurait il une manip à faire pour faire tourner mbam ou hijackthis sous
Vista ?
Est le trojan qui pourrait "bloquer" l'execution de ces softs ?

Merci de votre concours
Cordialement
Bugg64
Bugg64
Le #19575041
Re_bonsoir,

En complément d'info, je post sur cijoint les 3 screens de détection :
1 defender
1 AVG
1 AVG resident shield

http://www.cijoint.fr/cjlink.php?file=cj200906/cijRcQXRet.zip

Je ne sais pas si cela est exploitable.....
Je continue mes recherches :)
Herser
Le #19575261
Bugg64 wrote:
"Herser" a écrit :

Bonsoir

Commence par télécharger MalwareBytes AntiMalware (=MBAM) :
http://www.malekal.com/tutorial_MalwareBytes_AntiMalware.php
Lis ce tuto, fais la mise à jour d'aujourd'hui
Et scanne ton PC en mode complet.

Le scan peut durer (1h et plus)
Il se termine par un fichier log
Peux-tu nous l'envoyer via cijoint :
http://www.cijoint.fr/index.php
Dépose le sur CiJoint et envoie nous ici le lien Internet (URL)

Le Trojan devrait avoir disparu

Pour confirmer, fais pareil avec HiJackThis :
http://www.zebulon.fr/dossiers/43-hijackthis.html
Scanne ton PC (c'est rapide) et envoie nous le fichier log, via
CiJoint

Herser




Bonsoir,
Tout d'abord merci pour cette réponse rapide.
J'ai téléchargé mbam et hijackthis. Malheureusement, aucun des 2 ne
se lance correctement (message "mbam a cessé de fonctionner
correctement), avant même tout autre message. Pareil pour Hijackthis.
Je suis sous Vista32.
Antivirus AVG 8.5 , à jour
Defender à jour.

J'ai essayé de tourner ces 2 softs en mode admin, puis dans d'autres
mode de compatibilité, sans succès....

Pendant mes manips, j'ai eu la "mauvaise" surprise d'avoir AVG qui
déclenche sur "C:windowssystem32MSIVXuje...(plein de lettres).dll
- Trojan horse injector.EL" . Cela se déclenche sur chaque appel
d'un browser (IE ou Mozilla). Un move to vault ne résoud pas le
problème.
J'ai le sentiment (non confirmé) qu'il s'agit de quelque chose de lié
(avec le pb initial), car je n'ai fait aucune autre manip depuis....

Le fichier vu par AVG n'existe pas apparement...

Bref j'y perds un poil mon latin.... ^^

Y aurait il une manip à faire pour faire tourner mbam ou hijackthis
sous Vista ?
Est le trojan qui pourrait "bloquer" l'execution de ces softs ?

Merci de votre concours
Cordialement
Bugg64



Re
Ce troyen n'a pas bloqué MBAM sur les liens cités par
Mais il peut y avoir, en plus, un maliciel plus méchant (horse injector ??).

1- Tente d'abord MBAM en mode sans échec, cela pourrait suffire.
Pour le mode sans échec taper F8 au redémarrage.

2- sinon essaie SuperAntiSpyware :
http://www.malekal.com/tutorial_SUPERAntiSpyware.php

Si ça marche essaie de refaire HiJackThis

Herser
Herser
Le #19575451
Bugg64 wrote:
Re_bonsoir,

En complément d'info, je post sur cijoint les 3 screens de détection :
1 defender
1 AVG
1 AVG resident shield

http://www.cijoint.fr/cjlink.php?file=cj200906/cijRcQXRet.zip

Je ne sais pas si cela est exploitable.....
Je continue mes recherches :)



C'est bien injector.EL qui bloque les ouitils de désinfection
http://www.bleepingcomputer.com/forums/topic234083.html

Résolu avec la version d'essai de Trojan Remover
http://www.malekal.com/tutorial_TrojanRemover.php

Ensuite on peut passer MBAM et HJT

Dis nous

Herser
Bugg64
Le #19581571
"Herser" a écrit :

C'est bien injector.EL qui bloque les ouitils de désinfection
http://www.bleepingcomputer.com/forums/topic234083.html

Résolu avec la version d'essai de Trojan Remover
http://www.malekal.com/tutorial_TrojanRemover.php

Ensuite on peut passer MBAM et HJT




Pfiouuuuuu.... effectivement, comme je le suspectais et que l'a bien
diagnostiqué, c'était bien Injector.EL qui bloquait les anti-malware :)
Seul Trojan Remover a pu en venir a bout ! Excellent soft.
Ensuite j'ai pu passer mbam (qui a trouvé le spy qui lancait IE tout
seul...), puis hijackthis. A priori, je pense être débarrasé des cochonneries
(symptomes disparus....).... A toutes fins utiles, je poste les logs de mbam
et hijackthis si ca peut servir :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijosG4jaw.zip

En tout cas, un grand merci pour votre aide. Pas sur que j'aurais trouvé
tout seul.
Très cordialement,
Bugg
Herser
Le #19581991
Bugg64 wrote:
"Herser" a écrit :

C'est bien injector.EL qui bloque les ouitils de désinfection
http://www.bleepingcomputer.com/forums/topic234083.html

Résolu avec la version d'essai de Trojan Remover
http://www.malekal.com/tutorial_TrojanRemover.php

Ensuite on peut passer MBAM et HJT




Pfiouuuuuu.... effectivement, comme je le suspectais et que l'a bien
diagnostiqué, c'était bien Injector.EL qui bloquait les anti-malware
:)
Seul Trojan Remover a pu en venir a bout ! Excellent soft.
Ensuite j'ai pu passer mbam (qui a trouvé le spy qui lancait IE tout
seul...), puis hijackthis. A priori, je pense être débarrasé des
cochonneries (symptomes disparus....).... A toutes fins utiles, je
poste les logs de mbam et hijackthis si ca peut servir :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijosG4jaw.zip

En tout cas, un grand merci pour votre aide. Pas sur que j'aurais
trouvé tout seul.
Très cordialement,
Bugg



Ouf, le + gros est fait
Sur cijoint tu as mis le log Trojan Remover
Interessant car il montre les 3 fichiers et les 3 clés de Injector.EL
C'est toi qui l'a renommé mbam_TRLOG.TXT ?

Par contre il manque le log MBAM, qui est encore dans MBAMRapport.
Si tu n'as pas fait d'autres analyses (il reste le dernier par défaut)

J'ai examiné ton log HJT
Il reste une trace de service d'un maliciel :
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner -
C:Windowssystem32GameMon.des.exe (file missing)

Pour t'en débarrasser refais HiJackThis et coche cette ligne puis clique sur
Fix checked

Tu peux aussi optimiser ton Vista en évitant de démarrer des processus
inutiles :
- désinstalle Trojan Remover, il n'est valable que 30 jours et ne sera plus
à jour la prochaine fois
- avec msconfig, décoche les processus suivants :
Adobe Reader
NeroCheck
QTTask
Sans doute d'autres aussi, si tu n'en as pas besoin tout le temps
Tu peux recocher si tu préfères qu'un processus se lance dès le démarrage de
Vista

Tu peux garder ou supprimer HJT, à ta guise

Si tu as encore le log MBAM, j'aimerais connaître le spyware présent
Envoie le sur cijoint

Attention aux risques sécuritaires.

Bonne poursuite

Herser
Herser
Le #19582471
Bugg64 wrote:
"Herser" a écrit :

C'est bien injector.EL qui bloque les ouitils de désinfection
http://www.bleepingcomputer.com/forums/topic234083.html

Résolu avec la version d'essai de Trojan Remover
http://www.malekal.com/tutorial_TrojanRemover.php

Ensuite on peut passer MBAM et HJT




Pfiouuuuuu.... effectivement, comme je le suspectais et que l'a bien
diagnostiqué, c'était bien Injector.EL qui bloquait les anti-malware
:)
Seul Trojan Remover a pu en venir a bout ! Excellent soft.
Ensuite j'ai pu passer mbam (qui a trouvé le spy qui lancait IE tout
seul...), puis hijackthis. A priori, je pense être débarrasé des
cochonneries (symptomes disparus....).... A toutes fins utiles, je
poste les logs de mbam et hijackthis si ca peut servir :

http://www.cijoint.fr/cjlink.php?file=cj200906/cijosG4jaw.zip

En tout cas, un grand merci pour votre aide. Pas sur que j'aurais
trouvé tout seul.
Très cordialement,
Bugg



Re
Tu dis :
"Seul Trojan Remover a pu en venir à bout"
Quels autres anti malwares as-tu essayés ?
C'est interessant de savoir aussi ce qui n'a pas marché.
A part MBAM et HJT qui ne se lançaient pas, mais on le sait

Herser
Bugg64
Le #19589221
"Herser" a écrit :
Re
Tu dis :
"Seul Trojan Remover a pu en venir à bout"
Quels autres anti malwares as-tu essayés ?
C'est interessant de savoir aussi ce qui n'a pas marché.
A part MBAM et HJT qui ne se lançaient pas, mais on le sait

Herser




Outre mbam et hijackthis qui bloquaient, plus AVG et Defender qui
détectaient mais n'éradiquaient pas, j'ai essayé sans succès :
Ad-aware
Spybot
SmitfraudFix
Superantispyware

Pour les 2 premiers, je pense que le pb était identique à mbam et
hijackthis, à savoir une interaction entre trojan injector.EL et l'anti
spyware...
Publicité
Poster une réponse
Anonyme