Defender et Win32/Renos.IO trojan
Le
Bugg64
Bonjour,
Ma machine a été infectée ce week-end par un malware. Windows Defender le
détecte (aka Trojan Downloader:Win32/Renos.IO) et me propose de le supprimer
(bouton "tout supprimer"), ce que je fais.
Malheureusement, il revient de temps à autre (environ toutes les 30 à 60
minutes, et à chaque reboot). A chaque fois, je le supprime via Defender.
J'ai remarqué la présence simultanée d'un process qui me semble "bizarre" :
4567412.tmp qui tourne, sans qu'il soit possible de le localiser. Tuer ce
process manuellement retarde apparement l'occurence du problème
J'ai cherché un peu partout sur les forums liés à la sécurité, pour le
moment sans succès. Je suis preneur de toute information qui pourrait m'aider
à me débarrasser de cette cochonnerie
Merci d'avance.
Cordialement.
Ma machine a été infectée ce week-end par un malware. Windows Defender le
détecte (aka Trojan Downloader:Win32/Renos.IO) et me propose de le supprimer
(bouton "tout supprimer"), ce que je fais.
Malheureusement, il revient de temps à autre (environ toutes les 30 à 60
minutes, et à chaque reboot). A chaque fois, je le supprime via Defender.
J'ai remarqué la présence simultanée d'un process qui me semble "bizarre" :
4567412.tmp qui tourne, sans qu'il soit possible de le localiser. Tuer ce
process manuellement retarde apparement l'occurence du problème
J'ai cherché un peu partout sur les forums liés à la sécurité, pour le
moment sans succès. Je suis preneur de toute information qui pourrait m'aider
à me débarrasser de cette cochonnerie
Merci d'avance.
Cordialement.
Poser une question
Bonsoir
Commence par télécharger MalwareBytes AntiMalware (=MBAM) :
http://www.malekal.com/tutorial_Mal...alware.php
Lis ce tuto, fais la mise à jour d'aujourd'hui
Et scanne ton PC en mode complet.
Le scan peut durer (1h et plus)
Il se termine par un fichier log
Peux-tu nous l'envoyer via cijoint :
http://www.cijoint.fr/index.php
Dépose le sur CiJoint et envoie nous ici le lien Internet (URL)
Le Trojan devrait avoir disparu
Pour confirmer, fais pareil avec HiJackThis :
http://www.zebulon.fr/dossiers/43-hijackthis.html
Scanne ton PC (c'est rapide) et envoie nous le fichier log, via CiJoint
Herser
"Bugg64" a écrit dans le message
news:
Effectivement, comme te l'a proposé notre ami Herser:
MBAM a réussi par là -->
http://forum.zebulon.fr/trojandownl...64166.html
(
http://www.commentcamarche.net/foru...2-renos-io )
Et dis-ns :o)
--
« De la discussion, jaillit la lumière.. »
Cdlt@+ à tous
http://www.virustotal.com/en/virustotalx.html
Bonsoir,
Tout d'abord merci pour cette réponse rapide.
J'ai téléchargé mbam et hijackthis. Malheureusement, aucun des 2 ne se lance
correctement (message "mbam a cessé de fonctionner correctement), avant même
tout autre message. Pareil pour Hijackthis.
Je suis sous Vista32.
Antivirus AVG 8.5 , à jour
Defender à jour.
J'ai essayé de tourner ces 2 softs en mode admin, puis dans d'autres mode de
compatibilité, sans succès....
Pendant mes manips, j'ai eu la "mauvaise" surprise d'avoir AVG qui déclenche
sur "C:windowssystem32MSIVXuje...(plein de lettres).dll - Trojan horse
injector.EL" . Cela se déclenche sur chaque appel d'un browser (IE ou
Mozilla). Un move to vault ne résoud pas le problème.
J'ai le sentiment (non confirmé) qu'il s'agit de quelque chose de lié (avec
le pb initial), car je n'ai fait aucune autre manip depuis....
Le fichier vu par AVG n'existe pas apparement...
Bref j'y perds un poil mon latin.... ^^
Y aurait il une manip à faire pour faire tourner mbam ou hijackthis sous
Vista ?
Est le trojan qui pourrait "bloquer" l'execution de ces softs ?
Merci de votre concours
Cordialement
Bugg64
En complément d'info, je post sur cijoint les 3 screens de détection :
1 defender
1 AVG
1 AVG resident shield
http://www.cijoint.fr/cjlink.php?fi...cQXRet.zip
Je ne sais pas si cela est exploitable.....
Je continue mes recherches :)
Re
Ce troyen n'a pas bloqué MBAM sur les liens cités par
Mais il peut y avoir, en plus, un maliciel plus méchant (horse injector ??).
1- Tente d'abord MBAM en mode sans échec, cela pourrait suffire.
Pour le mode sans échec taper F8 au redémarrage.
2- sinon essaie SuperAntiSpyware :
http://www.malekal.com/tutorial_SUP...pyware.php
Si ça marche essaie de refaire HiJackThis
Herser