Bonjour,
Ma machine a été infectée ce week-end par un malware. Windows Defender le
détecte (aka Trojan Downloader:Win32/Renos.IO) et me propose de le supprimer
(bouton "tout supprimer"), ce que je fais.
Malheureusement, il revient de temps à autre (environ toutes les 30 à 60
minutes, et à chaque reboot). A chaque fois, je le supprime via Defender.
J'ai remarqué la présence simultanée d'un process qui me semble "bizarre" :
4567412.tmp qui tourne, sans qu'il soit possible de le localiser. Tuer ce
process manuellement retarde apparement l'occurence du problème...
J'ai cherché un peu partout sur les forums liés à la sécurité, pour le
moment sans succès. Je suis preneur de toute information qui pourrait m'aider
à me débarrasser de cette cochonnerie...
Re Tu dis : "Seul Trojan Remover a pu en venir à bout" Quels autres anti malwares as-tu essayés ? C'est interessant de savoir aussi ce qui n'a pas marché. A part MBAM et HJT qui ne se lançaient pas, mais on le sait
Herser
Outre mbam et hijackthis qui bloquaient, plus AVG et Defender qui détectaient mais n'éradiquaient pas, j'ai essayé sans succès : Ad-aware Spybot SmitfraudFix Superantispyware
Pour les 2 premiers, je pense que le pb était identique à mbam et hijackthis, à savoir une interaction entre trojan injector.EL et l'anti spyware...
Vu Je viens d'avoir confirmation par Zebulon Sécurité que ce type de rootkit est éradiqué aussi par ComboFix. Mais ComboFix est à utiliser sous le contrôle d'un assistant connaissant bien l'outil ! http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix La 1° phase édite un rapport, après scan du PC. C'est ce rapport qui doit être analysé par un assistant formé.
Je n'ai pas posé la question, mais Gmer peut marcher aussi, s'il n'est pas bloqué. http://www.malekal.com/tutorial_GMER.php
Tu n'as pas répondu à mes précédentes questions : - as-tu "fixé" GameMon avec HJT ? - peux-tu récupérer le log MBAM ?
Merci de tes retours
Herser
Bugg64 wrote:
"Herser" a écrit :
Re
Tu dis :
"Seul Trojan Remover a pu en venir à bout"
Quels autres anti malwares as-tu essayés ?
C'est interessant de savoir aussi ce qui n'a pas marché.
A part MBAM et HJT qui ne se lançaient pas, mais on le sait
Herser
Outre mbam et hijackthis qui bloquaient, plus AVG et Defender qui
détectaient mais n'éradiquaient pas, j'ai essayé sans succès :
Ad-aware
Spybot
SmitfraudFix
Superantispyware
Pour les 2 premiers, je pense que le pb était identique à mbam et
hijackthis, à savoir une interaction entre trojan injector.EL et
l'anti spyware...
Vu
Je viens d'avoir confirmation par Zebulon Sécurité que ce type de rootkit
est éradiqué aussi par ComboFix.
Mais ComboFix est à utiliser sous le contrôle d'un assistant connaissant
bien l'outil !
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
La 1° phase édite un rapport, après scan du PC.
C'est ce rapport qui doit être analysé par un assistant formé.
Je n'ai pas posé la question, mais Gmer peut marcher aussi, s'il n'est pas
bloqué.
http://www.malekal.com/tutorial_GMER.php
Tu n'as pas répondu à mes précédentes questions :
- as-tu "fixé" GameMon avec HJT ?
- peux-tu récupérer le log MBAM ?
Re Tu dis : "Seul Trojan Remover a pu en venir à bout" Quels autres anti malwares as-tu essayés ? C'est interessant de savoir aussi ce qui n'a pas marché. A part MBAM et HJT qui ne se lançaient pas, mais on le sait
Herser
Outre mbam et hijackthis qui bloquaient, plus AVG et Defender qui détectaient mais n'éradiquaient pas, j'ai essayé sans succès : Ad-aware Spybot SmitfraudFix Superantispyware
Pour les 2 premiers, je pense que le pb était identique à mbam et hijackthis, à savoir une interaction entre trojan injector.EL et l'anti spyware...
Vu Je viens d'avoir confirmation par Zebulon Sécurité que ce type de rootkit est éradiqué aussi par ComboFix. Mais ComboFix est à utiliser sous le contrôle d'un assistant connaissant bien l'outil ! http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix La 1° phase édite un rapport, après scan du PC. C'est ce rapport qui doit être analysé par un assistant formé.
Je n'ai pas posé la question, mais Gmer peut marcher aussi, s'il n'est pas bloqué. http://www.malekal.com/tutorial_GMER.php
Tu n'as pas répondu à mes précédentes questions : - as-tu "fixé" GameMon avec HJT ? - peux-tu récupérer le log MBAM ?
Merci de tes retours
Herser
Bugg64
"Herser" a écrit :
Ouf, le + gros est fait Sur cijoint tu as mis le log Trojan Remover Interessant car il montre les 3 fichiers et les 3 clés de Injector.EL C'est toi qui l'a renommé mbam_TRLOG.TXT ?
oui, parceque je ne m'y retrouvais plus dans tous mes fichiers logs :)
Par contre il manque le log MBAM, qui est encore dans MBAMRapport. Si tu n'as pas fait d'autres analyses (il reste le dernier par défaut)
Ooops désolé, pas vu.... Ca doit etre celui ci : http://www.cijoint.fr/cjlink.php?file=cj200906/cijKn21iFq.txt
J'ai examiné ton log HJT Il reste une trace de service d'un maliciel : O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:Windowssystem32GameMon.des.exe (file missing)
Tu es certain que c'est un malware ? Pour moi, c'est le lanceur du jeu AION. En tout cas c'est le nom du programme qui est lancé au départ du jeu. Le fait qu'il soit "unknown" vient peut être du fait que je joue sur l'OBT chinoise....
Tu peux aussi optimiser ton Vista en évitant de démarrer des processus inutiles : - désinstalle Trojan Remover, il n'est valable que 30 jours et ne sera plus à jour la prochaine fois - avec msconfig, décoche les processus suivants : Adobe Reader NeroCheck QTTask Sans doute d'autres aussi, si tu n'en as pas besoin tout le temps Tu peux recocher si tu préfères qu'un processus se lance dès le démarrage de Vista
OK merci, je vais me pencher sur ces optmisations Vista ;)
Herser
"Herser" a écrit :
Ouf, le + gros est fait
Sur cijoint tu as mis le log Trojan Remover
Interessant car il montre les 3 fichiers et les 3 clés de Injector.EL
C'est toi qui l'a renommé mbam_TRLOG.TXT ?
oui, parceque je ne m'y retrouvais plus dans tous mes fichiers logs :)
Par contre il manque le log MBAM, qui est encore dans MBAMRapport.
Si tu n'as pas fait d'autres analyses (il reste le dernier par défaut)
Ooops désolé, pas vu.... Ca doit etre celui ci :
http://www.cijoint.fr/cjlink.php?file=cj200906/cijKn21iFq.txt
J'ai examiné ton log HJT
Il reste une trace de service d'un maliciel :
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner -
C:Windowssystem32GameMon.des.exe (file missing)
Tu es certain que c'est un malware ? Pour moi, c'est le lanceur du jeu AION.
En tout cas c'est le nom du programme qui est lancé au départ du jeu. Le fait
qu'il soit "unknown" vient peut être du fait que je joue sur l'OBT
chinoise....
Tu peux aussi optimiser ton Vista en évitant de démarrer des processus
inutiles :
- désinstalle Trojan Remover, il n'est valable que 30 jours et ne sera plus
à jour la prochaine fois
- avec msconfig, décoche les processus suivants :
Adobe Reader
NeroCheck
QTTask
Sans doute d'autres aussi, si tu n'en as pas besoin tout le temps
Tu peux recocher si tu préfères qu'un processus se lance dès le démarrage de
Vista
OK merci, je vais me pencher sur ces optmisations Vista ;)
Ouf, le + gros est fait Sur cijoint tu as mis le log Trojan Remover Interessant car il montre les 3 fichiers et les 3 clés de Injector.EL C'est toi qui l'a renommé mbam_TRLOG.TXT ?
oui, parceque je ne m'y retrouvais plus dans tous mes fichiers logs :)
Par contre il manque le log MBAM, qui est encore dans MBAMRapport. Si tu n'as pas fait d'autres analyses (il reste le dernier par défaut)
Ooops désolé, pas vu.... Ca doit etre celui ci : http://www.cijoint.fr/cjlink.php?file=cj200906/cijKn21iFq.txt
J'ai examiné ton log HJT Il reste une trace de service d'un maliciel : O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:Windowssystem32GameMon.des.exe (file missing)
Tu es certain que c'est un malware ? Pour moi, c'est le lanceur du jeu AION. En tout cas c'est le nom du programme qui est lancé au départ du jeu. Le fait qu'il soit "unknown" vient peut être du fait que je joue sur l'OBT chinoise....
Tu peux aussi optimiser ton Vista en évitant de démarrer des processus inutiles : - désinstalle Trojan Remover, il n'est valable que 30 jours et ne sera plus à jour la prochaine fois - avec msconfig, décoche les processus suivants : Adobe Reader NeroCheck QTTask Sans doute d'autres aussi, si tu n'en as pas besoin tout le temps Tu peux recocher si tu préfères qu'un processus se lance dès le démarrage de Vista
OK merci, je vais me pencher sur ces optmisations Vista ;)
Herser
Herser
Bugg64 wrote:
"Herser" a écrit :
Ouf, le + gros est fait Sur cijoint tu as mis le log Trojan Remover Interessant car il montre les 3 fichiers et les 3 clés de Injector.EL C'est toi qui l'a renommé mbam_TRLOG.TXT ?
oui, parceque je ne m'y retrouvais plus dans tous mes fichiers logs :)
Par contre il manque le log MBAM, qui est encore dans MBAMRapport. Si tu n'as pas fait d'autres analyses (il reste le dernier par défaut)
Ooops désolé, pas vu.... Ca doit etre celui ci : http://www.cijoint.fr/cjlink.php?file=cj200906/cijKn21iFq.txt
Vu Merci
Bugg64 wrote:
"Herser" a écrit :
Ouf, le + gros est fait
Sur cijoint tu as mis le log Trojan Remover
Interessant car il montre les 3 fichiers et les 3 clés de Injector.EL
C'est toi qui l'a renommé mbam_TRLOG.TXT ?
oui, parceque je ne m'y retrouvais plus dans tous mes fichiers logs :)
Par contre il manque le log MBAM, qui est encore dans MBAMRapport.
Si tu n'as pas fait d'autres analyses (il reste le dernier par
défaut)
Ooops désolé, pas vu.... Ca doit etre celui ci :
http://www.cijoint.fr/cjlink.php?file=cj200906/cijKn21iFq.txt
Ouf, le + gros est fait Sur cijoint tu as mis le log Trojan Remover Interessant car il montre les 3 fichiers et les 3 clés de Injector.EL C'est toi qui l'a renommé mbam_TRLOG.TXT ?
oui, parceque je ne m'y retrouvais plus dans tous mes fichiers logs :)
Par contre il manque le log MBAM, qui est encore dans MBAMRapport. Si tu n'as pas fait d'autres analyses (il reste le dernier par défaut)
Ooops désolé, pas vu.... Ca doit etre celui ci : http://www.cijoint.fr/cjlink.php?file=cj200906/cijKn21iFq.txt
