trojan "matcash.bl"

Invité

Bonjour a tous,
mon anti virus (Trend micro office scan) a detecté un trojan: MATCASH.BL.
et voici le rapport que hijack ma fait.
merci a vous

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:03, on 16/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\17PHolmes572.exe
C:\WINDOWS\17PHolmes572.exe
C:\DOCUME~1\TECHNI~1\LOCALS~1\Temp\winvsnet.exe
C:\WINDOWS\17PHolmes572.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\AntiSpywareMaster\asm.exe
C:\Program Files\Trend Micro\OfficeScan Client\PccNTMon.exe
C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\TechniqueMAS\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\mrofinu572.exe 61A847B5BBF728173599284503996897C881250221C8670836AC4FA7C8833201749139
O4 - HKLM\..\Run: [AntiSpywareMaster] C:\Program Files\AntiSpywareMaster\asm.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil9d.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 3532 bytes
ous

Bonjour

Ton antivirus est une passoire affraid

* Supprime ce dossier :
C:\Program Files\AntiSpywareMaster\ (saloperie)

* A supprimer :

C:\WINDOWS\mrofinu572.exe
C:\WINDOWS\17PHolmes572.exe
C:\DOCUME~1\TECHNI~1\LOCALS~1\Temp\ (dossier à vider, utiliser par exemple CCleaner)

* A faire :

Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec (redemarrage + tapotte sans arret sur F8 des que l'ordi s'allume)
Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
Appuie sur Y pour commencer le processus de nettoyage.
Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
Appuie sur une touche pour redémarrer le PC.
Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.

Enfin, copie/colle le contenu du fichier Report.txt ici.

bye

Invité

Merci pour ton aide.
comme tu as dû le voir c'est mon ordi proffessionel qui est malade, alors dès ce soir je posterai tout ça.
et encore merci pour le temps que tu m'as accordé

Pas de problème $clin d\\'oeil$
J'ai supprimé les lignes où apparaissaient les infos du domaine peut-être que ça te dérangeait.

J'ai fait une réponse "vite fait" alors si tu coinces sur quelque chose n'hésite pas à me le dire. Puis comme tu es là et pour éviter de perdre du temps inutilement, n'hésite pas en même temps à m'envoyer le rapport de la manipulation ci-dessous.

Ouvre HijackThis

Clic sur "open the misc tools section"
Clic sur "open uninstall manager"
Clic sur "Save list" dans la fenêtre qui va s'ouvrir enregistre le fichier à un endroit où tu le retrouveras facilement.

Ensuite, fais un copier du texte qui y aura dans ce fichier puis colles le ici stp
bye

Invité

Bon et bien voila, fini le week end pour moi

Alors, reprennons... pour SDFix impossible d'avoir le rapport au redemarage probablement dû au fait que je ne suis pas l'administrateur de mon pc (pro) et qu'il est en reseau...

en ce qui concerne
C:\WINDOWS\mrofinu572.exe... à disparu pendant mes repos
C:\WINDOWS\17PHolmes572.exe...à disparu pendant mes repos
C:\DOCUME~1\TECHNI~1\LOCALS~1\Temp\ (dossier à vider, utiliser par exemple CCleaner) c'est fait
et pour finir le rapport de HiJackThis le voici:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:38:26, on 19/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\DWRCST.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Documents and Settings\TechniqueMAS\Bureau\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Raccourci vers la page des propriétés de High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Program Files\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = Gruissan.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = Gruissan.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = Gruissan.local
O23 - Service: DameWare Mini Remote Control (DWMRCS) - DameWare Development LLC - C:\WINDOWS\SYSTEM32\DWRCS.EXE
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Program Files\Trend Micro\OfficeScan Client\tmlisten.exe

--
End of file - 2595 bytes

en restant a ta disposition et encore un grand merci

Hello $clin d\\'oeil$

Relis mon avant dernier message, il manque quelque chose $clin d\\'oeil$

Invité

Salut à toi

Désolé pour le retard mais apparement ma réponse n'est pas passer correctement. etonne

Donc je recommence...

et pour cela:
* Supprime ce dossier :
C:\Program Files\AntiSpywareMaster\ (saloperie)..... c'est fait.

merci

Hello !

C'était ceci lol!

Citation :: Ouvre HijackThis

Clic sur "open the misc tools section"
Clic sur "open uninstall manager"
Clic sur "Save list" dans la fenêtre qui va s'ouvrir enregistre le fichier à un endroit où tu le retrouveras facilement.

Invité

Tout a fait, cela est dans le message du 19/04/08 à 21h17 jongle

... NON???

Non tu as remis un rapport hijackthis $clin d\\'oeil$

Invité

Exact désolé le voici:

Adobe Flash Player ActiveX
Adobe Reader 7.0.8 - Français
CCleaner (remove only)
Correctif Windows XP - KB884020
Free Spider
High Definition Audio Driver Package - KB835221
HijackThis 2.0.2
Intel(R) Graphics Media Accelerator Driver
Lecteur Windows Media 10
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Professional Edition 2003
Trend Micro OfficeScan Client
Windows Media Format Runtime

Et bah, il faudrait dire qu'ils mettent à jour leur PC lol!

Désinstalle Adobe Reader et retélécharge la dernière version ici
http://www.adobe.com/fr/products/acrobat/readstep2.html

Fais ce scan anti-virus en ligne et dès qu'il a terminé colle le rapport ici stp
https://kerio.probb.fr/logiciels-et-tutoriels-f6/tuto-kaspersky-antivirus-en-ligne-t678.htm

bye

Invité

Merci pour ces réponses "boulepate"

Je fais tout çà et je repasse te voir... Après mon week-end

sincçéres remerciements. DIF trojan "matcash.bl" 510821

» "Quels sont les gros cailloux dans votre vie ?"