[Virus] Infection TR/Kazy.73101 Winmgt.exe

[Keneda49]

Bonjour tout le monde.

Voila mon problème : l'ordinateur portable de mes parents est infecté par un virus (ou autre) depuis maintenant 2 jours.
Avira signale donc un rapport positif pour le fichier "Winmgt.exe" dans le dossier SysWOW64, qui serait infecté par le virus "TR/Kazy.73101".

J'ai déjà tenté de le supprimer avec un scan normal puis un scan long en mode sans échec et sans résultat du coup. Idem pour ce qui de MBAM toujours en mode sans échec et scan en profondeur.

L'ordinateur tourne sous Windows 7 64bits Edition Familiale Prenium, mise a jour faite, protéger par Avira (à jour) et MBAM (à jour) et parefeux Windows actif. L'ordinateur semble tourner correctement malgré l'avertissement d'Avira.

Merci d'avance à ceux qui me liront et m'apporteront leurs aide.

[Malekal_morte]

Salut,


Tu peux scanner le fichier en question sur http://www.virustotal.com et donner le lien ici pour voir ?


et :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

[Keneda49]

Salut,

Merci pour ta réponse.

Suite à la lecture d'un rapport Avira il semblerait qu'il s'agisse d'un Trojan :

Recherche débutant dans 'C:\Windows\SysWOW64\Winmgt.exe'
C:\Windows\SysWOW64\Winmgt.exe
[RESULTAT] Contient le cheval de Troie TR/Kazy.73101
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '56d088cd.qua' !

Impossible de scanner le fichier sur le site virustotal, il me dit que je ne dispose pas des droit nécessaire sur ce fichier.

J'ai suivi la procédure pour OTL.

Voici les liens des rapports : http://pjjoint.malekal.com/files.php?id ... 5m15c11l13 et http://pjjoint.malekal.com/files.php?id ... c12q8j13t7


Merci d'avance.

[Malekal_morte]

Désactive antivir pour avoir le scan VirusTotal.
et envoie là http://upload.malekal.com

[Keneda49]

Effectivement ça marche mieux comme ca.

Voila le rapport de Virustotal : https://www.virustotal.com/file/f7f44cd ... /analysis/

J'ai également envoyé le fichier comme demandé.

Merci d'avance

[Malekal_morte]

Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/08/29 16:21:19 | 000,025,600 | ---- | C] (Microsoft Corporation) -- C:\Windows\SysWow64\Winmgt.exe

* redemarre le pc sous windows et poste le rapport ici

[Keneda49]

Salut Malekal,

Voici le rapport du fix OTL :

========== OTL ==========
C:\Windows\SysWOW64\Winmgt.exe moved successfully.

OTL by OldTimer - Version 3.2.59.1 log created on 08302012_100940

Merci d'avance.

[angelique]

ç'est mieux ?

[Keneda49]

Salut Angélique,

Non, après un reboot du PC le problème persiste. C'est qu'il s'accroche le malin ^^.

Merci d'avance.

[angelique]

vire les 3 là en meme temps:


C:\Windows\SysWow64\instsrv.exe
C:\Windows\SysWow64\srvany.exe
C:\Windows\SysWow64\Winmgt.exe

[Keneda49]

Salut Angélique,

Je les vires directement à la mano?

Merci d'avance.

[angelique]

ouaip si tu peux ;) et redemarre et voit si ça revient.

[Keneda49]

Apparemment le problème est résolut. J'ai fais comme dis et suite au redémarrage plus de message d'Avira et les fichiers ne sont plus réapparus.

J'ai fais un scan MBAM et Avira en mode sans échec. Voici les rapport :

MBAM : http://pjjoint.malekal.com/files.php?id ... b9v13t10g6

Avira : http://pjjoint.malekal.com/files.php?id ... p13q8x7y13

Merci.

[Malekal_morte]

Faut supprimer ça aussi : C:\Windows\SysNative\msimmc.exe


Ton Trojan est un Trojan.clicker.
En gros, il est va sur des sites pour les pubs (ça rapporte de l'argent à l'auteur).
Y a des chances que ce soit fait par un français.

Tu as une idée où tu as choppe ça ?

[Keneda49]

Salut Malekal,

Non pas d'idée et comme je l'ai précisé il s'agit du PC de mes parents qui ne sont pas très au point en informatique donc je sais pas où ils auraient bien put chopper ça. C'est pas trop leur genre d'aller trainer sur des sites qui pourraient infecter le PC.

Y'a pas mal de gens qui leurs envoient tout un tas de mails remplis de conneries (gifs, cartes anniversaires, fichier doc ou ppt). Ce pourraient ils que ça viennent de là?

Je supprime également le fichier msimmc.exe et je reboot le PC.

Merci.

Edit : j'ai trouver msimmc.exe dans le dossier System32 et dans SysWOW64! Dois je supprimer les 2?