Trojan kates

Fermé
tipiaf77 - 18 oct. 2009 à 18:50
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 - 19 oct. 2009 à 22:57
Bonjour,


le virus:
Trojan.PWS.Kates.A

a infecté mon pc sous windows xp. Il s'installa vraisemblablement à la racine de windows (c:\windows\
j'ai bitdefender internet security 2009 qui le bloque et le met en quarantaine mais ne le détruit pas. le virus se multiplie (des milliers de fichiers que j'ai supprimé via l'interface de quarantaine) même en ayant coupé ma connexion internet sur ce poste.

après avoir recherché, j'ai téléchargé spyware doctor. après installation et màj, le scan de spyware doctor n'a pas permis de détecter le virus (pt-être parce qu'il est directement placé en quarantaine?).
Le pb c'est que le virus se multiplie et me bloque dans mon boulot...

Résultat je ne sais pas quoi faire pour le détruire.
Faut-il désactiver bitdefender et lancer spyware doctor mais je prends un risque de réelle contamination...?
Une autre solution/idée?

merci !!!!!
A voir également:

13 réponses

jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
18 oct. 2009 à 19:03
Salut ;

Trojan.PWS.Kates.A est un Keylogger ; Il enregistre tes frappes de clavier .

A la fin de la désinfection (et pas avant !) ,il faudra que tu change Mots de passes ,vérifer si tu as fait des transactions par CB ......

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

==>Double-clique sur RSIT.exe afin de lancer RSIT.

==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).

==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront :

log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

NB : Les rapports sont sauvegardés dans le dossier C:\rsit

==>Rend toi sur ce site: https://www.cjoint.com/

==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer .

==>Copie/colle ce lien dans ta prochaine réponse .

Aide en images si besoin
1
voilà le rapport

############################## | UsbFix V6.042 |


Update on 15/10/2009 by Chiquitine29, C_XX & Chimay8
Start at: 19:49:20 | 18/10/2009
Website : http://pagesperso-orange.fr/NosTools/index.html

Genuine Intel(R) CPU T2400 @ 1.83GHz
Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
Internet Explorer 8.0.6001.18702
Windows Firewall Status : Enabled
AV : Antivirus BitDefender 12.0 [ Enabled | Updated ]
FW : Pare-feu BitDefender [ Enabled ]12.0

C:\ -> Disque fixe local # 66,02 Go (12,94 Go free) # FAT32
D:\ -> Disque fixe local # 43,88 Go (43,88 Go free) # FAT32
E:\ -> Disque CD-ROM
F:\ -> Disque amovible # 490,73 Mo (328,62 Mo free) [STORE N GO] # FAT

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe
C:\Program Files\BitDefender\BitDefender 2009\vsserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\BitDefender\BitDefender 2009\bdagent.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\BitDefender\BitDefender 2009\seccenter.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Spyware Doctor\pctsAuxs.exe
C:\Program Files\Spyware Doctor\pctsSvc.exe
C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files\Spyware Doctor\pctsTray.exe
C:\Program Files\BitDefender\BitDefender 2009\uiscan.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | Fichiers # Dossiers infectieux |


################## | Registre # Clés Run infectieuses |


################## | Registre # Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{49b347de-d5b0-11dc-8dac-001731b8e636}
Shell\Auto\command =RavMonE.exe e
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMonE.exe e

HKCU\..\..\Explorer\MountPoints2\{aff5fc8a-5185-11dc-8d43-001731b8e636}
Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL antihost.exe

################## | ! Fin du rapport # UsbFix V6.042 ! |
1
Merci !
Je m'y mets tout de de suite !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
18 oct. 2009 à 19:29
• Télécharge et install UsbFix par Chiquitine29

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
18 oct. 2009 à 20:09
Tres bien ;

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
0
merci !
Le Pc a redémarré mais le scan n'est toujours pas fini : il est à 10 % depuis plus d'une heure...

Est-ce normal ?

L'interface de usbfix n'est pas des plus rassurantes par ailleurs... :)
0
Vue que ça n'avançait pas plus d'une heure après avoir été lancé j'ai stoppé usbfix puis redémarré le pc (windows ayant scanné le DD).
Le résultat est pire que le remède: il rame totalement.
Pas moyen de lancer le tableau de suivi de bit defender, ni quoi que ce soit d'autre.

Là je flippe.
Merci de votre aide...
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
18 oct. 2009 à 22:50
Ok ,on va la faire a l'envers ......

1) Imprime ces instructions car il faudra fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

2) Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton Bureau à partir de ce lien :

https://www.malwarebytes.com/

3) A la fin du téléchargement, ferme toutes les fenêtres et programmes, y compris celui-ci.

4) Double-clique sur l'icône Download_mbam-setup.exe sur ton bureau pour démarrer le programme d'installation.

5) Pendant l'installation, suis les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet). N'apporte aucune modification aux réglages par défaut et, en fin d'installation, vérifie que les options Update Malwarebytes' Anti-Malware et Launch Malwarebytes' Anti-Malware sont cochées.

6) MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse. Comme MBAM se met automatiquement à jour en fin d'installation, clique sur OK pour fermer la boîte de dialogue. La fenêtre principale de MBAM s'affiche :

7) Dans l'onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

8) MBAM analyse ton ordinateur. L'analyse peut prendre un certain temps. Il suffit de vérifier de temps en temps son avancement.

9) A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

10) Si des malwares ont été détectés, leur liste s'affiche.
En cliquant sur Suppression (?) , MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

11) MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Ferme le Bloc-notes. (Le rapport peut être retrouvé sous l'onglet Rapports/logs)

12) Ferme MBAM en cliquant sur Quitter.

13) Poste le rapport dans ta réponse

Ensuite tu relance UsbFix <option2>
0
Merci !
Je vais essayer ce soir, sinon seras-tu dans le coin demain soir ?
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 oct. 2009 à 09:10
Je vais essayer ce soir, sinon seras-tu dans le coin demain soir ?


Je suis toujours dans le coin -;)
0
Bonsoir !

j'ai relancé le pc ce soir et le pb n'apparait plus.
avant bitdefender était "spammé" par les fichiers, là, il n'y en a plus en quarantaine et plus d'alerte non plus.
Par acquis de conscience j'ai fait une recherche du fichier (infructueuse), et j'ai lancé un scan profond.
Il est encore en train de tourner.
Je lancerai peut-être qd même le programme que tu m'as indiqué pour être bien sûre que c'est fini :)
il ne pose pas de pb de comptabilité avec Bit Defender (genre ralentissement général)?
0
jfkpresident Messages postés 13408 Date d'inscription lundi 3 septembre 2007 Statut Contributeur sécurité Dernière intervention 5 janvier 2015 1 175
19 oct. 2009 à 22:57
Salut ;

il ne pose pas de pb de comptabilité avec Bit Defender (genre ralentissement général)?


Pas du tout et je rajouterai qu'en fin de désinfection on supprimera tout ce qui a été installé pour les infections et je te donnerai quelques conseils supplémentaires donc donne moi des news .

0