trojan mahato.bhk win32

Question

Bonjour, 

Kaspersky m'a détecté plusieurs fois un trojan (mahato.bhk win32) et je le supprime car il ne peu pas le réparer, le problème est, qu'il rentre a chaque redémarrage. 

Kaspersky internet security 2011 a déjà réussi a me supprimer plusieurs autres infections, et je ne comprends pas pourquoi celui là, ne se supprime pas même si je le supprime tous les démarrages du pc.

La connexion est une clé 3g+ orange de 7 Mo,

Configuration: Windows 7 Integrale.Hp. 
Audacity.Kaspersky Internet Security.Google Chrome.Opera.Firefox.Adobe Reader.Adobe Flash Player.Windows Live Messenger 2010.MalwareBytes.Skype.The Gimp.Ccleaner.Spybot.Clone CD.Internet Download Manager...

H3RV3 · Answer

Salut,

Peux-tu indiquer dans quel fichier l'infection est détectée ?

Dora l'exploratrice · Answer

Je ne sais pas, voici une capture de l'alerte qui apparait !
http://cjoint.com/data/hwryjKhrJr_go.png

Merci de m'indiquer quel logiciel utiliser pour supprimer ce cheval de troie.

H3RV3 · Answer

Cà ne m'aide pas trop.
On va analyser ton PC :

&#9679; Télécharge ZHPDiag de Nicolas Coolman sur ton bureau

&#9679; Double clique sur le fichier téléchargé pour lancer l'installation

&#9679; Laisse toi guider pendant l'installation. Coche la case pour créer un raccourci sur le bureau et exécute ZHPDiag à la fin de l'installation

&#9679; Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

&#9679; Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

&#9679; Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

&#9658; Aide en images

Dora l'exploratrice · Answer

J'ai une faute 704.

Hijackthis peut être suffit pour le rapport ?

H3RV3 · Answer

A quel moment as-tu cette erreur ?

Un rapport HijackThis ne listera pas tout.
Essaie comme ceci :

&#9679; Télécharge ZHPDiag_silent.exe sur ton bureau. Ceci installera ZHPDiag de Nicolas Coolman.

&#9679; Sous XP : Double clique sur ZHPDiag_silent.exe
&#9679; Sous Vista/7 : Fais un clic droit sur ZHPDiag_silent.exe et sélectionne "Exécuter en tant qu'administrateur"

&#9679; Patiente pendant le scan. Un rapport s'ouvrira à la fin.

&#9679; Héberge le rapport ZHPDiag.txt (présent sur ton bureau) sur le site ci-joint puis copie/colle le lien fourni dans ta réponse.

Note :
    Si tu as des alertes de ton antivirus et/ou pare-feu, ignore-les et autorise l'outil à accéder à internet.

Dora l'exploratrice · Answer

Voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201007/cij3vw1OE6.txt

H3RV3 · Answer

Bien, tu as effectivement quelques trucs.

Tout d'abord, ton fournisseur internet est Gnet ?

Ensuite :

&#9679; Télécharge et enregistre le fichier sur ton bureau Ad-Remover

&#9679; Double clique sur AD-R.exe

&#9679; Au menu principal choisis l'option "Nettoyer"

&#9679; Patiente pendant que l'outil fait son travail

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé dans C:\Ad-report.log

Note : Ad-Remover peut être détecté à tort par certains antivirus, ignore l'alerte.

Dora l'exploratrice · Answer

Non, dans l'autre maison j'ai globalnet, mais là c orange 3g+.

Comment tu as pu connaitre mon fournisseur ?

pour le rapport ça sera pour demain.

Merci

H3RV3 · Answer

Ton PC est configuré avec les serveurs de Gnet, pas ceux de Orange.

Dora l'exploratrice · Answer

Tu peux me dire comment configurer le pc a nouveau  ? car j'ai déjà résilié mon contrat avec et j'ai oublié la manipulation a faire pour changer la configuration.

Dora l'exploratrice · Answer

Voici le rapport : 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par C_XX le 21/07/10 à 14:00
Contact: AdRemover.contact[AT]gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 16:14:01 le 24/07/2010, Mode normal

Microsoft Windows 7 Édition Intégrale   (X86) 
CCMJ@AZIZTECH (Hewlett-Packard HP Compaq dx7400 Microtower) 
 
============== ACTION(S) ==============


0,Fichier supprimé: C:\Users\CCMJ\AppData\Roaming\Mozilla\FireFox\Profiles\qgjfi0ql.default\searchplugins\askcom.xml
0,Dossier supprimé: C:\Program Files\Conduit

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\CCMJ\AppData\Roaming\Mozilla\FireFox\Profiles\qgjfi0ql.default\Prefs.js --
Ligne supprimée: user_pref("CT2124320.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne supprimée: user_pref("CT2124320.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT212... 
Ligne supprimée: user_pref("CT2233703.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne supprimée: user_pref("CT2233703.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT223... 
-- Fichier Fermé --
 

0,Clé supprimée: HKLM\Software\Classes\Toolbar.CT2124320
0,Clé supprimée: HKLM\Software\Conduit
0,Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
3,Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.7 (fr)] **

-- C:\Users\CCMJ\AppData\Roaming\Mozilla\FireFox\Profiles\qgjfi0ql.default\Prefs.js --
browser.download.lastDir, C:\Users\CCMJ\Pictures
browser.search.selectedEngine, Bing
browser.startup.homepage, www.google.com
browser.startup.homepage_override.mstone, rv:1.9.2.7
privacy.popups.showBrowserMessage, false

-- C:\Users\Invité\AppData\Roaming\Mozilla\FireFox\Profiles\bt5mij3i.default\Prefs.js --
browser.startup.homepage, www.google.fr
browser.startup.homepage_override.mstone, rv:1.9.2.6

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 15 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 24/07/2010 (3419 Octet(s)) 

Fin à: 16:19:54, 24/07/2010 
 
============== E.O.F ==============

H3RV3 · Answer

Ok, on va réinitialiser les DNS (paramètres internet) :

&#9679; Double clique sur ZHPFix qui présent sur ton bureau

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





O17 - HKLM\System\CCS\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55
O17 - HKLM\System\CS1\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55
O17 - HKLM\System\CS2\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin


Redémarre ton PC puis fais ceci :

&#9679; Télécharge Malwarebytes' Anti-Malware (MBAM)

&#9679; Double clique sur mbam-setup.exe pour lancer l'installation

&#9679; Laisse les options par défaut lors de l'installation

&#9679; Lance MBAM et laisse les Mises à jour se télécharger

&#9679; Va dans l'onglet Recherche, choisis "Exécuter un examen complet" puis clique sur Rechercher
Note : le scan peut durer plusieurs heures en fonction de la quantité de données présente sur ton PC

&#9679; A la fin du scan, clique sur Afficher les résultats

&#9679; Coche tous les éléments détectés puis clique sur Supprimer la sélection

&#9679; S'il t'est demandé de redémarrer, clique sur Yes

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport se trouve dans l'onglet Rapports/Logs de MBAM

Dora l'exploratrice · Answer

Rapport de ZHPFIX après le nettoyage de ces lignes ! 

Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre : C:\ZHPExportRegistry-24-07-2010-18-21-30.txt
Run by CCMJ at 24/07/2010 18:21:30
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CCS\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13  => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55  => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13  => Donnée supprimée avec succès
O17 - HKLM\System\CS1\Services\Tcpip\..\{E8289D27-C728-4C52-A71B-77EAD9A0C0BC}: NameServer = 193.95.66.11 193.95.93.55  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{37A798EE-C5D0-4C78-9142-FE0842F6D723}: NameServer = 193.95.75.10,193.95.75.13  => Donnée supprimée avec succès


========== Récapitulatif ==========
5 : Elément(s) de donnée du Registre


End of the scan

H3RV3 · Answer

Bien, maintenant le scan Malwarebytes.
Tu as encore des alertes de ton antivirus ?

Dora l'exploratrice · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4344

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24/07/2010 22:32:04
mbam-log-2010-07-24 (22-32-04).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 236209
Temps écoulé: 3 heure(s), 30 minute(s), 28 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\ErrorRepairPro (Rogue.ErrorRepairProfessional) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

H3RV3 · Answer

Bien, tu ne m'as pas dit, tu reçois encore des alertes ?

Refais un rapport ZHPDiag comme ceci :

&#9679; Bouble clique sur ZHPDiag présent sur ton bureau

&#9679; Clique sur l'icône représentant une loupe ("Lancer le diagnostic") et patiente pendant le scan

&#9679; Clique sur l'icône représentant une disquette ("Sauvegarder le fichier sous") et enregistre le rapport sur ton bureau

&#9679; Ferme ZHPDiag, héberge le rapport ZHPDiag.txt sur le site ci-joint puis copie/colle le lien fourni dans ta réponse

Dora l'exploratrice · Answer

Ok, demain ça sera prêt.

Dora l'exploratrice · Answer

Alors pour les alertes de Kaspersky ! rien a changé ! les deux chevaux de troie sont là encore  ! plus de détails dans ces captures.

1 - Types de l'infection : http://cjoint.com/data/hzpHEIiIwS_cheval.png
2 - Emplacement 1 : http://cjoint.com/data/hzpIGjEjZ1_emplacement.png
3 - Emplacement 2 : http://cjoint.com/data/hzpJBr3Pce_kabom.png

H3RV3 · Answer

Peux-tu aller dans l'onglet rapport pour avoir plus de détails STP.

Dora l'exploratrice · Answer

http://cjoint.com/data/hzuXJENy4v_gto.png

H3RV3 · Answer

C'est pas terrible comme rapport..
Je ne vois pas le chemin complet du fichier infecté, et je ne connais pas Kasperky.

Pourrais-tu me copier l'emplacement complet (que tu as montré dans les captures emplacement et kabom).

Dora l'exploratrice · Answer

C/users/ccmj/application data/IDM/dwnldata/CCMJ/avira_10_376/ nom : avira_10.rar

C/users/ccmj/application data/IDM/dwnldata/CCMJ/avira_10_376/avira_10.rar/avira 10/offlineinstaller/ fichier : avira_antivir_premium_en.exe

H3RV3 · Answer

Ok, fais ceci :

&#9679; Double clique sur ZHPFix qui présent sur ton bureau

&#9679; Clique sur l'icône représentant un H vert

&#9679; Copie puis colle le texte suivant dans le cadre jaune de ZHPFix :





C:\users\ccmj\application data\IDM\dwnldata\CCMJ\avira_10_376




&#9679; Clique sur le bouton Tous puis sur Nettoyer

&#9679; Copie/colle le rapport qui apparaîtra à la fin

Dora l'exploratrice · Answer

Rapport de ZHPFix v1.12.3125 par Nicolas Coolman, Update du 20/07/2010
Fichier d'export Registre : 
Run by CCMJ at 27/07/2010 03:51:58
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\users\ccmj\application data\IDM\dwnldata\CCMJ\avira_10_376  => Fichier absent


========== Récapitulatif ==========
1 : Processus mémoire


End of the scan

H3RV3 · Answer

Il n'a rien trouvé..
On va essayer autrement :

&#9679; Télécharge SystemLook.exe sur ton bureau

&#9679; Double clique sur SystemLook.exe

&#9679; Copie le texte ci-dessous dans le cadre du programme




:filefind
avira*
:folderfind
avira*




&#9679; Clique sur le bouton look et patiente

&#9679; Un rapport va s'ouvrir, copie/colle le dans ta réponse

&#9650; Le rapport est sauvegardé sur ton bureau (SystemLook.txt)

Dora l'exploratrice · Answer

Pour le rapport, je vais le faire demain.

Mais ce qui me surpris est que cet emplacement est introuvable dans le disque dur.

Même si j'essaie avec le bouton Ouvrir le répertoire de Kaspersky Il me présente une erreur.

H3RV3 · Answer

En effet, c'est pour cela que l'on va utiliser SystemLook, voir si le dossier existe bien.

Dora l'exploratrice · Answer

SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 02:35 on 29/07/2010 by CCMJ (Administrator - Elevation successful)

========== filefind ==========

Searching for "avira*"
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira6.ini	--a--- 247 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] 23A08BAF906D9FA02AFAC7DA77D21AE1
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avirawebprotect.ini	--a--- 213 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] 00955D076AF926C488B4E2184A9318F1
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira_avdesktop8.ini	--a--- 4855 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] A71C45CB1CB3D555BFAC82A8CF7E9A2F
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira_avdesktop8_x64.ini	--a--- 4842 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] 55C1CDDE3454E74400CAD419926371C2
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira_av_persedit_prem7.ini	--a--- 2624 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] 1B6DA11EE19B74CF8FE3EA3CDCC7D05F
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira_premav82.ini	--a--- 5477 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] 441E93AF7F9BA868882471591732CEEE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira_premav_sec.ini	--a--- 5780 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] 0F10B03247917EC4F740D88744E913EE
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira_premav_sec_x64.ini	--a--- 5933 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] F6A5878D11C041E704870A0066956423
C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\Cleaner\avira_workstat_7.ini	--a--- 260 bytes	[10:11 07/05/2010]	[10:11 07/05/2010] CEEBC8AB9619EB1412E030E628B19AED
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Avira Key Finder V2.0 2010 !!! Professional\Avira Key Finder V2.0 2010 !!! Professional on the Web.url	--a--- 51 bytes	[22:53 29/04/2010]	[23:32 29/04/2010] 4F86196F50B5D81E6209322A2AAFE56E
C:\Users\CCMJ\Documents\Downloads\Compressed\Avira Key Finder 2010_V2.0 Professional\Avira Key Finder 2010_V2.0 Professional By mando.exe	--a--- 5245467 bytes	[22:52 29/04/2010]	[02:30 31/12/2009] BDB419E02B7D68B06FAE8F11E91B4609

========== folderfind ==========

Searching for "avira*"
C:\ProgramData\Avira	d-----	[15:56 22/01/2010]
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira Key Finder V2.0 2010 !!! Professional	d-----	[22:53 29/04/2010]
C:\Users\All Users\Avira	d-----	[15:56 22/01/2010]
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Avira Key Finder V2.0 2010 !!! Professional	d-----	[22:53 29/04/2010]
C:\Users\CCMJ\Documents\Downloads\Compressed\Avira Key Finder 2010_V2.0 Professional	d-----	[22:52 29/04/2010]

-=End Of File=-

H3RV3 · Answer

Ok, supprime tous les dossiers suivants :

C:\ProgramData\Avira
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Avira Key Finder V2.0 2010 !!! Professional
C:\Users\All Users\Avira
C:\Users\All Users\Microsoft\Windows\Start Menu\Programs\Avira Key Finder V2.0 2010 !!! Professional
C:\Users\CCMJ\Documents\Downloads\Compressed\Avira Key Finder 2010_V2.0 Professional

"Avira Key Finder", çà ressemble à un keygen, vecteur de nombreuses infections !

Dora l'exploratrice · Answer

KeyGen supprimé ! 
Voici une capture : http://cjoint.com/data/hEcIkg0G6p_erora.PNG

H3RV3 · Answer

Ok, au niveau des alertes de Kaspersky, çà donne quoi ?

Dora l'exploratrice · Answer

Je lancerai une analyse complète et je t'informerai !

Trojan mahato.bhk win32 - Page 2

Discussions similaires

Newsletters