Dropper récalcitrant Résolu/Fermé

Question

Bonjour, 



Configuration: Windows 7 / Firefox 4.0

A l'ouverture de Windows 7 et ensuite régulièrement, s'affichent successivement deux alertes identiques d'Antivir Guard :
"Un virus ou programme indésirable a été trouvé sur votre ordinateur"
c:\users\jean-Michel\sbhost.exe
ou
c:\users\jean-Michel\p.exe
Contient le cheval de Troie TR/Dropper.Gen

La mise en quarantaine, la suppression ou le refus de l'accès n'y changent rien. Ces messages reviennent invariablement suivis du message windows suivant : "error during execution ""c:\users\jean-Michel\sbhost.exe"". Le fichier specifié est introuvable.

J'ai déja procédé à un nettoyage CCleaner, Malwarebytes ce qui a eu comme conséquence de supprimer mes points de restauration.

Voici mon rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijgOeIZqc.txt

Merci à celles et ceux qui pourraient avoir la gentillesse de m'aider




Le Rapport de USBFIX
############################## | UsbFix 7.021 | [Recherche]

Utilisateur: Jean-Michel (Administrateur) # AUTANTIK [Dell Inc. Inspiron 530s]
Mis à jour le 20/08/10 par El Desaparecido / C_XX
Lancé à 10:29:52 | 26/08/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7600 32-Bit) # 
Internet Explorer 8.0.7600.16385

Pare-feu Windows: Activé
RAM -> 3326 Mo 
C:\ (%systemdrive%) -> Disque fixe # 76 Go (8 Go libre(s) - 10%) [DSK2_VOL1] # NTFS
D:\ -> Disque fixe # 128 Go (17 Go libre(s) - 13%) [] # NTFS
E:\ -> Disque fixe # 170 Go (85 Go libre(s) - 50%) [Nouveau nom] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |

Présent! C:\Users\Jean-Michel\meuij.exe   
Présent! C:\Users\Jean-Michel\vumuy.exe   

################## | Registre |

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|vumuy

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{b4e172d7-aded-11df-add5-0060b356ab31}
Shell\AutoRun\Command = K:\LaunchU3.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

varfendell · Answer

Bonjour,

Ton infection est du au telechargement de keygen et autre crack qui sont infesté de malware malicieux.

Pour commencer post moi les deux raport suivant:

 A- Option Scanner d' Usbfix ( recherche )

    * Télécharger UsbFix (d' El desaparecido & C_XX) sur le Bureau.
    * Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
    * Double-cliquer sur le programme UsbFix.exe sur le Bureau, l'installation se fera automatiquement.
    * /!\ Désactiver la garde de l'antivirus pour éviter tout conflit lors de l'utilisation de l'outil./!\
    * Cliquer sur le bouton Recherche.
    * Laisser travailler l'outil.
    * Hébèrger le rapport UsbFix.txt obtenu sur le site ci joint et mettre a la suite dans le topic l'adresse pour y acceder.
    * Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Ensuite télécharge et installe RSIT. Tu postera un rapport de la meme maniere que precedemment.

jmgognet · Answer

Voici mon rapport UsbFix selon tes conseils :
http://www.cijoint.fr/cjlink.php?file=cj201008/cij2LjEgTf.txt

jmgognet · Answer

Le rapport RSIT :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijIMl2sCi.txt

varfendell · Answer

Bien, effectivement, l'infection est bien presente.

Alors pour la suite on va commencer par vacciner tout tes périphériques:

B- Option Suppression d' Usbfix ( nettoyage )

    * Important : brancher les sources de données externes au PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.
    * Double-cliquer sur le programme UsbFix sur le Bureau.
    * Cliquer sur le bouton Suppression.
    * Le Bureau disparaîtra et réapparaîtra à la fin de la désinfection.
    * Ensuite, poster le rapport UsbFix.txt sur ci joint et me fournir le lien
    * Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

Ensuite 
 *redémarre en mode sans échec avec prise en charge du réseau.
 * Lance malwarbyte anti malbyte et met le a jour.
 * Déconnecte toi d'internet
 * Lance un scan minutieux de tes disque dur
 * A la fin du scan si infections trouvé: clique sur afficher la sélection et supprimer la sélection
 * S'il t'es demandé de redémarrer, enregistre le rapport et redémarre (en mode normal)
 * Reconnecte toi au net et héberge le rapport sur ci joint

Tu me postera les liens des deux rapports.

jmgognet · Answer

1ère partie, le rapport UsbFix après l'option suppression :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijdpIQvus.txt

jmgognet · Answer

Voici le scan malwarbyte 

http://www.cijoint.fr/cjlink.php?file=cj201008/cijkGzLEvT.txt

je vais maintenant faire ta proposition de 11h29
Merci

jmgognet · Answer

Ok
J'espère avoir procédé dans le bon ordre...

varfendell · Answer

Normalement l'infection n'est plus présentent :) 

regarde si ce fichier existe: 

C\Users\Jean-Michel\meuij.exe 

Mais le fichier qui le restaurais a chaque fois a été supprimé. 

Dit moi si tu as toujours des alertes 

La bretagne...le plus bel endroit au monde.

jmgognet · Answer

Effectivement je n'ai plus d'alerte
Dans ce chemin, j'ai un fichier : vumuy.exe  .vir datant de 10:13 et de 176ko

Visiblement, tout va bien !!
Merci 1000 fois

varfendell · Answer

Le virus que tu as eu viens de téléchargement en P2P...soit plus prudent la prochaine fois ;)

N'oublie pas de désinstaller les outils que tu as installé.

Dropper récalcitrant

10 réponses

Discussions similaires