log malwarebyte trouvé BackdoorBifroseRésolu/Fermé

Question

Bonjour, 

j'ai fais une analyse Malwarebyte et vous joint le résutat.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5094

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/11/2010 11:29:13
mbam-log-2010-11-11 (11-29-13).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 218675
Temps écoulé: 1 heure(s), 3 minute(s), 54 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Suzanne\Local Settings\Application Data\Xenocode\Sandbox\iGrabber\0.01\2010.08.28T18.33\Virtual\STUBEXE\8.0.1112\@APPDIR@\server.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.
C:\Documents and Settings\Suzanne\Local Settings\Application Data\Xenocode\Sandbox\iGrabber\0.01\2010.08.28T18.33\Virtual\STUBEXE\8.0.1112\@DESKTOP@\server.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.
C:\Documents and Settings\Suzanne\Local Settings\Application Data\Xenocode\Sandbox\iGrabber\0.01\2010.08.28T18.33\Virtual\STUBEXE\8.0.1112\@DOCUMENTS@\Downloads\server.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.
C:\Documents and Settings\Suzanne\Local Settings\Application Data\Xenocode\Sandbox\iGrabber\0.01\2010.08.28T18.33\Virtual\STUBEXE\8.0.1112\@DOCUMENTS@\My Games\server.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.
C:\Documents and Settings\Suzanne\Local Settings\Application Data\Xenocode\Sandbox\iGrabber\0.01\2010.08.28T18.33\Virtual\STUBEXE\8.0.1112\@PROFILE@\Local Settings\Temp\Rar$EX06.671\server.exe (Backdoor.Bifrose) -> Quarantined and deleted successfully.




Configuration: Windows XP / Firefox 3.6.12l

j'ai redemarer l'ordi comme me l'a demander Malwarebyte.

que dois-je faire d'autre    Merci 

PS: (j'ai voulu poster avec ci-joint mais impossible de trouver le fichier)

Smart91 · Answer

Bonjour,

Relance MBAM et vide la quarantaine. Ensuite tu fais ceci:
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

maxi26 · Answer

voilà j'espère ne pas m'être trompée.

http://www.cijoint.fr/cjlink.php?file=cj201011/cijQzObZ21.txt

Smart91 · Answer

Je pense que MBAM a fait sontravail on va quand même vérifier qq fichiers
Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Documents and Settings\Suzanne\Application Data\ezpinst.exe 
- Clique sur Send File
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

Tu fais ensuite la même chose pour:
C:\Documents and Settings\Suzanne\Application Data\desktop.ini
C:\Documents and Settings\Suzanne\Application Data\pcouffin.cat
C:\Documents and Settings\Suzanne\Application Data\pcouffin.inf

Désisntalle XP Antispy. cela ne esert plus à rien aujourd'hui.

Ensuite tu vas ceci:
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

Tu relances ZHPDiag fais un can et poste le rapport via cijoint.

Cela fait donc plusieurs rapports à poster

Smart

maxi26 · Answer

je ne sais pas retrouver les fichiers à te poster.

indique moi merci

Smart91 · Answer

Je pense que tu parles des fichiers dont j'ai demandé de faire un scan avec Virustotal. Il suffit de mettre le lien vers le rapport

Et Pour ZHPDiag, tu fais exactement ce que tu as fait au début

Smart

maxi26 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijLvcZyPC.tx

j'ai trouver celui-ci

on me demande sur le forum d'activer Javascript

maxi26 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijHopYL3v.txt

maxi26 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijMs5mShH.txt

maxi26 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijKRAKvxY.tx

Smart91 · Answer

Le premier fichier, je n'arrive pas à y accéder. le second cela n'a rien à voir avec ce que je t'ai demandé

On va repartir de zéro:
Va sur ce site https://www.virustotal.com/gui/ 
- Clique sur parcourir 
- Dans nom du fichier colle ce fichier : C:\Documents and Settings\Suzanne\Application Data\ezpinst.exe 
- Clique sur Send File 
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport dans ta réponse 

Tu fais ensuite la même chose pour chacun de ces fichiers: 
C:\Documents and Settings\Suzanne\Application Data\desktop.ini 
C:\Documents and Settings\Suzanne\Application Data\pcouffin.cat 
C:\Documents and Settings\Suzanne\Application Data\pcouffin.inf 

Smart

maxi26 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201011/cijKRAKvxY.tx

je ne sais pas si c'est dans l'ordre je suis un peu perdue

Smart91 · Answer

Je ne comprends pas ce que tu fais. Il suffit de lire exactement ce que j'ai écrit.
Tu n'as pas besoin d'aller sur ci-joint
Tu vas sur virusTotal, tu envois le fichier, tu attend que le scan se fasse. Une fois le rapport fait, tu copies l'adresse du lien qui se trouve en haut dans la barre d'adresse du navigateur internet et tu la colle dans ta réponse

Et tu refais la manip pour chacun des fichiers demandés

Smart

maxi26 · Answer

ok

maxi26 · Answer

http://www.virustotal.com/file-scan/reanalysis.html?id=38285db349b05d34727516ee8c57ead7692e6b471e7420b9a19eddc5d9bb2324-1289506921

maxi26 · Answer

abd7e7ae07d6bd4d02da883472bd89c0

maxi26 · Answer

dans la barre il y a :

file-scan/reanalysis.html?id=ec097199b6931ee3facc515eba14be947cb78b98bccef84c57cc6c4cc85419db-1289507212

puis plus bas:

MD5:	88cf0ff92a4a9fa7bd9b7513b2e9e22b

maxi26 · Answer

je t'envoie ce que j'obtiens pour l'avant dernier doc...and set... 

T Community Sign in ? My account ? Sign out Signing out...  Languages ? 
VirusTotal's website has changed, we need new translations, do you feel like helping the community? 
info@virustotal.com 
Sign in to VT Community 

Safety ratings and user comments (disinfection, in-the-wild locations, reverse engineering reports, etc.) on malware and URLs, free and easy. 
email   
password   
 Keep me logged in 
  
Sign in 
Signing in, please wait... 
 Login failed, please try again 
Forgot your password?  Create an account 
Edit my profile 
View my profile 
Inbox 
Virus Total   
Virustotal is a service that analyzes suspicious files and URLs and facilitates the quick detection of viruses, worms, trojans, and all kinds of malware detected by antivirus engines. More information... 

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: 
MD5: ab8082938bd714de371cea1bda70c8a0 
Date first seen: 2009-04-05 18:39:34 (UTC) 
Date last seen: 2010-09-03 17:09:12 (UTC) 
Detection ratio: 0/43 

What do you wish to do? 
Reanalyse  View last report

maxi26 · Answer

journée avec des invités aussi je reviens demain fatiguée........

maxi26 · Answer

merci pour ta patience.

Smart91 · Answer

Le premier lien que tu as envoyé est OK pour ce fichier:
C:\Documents and Settings\Suzanne\Application Data\pcouffin.inf 

Ce qui m'intéresse c'est qu tu fasses la même chose pour ce fichier:
C:\Documents and Settings\Suzanne\Application Data\ezpinst.exe 
Et tu postes le lien après l'anayse. Uniquement le lien

Smart

maxi26 · Answer

http://www.virustotal.com/file-scan/report.html?id=622499137c93feeb4f09652d15e15b677c38de95e19031268fbbfcb117050bd3-1288499089

maxi26 · Answer

MD5   : cda12f70283c1d0f08e5e729d8799a23

Smart91 · Answer

Bon, les fichiers ne sont pas infectés. On va faire une dernière analyse:

Ensuite tu vas ceci: 
* Télécharge Defogger (de jpshortstuff) sur ton Bureau 
* Lance le 
* Une fenêtre apparait : clique sur "Disable" 
* Fais redémarrer l'ordinateur si l'outil te le demande 
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

Tu relances ZHPDiag fais un can et poste le rapport via cijoint. 

Smart

maxi26 · Answer

bonjour Smart,

http://www.cijoint.fr/cjlink.php?file=cj201011/cijnPgNyZh.txt

pourquoi quant j'ouvre mon ordi l'image de compact puis pendant un moment l'écran est noir avec juste le curseur en haut à gauche "il cherche' et enfin Windows s'installe alors qu'avant cela se faisait tout de suite.

ça c'est une chose que j'ai remarquer depuis longtemps.

Smart91 · Answer

Pour moi cela a l'air OK.
Il est parfois normal d'avoir un écran noir avant le chargement de Windows. Cela dépend de beaucoup de choses.

On va faire l'optimisation du PC
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

----------------------------------------------------------
OPT:O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher  [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
OPT:O4 - HKLM\..\Run: [MSConfig] . (.Microsoft Corporation - Utilitaire de configuration système.) -- C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe
[HKCU\Software\Cote dAzur Palace Casino]
[HKCU\Software\Craps.com]
[HKCU\Software\ECBarre_V5]
[HKCU\Software\MGS]
[HKLM\Software\Boonty]
[HKLM\Software\Craps.com]
OPT:O53 - SMSR:HKLM\...\startupreg\MSConfig  [Key] . (.Microsoft Corporation - Utilitaire de configuration système.) -- C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe
OPT:O64 - Services: CurCS - (.not file.) - Service Bonjour (Bonjour Service)  .(.Pas de propriétaire - Pas de description.) - LEGACY_BONJOUR_SERVICE
O69 - SBI: C:\Documents and Settings\Suzanne\Application Data\Mozilla\Firefox\Profiles\x7h1riq5.default\searchplugins\conduit.xml
O64 - Services: CurCS - (.not file.) - 50cd22cc (50cd22cc)  .(.Pas de propriétaire - Pas de description.) - LEGACY_50CD22CC
O64 - Services: CurCS - (.not file.) - 613a3730 (613a3730)  .(.Pas de propriétaire - Pas de description.) - LEGACY_613A3730
O64 - Services: CurCS - (.not file.) - BC_HASH_Filter (bc_hash_f)  .(.Pas de propriétaire - Pas de description.) - LEGACY_BC_HASH_F
O64 - Services: CurCS - (.not file.) - FILEMON701 (FILEMON701)  .(.Pas de propriétaire - Pas de description.) - LEGACY_FILEMON701

----------------------------------------------------------
-  Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
-  Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
-  Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse


Smart

maxi26 · Answer

désolée Smart je ne peux venir que de temps en temps mais je suis ce que tu me dit
par contre avant de copier les lignes que tu m'indiques
voilà que avira  guard m'a trouver 
C:\System Volume Information\_restore{DBC17085-E5CD-45DA-85A9-DA58D718F2FA}\RP1002\A0087142.exe
TR/Trash.Gen

que dois-je faire car il ne me l'a pas mis en quarantaine      merci

Smart91 · Answer

En fait Antivir a trouvé une infection dans un point de restatuartion Système
Continue la procédure donnée. De toute façon en fin de désinfection nous allons faire la purge de cette restauration sytème et récéer un point de restauration sain

Smart

maxi26 · Answer

ok dés demain je fais tout ce que tu m'as indiquer

bonne nuit

Smart91 · Answer

Bonne nuit à toi aussi.
Demain je serai occupé par mon travail mais je te réponds dès que je peux.

Smart

maxi26 · Answer

Rapport de ZHPFix 1.12.3216 par Nicolas Coolman, Update du 09/11/2010
Fichier d'export Registre : 
Run by Suzanne at 15/11/2010 08:26:53
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O53 - SMSR:HKLM\...\startupreg\Adobe Reader Speed Launcher [Key] . (.Pas de propriétaire - Pas de description.) -- "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe  => Clé absente
HKCU\Software\Cote dAzur Palace Casino  => Clé absente
HKCU\Software\Craps.com  => Clé absente
HKCU\Software\ECBarre_V5  => Clé absente
HKCU\Software\MGS  => Clé absente
HKLM\Software\Boonty  => Clé absente
HKLM\Software\Craps.com  => Clé absente
O53 - SMSR:HKLM\...\startupreg\MSConfig [Key] . (.Microsoft Corporation - Utilitaire de configuration système.) -- C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe  => Clé absente
O64 - Services: CurCS - (.not file.) - Service Bonjour (Bonjour Service) .(.Pas de propriétaire - Pas de description.) - LEGACY_BONJOUR_SERVICE  => Clé absente
O64 - Services: CurCS - (.not file.) - 50cd22cc (50cd22cc) .(.Pas de propriétaire - Pas de description.) - LEGACY_50CD22CC  => Clé absente
O64 - Services: CurCS - (.not file.) - 613a3730 (613a3730) .(.Pas de propriétaire - Pas de description.) - LEGACY_613A3730  => Clé absente
O64 - Services: CurCS - (.not file.) - BC_HASH_Filter (bc_hash_f) .(.Pas de propriétaire - Pas de description.) - LEGACY_BC_HASH_F  => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - FILEMON701 (FILEMON701) .(.Pas de propriétaire - Pas de description.) - LEGACY_FILEMON701  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [RTHDCPL] . (.Realtek Semiconductor Corp. - Realtek HD Audio Control Panel.) -- C:\Windows\RTHDCPL.exe  => Valeur absente
O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe  => Valeur absente
O4 - HKLM\..\Run: [MSConfig] . (.Microsoft Corporation - Utilitaire de configuration système.) -- C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.exe  => Valeur absente

========== Fichier(s) ==========
c:\documents and settings\suzanne\application data\mozilla\firefox\profiles\x7h1riq5.default\searchplugins\conduit.xml ()   => Fichier absent


========== Récapitulatif ==========
13 : Clé(s) du Registre
3 : Valeur(s) du Registre
1 : Fichier(s)


End of the scan

Smart91 · Answer

Il reste des traces de Panda Software qui atété ma désinstallé.
Pour bien le désisntaller ==> http://www.pandasecurity.com/france/homeusers/support/techsupport/card/06card_55500.htm

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et céer un point de restauration 
Dans la barre des tâches de Windows, clique sur Démarrer. 
Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
Clique sur Appliquer. 
Ensuite décoche "Désactiver la restauration du systeme" 
Clique sur appliquer puis ok 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Voilà pour moi c'est terminer. Si tu as des questions, n'hésite pas

Smart

maxi26 · Answer

le lien de désinstallation de Panda ne fonctionne pas

maxi26 · Answer

voilà j'ai fini toutes tes recommandations, je te remercie beaucoup

pour vuze  je m'en sert très rarement et me demande si je ne le vire pas et le réinstalle si j'en ai besoin ?

je ne manquerais pas à te demander pour les questions éventuelles.

Tiens j'en ai une : Je voudrais tenir mes comptes de la maison mais est-ce prudent ?
et quel logiciel car il y en a beaucoup bien sur gratuit ?

encore merci à toi Smart

Smart91 · Answer

"le lien de désinstallation de Panda ne fonctionne pas"
Je viens de tester le lien et no PB.

"Je voudrais tenir mes comptes de la maison mais est-ce prudent ? 
et quel logiciel car il y en a beaucoup bien sur gratuit ?"
Je ne suis pas sûr d'être la bonne personne. moi je gère mes compte sous excel
Il y a qq années j'avais utilisé Money de microsoft mais qui est payant. Il existe une alternative gratuite Money Manager ==>
https://www.commentcamarche.net/telecharger/bureautique/30203-money-manager-ex/
Tu peux demander des avis sur le forum logiciel 

Smart

Log malwarebyte trouvé BackdoorBifrose

34 réponses

Discussions similaires

Newsletters