Virus Boazu.exe

oxymorehomogene Messages postés 13 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Mon disque dur externe est infecté par un virus qui s'appelle "Boazu" et à propos duquel je trouve très peu d'informations (mis à part sur un ou deux sites anglophones et espagnols mais rien de concluant).

Ce virus (qui ne doit pas être actif sur mon ordi puisque je n'ai pas dû le déclencher...enfin, je crois) se présente sous la forme d'icônes tels que "new folder", "music". Je supprime ces icônes de mon disque dur externe mais ils reviennent tout le temps; je suppose donc que je n'ai pas supprimé le(s) fichier(s) qui fait apparaître ces icônes. Cependant, dans mon disque dur, à part des films et ces fameux icônes, il n'y a aucun autre fichier.

J'ai fais plusieurs analyses avec différents antivirus mais rien n'a été trouvé.

Cependant, j'ai trouvé des informations sur ce virus sur le site prevx.com (en anglais, désolée); je vous fais un copier-coller :

The filename is associated with the malware groups:

Cloaked Malware
Malicious Software

BOAZU.SCR has been seen to perform the following behavior:

Executes a Process
Registers a Dynamic Link Library File
This process creates other processes on disk
Injects code into other processes
Performs DNS look ups to resolve URL IP addresses
Writes to another Process's Virtual Memory (Process Hijacking)
Can communicate with other computer systems using HTTP protocols
This Process Deletes Other Processes From Disk
BOAZU.SCR has been the subject of the following behavior:

Executed as a Process
Created as a process on disk
Added as a Registry auto start to load Program on Boot up
Has code inserted into its Virtual Memory space by other programs
Terminated as a Process

BOAZU.SCR can also use the following file names:

BOAZU.EXE

Voilà, alors si quelqu'un connait ce virus et sait comment l'éliminer, je suis preneuse.

En vous remerciant d'avance,

Elodie

11 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour Elodie,

    Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

    ▶ N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
    ▶ N'hésite pas à poser des questions en cas de besoin ;)
    ▶ Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
    ▶ La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.

    ▶ Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

    Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

    Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
    XP : double clic sur UsbFix

    ▶ Clique sur "Suppression"

    ▶ Laisse travailler l'outil

    ▶ Ton Bureau va disparaitre: c'est normal

    ▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    ▶ Aide en images : Tutoriel "Nettoyage"

    @+
    1
  2. oxymorehomogene Messages postés 13 Statut Membre
     
    merci pour votre réponse rapide.

    J'ai fait le scan avec Usbfix. Après le scan, les faux icônes n'étaient plus là mais mon antivirus a trouvé un virus qui n'était pas là avant le scan :"duecuf" (et dont le rapport fait pourtant mention)

    Je n'arrive pas à copier-coller le rapport car je pense que le message devient alors trop long et le site refuse de le poster. Cependant, j'imagine qu'il ne me reste plus qu'à supprimer ce fameux fichier "duecuf" ?

    merci encore pour votre aide :)
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Il me faut ce rapport :)

    ▶ Héberge le rapport d'UsbFix sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    Concernant l'alerte dudit fichier, on s'en occupera après :)
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ok, vu :)

    Nous allons effectuer un diagnostic de ton PC:
    Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    ou :
    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    ▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    ▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    ▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    ▶ Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://www.cijoint.fr/
    ou :
    http://ww38.toofiles.com/fr/documents-upload.html
    ou :
    https://www.cjoint.com/
    ou :
    https://www.casimages.com/

    ▶ Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Je suis encore là jusque 2/3 heures (cela dépendra de ma fatigue :P)

    @+
    0
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Toujours là :P

    TOn lien nefonctionne pas, il me ramène à la page d'accueil
    Essaye sur Cijoint ou cjoint
    0
  7. oxymorehomogene Messages postés 13 Statut Membre
     
    ah désolée, ce lien doit marcher normalement : http://www.cijoint.fr/cjlink.php?file=cj201101/cijKnn9txm.txt
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    En effet, il court !! lool (désolé c'est la fatigue... rhoooo ^^)

    Tu es encore infectée de partout.... Tu installe beaucoup de programmes piégés qui en plus de t'espionner, t'inondent de pub =\
    Exemples sur ton pc: offerbox, ask, pricegong.

    Éradication :

    Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Nettoyer »
    ▶ Confirme lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report[CLEAN].txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+
    0
  9. oxymorehomogene Messages postés 13 Statut Membre
     
    Bonjour, bonjour !

    Oui, effectivement, j'ai vu qu'il y avait sur mon pc des programmes "bidons" comme Ask,... Honnêtement, je n'ai aucun souvenir d'avoir volontairement téléchargé ces logiciels...

    Quoi qu'il en soit, je te poste le rapport d'Ad-remover :
    (et pour la 17ème fois, merci :)

    ======= RAPPORT D'AD-REMOVER 2.0.0.2,D | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 03/01/11 à 14:20
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 11:24:24 le 04/01/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Basique Service Pack 1 (X86)
    elodioe@PC-DE-ELODIOE (Hewlett-Packard Compaq Presario CQ61 Notebook PC)

    ============== ACTION(S) ==============

    Service: "RelevantKnowledge" Stoppé et supprimé

    Fichier supprimé: C:\Users\elodioe\AppData\Local\wxghxy.bat
    Dossier supprimé: C:\Users\elodioe\AppData\Roaming\Mozilla\FireFox\Profiles\l96y8ukq.default\extensions\{E9A1DEE0-C623-4439-8932-001E7D17607D}
    Dossier supprimé: C:\Program Files\AskBarDis
    Dossier supprimé: C:\Users\elodioe\AppData\LocalLow\Conduit
    Dossier supprimé: C:\Program Files\Conduit
    Dossier supprimé: C:\Users\elodioe\AppData\Roaming\freeTVRadio
    Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\freeTVRadio
    Dossier supprimé: C:\Users\elodioe\AppData\Roaming\live-player
    Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\live-player
    Dossier supprimé: C:\Program Files\live-player
    Dossier supprimé: C:\Users\elodioe\AppData\LocalLow\PriceGong
    Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
    Dossier supprimé: C:\Users\elodioe\AppData\Roaming\OfferBox
    Dossier supprimé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\OfferBox
    Dossier supprimé: C:\Program Files\OfferBox
    Dossier supprimé: C:\Program Files\OfferBoxSearch

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\elodioe\AppData\Roaming\Mozilla\FireFox\Profiles\l96y8ukq.default\Prefs.js --
    Ligne supprimée:
    Ligne supprimée:
    Ligne supprimée: user_pref("extensions.snipit.askTbInstalled", true);
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\CLSID\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}
    Clé supprimée: HKLM\Software\Classes\CLSID\{08993A7C-E764-4172-9627-BFB5EA6897B2}
    Clé supprimée: HKLM\Software\Classes\CLSID\{128A6C66-AC6A-4617-8268-AB7F47B7215E}
    Clé supprimée: HKLM\Software\Classes\CLSID\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{201f27d4-3704-41d6-89c1-aa35e39143ed}
    Clé supprimée: HKLM\Software\Classes\CLSID\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3041d03e-fd4b-44e0-b742-2d9b88305f98}
    Clé supprimée: HKLM\Software\Classes\CLSID\{571715D7-3395-4DF0-B43C-784836209E60}
    Clé supprimée: HKLM\Software\Classes\CLSID\{622fd888-4e91-4d68-84d4-7262fd0811bf}
    Clé supprimée: HKLM\Software\Classes\CLSID\{b0de3308-5d5a-470d-81b9-634fc078393b}
    Clé supprimée: HKLM\Software\Classes\Interface\{4634804A-F0B0-4A74-A550-FC0EEF8A4362}
    Clé supprimée: HKLM\Software\Classes\Interface\{4C07EA4F-5F52-4222-B170-4CD9ED33BAEA}
    Clé supprimée: HKLM\Software\Classes\Interface\{C44FEFF4-EF0C-4CF7-83D0-92B4266A32B9}
    Clé supprimée: HKLM\Software\Classes\Interface\{F131923C-381D-4E4C-A472-4A17118FD742}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{4B1C1E16-6B34-430E-B074-5928ECA4C150}
    Clé supprimée: HKLM\Software\Classes\TypeLib\{D2E5FA06-DCC7-46F9-BEFF-BFD06F69B9B2}
    Clé supprimée: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\wxghxy
    Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton
    Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterBarButton.1
    Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl
    Clé supprimée: HKLM\Software\Classes\AskIBar.PopSwatterSettingsControl.1
    Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin
    Clé supprimée: HKLM\Software\Classes\AskToolBar.SettingsPlugin.1
    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2542115
    Clé supprimée: HKLM\Software\freeTVRadio
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKLM\Software\Live-Player
    Clé supprimée: HKCU\Software\OfferBox
    Clé supprimée: HKCU\Software\freeTVRadio
    Clé supprimée: HKCU\Software\AskBarDis
    Clé supprimée: HKCU\Software\Live-Player
    Clé supprimée: HKCU\Software\AppDataLow\Toolbar
    Clé supprimée: HKCU\Software\AppDataLow\AskBarDis
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Software\PriceGong
    Clé supprimée: HKLM\Software\Classes\Installer\Products\5B4758C25396ECF468E04F8E063287FF
    Clé supprimée: HKLM\Software\Classes\Installer\Products\64B074831FB9EA045A886FDAD6C1D224
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\5B4758C25396ECF468E04F8E063287FF
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\64B074831FB9EA045A886FDAD6C1D224
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{32EFE7BE-DC4C-44F0-BB9C-D32BD9DA3C95}
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{32EFE7BE-DC4C-44F0-BB9C-D32BD9DA3C95}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{2C8574B5-6935-4FCE-860E-F4E8602378FF}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
    Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask Toolbar_is1

    Valeur supprimée: HKCU\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com
    Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{3041D03E-FD4B-44E0-B742-2D9B88305F98}
    Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{3041D03E-FD4B-44E0-B742-2D9B88305F98}

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [2.0.0.20 (fr)] **

    -- C:\Users\elodioe\AppData\Roaming\Mozilla\FireFox\Profiles\l96y8ukq.default\Prefs.js --
    browser.startup.homepage_override.mstone, rv:1.8.1.20

    ========================================

    ** Internet Explorer Version [8.0.6001.18999] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\Windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    AutoHide: yes
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Enable Browser Extensions: yes
    Local Page: C:\Windows\System32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Search Asst: no

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 107 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 04/01/2011 (7850 Octet(s))

    Fin à: 11:26:36, 04/01/2011

    ============== E.O.F ==============
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour Élodie,

    Tu peux dire merci à AD-Remover, relance le et clique sur Désinstaller ;)

    Ensuite, réalisons uns scan généraliste très puissant :

    ▶ Télécharge [ https://download.cnet.com/malwarebytes-anti-malware/windows.html?part=dl-10804572&subj=dl&tag=button Malwarebytes' Anti-Malware] et enregistre le sur ton bureau.

    ▶ ▶ Miroir 1 si inaccessible
    ▶ ▶ Miroir 2 si inaccessible

    ▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
    ▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
    Une fois la mise à jour terminée
    ▶ rends-toi dans l'onglet Recherche
    ▶ Sélectionne Exécuter un examen complet
    ▶ Clique sur Rechercher
    ▶ ▶ Le scan démarre.
    ▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ▶ Clique sur Ok pour poursuivre.
    ▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    ▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    ▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
    ▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
    ▶ Tu clique dessus pour l'afficher, une fois affiché
    ▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    Bonne journée :)
    0