Probable infection par batimal ...

Résolu
Gwen -  
 gen-hackman -
Bonjour,

Il y a quelques jours, mes recherches google ont commencé à être perturbées : quand je cliquais sur le résultat proposé, mon navigateur était redirigé vers un autre site, la plupart du temps gameo.
Je précise que je ne faisait rien de répréhensible, juste télécharger quelques posters rigolos sur motifake.

Avast me dit que explorer.exe et winlogon.exe sont infectés, mais ne peux pas les réparer, et vu les fichiers, je me suis dit que ça serait une mauvaise idée de les supprimer.
Par ailleurs, Malwarebytes ne trouve rien.



Après quelques recherches, il me semble que le pc est infecté par un machin appelé batimal.

Une petite recherche plus tard, j'ai suivi les instructions de cette page :
https://www.commentcamarche.net/faq/30383-infection-bamital

Voici les reports de explorer.exe et winlogon.exe sur le site totalvirus :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijrGrob82.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijYuQ8pg5.txt

Et les reports ZHPDiag et ZHPSearch :
http://www.cijoint.fr/cjlink.php?file=cj201101/cijvNNNsrw.txt
http://www.cijoint.fr/cjlink.php?file=cj201101/cijSH8kk0c.txt

J'ai aussi téléchargé ComboFix et installé la console de récupération windows.

D'après ce que j'ai compris sur d'autres topics, il s'agirait maintenant d'analyser ces fichiers, puis d'écrire un script pour permettre à ComboFix de nettoyer ma machine.
Je le ferait bien moi même, mais je n'ai pas l'expertise pour ...

Merci d'avance pour votre aide !

Gwen

ps : édité pour corriger la fôte daurtografe dans le titre ...

13 réponses

  1. Excessimo Messages postés 2352 Statut Membre 157
     
    ===============COMBOFIX==================

    Ce logiciel est puissant, lis bien les instructions, ne PAS utiliser SEUL ou SANS l'avis d'un helper !

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau impérativement !!

    /!\Désactive les logiciels de protection (Antivirus, Antispywares), déconnecte toi d'internet /!\ puis :

    Double-clic sur combofix (si tu as Vista ou windows 7 => clic droit "executer en tant que....) , accepte la licence d'utilisation et laisse toi guider.

    Installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé (ne touche à rien durant son travail !!), en fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    Un rapport sera créé, il se trouve ici C:\Combofix.txt.
    Héberge le rapport sur https://www.cjoint.com/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    tutorial pour t'aider au cas où :) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Note : si Combofix ne se lance pas, renomme le fichier Combofix et réessaye

    Si malgré tout ça ne fonctionne pas, tente en mode sans échec sans prise en charge du réseau : Redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.
    0
  2. Gwen
     
    Salut Excessimo,

    Voici le rapport ComboFix :
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijzrfC0qO.txt

    Merci pour cette réponse rapide !

    Gwen
    0
  3. Excessimo Messages postés 2352 Statut Membre 157
     
    Télécharge SEAF (de C_XX) sur ton Bureau.

    [x] Lance SEAF
    [x] Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires" et "Chercher également dans le Registre"
    [x] Tape dans le champs de recherche :

    explorer.exe
    winlogon.exe

    [x] clique sur "Lancer la recherche" et patiente.
    [x] Poste dans ta prochaine réponse le rapport qui apparait à la fin de la recherche
    0
  4. Gwen
     
    Hop :

    1. ========================= SEAF 1.0.1.0 - C_XX
    2.
    3. Commencé à: 18:21:24 le 29/01/2011
    4.
    5. Valeur(s) recherchée(s):
    6. explorer.exe winlogon.exe
    7.
    8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
    9.
    10. (!) --- Calcul du Hash "MD5"
    11. (!) --- Informations supplémentaires
    12. (!) --- Recherche registre
    13.
    14. ====== Fichier(s) ======
    15.
    16. Aucun fichier trouvé
    17.
    18.
    19. ====== Entrée(s) du registre ======
    20.
    21. Aucun élément dans le registre trouvé
    22.
    23. =========================
    24.
    25. Fin à: 18:23:08 le 29/01/2011
    26. 182409 Éléments analysés
    27.
    28. =========================
    29. E.O.F

    Merci,
    Gwen
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      je t'ai donné une mauvaise consigne,

      tape ceci (sans guillements) :

      "explorer.exe ; winlogon.exe"
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Gwen
     
    Re-hop :

    http://www.cijoint.fr/cjlink.php?file=cj201101/cijpS8C4G9.txt

    (cette fois-ci, y'avait un peu plus, j'me suis dit que c'était mieux en cijoint ...)

    Merci,

    Gwen
    0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Salut,

    je réitère,

    Combofix et ZHPSearch avaient déjà dit que tu ne trouveras pas de substitut aux fichiers patchés sur l'ordi.

    C'est surprenant.

    Ton Windows est légitime ?
    @+
    Science sans conscience n'est que ruine de l'âme. Rabelais
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      merci de ne pas t'incruster.

      Cordialement
      0
    2. gen-hackman
       
      salut pas gentil ca...!!
      0
    3. Excessimo Messages postés 2352 Statut Membre 157
       
      Oui

      :$

      Tu sais bien que j'aime pas trop ça, les "incrustes". Allez sans rancune Lyonnais :)

      Bonne nuit Gen ! ;)
      0
    4. gen-hackman
       
      si ce sont des "incrustes" de bon conseil comme les donne Lyonnais je ne vois pas le probleme...
      0
    5. Excessimo Messages postés 2352 Statut Membre 157
       
      d'un côté il m'a rien "appris" de plus, je passais SEAF juste au cas, car en effet ça m'étonnais qu'il n'y ai pas de copie de explorer et winlogon...
      0
  8. Gwen
     
    Fichiers téléchargés.

    C'est grave docteur ?

    Gwen
    0
  9. Excessimo Messages postés 2352 Statut Membre 157
     
    mets les fichiers que je t'ai fait télécharger dans C:\

    puis imprime ces instructions :

    redémarre ton PC, tapotes la touche F8 avant l'apparition du logo Windows et sélectionne la console de récupération.

    Tapes ces commandes une par une en validant par entrée après chaque commande !!

    del C:\Windows\Explorer.exe [tape entrée sur ton clavier]
    del C:\Windows\System32\Winlogon.exe [tape entrée sur ton clavier]

    copy C:\explorer.exe C:\Windows\ [tape entrée sur ton clavier]
    copy C:\winlogon.exe C:\Windows\System32\ [tape entrée sur ton clavier]

    exit [tape entrée sur ton clavier]
    0
  10. Gwen
     
    Commandes exécutées dans la console de récupération.
    Seules différences avec les instructions :
    - je n'ai pas eu à faire r pour réparer, la console m'a directement demandé sur quelle session je voulais travailler.
    - la commande shutdown ne fonctionnait pas, il fallait faire exit
    C'est peut être pas la même version ...

    J'ai fait un scan rapide avec Avast ensuite, il n'a détecté aucune menace.
    Je fait un scan minutieux en plus, ou je doit faire d'autre choses ?

    Encore merci,
    Gwen
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      Nickel rescan sur virus total explorer et winlogon
      0
    2. Excessimo Messages postés 2352 Statut Membre 157
       
      et bravo d'avoir réussi à te débrouiller seul pour la commande exit :)
      0
  11. Gwen
     
    Alors,

    Rapports virus total pour explorer et winlogon :
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijcp3NAQ9.txt
    http://www.cijoint.fr/cjlink.php?file=cj201101/cijGA1IjKn.txt

    Apparement il reste une tache sur winlogon ...

    Rapport de Malwarebyte :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5635

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    29/01/2011 20:03:14
    mbam-log-2011-01-29 (20-03-14).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 129704
    Temps écoulé: 1 minute(s), 42 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 2

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\explorer.exe (Worm.AutoRun) -> Quarantined and deleted successfully.
    c:\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.

    Pour exit, j'ai pas de mérite, c'était écrit au dessus du prompt ...

    Merci,
    Gwen
    0
  12. Excessimo Messages postés 2352 Statut Membre 157
     
    C'est finit Bamital ! :)

    commence par mettre à jour Windows c'est très très important !
    Pour ce faire, va ici :
    http://v4.windowsupdate.microsoft.com/windowsupdate/v6/default.aspx

    Mets à jour Firefox ! lancer firefox cliquer en haut sur ? puis rechercher mises à jour.

    1- NOUS ALLONS METTRE A JOUR TON PC

    Tout dabord désinstalles tout ce qui ne te sert pas, ça te fait de l'espace en plus

    Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitées par un programme malveillant.

    1ère étape : Java

    > Télécharge JavaRa puis décompresse le sur ton bureau.
    > Ouvre le dossier JavaRa puis exécute JavaRa.exe.
    > Clique sur "Search For Updates".
    > Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
    > Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
    > Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
    > Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
    > Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

    /!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à cette adresse puis passe directement à la partie " Remove Older Versions " /!\

    2ème étape : Adobe Reader

    > Si tu utilises adobe reader, il est important qu'il soit à jour.
    > Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC
    > Pour vérifier qu'adobe reader est à jour, lance le puis clique sur [Aide] -> [Rechercher les mises à jour]

    3ème étape : Mise à jour des logiciels

    > Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
    > Télécharge le Ici
    > Un tutoriel pour son utilisation est disponible Ici.

    2- Vacciner les supports amovibles

    > Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
    > Télécharge USBfix puis lance le. (Clique droit/Exéuter en tant qu'administrateur pour Vista/7).
    > Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option [Vacciner].
    > Appuie sur [Ok] au message de confirmation.
    > Une fois la vaccination terminée, relance usbfix et choisis l'option désinstaller.

    Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )

    3- DelFix

    > Télécharge DelFix sur ton bureau.
    > Lance le.
    > Clique sur Supression puis valide en appuyant sur [Entrée].
    > Patiente pendant le scan jusqu'à l'ouverture du rapport.
    > Copie/Colle le contenu du rapport dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\DelFixSearch

    4- Optimisation

    1ère étape : Suppression des fichiers inutiles

    > Télécharge CCleaner
    > Installe le, puis lance le.
    > Va dans l'onglet "Options" puis " Avancé " et décoche " Effacer uniquement les fichiers[...] ".
    > Cliques sur l'onglet " Nettoyeur " puis cliques sur [Analyser] . A la fin de l'analyse, clique sur [Nettoyer].
    > Rends toi à l'onglet " Registre " puis cliques sur [Chercher les erreurs]. Cliques ensuite sur [Corriger les erreurs séléctionnées].
    > Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après

    la suppression )
    > Cliques ensuite sur [Corriger toutes les erreurs sélectionnées] puis sur [Fermer]
    > Tu peux renouveller ces opérations tous les jours.

    2ème étape : Défragmentation

    Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

    > Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
    > Clique sur [Propriété] puis sur l'onglet [Outils]
    > Clique sur [Defragmenter maintenant] puis sélectionne le disque dur à défragmenter (le C:\ en temps normal).

    3ème étape : Vérification des disques

    > Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
    > Clique sur [Propriété] puis sur l'onglet [Outils]
    > Clique sur [Vérifier maintenant] puis coche les deux cases présentes.
    > Clique sur [Démarrer] ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

    4ème étape : Désactivation des programmes au démarrage

    > Lance CCleaner
    > Va dans [Outils] puis [Démarrage]
    > Désactives les lignes que tu jugent inutiles
    > Veilles à ne pas désactiver la/les lignes correspondantes à ton antivirus

    4- Purge de la restauration système

    La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

    > Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.

    > Tutoriels :

    - Windows XP
    - Windows Vista
    - Windows 7

    N'oublies pas de réactiver la restauration système.

    5- UAC ( Uniquement pour Vista/Seven )

    Si tu as désactivé l'UAC, il est important de la réactiver.

    -> Pourquoi garder l'UAC activée?

    6- Secunia PSI

    Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

    ->met à jour les autres avec secunia téléchargeable ici.
    ->TUTO, voir section Secunia Personal Software Inspector (Secunia PSI)

    7- Liens utiles

    Ces liens sont en rapport direct avec la sécurité de ton PC.
    Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

    - Les dangers du P2P
    - La sécurité de son PC, c'est quoi?
    - Sécuriser son ordinateur
    - Pourquoi maintenir son navigateur à jour?
    - Les toolbars c'est pas obligatoire

    Bon surf et @+++ ;)
    (je te conseille de garder Malwarebyte's et de passer des scans complet de temps en temps, ne pas oublier de le mettre à jour avant un scan ;)
    Et n'oublies pas de passer ton sujet en RESOLU.

    [FIN]
    0
  13. Gwen
     
    ET hop :

    Java : updaté, mais j'ai bêtement oublié de sauvegarder le rapport ... J'ai téléchargé la dernière jre.

    Adobe reader : pas vraiment utilisé, mais mis à jour quand même

    Mise à jour des logiciels : téléchargé

    Clé USB : vaccinée

    Delfix : exécuté (par ailleurs, ton lien me renvoie une erreur 404)
    Rapport :

    # DelFix v7.1 - Rapport créé le 29/01/2011 à 21:17
    # Mis à jour le 16/01/11 à 15h30 par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : Moi - MERLIN (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\Moi\Bureau\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    -> C:\Qoobox\BackEnv ... ACL modifié avec succès.
    Supprimé : C:\Qoobox
    Supprimé : C:\USBFix
    Supprimé : C:\tdsskiller
    Supprimé : C:\MyHosts
    Supprimé : C:\Combofix
    Supprimé : C:\Program Files\Ad-Remover
    Supprimé : C:\Program Files\ZHPDiag
    Supprimé : C:\Program Files\SEAF
    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\ComboFix.txt
    Supprimé : C:\SeafLog.txt
    Supprimé : C:\JavaRa.log
    Supprimé : C:\WINDOWS\grep.exe
    Supprimé : C:\WINDOWS\PEV.exe
    Supprimé : C:\WINDOWS\NIRCMD.exe
    Supprimé : C:\WINDOWS\MBR.exe
    Supprimé : C:\WINDOWS\sed.exe
    Supprimé : C:\WINDOWS\SWREG.exe
    Supprimé : C:\WINDOWS\SWSC.exe
    Supprimé : C:\WINDOWS\SWXCACLS.exe
    Supprimé : C:\WINDOWS\zip.exe
    Supprimé : C:\Documents and Settings\Moi\Bureau\MyHosts.exe
    Supprimé : C:\Documents and Settings\Moi\Bureau\ComboFix.exe
    Supprimé : C:\Documents and Settings\Moi\Bureau\UsbFix.exe
    Supprimé : C:\Documents and Settings\Moi\Bureau\SEAF.exe
    Supprimé : C:\Documents and Settings\Moi\Bureau\AD-R.lnk
    Supprimé : C:\Documents and Settings\Moi\Bureau\Load_tdsskiller.exe
    Supprimé : C:\Documents and Settings\Moi\Bureau\ZHPDiag2.exe
    Supprimé : C:\Documents and Settings\Moi\Bureau\RKreport.txt
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\SOFTWARE\Ad-Remover
    Clé Supprimée : HKLM\Software\swearware
    Clé Supprimée : HKLM\Software\Classes\.cfxxe
    Clé Supprimée : HKLM\Software\Classes\cfxxefile
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
    Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SEAF
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe

    ~~~~~~ Autre ~~~~~~

    -> BitDefender Online Scanner ... Désinstallé avec succès

    ########## EOF - "C:\DelFixSuppr.txt" - [2904 octets] ##########

    CCleaner : ben y'en avait des saletés à trainer ...

    Défragmentation : ça m'était complètement sorti de la tête, j'aurais du le faire il y a longtemps.

    Disques : vérifiés

    Programmes au démarrage : virés 2-3

    Restauration système : purgée et réactivée

    Secunia PSI : téléchargé, quelques programmes mis à jour

    Liens utiles : je regarderais, mais pas ce soir, parceque après une semaine à 5 journées de 12h au bureau, plus aujourd'hui, je commence à marquer le pas ...

    Ouf !

    Je vais mettre le sujet en résolu, redémarrer, et passer un scan minutieux juste pour le principe.

    Merci beaucoup pour ton aide et ta réactivité !

    Gwen
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      ;)
      0