Problème prablinha (botnet ?)
skyw4rri0r
Messages postés
10
Statut
Membre
-
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,
Je soupçonne mon pc d'être un "zombie", car cela arrive à mon ordinateur de m'afficher "Prablinha a cessé de fonctionner", malheureusement, par une bref recherche sur internet, je vois que prablinha est un logiciel open source générateur de botnets, regardez par vous même :
http://www.indetectables.net/foro/viewtopic.php?f=7&t=29086
https://groups.google.com/forum/#!topic/es.comp.hackers/6HpJT-WCBhg
https://www.youtube.com/watch?v=n6M4_3NW8xY
Comment puis je m'en débarrasser ?
Cordialement,
Hedi
Je soupçonne mon pc d'être un "zombie", car cela arrive à mon ordinateur de m'afficher "Prablinha a cessé de fonctionner", malheureusement, par une bref recherche sur internet, je vois que prablinha est un logiciel open source générateur de botnets, regardez par vous même :
http://www.indetectables.net/foro/viewtopic.php?f=7&t=29086
https://groups.google.com/forum/#!topic/es.comp.hackers/6HpJT-WCBhg
https://www.youtube.com/watch?v=n6M4_3NW8xY
Comment puis je m'en débarrasser ?
Cordialement,
Hedi
13 réponses
-
salut
* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Lance le.
* Lorsque demandé, tape 1 et valide
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.
-
Ok, relance RogueKiller en mode 2. Ensuite passe le mode 4
-
Mouais, il va rester des trucs qui réactivent l'infection, surtout celui là:
Killed c:\users\hedi\appdata\local\svchos.exe
EDIT:
Désolé c'est ma faute. Pour rogueKiller
* Sous Vista/Seven, => Clique droit, lancer en tant qu'admin
Repasse un mode 2 comme ça.
-------
ensuite
* Télécharge ZHPDiag
Capture
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Heberge le rapport ici: cijoint et colle le lien dans la réponse
Contributeur SECURITE *** Développeur de RogueKiller ***
Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil -
Télécharger sur le bureau
AD-Remover
= Double-Clic AD-R pour l'installer
= Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
= Faire Nettoyer
= En fin de scan donner le rapport -
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
ok, je viens de voir que ton Malwarebytes n'est pas à jour.
Mets le à jour et refait un scan avec -
Merci pour votre réponse, entre temps j'ai lancé Malware Bytes Anti malware, cela me donne ça :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4583
Windows 6.0.6000
Internet Explorer 7.0.6000.16851
10/02/2011 15:15:11
mbam-log-2011-02-10 (15-15-11).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 416995
Temps écoulé: 2 heure(s), 45 minute(s), 50 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{oxwap72m-447i-46ii-xi8o-u3bol0v3s004} (Generic.Bot.H) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Windows\System32\install\msnm.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\Users\Hedi\AppData\Roaming\Mozilla\Firefox\{4bcdbfd0-fa26-11de-8a39-0800200c9a66}\components\gpff.dll (Adware.Agent) -> Quarantined and deleted successfully.
C:\Users\Hedi\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Hedi\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Hedi\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Hedi\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Hedi\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
Ensuite : pour votre logiciel RogueKiller :
RogueKiller V3.9.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows Vista (6.0.6000 ) 32 bits version
Started in : Normal mode
User: Hedi [Restricted rights]
Mode: Scan -- Time : 10/02/2011 19:29:19
Bad processes:
Found:
HKCU\...\RUN\ srservys : C:\Users\Hedi\AppData\Local\sytem.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:6092
HOSTS File:
127.0.0.1 localhost
::1 localhost
127.0.0.1 activate.adobe.com
Finished
Merci pour votre aide -
Voilà les logs :
RogueKiller V3.9.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows Vista (6.0.6000 ) 32 bits version
Started in : Normal mode
User: Hedi [Restricted rights]
Mode: Remove -- Time : 11/02/2011 16:35:38
Bad processes:
Killed c:\users\hedi\appdata\local\svchos.exe
Killed c:\users\hedi\appdata\local\sytem.exe
Deregistred:
HKCU\...\RUN\ srservys : C:\Users\Hedi\AppData\Local\sytem.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:6092 ...NOT REMOVED, USE PROXYFIX
HOSTS File:
127.0.0.1 localhost
::1 localhost
127.0.0.1 activate.adobe.com
Finished
Ensuite :
RogueKiller V3.9.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows Vista (6.0.6000 ) 32 bits version
Started in : Normal mode
User: Hedi [Restricted rights]
Mode: ProxyFix -- Time : 11/02/2011 16:36:41
Bad processes:
Deregistred:
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:6092
Finished -
Pour RogueKiller, cela me donne ça :
RogueKiller V3.9.0 by Tigzy
contact at https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Feedback: https://www.luanagames.com/index.fr.html
Operating System: Windows Vista (6.0.6000 ) 32 bits version
Started in : Normal mode
User: Hedi [Admin rights]
Mode: Remove -- Time : 11/02/2011 19:29:18
Bad processes:
Deregistred:
HOSTS File:
127.0.0.1 localhost
::1 localhost
127.0.0.1 activate.adobe.com
Finished
Ensuite, pour ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201102/cijRiDpJJH.txt
Un grand merci encore pour votre aide -
Voilà le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijn5bdMV0.txt
Merci !!! ce logiciel est SUPER, il m'a supprimé tous les petits logiciels qui ne servent à rien et qui empestent mon pc (OfferBox, EoRezo, etc...), d'ailleurs je pensais les avoir complètement supprimé.
Cordialement,
Hedi -
Je n'arrive pas à trouver la dernière version =/
EDIT : c'est bon, je passerais le Scan demain -
Voilà le rapport :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 5750
Windows 6.0.6000
Internet Explorer 7.0.6000.16851
13/02/2011 17:36:57
mbam-log-2011-02-13 (17-36-57).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 325896
Temps écoulé: 3 heure(s), 54 minute(s), 36 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QuestBrowser Service (Adware.QuestBrowser) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\programdata\questbrowser\questbrowser117.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
c:\program files\questbrowser\questbrowser.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
c:\Users\Hedi\AppData\Local\svchos.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\Users\Hedi\AppData\Local\sytem.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\Users\Hedi\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\1IDRRT51\microsoftnetwork.net[1].exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
c:\Users\Hedi\AppData\Local\Temp\nsn4150.tmp\questbrowser.dll (Adware.Agent.Gen) -> Quarantined and deleted successfully.
c:\Users\Hedi\AppData\Local\Temp\nsn4150.tmp\questbrowser.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
c:\Users\Hedi\AppData\Local\Temp\nsn4150.tmp\uninstall.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
c:\Users\Hedi\Desktop\Bureau\usb romane\launcher.exe (Backdoor.Bot) -> Quarantined and deleted successfully. -
-
Quelques bidules à virer.
Repasse un coup de RogueKiller en mode 2, il devrait virer quelques clés.
-------
Une infection USB
USBFix est un outil développé par Chiquitine29 et C_XX qui supprime certaines infections USB et nettoye les périphériques amovibles.
Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
d'avoir été infectés
Télécharger USBFix
- Lancer USBFix.exe
- Choisir Suppression
- Puis ok
- Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
- laisser le nom par défaut, enregistrer sur le bureau
- copier coller le contenu du fichier texte dans la fenetre de réponse
-------
Ensuite,
Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix.
Ensuite clique sur le H "Coller les lignes Helper"
Copie colle ces lignes dans la fenêtre
O4 - HKLM\..\Run: [HKLM] C:\Windows\system32\install\msnm.exe (.not file.)
O4 - HKCU\..\Run: [HKCU] . (.Av Company - WTF Module.) -- C:\Users\Hedi\AppData\Roaming\Win32\notepad.exe
O4 - HKLM\..\policies\Explorer\Run: [Policies] C:\Windows\system32\install\msnm.exe (.not file.)
O4 - HKCU\..\policies\Explorer\Run: [server] C:\Users\Hedi\AppData\Roaming\drivers32.exe (.not file.)
O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\system32\install\msnm.exe (.not file.)
O4 - HKUS\S-1-5-21-1351245204-2888024487-3157022696-1009\..\Run: [HKCU] . (.Av Company - WTF Module.) -- C:\Users\Hedi\AppData\Roaming\Win32\notepad.exe
[HKCU\Software\Softonic]
[HKCU\Software\SweetIM]
C:\Program Files\1964
C:\Users\Hedi\AppData\Roaming\0D3F7004D0DCC75281AD73FE40AD9B49
C:\Users\Hedi\AppData\Roaming\4CA70C52EBFED07567236B5093E03215
C:\Users\Hedi\AppData\Roaming\B5818E8168BEC662A0DB8B3E7EB582F1
Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer"
ZHPFix va générer un rapport, envoie le pour vérification.