Problème prablinha (botnet ?)

skyw4rri0r Messages postés 10 Statut Membre -  
Tigzy Messages postés 7983 Statut Contributeur sécurité -
Bonjour,
Je soupçonne mon pc d'être un "zombie", car cela arrive à mon ordinateur de m'afficher "Prablinha a cessé de fonctionner", malheureusement, par une bref recherche sur internet, je vois que prablinha est un logiciel open source générateur de botnets, regardez par vous même :
http://www.indetectables.net/foro/viewtopic.php?f=7&t=29086
https://groups.google.com/forum/#!topic/es.comp.hackers/6HpJT-WCBhg
https://www.youtube.com/watch?v=n6M4_3NW8xY

Comment puis je m'en débarrasser ?

Cordialement,
Hedi

13 réponses

  1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    salut

    * Télécharge sur le bureau RogueKiller (par tigzy)
    * Quitte tous tes programmes en cours
    * Lance le.
    * Lorsque demandé, tape 1 et valide
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    2
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ok, relance RogueKiller en mode 2. Ensuite passe le mode 4
    1
  3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Mouais, il va rester des trucs qui réactivent l'infection, surtout celui là:
    Killed c:\users\hedi\appdata\local\svchos.exe

    EDIT:

    Désolé c'est ma faute. Pour rogueKiller

    * Sous Vista/Seven, => Clique droit, lancer en tant qu'admin

    Repasse un mode 2 comme ça.

    -------

    ensuite

    * Télécharge ZHPDiag
    Capture

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Sous vista/seven, si un message d'erreur apparait , clique droit => exécuter en tant qu'admin
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Heberge le rapport ici: cijoint et colle le lien dans la réponse

    Contributeur SECURITE *** Développeur de RogueKiller ***
    Pas de rapports par MP, hébergez les sur www.cijoint.fr. Pas de désinfection par MP, merci d'ouvrir un fil
    1
  4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Télécharger sur le bureau
    AD-Remover
    = Double-Clic AD-R pour l'installer
    = Double-Clic AD-Remover, raccourci qui vient de se créer sur le bureau
    = Faire Nettoyer
    = En fin de scan donner le rapport
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    ok, je viens de voir que ton Malwarebytes n'est pas à jour.
    Mets le à jour et refait un scan avec
    1
  7. skyw4rri0r Messages postés 10 Statut Membre
     
    Merci pour votre réponse, entre temps j'ai lancé Malware Bytes Anti malware, cela me donne ça :

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4583

    Windows 6.0.6000
    Internet Explorer 7.0.6000.16851

    10/02/2011 15:15:11
    mbam-log-2011-02-10 (15-15-11).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 416995
    Temps écoulé: 2 heure(s), 45 minute(s), 50 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{oxwap72m-447i-46ii-xi8o-u3bol0v3s004} (Generic.Bot.H) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Windows\System32\install\msnm.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
    C:\Users\Hedi\AppData\Roaming\Mozilla\Firefox\{4bcdbfd0-fa26-11de-8a39-0800200c9a66}\components\gpff.dll (Adware.Agent) -> Quarantined and deleted successfully.
    C:\Users\Hedi\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
    C:\Users\Hedi\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Users\Hedi\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Users\Hedi\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.
    C:\Users\Hedi\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.

    Ensuite : pour votre logiciel RogueKiller :

    RogueKiller V3.9.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows Vista (6.0.6000 ) 32 bits version
    Started in : Normal mode
    User: Hedi [Restricted rights]
    Mode: Scan -- Time : 10/02/2011 19:29:19

    Bad processes:

    Found:
    HKCU\...\RUN\ srservys : C:\Users\Hedi\AppData\Local\sytem.exe
    HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:6092

    HOSTS File:
    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 activate.adobe.com

    Finished

    Merci pour votre aide
    0
  8. skyw4rri0r Messages postés 10 Statut Membre
     
    Voilà les logs :

    RogueKiller V3.9.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows Vista (6.0.6000 ) 32 bits version
    Started in : Normal mode
    User: Hedi [Restricted rights]
    Mode: Remove -- Time : 11/02/2011 16:35:38

    Bad processes:
    Killed c:\users\hedi\appdata\local\svchos.exe
    Killed c:\users\hedi\appdata\local\sytem.exe

    Deregistred:
    HKCU\...\RUN\ srservys : C:\Users\Hedi\AppData\Local\sytem.exe
    HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:6092 ...NOT REMOVED, USE PROXYFIX

    HOSTS File:
    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 activate.adobe.com

    Finished

    Ensuite :

    RogueKiller V3.9.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows Vista (6.0.6000 ) 32 bits version
    Started in : Normal mode
    User: Hedi [Restricted rights]
    Mode: ProxyFix -- Time : 11/02/2011 16:36:41

    Bad processes:

    Deregistred:
    HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:6092

    Finished
    0
  9. skyw4rri0r Messages postés 10 Statut Membre
     
    Pour RogueKiller, cela me donne ça :

    RogueKiller V3.9.0 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows Vista (6.0.6000 ) 32 bits version
    Started in : Normal mode
    User: Hedi [Admin rights]
    Mode: Remove -- Time : 11/02/2011 19:29:18

    Bad processes:

    Deregistred:

    HOSTS File:
    127.0.0.1 localhost
    ::1 localhost
    127.0.0.1 activate.adobe.com

    Finished

    Ensuite, pour ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201102/cijRiDpJJH.txt

    Un grand merci encore pour votre aide
    0
  10. skyw4rri0r Messages postés 10 Statut Membre
     
    Voilà le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijn5bdMV0.txt

    Merci !!! ce logiciel est SUPER, il m'a supprimé tous les petits logiciels qui ne servent à rien et qui empestent mon pc (OfferBox, EoRezo, etc...), d'ailleurs je pensais les avoir complètement supprimé.

    Cordialement,
    Hedi
    0
  11. skyw4rri0r Messages postés 10 Statut Membre
     
    Je n'arrive pas à trouver la dernière version =/

    EDIT : c'est bon, je passerais le Scan demain
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Trouver? :)
      ça se fait tout seul dans l'onglet mises à jour
      0
    2. skyw4rri0r Messages postés 10 Statut Membre
       
      Oui bon ça va mdr
      0
  12. skyw4rri0r Messages postés 10 Statut Membre
     
    Voilà le rapport :

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5750

    Windows 6.0.6000
    Internet Explorer 7.0.6000.16851

    13/02/2011 17:36:57
    mbam-log-2011-02-13 (17-36-57).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 325896
    Temps écoulé: 3 heure(s), 54 minute(s), 36 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 9

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\QuestBrowser Service (Adware.QuestBrowser) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\programdata\questbrowser\questbrowser117.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
    c:\program files\questbrowser\questbrowser.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
    c:\Users\Hedi\AppData\Local\svchos.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
    c:\Users\Hedi\AppData\Local\sytem.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
    c:\Users\Hedi\AppData\Local\microsoft\Windows\temporary internet files\Content.IE5\1IDRRT51\microsoftnetwork.net[1].exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
    c:\Users\Hedi\AppData\Local\Temp\nsn4150.tmp\questbrowser.dll (Adware.Agent.Gen) -> Quarantined and deleted successfully.
    c:\Users\Hedi\AppData\Local\Temp\nsn4150.tmp\questbrowser.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
    c:\Users\Hedi\AppData\Local\Temp\nsn4150.tmp\uninstall.exe (Adware.QuestBrowser) -> Quarantined and deleted successfully.
    c:\Users\Hedi\Desktop\Bureau\usb romane\launcher.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Il trouve plus de choses déjà :)
      Tu as toujours des problèmes?
      0
    2. skyw4rri0r Messages postés 10 Statut Membre
       
      Non, plus aucun ! Merci ! En plus, mon pc est visiblement plus rapide !!!
      0
  13. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    ok, refait un ZHPdiag pour vérif
    0
    1. skyw4rri0r Messages postés 10 Statut Membre
       
      voilà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201102/cijayIaFdj.txt
      0
  14. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Quelques bidules à virer.

    Repasse un coup de RogueKiller en mode 2, il devrait virer quelques clés.

    -------

    Une infection USB

    USBFix est un outil développé par Chiquitine29 et C_XX qui supprime certaines infections USB et nettoye les périphériques amovibles.

    Brancher les lecteurs externes (Clé USB, Disque dur, ...) susceptibles
    d'avoir été infectés

    Télécharger USBFix

    - Lancer USBFix.exe
    - Choisir Suppression
    - Puis ok
    - Patienter pendant la détection- Un fichier texte s'ouvre, fichier => enregistrer sous
    - laisser le nom par défaut, enregistrer sur le bureau
    - copier coller le contenu du fichier texte dans la fenetre de réponse

    -------

    Ensuite,

    Relance ZHPDiag et relance un scan, un fois le scan fini clique sur le bouclier vert ZHPFix.
    Ensuite clique sur le H "Coller les lignes Helper"
    Copie colle ces lignes dans la fenêtre


    O4 - HKLM\..\Run: [HKLM] C:\Windows\system32\install\msnm.exe (.not file.)
    O4 - HKCU\..\Run: [HKCU] . (.Av Company - WTF Module.) -- C:\Users\Hedi\AppData\Roaming\Win32\notepad.exe
    O4 - HKLM\..\policies\Explorer\Run: [Policies] C:\Windows\system32\install\msnm.exe (.not file.)
    O4 - HKCU\..\policies\Explorer\Run: [server] C:\Users\Hedi\AppData\Roaming\drivers32.exe (.not file.)
    O4 - HKCU\..\policies\Explorer\Run: [Policies] C:\Windows\system32\install\msnm.exe (.not file.)
    O4 - HKUS\S-1-5-21-1351245204-2888024487-3157022696-1009\..\Run: [HKCU] . (.Av Company - WTF Module.) -- C:\Users\Hedi\AppData\Roaming\Win32\notepad.exe
    [HKCU\Software\Softonic]
    [HKCU\Software\SweetIM]
    C:\Program Files\1964
    C:\Users\Hedi\AppData\Roaming\0D3F7004D0DCC75281AD73FE40AD9B49
    C:\Users\Hedi\AppData\Roaming\4CA70C52EBFED07567236B5093E03215
    C:\Users\Hedi\AppData\Roaming\B5818E8168BEC662A0DB8B3E7EB582F1



    Tu cliques ensuite sur "Tous" (ou tu coches la ligne), puis sur "Nettoyer"
    ZHPFix va générer un rapport, envoie le pour vérification.

    0