se débarrasser de trojan avec un backup? Résolu

Question

Bonjour, 

J'ai découvert un premier trojan du type TR/Vundo.gen il ya 3 jours et là je rallume mon ordi et avira me détecte 2 autres bestioles du type TR/Winwebsec.cmh et TR/Jorik.Skor.agp

J'ai cru comprendre que ces trojans n'étaient pas trop méchant mais bon mon ordi est tout neuf et ça me gêne un poil!

Savez vous si, en faisant un backup sur un point de restauration à une semaine auparavant, le problème sera résolu? ou faut il obligatoirement faire un rapport Highjack this et vous embeter pour dégager ces crottes?

merci par avance de prendre de votre temps pour me répondre

cordialement

Stéphane

Configuration: Windows 7 / firefox last update

Malekal_morte- · Answer

Salut,

Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.


ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.

ETAPE 2 :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/  
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.  
!!! Malwarebyte doit être à jour avant de faire le scan !!!

ETAPE 3 :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/ 

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau. 
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur) 

* Lance OTL 
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous : 
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs 
* Clique sur le bouton Analyse. 
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports. 
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

steph4242 · Answer

salut et merci pour les infos:


1ere étape > TDSKiller > RAS 

2eme étape : Malwarebyte voici le rapport après suppression des objets détectés:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6753

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

02/06/2011 13:15:56
mbam-log-2011-06-02 (13-15-56).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 157282
Temps écoulé: 1 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\4ECYTQ9SIC (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\J40NOZ44HU (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\ (Hijack.Zones) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\4ECYTQ9SIC (Trojan.FakeAlert.SA) -> Value: 4ECYTQ9SIC -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\Temp\fb588.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{22116563-108c-42c0-a7ce-60161b75e508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{bbaeaeaf-1275-40e2-bd6c-bc8f88bd114a}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\Windows\Tasks\{810401e2-dde0-454e-b0e2-aa89c9e5967c}.job (Trojan.FraudPack) -> Quarantined and deleted successfully.
c:\Users\Eric\AppData\Local\Temp\Kdl.exe (Trojan.FakeAlert.SA) -> Quarantined and deleted successfully.


Avant de passer à la 3ème étape je me demande pourquoi les trojans trouvés par malwarebyte ne sont pas les même qu'avira? est ce que la troisième etape détectera ces derniers trojans (que j'ai sorti de quarantaine pour qu'ils soient détectés par ton protocole)?

merci pour la réponse

steph4242 · Answer

re

voici le lien du rapport OTL 

https://pjjoint.malekal.com/files.php?id=cabbfe1e7b101115

je t'envoie le mdp en MP

merci

Malekal_morte- · Answer

reçu

OK y a ça comme reste :
[2011/06/02 13:21:39 | 000,000,304 | -HS- | M] ()[b] Unable to obtain MD5[/b] -- C:\Windows\Tasks\BHHUG.job 

Sinon comment se comporte le PC ?
Encore des détections d'Antivir ? si oui dans quel fichier ?

Surf un peu voir ce que cela donne.

steph4242 · Answer

en fait le PC se comporte bien mais le surf était réorienté avant mon dernier scan antivir > les liens m'amenaient vers d'autres pages que celles demandées.

avant de faire cette 3eme étape j'ai rescanné avec antivir et j'ai remis en quarantaine ce que j'avais remis en place! par contre il m'a choppé un nouveau virus > java  JAVA/Fester.B.1 dans le dossier user\AppData\Locallow\Sun\Java\Deployement\cache\6.0\4\8f85c44-118435_c

mes questions:
-Puis je effacer definitivement les fichiers en quarantaine de antivir?
-comment enlever cette ligne que tu as détectée?

merci par avance

steph4242 · Answer

en fait ça continue quand je cherche à telecharger ccleaner en passant par google j'arrive sur d'autres sites > voila ce qu'il y a d'anormal en fait

Malekal_morte- · Answer

Fais ça : 

* Lance OTL  
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :  

%systemroot%\SysNative\*.dll /lockedfiles  


* Clique sur le bouton Analyse.  
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.  
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés. 



Yes, no, maybe 
I don't know 
Can you repeat the question? 
You're not the boss of me now

steph4242 · Answer

voici le rapport:

https://pjjoint.malekal.com/files.php?id=a05e1702cc12911

même code d'accès que précédemment

merci

steph4242 · Answer

au fait entre temps j'ai aussi fait un spybot S&D et j'ai viré quelques trucs

Malekal_morte- · Answer

Spybot est dépassé, m'étonnerait qu'il t'aide.

Est-ce que Antivir a viré une DLL style C:\Windows\Sysnative\KBEMDL.DLL ?




* Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  
-> http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/  

* dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista   

Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:  

begin copying here:
Files to delete:  
C:\Windows\Tasks\BHHUG.job   

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt  



Surf sur Google voir si tu as encore des redirections.
Regarde si tu as BHHUG.job  dans le dossier the avenger, zip le et envoie le zip sur http://upload.malekal.com

steph4242 · Answer

j'ai fait ce que tu m'as dit et après redémarrage j'ai eu un fichier notepad sur mon bureau que j'ai ouvert : il contenait 2 lignes je l'ai refermé. mes fichiers cachés sont tous apparus notamment des desktop.ini sur le bureau. pas moyen de remettre la main sur ce fichier car il a disparu du bureau.

Par ailleurs je n'ai trouvé aucun doccier avenger ou the avenger j'ai juste les exe de lancement et j'ai cherché sur tout l'ordi... bizarre.

je n'avais plus de redirection entre mon spybot et cette action.

je ne sais pas comment te redonner les infos du coup à moins de refaire un OTL?

au fait puis je effacer les fichiers de quarantaine de antivir? voici une copie d'ecran de ce qu'il a mis en quarantaine:

https://imageshack.com/

steph4242 · Answer

le mot était "dossier " et non "doccie" :o)

Malekal_morte- · Answer

Antivir a viré Vundo - normalement la DLL allait avec le .job
c'est ce qui devait provoquer les redirections.

Surf un peu voir ce que ça donne, et si c'est vraiment OK. On cloturera, j'te filerai des conseils pour sécuriser le PC.

steph4242 · Answer

le surf semble bien se passer de nouveau. j'ai refait un scan antivir et rien à signaler.

j'accepte volontiers tes conseils de sécurité car ça fait même pas un mois que j'ai l'ordi et j'avais installé dès le départ antivir (antivir guard activé, mise à jour au demarrage et controles reguliers) , ccleaner et spybot.Le pare feu windows est activé

j'ai probablement chargé une daube il y a 3jours.

merci beaucoup en tout cas pour le temps passé à me répondre et les conseils avisés.

Malekal_morte- · Answer

voila :)

Maintiens tes logiciel à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite    
Absolument à faire.    

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf  
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html  
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte : 
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

steph4242 · Answer

merci encore pour tout!! une aide efficace très appréciable!

Se débarrasser de trojan avec un backup?

16 réponses

Votre réponse

Discussions similaires

Newsletters