Infecté par Backdoor.HMCpol.Gen Fermé

Question

Bonjour, 
Malwarebyte's antimalware me détecte une infection par le cheval de troie nommé Backdoor.HMCpol.Gen ( 8 entrées au total plus une malware trace). Après avoir cliqué sur "supprimer la sélection" , il me dit que tout à été supprimer et mis en quarantaine.Mais après reboot, tout les entrées infectées sont revenues.
Un coup de main pour me débarrasser de ce nuisible serait grandement apprécié !!

Merci d'avance

Alexis

Configuration: Windows 7 64bits / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut poste ton rapport de malwarebytes stp

Alexis · Answer

Voici le rapport,

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7508

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19/08/2011 21:13:35
mbam-log-2011-08-19 (21-13-24).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 179972
Temps écoulé: 1 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
c:\Users\Alexis\AppData\Roaming\system32\svhost.exe (Backdoor.HMCPol.Gen) -> 4340 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0RE027HV-YCQ5-4P86-G3M0-IS8VSW8B7M1U} (Backdoor.HMCPol.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0RE027HV-YCQ5-4P86-G3M0-IS8VSW8B7M1U} (Backdoor.HMCPol.Gen) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Backdoor.HMCPol.Gen) -> Value: HKLM -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.HMCPol.Gen) -> Value: HKCU -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Alexis\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.
c:\Users\Alexis\AppData\Roaming\system32\svhost.exe (Backdoor.HMCPol.Gen) -> No action taken.

J'ai pas tenté de supprimer car c'est inutile , ça revient au reboot !!

g3n-h@ckm@n · Answer

oui je sais elle est chi$nte cette infection :)


&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Alexis · Answer

test

leffe.be · Answer

############################## | UsbFix 7.057 | [Suppression]

Utilisateur: Alexis (Administrateur) # ALEXIS-BUREAU [System manufacturer P5Q3 DELUXE]
Mis à jour le 17/08/2011 par El Desaparecido
Lancé à 22:10:41 | 19/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
Microsoft Windows 7 Édition Intégrale  (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Désactivé /!\
RAM -> 4095 Mo 
C:\ (%systemdrive%) -> Disque fixe # 238 Go (64 Go libre(s) - 27%) [] # NTFS
D:\ -> Disque fixe # 1397 Go (614 Go libre(s) - 44%) [DATA WD GREEN] # NTFS
E:\ -> Disque fixe # 1397 Go (556 Go libre(s) - 40%) [DATA RAID 750Go x2] # NTFS
F:\ -> Disque fixe # 932 Go (78 Go libre(s) - 8%) [Films n°1] # NTFS
G:\ -> CD-ROM
H:\ -> Disque fixe # 932 Go (598 Go libre(s) - 64%) [Films n°3] # NTFS
I:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! F:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[19/08/2011 - 22:11:49 | SHD ] 	C:\$Recycle.Bin
[09/05/2011 - 00:25:31 | N | 315295] 	C:\832929783[1].jpg
[09/05/2011 - 00:49:04 | N | 202181] 	C:\8712626036395[1].jpg
[19/08/2011 - 20:00:05 | N | 4377] 	C:\Ad-Report-CLEAN[1].txt
[19/08/2011 - 19:57:29 | N | 6713] 	C:\Ad-Report-SCAN[1].txt
[19/08/2011 - 20:04:05 | N | 3424] 	C:\Ad-Report-SCAN[2].txt
[09/05/2011 - 00:36:51 | N | 83896] 	C:\alien_resurrection_ver3[1].jpg
[19/08/2011 - 21:35:55 | RASHD ] 	C:\Autorun.inf
[09/05/2011 - 00:50:49 | N | 20734] 	C:\A[1].jpg
[11/08/2011 - 14:58:53 | D ] 	C:\Config.Msi
[02/02/2011 - 16:24:05 | N | 13956] 	C:\CTSUFile.txt
[14/07/2009 - 07:08:56 | SHD ] 	C:\Documents and Settings
[14/07/2011 - 21:27:59 | D ] 	C:\downloads
[18/01/2011 - 19:42:07 | D ] 	C:\drivers
[19/08/2011 - 22:08:09 | ASH | 3220451328] 	C:\hiberfil.sys
[23/06/2011 - 14:30:39 | D ] 	C:\Intel
[09/05/2011 - 00:29:50 | N | 35697] 	C:\Jason Bourne Trilogie[1].jpg
[27/12/2010 - 20:42:25 |  | 53457] 	C:\Leffe.jpg
[26/12/2010 - 12:17:24 | RHD ] 	C:\MSOCache
[19/08/2011 - 22:08:10 | ASH | 4293939200] 	C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] 	C:\PerfLogs
[19/08/2011 - 21:05:11 | N | 512] 	C:\PhysicalDisk0_MBR.bin
[19/08/2011 - 20:22:41 | N | 512] 	C:\PhysicalMBR.bin
[20/06/2011 - 23:25:31 | D ] 	C:\Program Files
[19/08/2011 - 20:59:25 | D ] 	C:\Program Files (x86)
[30/07/2011 - 21:27:45 | HD ] 	C:\ProgramData
[22/12/2010 - 22:02:01 | SHD ] 	C:\Recovery
[19/08/2011 - 20:22:40 | SHD ] 	C:\System Volume Information
[01/08/2011 - 23:16:21 | D ] 	C:	emp
[18/08/2011 - 19:09:25 | D ] 	C:\Temp DéISO
[19/08/2011 - 22:11:49 | D ] 	C:\UsbFix
[19/08/2011 - 22:10:33 | A | 3221] 	C:\UsbFix.txt
[19/08/2011 - 21:38:40 | D ] 	C:\UsbFix_Upload_Me
[22/12/2010 - 22:02:07 | D ] 	C:\Users
[19/08/2011 - 22:08:21 | D ] 	C:\Windows
[24/05/2011 - 14:11:29 | D ] 	C:\XBMC_Extras
[19/08/2011 - 21:05:13 | D ] 	C:\ZHP
[19/08/2011 - 22:11:49 | SHD ] 	D:\$RECYCLE.BIN
[01/06/2011 - 12:53:33 | D ] 	D:\A TRIER
[19/08/2011 - 21:35:55 | RASHD ] 	D:\Autorun.inf
[25/12/2010 - 18:26:40 | D ] 	D:\BIBLIOTHEQUES
[18/08/2011 - 20:35:42 | D ] 	D:\Cache Niouzefire
[27/12/2010 - 21:18:28 | N | 32678] 	D:\leffe.bmp
[27/12/2010 - 21:17:12 | N | 42286] 	D:\leffe.jpg
[26/12/2010 - 11:43:59 | SHD ] 	D:\System Volume Information
[05/08/2011 - 21:53:21 | D ] 	D:	emp iso bluray
[19/08/2011 - 22:11:49 | SHD ] 	E:\$RECYCLE.BIN
[03/06/2011 - 16:10:09 | D ] 	E:\52000 Guitar Pro Tabs
[16/08/2011 - 22:50:13 | D ] 	E:\A CLASSER
[19/08/2011 - 21:35:55 | RASHD ] 	E:\Autorun.inf
[23/06/2011 - 14:32:10 | D ] 	E:\msdownld.tmp
[17/08/2011 - 00:37:54 | D ] 	E:\NiouzeFire
[01/06/2011 - 10:43:10 | D ] 	E:\OutputFolder
[26/12/2010 - 11:43:59 | SHD ] 	E:\System Volume Information
[05/06/2011 - 17:03:28 | D ] 	E:\TV Shows
[19/08/2011 - 22:11:49 | SHD ] 	F:\$RECYCLE.BIN
[04/02/2009 - 10:19:38 | N | 29018] 	F:\.VolumeIcon.icns
[04/02/2009 - 10:19:38 | N | 25214] 	F:\.VolumeIcon.ico
[19/08/2011 - 21:35:55 | RASHD ] 	F:\Autorun.inf
[17/08/2011 - 00:11:54 | D ] 	F:\Films 001
[07/02/2009 - 23:34:08 | SHD ] 	F:\System Volume Information
[19/08/2011 - 22:11:49 | SHD ] 	H:\$RECYCLE.BIN
[19/08/2009 - 11:03:12 | D ] 	H:\autorun
[19/08/2011 - 21:35:55 | RASHD ] 	H:\Autorun.inf
[18/08/2011 - 04:50:16 | D ] 	H:\Films 003
[01/02/2010 - 23:26:16 | SHD ] 	H:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |

g3n-h@ckm@n · Answer

tu as lancé usbfix combien de fois ?

leffe.be · Answer

3 fois car j'ai cru qu'il était planté ( il affichait 100% mais après 5 min il était tjs comme figé ).La troisième fois , je l'ai laissé plus longtemps pour voir et il a terminé après 10 bonne minutes.

g3n-h@ckm@n · Answer

salut ok

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

leffe.be · Answer

Salut,
voici le lien du Pre_scan.txt

http://www.cijoint.fr/cjlink.php?file=cj201108/cijsluqrH6.txt

Alexis

g3n-h@ckm@n · Answer

peux-tu me dire ce que c'est ca ? 

C:\ProgramData\xbne 

fichier ou dossier ? 

================================= 

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre 

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre ,  
sans les lignes , en une seule fois en le mettant en surbrillance  : 
___________________________________________________ 
processes:: 
datamngrUI.exe 

Registry:: 
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved] 
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=- 
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0RE027HV-YCQ5-4P86-G3M0-IS8VSW8B7M1U}] 
[-HKEY_LOCAL_MACHINE\Software\FileSubmit]  

file:: 
C:\Windows\KMSEmulator.exe  
C:\Windows\Tasks\AutoKMS.job     

folder:: 
C:\Windows\AutoKMS       

attrib::                                     
___________________________________________________ 

copie-le (ctrl+c ou clique droit sur la selection puis => copier) 

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

leffe.be · Answer

C:\ProgramData\xbne un répertoire utilisé par éditeur de fichier .nfo  pour XBMC. A priori il doit être clean et est normalement présent. Il contient juste un fichier de 2Ko contentant ( j'ai vérifié ) des données cohérantes pour cette apllication

voici le lien pour le Pre_Script.txt 

http://www.cijoint.fr/cjlink.php?file=cj201108/cijYfOIuyD.txt

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

leffe.be · Answer

voici le OLT.txt   http://www.cijoint.fr/cjlink.php?file=cj201108/cij5iQvPxB.txt

et son acolyte Extra.txt  http://www.cijoint.fr/cjlink.php?file=cj201108/cijLKcPTdX.txt

Alexis

g3n-h@ckm@n · Answer

remets malwarebytes à jour et fais un scan complet ?

leffe.be · Answer

Voici le rapport du scan complet

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7525

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

21/08/2011 17:22:56
mbam-log-2011-08-21 (17-22-56).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 490036
Temps écoulé: 32 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Alexis\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.


Alexis

g3n-h@ckm@n · Answer

hello refais un scan OTL selon les consignes puis poste les deux rapports

leffe.be · Answer

salut,

voici le OTL.txt  http://www.cijoint.fr/cjlink.php?file=cj201108/cijnFDpnHj.txt

et le EXTRA.txt  http://www.cijoint.fr/cjlink.php?file=cj201108/cijg0eROPN.txt


Alexis

g3n-h@ckm@n · Answer

hello desinstalle Java update 24

==================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-3984174873-1176560813-3939401740-1001\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - Reg Error: Key error. File not found    => DVDVideoSoftTB Toolbar  
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O4 - HKU\S-1-5-19\..\RunOnce: [mctadmin]  File not found
O4 - HKU\S-1-5-20\..\RunOnce: [mctadmin]  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)    => Sun Java Runtime Environment 1.6.0  
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)    => ZHPHosts White List  
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)    => Sun Java Runtime  
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)    => Adobe Platform getPlusPlus  
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]  
"EnableFirewall"=0    

:Files
C:\Users\Alexis\AppData\Local\{*}           
C:\Windows\SysWow64\System32    

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

leffe.be · Answer

Voici le log (passé en .txt pour pouvoir le déposer) http://www.cijoint.fr/cjlink.php?file=cj201108/cijairc7CM.txt

sinon pas de changement , ça "blink" toujours

++

Alexis

g3n-h@ckm@n · Answer

qu'entends-tu par "blink" ?

leffe.be · Answer

Comme dis plus haut, après la première fois que j'ai fais OTL , l'icône du centre de maintenance de windows 7 (petit drapeau blanc en bas à droite) "flashe" toutes les 10 secondes + ou - , on voit qu'il affiche une notification mais cela disparait instantanément sans qu'on puisse lire ce que c'est.
En ouvrant le centre de maintenance, dans la partie sécurité au niveau du pare feu du réseau il y a une case "activer maintenant" qui apparait très brièvement en même temps que l'icône de la barre de notification. Je précise que j'ai Eset smart security v4.2 installé et activé ( firewall , antivirus , antispyware), aussi le pare feu windows et windows defender sont tous 2 désactivés 
Je n'avais pas ce symptôme avant ,c'est apparu après le premier passage avec OTL que tu m'as demandé de faire le  20 aoû 2011 à 17:54 

Bien à toi 


Alexis

g3n-h@ckm@n · Answer

regarde dans le pare-feu de nod32 voir s'il t'indique des entrées/sorties douteuses

fiber.vonvon · Answer

bonjour
Malwarebyte's antimalware me détecte la même infection
Backdoor.HMCpol.Gen 8 entrées aussi
même problème après suppression redémarrage du pc
je scanne de nouveau et il me retrouve les memes 8 entrées infecté
pouvez vous m'aider svp
merci

----------------------------------------------------------------------------- 
22/08/2011 13:17:28
mbam-log-2011-08-22 (13-17-21).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 173378
Temps écoulé: 2 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{22NX2B87-U800-J32M-C8C3-2PVKK7844PAF} (Backdoor.HMCPol.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{22NX2B87-U800-J32M-C8C3-2PVKK7844PAF} (Backdoor.HMCPol.Gen) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\security updater (Backdoor.HMCPol.Gen) -> Value: security updater -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinExtender (Backdoor.HMCPol.Gen) -> Value: WinExtender -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\YVES\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.
c:\Users\User\AppData\microsoft\Windows\microsoft\Defender.exe (Backdoor.HMCPol.Gen) -> No action taken.

g3n-h@ckm@n · Answer

si tu supprimais comme demandé ca serait bien ! ^^

fiber.vonvon · Answer

bonsoir
je pense que j'ai suivi vos explications

USBFIX 
rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cijU6G8ByT.txt

Pre_Scan
rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cijDFdPEuz.txt

OTL
rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cijHHGuwKK.txt
Extra : http://www.cijoint.fr/cjlink.php?file=cj201108/cij5vKQifI.txt

re scan avec malwarebyte
rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cijMcRp5B6.txt

il a l'air propre mais si je redémarre le pc et que je rescan avec malwarebyte l'infection est de retour

j'ai oublier quelque chose ?

merci d'avance

leffe.be · Answer

j'ai regardé dans le journal pare feu de nod 32 j'ai ça:  

18/08/2011 15:29:06 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 174.120.25.242 ICMP    
18/08/2011 15:29:05 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 174.120.25.242 ICMP    
18/08/2011 15:29:04 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.103 ICMP    
18/08/2011 15:29:03 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.103 ICMP    
18/08/2011 15:29:02 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.103 ICMP    
18/08/2011 15:29:01 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.103 ICMP    
18/08/2011 05:09:44 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 91.191.153.10 ICMP    
18/08/2011 05:09:43 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 91.191.153.10 ICMP    
18/08/2011 05:09:42 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.104 ICMP    
18/08/2011 05:09:41 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.104 ICMP    
18/08/2011 05:09:40 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.104 ICMP    
18/08/2011 05:09:40 Intrusion d'un canal dissimulé dans un paquet ICMP détectée 192.168.1.4 209.85.148.104 ICMP    
6/06/2011 09:02:04 Attaque par empoisonnement de cache DNS détectée 192.168.1.1:53 192.168.1.4:58130 UDP    
25/05/2011 11:17:50 Attaque par empoisonnement de cache DNS détectée 192.168.1.1:53 192.168.1.4:62844 UDP 

Sinon dans les connexions réseau de nod32 j'ai rien de bien suspect: 
KiesTrayAgent ( pour mon téléphone Samsung) 
wlcomm.exe  ( windows live ) 
msnmsgr.exe ( msn messenger ) 
et iexplorer vu qu'il est ouvert 
Au niveau du traffic c'est entre 0 et 1B/sec avec une brève pointe à 2 ou 3b/sec toutes les +/- 30 sec (sans correlations niveau timing avec mon anomalie du centre de maintenance) 

Je ne sais pas si  c'est ça que tu voulais ?? 

Alexis

leffe.be · Answer

Je te dépose ici 2 captures d'écran du moniteur de ressource de windows ( section réseau). Ca pourra peut-être aider .

http://www.cijoint.fr/cjlink.php?file=cj201108/cijfdsHB8g.png

http://www.cijoint.fr/cjlink.php?file=cj201108/cijL6wigjD.png


Alexis

g3n-h@ckm@n · Answer

ok ca va pas etre facile je sens

on a une gros rootkit à mon avis faut taper fort

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

leffe.be · Answer

Voici le combofix.txt 
 http://www.cijoint.fr/cjlink.php?file=cj201108/cijdFLUiXg.txt

g3n-h@ckm@n · Answer

re

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\SysWow64\MC16.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

===========================================

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\users\Alexis\AppData\Local\Temp\aswArKrn.sys

Driver::
aswArKrn

RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

leffe.be · Answer

Voici déjà le résultat de virus total 
http://www.virustotal.com/file-scan/report.html?id=cc79364cb08dd28c5bc8057bcd286ddba61a42811bdea7283a935d87c983e02c-1314094579

g3n-h@ckm@n · Answer

ok la suite :)

leffe.be · Answer

voilà voilà la suite ;-) 
http://www.cijoint.fr/cjlink.php?file=cj201108/cijnCfhOgp.txt

g3n-h@ckm@n · Answer

redemarre ton ordi encore un fois , puis controle que ce fichier ne soit pas revenu :

c:\users\Alexis\AppData\Local\Temp\3dcf2df1-2a83-477c-a7dd-858967792357\CliSecureRT.dll

leffe.be · Answer

IL est effectivement revenu .
La suite ce soir, je pars bosser ++

Alexis

g3n-h@ckm@n · Answer

ok signale-toi à ton retour

leffe.be · Answer

Re,  

Je suis tjs au boulot, mais j'ai un peu surfé pour avoir des infos sur ce fichier "c:\users\Alexis\AppData\Local\Temp\3dcf2df1-2a83-477c-a7dd-858967792357\CliSecureRT.dll ". Apparement, c'est le logiciel Kies de Samsung pour la gestion des smartphones qui le load au démarrage.  
Quand je rentre, je désinstalle Kies , j'efface ce fichier , je reboote et je te tiens au courant si il revient encore. ( ou pas aussi :-) )  

source http://www.forum-seven.com/forum/topic10652.html

Alexis

leffe.be · Answer

Bon , ben j'ai désinstallé le Samsung Kies et effacé le fichier puis reboot.  
Il n'est plus revenu. Donc pour moi ça devrait être clean de ce côté là.  

Alexis

g3n-h@ckm@n · Answer

et le clignotement ?

leffe.be · Answer

Lui , il est toujours là.Tu penses que mon pc est clean et que c'est plus un bug ou alors une des étapes qui aurait pu provoquer ça ?  


Alexis

g3n-h@ckm@n · Answer

mmmmmmmmmmm.............

windows update ne te propose pas de mises à jour ?

tu as des messages du style "explorer.exe a cessé de fonctionner" ?

leffe.be · Answer

oui , windows update me propose des mises à jours de temps en temps (normal) , j'en ai eu une aujourd'hui d'ailleurs (Mise à jour pour Windows 7 pour ordinateurs à processeur x64 (KB2570791) 

Mon pc fonctionne à merveille à part ce problème là. Pour que tu puisses "visualiser" le problème, j'ai posté 2 vidéos sur youtube mais faut bien regarder.  
https://www.youtube.com/watch?v=TmGMBihCZA0     (à la 4eme seconde en bas à droite  le petit drapeau blanc) 

https://www.youtube.com/watch?v=z5ZzXModZ2A    ( la case "activer maintenant" qui apparait brièvement  section pare feu à la 11 sec) 

c'est mieux de les regarder en taille originale pour bien voir

Alexis

g3n-h@ckm@n · Answer

c'est quoi FRAPS ?

leffe.be · Answer

Le logiciel de capture video dont je me suis servis pour faire les videos postées sur youtube

g3n-h@ckm@n · Answer

ben y a que cette infobulle qu'on voit sur ta vidéo floue....

leffe.be · Answer

Si tu la regardes en plus haute définition elle est pas floue ... Et c'est juste un rien après où tu vois le FRAPS justement qu'il faut regarder le petit drapeau blanc quelques icônes à côté et tu verras alors un round blanc avec une croix rouge apparaitre une fraction de seconde.   
Mais c'est sûr qu'on le voit mieux sur la 2 eme video du centre de maintenance avec la case "activer maintenant" qui apparait brièvement section pare feu à la 11 sec

g3n-h@ckm@n · Answer

je ne vois rien sur aucune des deux.....:S

leffe.be · Answer

peut être une question de fréquence de raffraîchissement de ton écran car comme ça ne dure qu'une fraction de seconde ...  ( je suis en 60 Hz et j'ai donc fait la capture à 60 images/sec)
Moi en tout cas je le voit  bien sur les 2.

g3n-h@ckm@n · Answer

definition ? je suis en 1440x900

leffe.be · Answer

1900x1200

g3n-h@ckm@n · Answer

bah mon ecran fait pas ca c'est un acer 7720Z portable chuis pas gamer moi chuis helper ^^

leffe.be · Answer

lol , bien vu ...

Qu'est-ce que t'en pense, je devrais formater et réinstaller par soucis de sécurité ?

Alexis

g3n-h@ckm@n · Answer

c'est toujours plus stable un systeme neuf toutes facons ...

mais si t'as un cd d'install vaut mieux formater le disque dur avec KillDisk (c'est ce que je fais au moins je suis sur)

leffe.be · Answer

ok. Je te remercie beaucoup pour ta patience et tes efforts.
Quitte à réinstaller, je vais en profiter pour me refaire un ptit pc tout neuf !!  (pfff ces gamers ... ;-)


Merci encore à toi, Chevalier des temps modernes !!


Alexis

g3n-h@ckm@n · Answer

ok pour info :

http://consultaide.e-monsite.com/rubrique,tutoriel-killdisk-en-images,242184.html

Infecté par Backdoor.HMCpol.Gen

55 réponses

Discussions similaires