[Résolu] PC infecté par un Stealer

Résolu

Ledodo -
juju666 Messages postés 38404 Statut Contributeur sécurité - 24 oct. 2011 à 22:35

Bonjour,

Il y a moins d'une heure j'ai télécharger un fichier (.exe) très suspect, et après ça dans les minutes qui ont suivis j'ai remarqué que certains de mes comptes ont été volés. J'ai l'impression d'avoir affaire à ce qui semble être un Stealer.

J'ai donc changer mes mots de passe depuis un autre PC en y mettant des "strongpassword": mot de passe à 15 caractères (minuscules, majuscules, chiffres, symboles) sur la plus part de mes comptes.

J'ai ensuite immédiatement lancer un scan rapide d'Avast mais il n'a rien trouver de concluant, je suis actuellement en train d'effectuer un scan minutieux.

Que puis-je faire de plus?

Merci pour votre aide.

Afficher la suite

A voir également:

Js:stealer
Réinitialiser un pc - Guide
Pc lent - Guide
Test performance pc - Guide
Downloader for pc - Télécharger - Téléchargement & Transfert
Forcer demarrage pc - Guide

30 réponses

Réponse 21 / 30

Ledodo01 Messages postés 14 Statut Membre 1

Voici le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijtb9OIl4.txt

juju666 Messages postés 38404 Statut Contributeur sécurité 4 796

en attente de la suite :)

Réponse 22 / 30

Ledodo01 Messages postés 14 Statut Membre 1

Voici le lien du rapport ZHPDiag:

https://pjjoint.malekal.com/files.php?read=ZHPDiag_v11b7z11l8f9o12o7o8b10e15v15i12p12l15l13x10o6j15l6f5

Réponse 23 / 30

juju666 Messages postés 38404 Statut Contributeur sécurité 4 796

Vu :)

C:\Users\Dorian\AppData\Roaming\chrtmp

J'aime pas ça :p

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : https://forum.pcastuces.com/default.asp
et https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
~~
Windows Defender : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
_______________________________________________________________

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\

Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix

Réponse 24 / 30

juju666 Messages postés 38404 Statut Contributeur sécurité 4 796

C'est étrange, je me renseigne

On va faire autre chose en attendant :

▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O42 - Logiciel: Dealio Toolbar v4.7 - (.Spigot, Inc..) [HKLM] -- {67EA4F15-C7C4-436A-B6A2-352BC2CE11DC}    => Infection PUP (PUP.Dealio)
O87 - FAEL: "UDP Query User{2B115838-17D6-48FE-8E6F-0428A591FF03}C:\users\dorian\appdata\roaming\macromedia\flash player\www.macromedia.com\bin\octoshape\octoshape.exe" | In - Private - P17 - TRUE | .(.Octoshape ApS.) -- C:\users\dorian\appdata\roaming\m    => Infection Bagle
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\AutoCashLinks]
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (...) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar    => Toolbar.DaemonTools
[HKLM\Software\Classes\toolband.eb_explorerbar]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.eb_explorerbar.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.ipm_printlistitem]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.ipm_printlistitem.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_launcher]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_launcher.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_printmanager]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pm_printmanager.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_bindstatuscallback]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_bindstatuscallback.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.tbtoolband]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.tbtoolband.1]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.useroptions]    => Toolbar.Agent
[HKLM\Software\Classes\toolband.useroptions.1]    => Toolbar.Agent
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]    => Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]    => Toolbar.DaemonTools
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DaemonTools
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DaemonTools
EMPTYTEMP
EMPTYFLASH

▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).

▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.

▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l''écran dans ton prochain message

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 30

Ledodo01 Messages postés 14 Statut Membre 1

Voici le rapport ZHPFix:

Rapport de ZHPFix 1.12.3365 par Nicolas Coolman, Update du 18/10/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-24-10-2011-15-44-36.txt
Run by Dorian at 24/10/2011 15:44:36
Windows 7 Ultimate Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: Dealio Toolbar v4.7 - (.Spigot, Inc..) [HKLM] -- {67EA4F15-C7C4-436A-B6A2-352BC2CE11DC}
ABSENT Uninstall Process: c:\program files\daemon tools toolbar\uninst.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{67EA4F15-C7C4-436A-B6A2-352BC2CE11DC}]
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar]
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}
SUPPRIME Key: HKCU\Software\AutoCashLinks
SUPPRIME Key: HKLM\Software\Classes\toolband.eb_explorerbar
SUPPRIME Key: HKLM\Software\Classes\toolband.eb_explorerbar.1
SUPPRIME Key: HKLM\Software\Classes\toolband.ipm_printlistitem
SUPPRIME Key: HKLM\Software\Classes\toolband.ipm_printlistitem.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_launcher
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_launcher.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_printmanager
SUPPRIME Key: HKLM\Software\Classes\toolband.pm_printmanager.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_bindstatuscallback
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_bindstatuscallback.1
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler
SUPPRIME Key: HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1
SUPPRIME Key: HKLM\Software\Classes\toolband.tbtoolband
SUPPRIME Key: HKLM\Software\Classes\toolband.tbtoolband.1
SUPPRIME Key: HKLM\Software\Classes\toolband.useroptions
SUPPRIME Key: HKLM\Software\Classes\toolband.useroptions.1
SUPPRIME Key: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar

========== Valeur(s) du Registre ==========
SUPPRIME UDP Query User{2B115838-17D6-48FE-8E6F-0428A591FF03}C:/users/dorian/appdata/roaming/macromedia/flash player/www.macromedia.com/bin/octoshape/octoshape.exe
SUPPRIME Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17}
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 75
SUPPRIME Flash Cookies: 253

========== Fichier(s) ==========
ABSENT File: c:\program files\daemon tools toolbar\dttoolbar.dll
SUPPRIME Temporaires Windows: : 76
SUPPRIME Flash Cookies: 137


========== Récapitulatif ==========
23 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Dossier(s)
3 : Fichier(s)
2 : Logiciel(s)


End of clean in 00mn 15s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/10/2011 15:44:36 [3161]

Réponse 26 / 30

juju666 Messages postés 38404 Statut Contributeur sécurité 4 796

Pour l'instant on en reste là, j'attends des nouvelles sur le soucis de combofix :)

Réponse 27 / 30

juju666 Messages postés 38404 Statut Contributeur sécurité 4 796

Changement de tactique.
Suite à notre échange de MP, ComboFix est incompatible avec ton système.

Je vais tenter de remonter l'information chez sUbs. On verra mais ...

Fais un ForceMove avec çà dans le fichier d'instructions :

C:\Users\Dorian\AppData\Roaming\chrtmp

Réponse 28 / 30

Ledodo01 Messages postés 14 Statut Membre 1

C'est fait, voici le rapport:

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à 21:59:41  
 
##### Arrêt des processus 
ArrÛtÚ : PID 952 'Firefox.exe'  
ArrÛtÚ : PID 952 'Firefox.exe'  
ArrÛtÚ : PID 2504 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
 
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\Roaming\chrtmp      
  
  
########## Terminé avec succès à 21:59:58  
  
########## ( EOF )

Réponse 29 / 30

Ledodo01 Messages postés 14 Statut Membre 1

Merci beaucoup pour tout.

Voici le rapport DelFix:

Total space cleaned: 482933140 bytes

Réponse 30 / 30

Ledodo01 Messages postés 14 Statut Membre 1

Toute mes excuses, le rapport précédant était celui de PureRa.

Voici le rapport DelFix:

# DelFix v8.6 - Rapport créé le 24/10/2011 à 22:32:32
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Ultimate  (32 bits)
# Nom d'utilisateur : Dorian - DORIAN-PC-FIXE (Administrateur)
# Exécuté depuis : C:\Users\Dorian\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\32788R22FWJFW
Supprimé : C:\ForceMove
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\forcemovelog.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Dorian\Desktop\AD-R.lnk
Supprimé : C:\Users\Dorian\Desktop\adwcleaner.exe
Supprimé : C:\Users\Dorian\Desktop\ComboFix.exe
Supprimé : C:\Users\Dorian\Desktop\forcemove.exe
Supprimé : C:\Users\Dorian\Desktop\proxy.txt.txt
Supprimé : C:\Users\Dorian\Desktop\search.txt
Supprimé : C:\Users\Dorian\Desktop\Triangle.2011.TRUEFRENCH.720p.BluRay.AC3.x264_WwW.Movie-City.Org_.mkv
Supprimé : C:\Users\Dorian\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Dorian\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Dorian\Downloads\Kill.Bill.Volume.2.2004.1080p.FRENCH.mkv
Supprimé : C:\Users\Dorian\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2274 octets] - [24/10/2011 22:32:32]

########## EOF - C:\DelFix[S1].txt - [2398 octets] ##########

[Résolu] PC infecté par un Stealer

30 réponses

Votre réponse

Newsletters