Infection Trojan. Dropper. H

Résolu
David Croissy Messages postés 61 Date d'inscription   Statut Membre Dernière intervention   -  
Fish66 Messages postés 18337 Statut Contributeur sécurité -
Bonjour à tous,

En faisant le nettoyage hebdomadaire de mon PC, MBAM a détecté : "Trojan Dropper H"...

Je vous poste ci-dessous, le rapport MBAM :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8231

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

24/11/2011 16:45:14
mbam-log-2011-11-24 (16-45-14).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 254121
Temps écoulé: 1 heure(s), 13 minute(s), 38 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\system volume information\_restore{3bc31158-8839-4d06-949d-b691773a7526}\RP1250\A0142876.exe (Trojan.Dropper.H) -> Quarantined and deleted successfully.

Merci d'avance pour votre aide !
Cordialement
David

14 réponses

  1. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Nous allons effectuer un diagnostic de ton PC:
    *Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    ou :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    * Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum : http://www.cijoint.fr/
    Si indisponible, tu peux essayer avec l'un de ces liens:
    http://dl.free.fr
    http://ww38.toofiles.com/fr/documents-upload.html
    https://www.terafiles.net/
    https://www.casimages.com/
    http://pjjoint.malekal.com/

    * Tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html

    Hébergement de rapport sur cijoint.fr/

    Rend toi sur ce site : http://www.cijoint.fr/
    Clique sur Choisissez un fichier
    Clique sur "Cliquez ici pour déposer le fichier".
    Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj44123/cijSKAP5fU.txt
    est ajouté dans la page. Copie ce lien dans ta réponse.
    ============================================
    Aide : >>> hébergement ICI <<<
    0
  2. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 1 et valide
    *Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

    @+
    0
  3. David Croissy Messages postés 61 Date d'inscription   Statut Membre Dernière intervention   1
     
    Re Fish66,

    Voici le rapport de RogueKiller :

    RogueKiller V6.1.10 [18/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Propriétaire [Droits d'admin]
    Mode: Recherche -- Date : 24/11/2011 18:58:18

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 2 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://127.0.0.1:8080) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[1].txt >>
    RKreport[1].txt

    Voilà...
    David
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Relance RogueKiller puis tapes 2 ensuite 4 et poste stp les deux rapports correspondants à ces options

    @+
    0
  6. David Croissy Messages postés 61 Date d'inscription   Statut Membre Dernière intervention   1
     
    Rapport 2 :

    RogueKiller V6.1.10 [18/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Propriétaire [Droits d'admin]
    Mode: Suppression -- Date : 24/11/2011 19:47:01

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 2 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://127.0.0.1:8080) -> NOT REMOVED, USE PROXYFIX
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt

    Rapport 4 :

    RogueKiller V6.1.10 [18/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: https://www.luanagames.com/index.fr.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur: Propriétaire [Droits d'admin]
    Mode: Proxy RAZ -- Date : 24/11/2011 19:47:40

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [LOADED] ¤¤¤

    ¤¤¤ Entrees de registre: 1 ¤¤¤
    [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (hxxp://127.0.0.1:8080) -> DELETED

    Termine : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  7. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,
    Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

    R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
    OPT:O4 - HKLM\..\Run: [MMTray] . (.MUSICMATCH, Inc. - mm_tray.) -- C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
    O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} -- C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll (.not file.)
    O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 2100 series#1206518950.job
    [HKLM\Software\BrowserChoice]
    FirewallRAZ
    EmptyFlash


    Puis Lance ZHPFix depuis le raccourci du bureau .

    * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

    * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

    Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    Clique sur le bouton GO

    Copie/Colle le rapport à l'écran dans ton prochain message.

    @+

    0
  8. David Croissy Messages postés 61 Date d'inscription   Statut Membre Dernière intervention   1
     
    Bonjour,

    Voici le rapport ZHP Fix :

    Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-25-11-2011-08-33-24.txt
    Run by Propriétaire at 25/11/2011 08:33:16
    Windows XP Home Edition Service Pack 3 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: CLSID Extra Buttons: {461CC20B-FB6E-4f16-8FE8-C29359DB100E}
    SUPPRIME Key: HKLM\Software\BrowserChoice

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: MMTray
    SUPPRIME FirewallRaz (SP) : C:\Program Files\LucasArts\Star Wars Empire at War\GameData\fpupdate.exe
    SUPPRIME FirewallRaz (SP) : C:\Program Files\MSN Messenger\livecall.exe
    SUPPRIME FirewallRaz (DP) : C:\Program Files\MSN Messenger\livecall.exe
    Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME PhishingFilter Value: Enabled = 0

    ========== Dossier(s) ==========
    SUPPRIME Flash Cookies: 9

    ========== Fichier(s) ==========
    ABSENT File: c:\program files\bitcomet\tools\bitcometbho_1.1.8.30.dll
    SUPPRIME Reboot c:\windows\tasks\fru task #hewlett-packard#hp psc 2100 series#1206518950.job
    SUPPRIME Flash Cookies: 5

    ========== Récapitulatif ==========
    2 : Clé(s) du Registre
    5 : Valeur(s) du Registre
    1 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    3 : Fichier(s)

    End of clean in 00mn 03s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 25/11/2011 08:33:16 [1462]
    0
  9. David Croissy Messages postés 61 Date d'inscription   Statut Membre Dernière intervention   1
     
    Bonjour Fish66,

    Je viens de faire tourner MBAM : Ok... CCCleaner : Ok... + un nettoyage du disque local C:\ (Propriétés / Outils / option "réparer automatiquement les erreurs du système fichiers")

    J'attends tes nouvelles instructions ! ;-))

    Cordialement
    David
    0
  10. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    Pour vérification, lance ZHPDiag depuis le bureau et prépare stp un nouveau rapport ZHPDiag

    @+
    0
  11. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    De rien :-)
    1/
    Mise à jour des logiciels :
     Mise à jour Avast :

    On va faire maintenant la mise à jour d'Avast, pour cela :
    * Télécharge ce fichier à partir ce lien : http://www.commentcamarche.net/download/start/telecharger-151-avast-free-version
    * Téléchargez aswclear.exe sur ton bureau ici :http://files.avast.com/files/eng/aswclear.exe
    * Désactives le système d'autoprotection avast!
    * Exécute aswclear.exe
    * Clique sur "Uninstall"
    * Redémarres ton ordinateur
    * Exécute le fichier téléchargé au début pour l'installation de la dernière version d'avast

    =====================================

    Mise à jour Adobe reader

    * Télécharge Adobe reader à partir :>>>>Ce lien<<<< en décochant la case : installer McAfee Security Scan Plus (facultatif)
    * Désinstalle ta version d'adobe par : ajout/suppression de programme
    * Exécute le fichier téléchargé pour installation en suivant les instructions.

     Mise à jour de Java:

    * Tu peux vérifier ta Console Java en cliquant sur ce lien :https://www.java.com/fr/download/uninstalltool.jsp
    * Installe la nouvelle version si besoin (dans ce cas désinstalle avant l'ancienne version).

    voici pour desinstaller JavaRa:  

    * Télécharge ce fichier à partir ce lien : http://raproducts.org/click/click.php?id=1
    * Décompresse JavaRa sur le Bureau (Clic droit > Extraire tout).
    * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa.
    * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
    * Choisis Français puis clique sur Select.
    * Clique sur Recherche de mises à jour.
    * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
    * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
    * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
    * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis
    une deuxième fois sur OK.
    * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
    * Ferme l'application.

    Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

    ===========================================

    Updatechecker :

    Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour
    ===========================================
    PurRa (éditeur de JavaRa) :

    Telecharge ici : PureRa (par l'editeur de JavaRa)

    Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7)

    => Configuration

    clique sur "Clean"

    L'outil va faire son scan puis son nettoyage

    à la fin du rapport tu auras une ligne comme ca :

    Total space cleaned: xxxxxxxx bytes

    transmets juste cette ligne .

    ===========================================
    **Nettoyage
    
    Suppression des outils de désinfections:
    * Télécharge  Delfix   sur ton bureau.          
    * Lance le, tape suppression puis valide          
    * Patiente pendant le scan jusqu'à l'ouverture du rapport.          
    * Copie/Colle le contenu du rapport dans ta prochaine réponse.          
    Note : Le rapport se trouve également sous C:\DelFix.txt          
    * Tu peux le desinstaller          
    
    ===========================================         
    
    <code>Nettoyage des fichiers et des clés de registre :

    * Télécharge et installe CCleaner version Slim
    * Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis
    * Avancé et décoche la case Effacer uniquement les fichiers etc....
    * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
    * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .
    ** Aide ici : https://www.malekal.com/tutoriel-ccleaner/
    Tu peux utiliser Ccleaner une fois par semaine

    ===========================================

    Purger les points de restauration système:


    * Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :

    Windows XP

    Windows Vista

    Windows 7

    * Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...

    ===========================================
    Conseils :
    1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules
    complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...

    2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.

    3/ Un peu de lecture :
    * Les dangers du Peer-To-Peer, Emule etc..
    * Comment Sécuriser son ordinateur...
    *Pourquoi et comment je me fais infecter

    4/ Défragmente tes disques dur par defraggler

    0
  12. David Croissy Messages postés 61 Date d'inscription   Statut Membre Dernière intervention   1
     
    Bonsoir Fish66,

    Bon, j'ai suivi toutes tes précieuses indications...

    Voici le rapport Delfix :

    # DelFix v8.6 - Rapport créé le 27/11/2011 à 18:18:09
    # Mis à jour le 13/10/11 à 18h par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : Propriétaire - PROPRIÉTAIRE (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\Propriétaire\Bureau\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
    Supprimé : C:\Documents and Settings\Propriétaire\Bureau\RK_Quarantine
    Supprimé : C:\Program Files\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\Documents and Settings\Propriétaire\Bureau\RogueKiller.exe
    Supprimé : C:\Documents and Settings\Propriétaire\Bureau\ZHPDiag2.exe
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
    Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1233 octets] - [27/11/2011 18:18:09]

    ########## EOF - C:\DelFix[S1].txt - [1357 octets] ##########

    Je n'ai plus qu'à installer Updatechecker pour être sûr de ne pas oublier de mise à jour !
    Mister Fish66.... Merci pour tout !!!
    david
    0
  13. Fish66 Messages postés 18337 Statut Contributeur sécurité 1 318
     
    Re,

    De rien et Bon surf ...

    @+
    0