virus activité illicite demelee Fermé

Question

Bonjour,  

Dernièrement j'ai été infecté par ce virus. 
J'ai apparemment réussi à le supprimer, en suivant les différentes manipulations que j'ai trouvé dans les forums en utilisant d'une part Hijackthis (où j'ai supprimé une ligne),  

puis un malwarebytes où j'ai 6 fichiers qui sont en quarantaine , à savoir: 
trojan.agent - registry value -HKCU\software\microsoft\windows\currentversion\RunIcacaoweb 
trojan.agent - file - C:\users\paule\appdataoaming\cacaoweb\cacaoweb.exe 
trojan.agent - file - C:\users\paule\appdata\local	emp\cacaonew5bdc74.exe 
trojan.agent - file - C:\users\paule\download\cacaoweb.exe 
trojan.agent - file - C:\$Recycle.bin\S-1-5-21-1082663135-24075112602-2067702236-1001\$RA3MEKO.exe 
Backdoor.Bifrose - file - C:\Program files (x86)\iexplorer\iexplorer.exe 

Puis un coup d'antivirus, qui  a détécté :  
Le fichier 'C:\Users\paule\AppData\Local\Temp\jag42510.exe' 
 contenait un virus ou un programme indésirable 'TR/Reveton.A.379' [trojan]. 
Action(s) exécutée(s) : 
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa77528.qua' ! 

Maintenant, comme je ne suis pas sûr d'avoir tout réparé, j'ai fait un scan avec ZHPDiag, si quelqu'un peut m'aider. Le rapport est là : 
http://cjoint.com/?BClmvkD1zdL 

Merci d'avance 
Paule 

Configuration: Windows 7 / Firefox 10.0.2

@mesam · Answer

Bonjour, 
Ton PC est encore infecté, un bon nettoyage est nécessaire.

Pour cela fait ce qui suit :

Lance ZHPFix et copie ces lignes ci-dessous.
Un fois coller clique sur GO

[MD5.6870EF16342BA91CF3ACDB056036689A] - (.Bandoo Media, inc - Data Manager.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngrUI.exe   [1700752] [PID.5076]     
M0 - MFSP: prefs.js [paule - jye5xzbm.default] http://www.searchnu.com/ 
M2 - MFEP: prefs.js [paule - jye5xzbm.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.24 (.http://www.cacaoweb.org/     
M2 - MFEP: prefs.js [paule - jye5xzbm.default\{99079a25-328f-4bd4-be04-00955acaa0a7}] [] Searchqu Toolbar v4.4.1.00 (.Visicom Media Inc..)     
O2 - BHO: SearchCore for Browsers [64Bits] - {9D717F81-9148-4f12-8568-69135F087DB0} . (.Bandoo Media, inc - Url Helper.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\BrowserConnection.dll     
O2 - BHO: Searchqu Toolbar [64Bits] - {99079a25-328f-4bd4-be04-00955acaa0a7} . (.Pas de propriétaire - dtx Dynamic Link Library.) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll     
O2 - BHO: SearchCore for Browsers [64Bits] - {9D717F81-9148-4f12-8568-69135F087DB0} . (.Bandoo Media, inc - Url Helper.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\BrowserConnection.dll     
O4 - HKLM\..\Wow6432Node\Run: [DATAMNGR] . (.Bandoo Media, inc - Data Manager.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngrUI.exe     
O20 - AppInit_DLLs: . (...) - C:\Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll (.not file.)     
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 414 MediaBar     
[HKCU\Software\AppDataLow\Software\searchqutoolbar]     
[HKCU\Software\DataMngr_Toolbar] 
[HKCU\Software\cacaoweb]     
[HKLM\Software\SearchquMediabarTb]     
O43 - CFD: 11/03/2012 - 01:30:00 - [0,000] ----D- C:\Users\paule\AppData\Roaming\cacaoweb     
O43 - CFD: 27/09/2011 - 17:16:34 - [0,001] ----D- C:\Users\paule\AppData\Roaming\pdfforge     
O43 - CFD: 15/10/2011 - 22:32:20 - [2,979] ----D- C:\Program Files (x86)\Windows Searchqu Toolbar     
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} - (Web Search) - http://www.searchnu.com/     
[MD5.20F4A0AF95C4A3B41431C435729F8369] [SPRF][15/10/2011] (...) -- C:\Users\paule\AppData\Local\Temp\SetupDataMngr_Searchqu.exe   [3879048]     
O87 - FAEL: "{F7E9C989-5DFF-436F-81CC-B79585BBE21A}" | In - Private - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe     
O87 - FAEL: "{F2E0CCEC-2F94-4EBE-8A78-4B4EAC0A4844}" | In - Private - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe     
[HKLM\Software\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}]     
[HKLM\Software\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}]     
[HKLM\Software\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}]     
[HKLM\Software\WOW6432Node\SearchquMediabarTb]     
C:\Users\paule\AppData\Roaming\cacaoweb     
C:\Users\paule\AppData\Roaming\pdfforge     
C:\Users\paule\AppData\LocalLow\searchquband     
C:\Users\paule\AppData\LocalLow\searchqutoolbar     
C:\Program Files (x86)\Windows Searchqu Toolbar     
C:\Users\paule\AppData\Roaming\Mozilla\Firefox\Profiles\jye5xzbm.default\searchqutoolbar     



Ensuite, 

Télécharge AdwCleaner ( d'Xplode ) sur votre bureau.
https://toolslib.net
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

paule · Answer

Salut, @mesam 
Merci pour ta  réponse.
Là je viens de finir les manip que tu m'as conseillées

Et que dois je faire maintenant?

Paule

paule · Answer

voici le rapport ZHPfix : http://cjoint.com/?BCmqaGxW13A
et celui de adwcleaner : http://cjoint.com/?BCmqcbxAAtq


merci d'avance

@mesam · Answer

Bonjour, 

Très bien, relance AdwCleaner et clique sur [Suppression] puis patientez le temps du scan.
Une fois le scan fini, un rapport s'ouvrira.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Envoie ton rapport.

Ensuite, 

&#9658 Télécharge OTL sur ton Bureau. 

Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur 
 
&#9658 Lance OTL 
&#9658 Sous Personnalisation, copie-colle le script ci-dessous : 

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
consrv.dll 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s 
CREATERESTOREPOINT 
nslookup www.google.fr /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs

&#9658 Clique sur le bouton Analyse. 

Une fois le scan finit envoie les deux rapports, AdwCleaner et OTL

el-mizou · Answer

Bonjour j'ai le même problème, pourriez-vous me dire quoi faire svp ?

@mesam · Answer

Bonsoir,
Il est préférable de créer ton propre sujet :)

el-mizou · Answer

ok merci pour l'info ;)

j'ai régle le problème en suivant la manipulation avec malware bytes, merci ;)

paule · Answer

Voici le rapport après avoir relancer et fait la suppression sous adwcleaner : http://cjoint.com/?BCnqys58ySm

paule · Answer

et voici le rapport sous OTL :

http://cjoint.com/?BCnrcfwVD3S

@mesam · Answer

Bonjour, 

Le rapport de AdwCleaner ne montre plus rien ? As tu fait deux fois la manip ?

Pour OTL 
Relance le et copie les lignes ci-dessous dans le cadre en bas de la fenêtre sous "Personnalisation" clique ne suite sur "correction"

:OTL"
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\IEBHO.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll (Bandoo Media, inc)      
IE - HKCU\..\SearchScopes,DefaultScope = {3A08D9DB-0A8A-4259-8AAE-39C72E232AA0}
[2012/03/11 00:29:59 | 000,610,447 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf   
[2012/03/11 01:25:15 | 002,120,419 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf  
[2012/03/11 00:29:54 | 000,610,447 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf    
[2012/03/11 01:25:22 | 002,120,419 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf 


Ensuite 

* Télécharge PureRa (par l''editeur de JavaRa) : 

https://www.clubic.com/telecharger-fiche262022-purera.html

- Fait un clic droit sur le fichier archiver puis appuie sur Extraire ici.

- Lance PureRa (clic droit "executer en tant qu''administrateur" pour Vista/7) puis appuie sur Next.

- Clique sur "Clean"

- L'outil va faire son scan puis son nettoyage

- Redémarre ton PC

Dit moi ensuite comment va ton PC

paule · Answer

bonjour,
pour adwcleaner, en effet j'ai du faire la manip deux fois.

j'ai fait la correction sous OTL et il m'a donner un rapport bizarre :

http://cjoint.com/?BCosKQPGchc

D'autre part , le nettoyage avec PureRa est en cours

@mesam · Answer

Bonjour, 

Oui une erreur de frappe de ma part. En faite il y avait ça " en trop après la première ligne.
Peux tu refaire avec le code ci-dessous.

:OTL
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\IEBHO.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll (Bandoo Media, inc)      
IE - HKCU\..\SearchScopes,DefaultScope = {3A08D9DB-0A8A-4259-8AAE-39C72E232AA0}
[2012/03/11 00:29:59 | 000,610,447 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf   
[2012/03/11 01:25:15 | 002,120,419 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf  
[2012/03/11 00:29:54 | 000,610,447 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf    
[2012/03/11 01:25:22 | 002,120,419 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf

paule · Answer

Bonjour,
donc, je viens de refaire la manip.
j'obtiens : http://cjoint.com/?BCpnfEhafIz

je suis en train de refaire PureRa

paule · Answer

Bonsoir,

Et maintenant comment savoir que mon pc n'est plus affecté?
J'ai refait une analyse avec Maleware et antivir : ras
Par contre, j'ai toujours  des objets dans la quaranteine de maleware : dois je les supprimer

D'autre part, depuis que j'ai été infecté j'ai créé un compte utilisateur à partir de mon compte admin, et je me retrouve avec plein de fichier desktop.ini (par exemple j'en ai déjà deux sur mon bureau) je prècise que là je travaille sur le compte admin. De même certains fichiers sont sécurisés alors que je suis admin : trop bizarre! (mes documents and settings, mes videos, mes images, ma musique, my video, my pictures, my music.

@mesam · Answer

Bonsoir Paule, 

Pour la quarantaine de Malwarebytes, tu peux la vider.

Le compte admin te donne tous les droits. ou presques :)
Les desktp.ini sont en quelques sortes une copie
Regarde ici

Regarde aussi ici pour le droits administrateurs. A lire ! :)

Comment ce comporte ton PC ?

paule · Answer

Le pc va pas trop mal
je ne vois pas trop de dysfonctionnement au cours de l'utilisation
Merci beaucoup
Paule

@mesam · Answer

Bonsoir Paule, 

Il te faut tout de même faire certaines choses avant de partir :)

Lance OTL et cliques sur Purge d'outils.

Ensuite, il te faut faire tes mises à jours.

- Commence par java et laisse toi guider.
- Ensuite Adobe 
/!\ Paule ces mises à jours sont très importantes pour la protections de ton PC/!\

- Regarde aussi ICI tu verras des choses très intéressantes ;)


Ensuite il te faut mettre ton système à jour.

Pour rechercher des mises à jour Windows

    Pour ouvrir Windows Update, cliquez sur le bouton DémarrerI du bouton Démarrer. Dans la zone de recherche, tapez Update, puis, dans la liste des résultats, cliquez sur Windows Update.

    Dans le volet gauche, cliquez sur Rechercher des mises à jour, puis patientez pendant que Windows recherche les dernières mises à jour pour votre ordinateur.

    Si vous voyez un message vous indiquant que des mises à jour importantes sont disponibles ou qu'il faut les examiner, cliquez sur ce message pour afficher et sélectionner les mises à jour importantes à installer.

    Dans la liste, cliquez sur les mises à jour importantes pour obtenir plus d'informations. Activez les cases à cocher correspondant aux mises à jour que vous voulez installer, puis cliquez sur OK.

    Cliquez sur Installer les mises à jour.

    Lisez et acceptez les termes du contrat de licence, puis cliquez sur Terminer si la mise à jour le requiert. Autorisation de l'administrateur nécessaire Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.


LIEN

Ensuite :) et oui encore ;) 


Pour supprimer tous les points de restauration

    Pour ouvrir Système, cliquez sur le bouton Démarrer Image du bouton Démarrer, faites un clic droit sur Ordinateur, puis cliquez sur Propriétés.

    Dans le volet gauche, cliquez sur Protection du système. Autorisation de l'administrateur nécessaire Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

    Sous Paramètres de protection, cliquez sur Configurer.

    Sous Utilisation de l'espace disque, cliquez sur Supprimer.

    Cliquez sur Continuer, puis sur OK.


Windows 7 crée des points de restauration régulièrement, ainsi qu'à chaque installation importante.
Cependant, il est important d'en recréer suite à la suppression.

/!\Regarde/!\ 

Ne t'arrête pas et lis ceci 

- La sécurité, c'est toi qui l'a fait et non les programmes que tu installes, si tu ne connais pas un minimum sur la manière dont les infections se propagent, tu seras réinfecté car ce sera facile de te piéger.
- On ouvre pas n'importe quel fichier [b]quelque soit le prétexte/b. Derrière n'importe quel fichier un malware peut se cacher, on réfléchit quand on te propose un fichier sur un site, on bannit les cracks et P2P.
- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : Scan de vulnérabilités
Malekal


:)

g3n-h@ckm@n · Answer

salut si tu coches rien dans pureRa il nettoie rien

cependant attention à ce qu on coche et à l'OS utilisé

@mesam · Answer

Bonjour g3n-h@ckm@n  :) et merci pour cet remarque.

Effectivement mon canned speech n'est pas complet, 

Paule,

pour l'utilisation de PureRa il te faut cocher la case Check All et ensuite cliques sur Clean.

Virus activité illicite demelee

19 réponses

Discussions similaires