Virus activité illicite demelee

Fermé
paule - Modifié par paule le 11/03/2012 à 12:24
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
- 17 mars 2012 à 09:44
Bonjour,

Dernièrement j'ai été infecté par ce virus.
J'ai apparemment réussi à le supprimer, en suivant les différentes manipulations que j'ai trouvé dans les forums en utilisant d'une part Hijackthis (où j'ai supprimé une ligne),

puis un malwarebytes où j'ai 6 fichiers qui sont en quarantaine , à savoir:
trojan.agent - registry value -HKCU\software\microsoft\windows\currentversion\RunIcacaoweb
trojan.agent - file - C:\users\paule\appdata\roaming\cacaoweb\cacaoweb.exe
trojan.agent - file - C:\users\paule\appdata\local\temp\cacaonew5bdc74.exe
trojan.agent - file - C:\users\paule\download\cacaoweb.exe
trojan.agent - file - C:\$Recycle.bin\S-1-5-21-1082663135-24075112602-2067702236-1001\$RA3MEKO.exe
Backdoor.Bifrose - file - C:\Program files (x86)\iexplorer\iexplorer.exe

Puis un coup d'antivirus, qui a détécté :
Le fichier 'C:\Users\paule\AppData\Local\Temp\jag42510.exe'
contenait un virus ou un programme indésirable 'TR/Reveton.A.379' [trojan].
Action(s) exécutée(s) :
Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4aa77528.qua' !

Maintenant, comme je ne suis pas sûr d'avoir tout réparé, j'ai fait un scan avec ZHPDiag, si quelqu'un peut m'aider. Le rapport est là :
http://cjoint.com/?BClmvkD1zdL

Merci d'avance
Paule

19 réponses

@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
12 mars 2012 à 20:35
Bonsoir,
Il est préférable de créer ton propre sujet :)
1
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
11 mars 2012 à 13:48
Bonjour,
Ton PC est encore infecté, un bon nettoyage est nécessaire.

Pour cela fait ce qui suit :

Lance ZHPFix et copie ces lignes ci-dessous.
Un fois coller clique sur GO

[MD5.6870EF16342BA91CF3ACDB056036689A] - (.Bandoo Media, inc - Data Manager.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngrUI.exe   [1700752] [PID.5076]     
M0 - MFSP: prefs.js [paule - jye5xzbm.default] http://www.searchnu.com/ 
M2 - MFEP: prefs.js [paule - jye5xzbm.default\cacaoweb@cacaoweb.org] [] cacaoweb v1.0.24 (.http://www.cacaoweb.org/     
M2 - MFEP: prefs.js [paule - jye5xzbm.default\{99079a25-328f-4bd4-be04-00955acaa0a7}] [] Searchqu Toolbar v4.4.1.00 (.Visicom Media Inc..)     
O2 - BHO: SearchCore for Browsers [64Bits] - {9D717F81-9148-4f12-8568-69135F087DB0} . (.Bandoo Media, inc - Url Helper.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\BrowserConnection.dll     
O2 - BHO: Searchqu Toolbar [64Bits] - {99079a25-328f-4bd4-be04-00955acaa0a7} . (.Pas de propriétaire - dtx Dynamic Link Library.) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\searchqudtx.dll     
O2 - BHO: SearchCore for Browsers [64Bits] - {9D717F81-9148-4f12-8568-69135F087DB0} . (.Bandoo Media, inc - Url Helper.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\BrowserConnection.dll     
O4 - HKLM\..\Wow6432Node\Run: [DATAMNGR] . (.Bandoo Media, inc - Data Manager.) -- C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngrUI.exe     
O20 - AppInit_DLLs: . (...) - C:\Program Files\SEARCH~1\SEARCH~1\x64\datamngr.dll (.not file.)     
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM] -- Searchqu 414 MediaBar     
[HKCU\Software\AppDataLow\Software\searchqutoolbar]     
[HKCU\Software\DataMngr_Toolbar] 
[HKCU\Software\cacaoweb]     
[HKLM\Software\SearchquMediabarTb]     
O43 - CFD: 11/03/2012 - 01:30:00 - [0,000] ----D- C:\Users\paule\AppData\Roaming\cacaoweb     
O43 - CFD: 27/09/2011 - 17:16:34 - [0,001] ----D- C:\Users\paule\AppData\Roaming\pdfforge     
O43 - CFD: 15/10/2011 - 22:32:20 - [2,979] ----D- C:\Program Files (x86)\Windows Searchqu Toolbar     
O69 - SBI: SearchScopes [HKCU] {9BB47C17-9C68-4BB3-B188-DD9AF0FD2414} - (Web Search) - http://www.searchnu.com/     
[MD5.20F4A0AF95C4A3B41431C435729F8369] [SPRF][15/10/2011] (...) -- C:\Users\paule\AppData\Local\Temp\SetupDataMngr_Searchqu.exe   [3879048]     
O87 - FAEL: "{F7E9C989-5DFF-436F-81CC-B79585BBE21A}" | In - Private - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe     
O87 - FAEL: "{F2E0CCEC-2F94-4EBE-8A78-4B4EAC0A4844}" | In - Private - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe     
[HKLM\Software\Classes\TypeLib\{5B4144E1-B61D-495A-9A50-CD1A95D86D15}]     
[HKLM\Software\Classes\TypeLib\{6A4BCABA-C437-4C76-A54E-AF31B8A76CB9}]     
[HKLM\Software\Classes\TypeLib\{841D5A49-E48D-413C-9C28-EB3D9081D705}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079A25-328F-4BD4-BE04-00955ACAA0A7}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{A40DC6C5-79D0-4ca8-A185-8FF989AF1115}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{CC1AC828-BB47-4361-AFB5-96EEE259DD87}]     
[HKLM\Software\WOW6432Node\Classes\CLSID\{FEFD3AF5-A346-4451-AA23-A3AD54915515}]     
[HKLM\Software\WOW6432Node\SearchquMediabarTb]     
C:\Users\paule\AppData\Roaming\cacaoweb     
C:\Users\paule\AppData\Roaming\pdfforge     
C:\Users\paule\AppData\LocalLow\searchquband     
C:\Users\paule\AppData\LocalLow\searchqutoolbar     
C:\Program Files (x86)\Windows Searchqu Toolbar     
C:\Users\paule\AppData\Roaming\Mozilla\Firefox\Profiles\jye5xzbm.default\searchqutoolbar     



Ensuite,

Télécharge AdwCleaner ( d'Xplode ) sur votre bureau.
https://toolslib.net
Lance le, clique sur [Recherche] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
0
Salut, @mesam
Merci pour ta réponse.
Là je viens de finir les manip que tu m'as conseillées

Et que dois je faire maintenant?

Paule
0
voici le rapport ZHPfix : http://cjoint.com/?BCmqaGxW13A
et celui de adwcleaner : http://cjoint.com/?BCmqcbxAAtq


merci d'avance
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
12 mars 2012 à 19:19
Bonjour,

Très bien, relance AdwCleaner et clique sur [Suppression] puis patientez le temps du scan.
Une fois le scan fini, un rapport s'ouvrira.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Envoie ton rapport.

Ensuite,

► Télécharge OTL sur ton Bureau.

Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur

► Lance OTL
Sous Personnalisation, copie-colle le script ci-dessous :

netsvcs 
msconfig 
safebootminimal 
safebootnetwork 
activex 
drivers32 
%ALLUSERSPROFILE%\Application Data\*. 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%APPDATA%\*. 
%APPDATA%\*.exe /s 
%temp%\.exe /s 
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\System32\config\*.sav 
/md5start 
consrv.dll 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s 
CREATERESTOREPOINT 
nslookup www.google.fr /c 
SAVEMBR:0 
hklm\software\clients\startmenuinternet|command /rs 
hklm\software\clients\startmenuinternet|command /64 /rs


► Clique sur le bouton Analyse.

Une fois le scan finit envoie les deux rapports, AdwCleaner et OTL
0
el-mizou
Messages postés
5
Date d'inscription
mardi 15 février 2011
Statut
Membre
Dernière intervention
13 mars 2012
1
12 mars 2012 à 19:56
Bonjour j'ai le même problème, pourriez-vous me dire quoi faire svp ?
0
el-mizou
Messages postés
5
Date d'inscription
mardi 15 février 2011
Statut
Membre
Dernière intervention
13 mars 2012
1
13 mars 2012 à 13:26
ok merci pour l'info ;)

j'ai régle le problème en suivant la manipulation avec malware bytes, merci ;)
0
Voici le rapport après avoir relancer et fait la suppression sous adwcleaner : http://cjoint.com/?BCnqys58ySm
0
et voici le rapport sous OTL :

http://cjoint.com/?BCnrcfwVD3S
0
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
13 mars 2012 à 20:43
Bonjour,

Le rapport de AdwCleaner ne montre plus rien ? As tu fait deux fois la manip ?

Pour OTL
Relance le et copie les lignes ci-dessous dans le cadre en bas de la fenêtre sous "Personnalisation" clique ne suite sur "correction"

:OTL"
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\IEBHO.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll (Bandoo Media, inc)      
IE - HKCU\..\SearchScopes,DefaultScope = {3A08D9DB-0A8A-4259-8AAE-39C72E232AA0}
[2012/03/11 00:29:59 | 000,610,447 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf   
[2012/03/11 01:25:15 | 002,120,419 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf  
[2012/03/11 00:29:54 | 000,610,447 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf    
[2012/03/11 01:25:22 | 002,120,419 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf 



Ensuite

* Télécharge PureRa (par l''editeur de JavaRa) :

https://www.clubic.com/telecharger-fiche262022-purera.html

- Fait un clic droit sur le fichier archiver puis appuie sur Extraire ici.

- Lance PureRa (clic droit "executer en tant qu''administrateur" pour Vista/7) puis appuie sur Next.

- Clique sur "Clean"

- L'outil va faire son scan puis son nettoyage

- Redémarre ton PC

Dit moi ensuite comment va ton PC
0
bonjour,
pour adwcleaner, en effet j'ai du faire la manip deux fois.

j'ai fait la correction sous OTL et il m'a donner un rapport bizarre :

http://cjoint.com/?BCosKQPGchc

D'autre part , le nettoyage avec PureRa est en cours
0
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
14 mars 2012 à 20:20
Bonjour,

Oui une erreur de frappe de ma part. En faite il y avait ça " en trop après la première ligne.
Peux tu refaire avec le code ci-dessous.

:OTL
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\x64\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\x64\IEBHO.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\datamngr.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\datamngr.dll (Bandoo Media, inc)      
 O20 - AppInit_DLLs: (C:\PROGRA~2\SEARCH~1\SEARCH~1\IEBHO.dll) - C:\Program Files (x86)\SearchCore for Browsers\SearchCore for Browsers\IEBHO.dll (Bandoo Media, inc)      
IE - HKCU\..\SearchScopes,DefaultScope = {3A08D9DB-0A8A-4259-8AAE-39C72E232AA0}
[2012/03/11 00:29:59 | 000,610,447 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf   
[2012/03/11 01:25:15 | 002,120,419 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf  
[2012/03/11 00:29:54 | 000,610,447 | ---- | C] () -- C:\Users\paule\Desktop\(Malekal's forum * UAC _ Pourquoi ne pas le désactiver _ Papiers _ Articles).pdf    
[2012/03/11 01:25:22 | 002,120,419 | ---- | M] () -- C:\Users\paule\Desktop\(Malekal's forum * OTL_HijackThis & localisation des malwares sur le système _ Papiers _ Articles).pdf 
0
Bonjour,
donc, je viens de refaire la manip.
j'obtiens : http://cjoint.com/?BCpnfEhafIz

je suis en train de refaire PureRa
0
Bonsoir,

Et maintenant comment savoir que mon pc n'est plus affecté?
J'ai refait une analyse avec Maleware et antivir : ras
Par contre, j'ai toujours des objets dans la quaranteine de maleware : dois je les supprimer

D'autre part, depuis que j'ai été infecté j'ai créé un compte utilisateur à partir de mon compte admin, et je me retrouve avec plein de fichier desktop.ini (par exemple j'en ai déjà deux sur mon bureau) je prècise que là je travaille sur le compte admin. De même certains fichiers sont sécurisés alors que je suis admin : trop bizarre! (mes documents and settings, mes videos, mes images, ma musique, my video, my pictures, my music.
0
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
15 mars 2012 à 21:39
Bonsoir Paule,

Pour la quarantaine de Malwarebytes, tu peux la vider.

Le compte admin te donne tous les droits. ou presques :)
Les desktp.ini sont en quelques sortes une copie
Regarde ici

Regarde aussi ici pour le droits administrateurs. A lire ! :)

Comment ce comporte ton PC ?
0
Le pc va pas trop mal
je ne vois pas trop de dysfonctionnement au cours de l'utilisation
Merci beaucoup
Paule
0
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
16 mars 2012 à 22:10
Bonsoir Paule,

Il te faut tout de même faire certaines choses avant de partir :)

Lance OTL et cliques sur Purge d'outils.

Ensuite, il te faut faire tes mises à jours.

- Commence par java et laisse toi guider.
- Ensuite Adobe
/!\ Paule ces mises à jours sont très importantes pour la protections de ton PC/!\

- Regarde aussi ICI tu verras des choses très intéressantes ;)


Ensuite il te faut mettre ton système à jour.

Pour rechercher des mises à jour Windows

Pour ouvrir Windows Update, cliquez sur le bouton DémarrerI du bouton Démarrer. Dans la zone de recherche, tapez Update, puis, dans la liste des résultats, cliquez sur Windows Update.

    Dans le volet gauche, cliquez sur Rechercher des mises à jour, puis patientez pendant que Windows recherche les dernières mises à jour pour votre ordinateur.

    Si vous voyez un message vous indiquant que des mises à jour importantes sont disponibles ou qu'il faut les examiner, cliquez sur ce message pour afficher et sélectionner les mises à jour importantes à installer.

    Dans la liste, cliquez sur les mises à jour importantes pour obtenir plus d'informations. Activez les cases à cocher correspondant aux mises à jour que vous voulez installer, puis cliquez sur OK.

    Cliquez sur Installer les mises à jour.

    Lisez et acceptez les termes du contrat de licence, puis cliquez sur Terminer si la mise à jour le requiert. Autorisation de l'administrateur nécessaire Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.


LIEN

Ensuite :) et oui encore ;)


Pour supprimer tous les points de restauration

    Pour ouvrir Système, cliquez sur le bouton Démarrer Image du bouton Démarrer, faites un clic droit sur Ordinateur, puis cliquez sur Propriétés.

    Dans le volet gauche, cliquez sur Protection du système. Autorisation de l'administrateur nécessaire Si vous êtes invité à fournir un mot de passe administrateur ou une confirmation, fournissez le mot de passe ou la confirmation.

    Sous Paramètres de protection, cliquez sur Configurer.

    Sous Utilisation de l'espace disque, cliquez sur Supprimer.

    Cliquez sur Continuer, puis sur OK.


Windows 7 crée des points de restauration régulièrement, ainsi qu'à chaque installation importante.
Cependant, il est important d'en recréer suite à la suppression.

/!\Regarde/!\

Ne t'arrête pas et lis ceci

- La sécurité, c'est toi qui l'a fait et non les programmes que tu installes, si tu ne connais pas un minimum sur la manière dont les infections se propagent, tu seras réinfecté car ce sera facile de te piéger.
- On ouvre pas n'importe quel fichier [b]quelque soit le prétexte/b. Derrière n'importe quel fichier un malware peut se cacher, on réfléchit quand on te propose un fichier sur un site, on bannit les cracks et P2P.
- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : Scan de vulnérabilités
Malekal


:)
0
Utilisateur anonyme
17 mars 2012 à 00:28
salut si tu coches rien dans pureRa il nettoie rien

cependant attention à ce qu on coche et à l'OS utilisé
0
@mesam
Messages postés
549
Date d'inscription
samedi 3 mars 2012
Statut
Membre
Dernière intervention
10 septembre 2015
23
17 mars 2012 à 09:44
Bonjour g3n-h@ckm@n :) et merci pour cet remarque.

Effectivement mon canned speech n'est pas complet,

Paule,

pour l'utilisation de PureRa il te faut cocher la case Check All et ensuite cliques sur Clean.
0