Virus Trojan.Dropper.BCMiner.

Résolu
Insecure -  
 Proof92 -
Bonjour à tous !

Déjà merci de prendre le temps de lire ce message. Alors, un malheureux incident est arrivé après avoir prêté mon ordi à mon frère. Bon, je vous passe les détails, je me retrouve donc avec un virus. J'ai tout essayé (bon pas tout, mais vous avez compris). Alors, il s'agit de trojan dropper BCMiner (selon MAM), enfin tout est dans le titre. Pourriez-vous m'aider à m'en débarrasser ?
Merci d'avance à quiconque me répondra et bonne journée !

33 réponses

  • 1
  • 2
Résumé de la discussion

Une infection détectée après prêt d’un ordinateur à un proche est signalée, avec un trojan dropper BCMiner suspecté et une éventuelle variante Sirefef, et une demande d’aide pour s’en débarrasser.
Plusieurs conseils initiaux recommandent de sauvegarder les documents précieux, puis d’utiliser ComboFix en mode sans échec avec désactivation temporaire des protections, afin d’éviter les interférences et d’obtenir un rapport exploitable.
Des échanges décrivent ensuite l’usage de SystemLook et d’OTL, l’analyse ciblée de fichiers systèmes comme Services.exe et qmgr.dll, puis l’hébergement et la consultation des rapports sur des sites d’analyse.
En parallèle, des liens vers des analyses VirusTotal et des tutoriels OTL sont partagés, montrant une progression où l’utilisateur suit les conseils et prépare les rapports pour la suite.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Et bien ton frère a eu le gros lot, puisque tu es infecté par la dernière variante de Sirefef.

    == == == == == == == == == == == == == == == == == == == == == ==

    Sauvegarde tes documents les plus importants.

    == == == == == == == == == == == == == == == == == == == == == ==

    1. Télécharge ComboFix de sUBs .
    TRÈS IMPORTANT! : Enregistre ComboFix.exe sur le Bureau.

    IMPORTANT : Ferme toutes tes applications en cours et désactive temporairement les programmes de protection (Antivirus, Antispywares, etc...).
    Ils pourraient interférer avec l'outil, un clic droit sur l'icône du programme prés de l'heure permet généralement de le faire.
    En cas de difficultés se reporter ici : http://assiste.forum.free.fr/viewtopic.php?t=27097

    Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.

    ● Lance ComboFix
    ● Accepte la licence d'utilisation et laisse toi guider par le programme.
    ● Accepte d'installer la console de récupération (sous XP)
    ● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.

    Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt

    Notes :

    ▸ Ne rien faire et ne rien toucher pendant le travail de l'outil, risque de plantage complet de l'ordinateur.
    ▸ Ne pas relancer Combofix, si l'outil ne fonctionne pas, revenir sur le forum pour de nouvelles instructions.
    ▸ Si après le redémarrage, ComboFix indique des erreurs au sujet des fichiers à supprimer, redémarrer à nouveau le système.


    Aide : Comment utiliser ComboFix

    2. Héberge le rapport sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.

    A +
    1
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonjour,

    Commence par poster le rapport de Malwarebytes montrant les fichiers BCMiner

    A +
    0
  3. Insecure
     
    Re bonjour,
    Alors j'espère que je poste le bon truc ^-^' :

    Windows Vista Service Pack 2 x64 NTFS
    Internet Explorer 8.0.6001.19272
    Comtesse Karnstein :: PC-DE-EVERYBODY [administrateur]

    Protection: Activé

    24/06/2012 18:53:40
    mbam-log-2012-06-24 (18-53-40).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 236748
    Temps écoulé: 4 minute(s), 7 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Windows\Installer\{ac6c47b7-c45d-693c-b39c-72fc1b045323}\U\00000008.@ (Trojan.Dropper.BCMiner) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Voilà, merci pour la réponse super-rapide.
    0
  4. Insecure
     
    Merci pour les instructions. ComboFix ne fonctionne pas =/ Il m'a mis un message "Warning!! Do not run ComboFix in Compatibility Mode".
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Insecure
     
    Hum, oui, normalement.

    Je vais faire ça.
    0
  7. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Je préfère poser la question franchement pour écarter une possibilité.

    Si tu fais clic-droit > Propriétés sur ComboFix.exe, onglet Compatibilité, aucune case ne doit êter cochée.
    0
  8. Insecure
     
    (effectivement, aucune case n'est cochée)

    Alors, ça a fonctionné, voilà le rapport : http://textup.fr/22305nb
    0
  9. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ComboFix n'a pas pu remplacer les fichiers patchés par l'infection, regardons pourquoi :

    1. Analyse le fichier c:\windows\system32\Services.exe sur https://www.virustotal.com/gui/
    Si un message te dit que le fichier à déjà été analysé, ré-analyse le
    Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
    tuto : Analyser un fichier avec VirusTotal

    2. Idem pour celui-ci c:\windows\SysWow64\qmgr.dll

    3. Télécharge OTL (de OldTimer) sur ton Bureau.

    Ferme toutes tes applications en cours

    ● Lance OTL.exe, l'interface principale s'ouvre.
    ● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
    ● Coche la case Tous les utilisateurs
    Laisse tous les autres paramètres par défaut
    ● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :

    /md5start
    services.exe
    qmgr.dll
    wshelper.dll
    /md5stop
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    CREATERESTOREPOINT 

    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● 2 rapports vont s'ouvrir au format bloc-note :
    ▸ ▸ OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
    Ne les poste pas sur le forum, ils seraient trop long
    ● Héberge les sur un des sites suivants :
    https://www.cjoint.com/
    http://pjjoint.malekal.com/
    http://threat-rc.com/
    https://textup.fr/
    ● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.

    Aide : Tutorial OTL (par Malekal)

    A +
    0
  10. Insecure
     
    1. Alors pour le premier fichier : https://www.virustotal.com/file/8748091bf27f05d28d45688e04dd9229a4b2e159209a64f457703f66a8cece4d/analysis/1340567379/

    2. Le deuxième :
    https://www.virustotal.com/file/319448968b75d6a774ad3e45c670330d29c1339ac1d936e3f67d9424bc5d94e7/analysis/1340567599/

    3. Le rapport OTL : http://textup.fr/22306Ci
    Le rapport OTL Extras : http://textup.fr/22307Pj

    (encore merci de prendre le temps de répondre :D)
    0
  11. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    L'infection résiste pour le moment.

    1. Ouvre le bloc-note et copie/colle les instructions en citation :

    KillAll::
    
    ClearJavaCache::
    
    Folder::
    C:\Users\Comtesse Karnstein\AppData\Local\{ac6c47b7-c45d-693c-b39c-72fc1b045323}
    c:\windows\Installer\{ac6c47b7-c45d-693c-b39c-72fc1b045323}
    c:\windows\SysWow64\%APPDATA%
    c:\users\Comtesse Karnstein\AppData\Roaming\Babylon
    c:\programdata\Babylon   

    Sauvegarde le fichier sous le nom CFScript.txt impérativement sur ton Bureau.

    !! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, etc...) !!

    ● Fait un glissé/déposé du fichier sur l'icône de ComboFix.exe => img
    ● Patiente pendant le travail de l'outil et la création du rapport.
    ● Héberge le et poste le lien.

    2. Relance OTL

    ● Coche Rapport minimal
    Laisse tous les autres paramètres par défaut
    ● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
    ● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.

    3. Héberge les 2 rapports et donne moi les liens.

    A +
    0
  12. Insecure
     
    1. http://textup.fr/22309Di
    Je fais 2 & 3 demain soir, j'ai plus le temps.
    0
  13. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    ok,

    vu le rapport Combofix, il faut faire ceci à la place de OTL stp.

    Télécharge SystemLook (64-bit) de jpshortstuff sur le Bureau.

    ● Double-clique sur SystemLook.exe pour l'exécuter.
    ● Copie les lignes en citation dans le champ texte principal :

    :filefind
    Services.exe
    qmgr.dll

    ● Clique sur le bouton Rechercher
    ● Patiente, le Bloc-note s'ouvre avec les résultats de l'analyse.
    ● Copie/colle le rapport dans le prochain message

    Le rapport SystemLook.txt se trouve également sur le Bureau

    A demain soir
    0
  14. Insecure
     
    Alors, le rapport SystemLook :

    SystemLook 30.07.11 by jpshortstuff
    Log created at 07:29 on 25/06/2012 by Comtesse Karnstein
    Administrator - Elevation successful

    ========== filefind ==========

    Searching for "Services.exe"
    C:\Windows\System32\services.exe --a---- 381952 bytes [17:25 18/03/2010] [07:10 11/04/2009] B8844F93D2C5F1DCDB179AAA9AF134B7
    C:\Windows\SysWOW64\services.exe --a---- 279552 bytes [17:25 18/03/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B
    C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_2b7e5beb85a67240\services.exe --a---- 384512 bytes [02:49 21/01/2008] [02:49 21/01/2008] DFAC660F0F139276CC9299812DE42719
    C:\Windows\winsxs\amd64_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_2d69d4f782c83d8c\services.exe --a---- 384512 bytes [17:25 18/03/2010] [07:10 11/04/2009] 934E0B7D77FF78C18D9F8891221B6DE3
    C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6001.18000_none_cf5fc067cd49010a\services.exe --a---- 279040 bytes [02:50 21/01/2008] [02:50 21/01/2008] 2B336AB6286D6C81FA02CBAB914E3C6C
    C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.0.6002.18005_none_d14b3973ca6acc56\services.exe --a---- 279552 bytes [17:25 18/03/2010] [06:27 11/04/2009] D4E6D91C1349B7BFB3599A6ADA56851B

    Searching for "qmgr.dll"
    C:\Windows\erdnt\cache64\qmgr.dll --a---- 1081856 bytes [19:12 24/06/2012] [07:11 11/04/2009] 6D316F4859634071CC25C4FD4589AD2C
    C:\Windows\System32\qmgr.dll --a---- 1081856 bytes [17:25 18/03/2010] [07:11 11/04/2009] 6D316F4859634071CC25C4FD4589AD2C
    C:\Windows\SysWOW64\qmgr.dll --a---- 77760 bytes [17:59 28/11/2010] [16:23 03/05/2000] F997C31E8968F0A1288AE43E404B1368
    C:\Windows\winsxs\amd64_microsoft-windows-bits-client_31bf3856ad364e35_6.0.6001.18000_none_7faf6070b1cf7cc2\qmgr.dll --a---- 1082368 bytes [02:50 21/01/2008] [02:50 21/01/2008] D896A0D43F8AB81ECB1FC6C24DECFD58
    C:\Windows\winsxs\amd64_microsoft-windows-bits-client_31bf3856ad364e35_6.0.6002.18005_none_819ad97caef1480e\qmgr.dll --a---- 1081856 bytes [17:25 18/03/2010] [07:11 11/04/2009] 6D316F4859634071CC25C4FD4589AD2C

    -= EOF =-

    Voilà. A ce soir.
    0
  15. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir,

    J'ai des doutes sur le fichier services.exe
    Peux tu réaliser ces 2 recherches supplémentaires :

    1. Télécharge Farbar Service Scanner
    ● Exécute le sur l'ordinateur ayant le problème de connexion.
    ● Vérifie que les options ci-dessous sont cochées:

    Internet Services
    Windows Firewall
    System Restore
    Security Center
    Windows Update
    Windows Defender

    ● Clique sur "Scan".
    ● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

    2. Télécharge aswMBR sur ton Bureau.

    ● Lance aswMBR.exe
    ● Clique sur le bouton Scan
    ● Patiente pendant l'analyse
    ● Clique sur Save log
    ● Enregistre le rapport sur le Bureau.

    3. Copie/colle les liens des rapports dans ton prochain message.

    A +
    0
  16. Insecure
     
    3 . Le rapport FFS : http://textup.fr/22374Ha

    Le rapport aswMBR : http://textup.fr/22375xl
    0
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Hello pour avancer

    Télécharge ici : GMER

    Ouvre GMER avec le clic droit -> exécuter en tant qu'administrateur, développe les onglets avec ">>>" ( Illustration )

    Rends-toi à Files, développe C:\Windows\System32 et tu mets en surbrillance Services.exe puis clique sur Copy, il va te demander où tu veux l'enregistrer et sous quel nom. Met "test.exe" (sans les guillemets) et enregistre-le sur ton bureau. ( Illustration )

    Envoie test.exe sur https://www.virustotal.com/gui/
    Si un message te dit que le fichier à déjà été analysé, ré-analyse le
    Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.

    A+
    .::. Contributeur Sécurité .::.
    0
  18. Insecure
     
    Bonjour, merci de bien vouloir m'aider également, voici le lien :

    https://www.virustotal.com/file/03e4d4e5f4337c44f3cb2c2cb943e0984679a51f05760e90c9c3b46a47aed659/analysis/1340649159/
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Iléfort quand même le juju ^^

    fake md5 de %system32%\services.exe = d4e6d91c1349b7bfb3599a6ada56851b

    real MD5 : b8844f93d2c5f1dcdb179aaa9af134b7

    .::. Contributeur Sécurité .::.
    0
  20. Insecure
     
    Hum... what ? Désolée, j'ai pas tout compris là xD
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      c'était surtout pour kali et moi que je disais ça ^^

      en fait, quand kali t'a demandé ça :

      1. Analyse le fichier c:\windows\system32\Services.exe sur https://www.virustotal.com/gui/
      Si un message te dit que le fichier à déjà été analysé, ré-analyse le
      Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
      tuto : Analyser un fichier avec VirusTotal


      le rapport virustotal que tu as donné montrait un résultat de 0/41

      moi je t'ai demandé de le "copier" avec GMER et ça sort un résultat de 6/41, ça change tout ;o

      en fait le vilain "virus" envoie une fausse information pour se camoufler (real MD5 >< faked md5)
      0
    2. Insecure
       
      Hum, d'accord O_O ahahah je hais mon frère.
      Encore merci de bien vouloir m'aider.
      0
  • 1
  • 2