Variante de Win32/Fynloski.AA

Résolu
dam131415 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Mon antivirus Eset Nod32 m'averti de la présence d'un virus impossible à nettoyer avec des anti-malware. Le fichier svchost.exe est en cause, à chaque démarrage il revient.

Voici ce que dit l'antivirus:

27/06/2012 17:01:15 Analyseur au démarrage fichier Mémoire vive = C:\Users\Dadou\AppData\Local\Temp\svchost.exe une variante de Win32/Fynloski.AA cheval de troie impossible de nettoyer Dadou-PC\Dadou

Toute aide est la bienvenue.

Merci

11 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    0
    1. dam131415
       
      Bonjour,

      merci de m'aider.
      Voici le rapport:



      Malwarebytes Anti-Malware (Essai) 1.61.0.1400
      www.malwarebytes.org

      Version de la base de données: v2012.06.27.06

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 9.0.8112.16421
      Dadou :: DADOU-PC [administrateur]

      Protection: Désactivé

      27/06/2012 17:11:56
      mbam-log-2012-06-27 (17-11-56).txt

      Type d'examen: Examen rapide
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 222228
      Temps écoulé: 3 minute(s), 2 seconde(s)

      Processus mémoire détecté(s): 1
      C:\Users\Dadou\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> 3492 -> Suppression au redémarrage.

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 1
      HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 1
      C:\Users\Dadou\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

      Fichier(s) détecté(s): 2
      C:\Users\Dadou\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> Suppression au redémarrage.
      C:\Users\Dadou\AppData\Roaming\dclogs\2012-06-27-4.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

      (fin)


      Dois-je redémarrer?
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ~~

    Ca doit être bon.

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.

    Faire attention à ce que vous téléchargez

    0
  3. dam131415
     
    Voici:

    # AdwCleaner v1.700 - Rapport créé le 27/06/2012 à 17:22:48
    # Mis à jour le 26/06/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Dadou - DADOU-PC
    # Exécuté depuis : C:\Users\Dadou\Desktop\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Softonic

    ***** [Registre - GUID] *****

    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v10.0.2 (fr)

    Nom du profil : default
    Fichier : C:\Users\Dadou\AppData\Roaming\Mozilla\Firefox\Profiles\ejkpvgu2.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v19.0.1084.56

    Fichier : C:\Users\Dadou\AppData\Local\Google\Chrome\User Data\Default\Preferences

    Supprimée : "path": "C:\\Users\\Dadou\\AppData\\Roaming\\..\\LocalLow\\StoneTrip\\WebPlayer1.8.1\\npShi[...]

    *************************

    AdwCleaner[S1].txt - [1181 octets] - [27/06/2012 17:22:48]

    ########## EOF - C:\AdwCleaner[S1].txt - [1309 octets] ##########

    L'anti-virus n'a plus rien détecté, ça devrait etre bon.
    Par contre, je ne sais pas si c'est lié mais je n'arrive plus depuis quelques semaines à utiliser le tréma et l'accent circonflexe sur les lettres. Je pensais que c'était lié au virus mais apparemment non vu que ça ne fonctionne toujours pas.
    Je vais faire des recherches sur le net.

    En tous cas, un grand merci Malekal !
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Pour l'accent circonflexe, c'est normalement lié, ça vient des keylogguer.

      T'as peux-être d'autres merdouilles

      * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
      (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

      Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

      * Lance OTL
      * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
      * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
      netsvcs
      msconfig
      safebootminimal
      safebootnetwork
      activex
      drivers32
      %ALLUSERSPROFILE%\Application Data\*.
      %ALLUSERSPROFILE%\Application Data\*.exe /s
      %APPDATA%\*.
      %APPDATA%\*.exe /s
      %temp%\.exe /s
      %SYSTEMDRIVE%\*.exe
      %systemroot%\*. /mp /s
      %systemroot%\system32\consrv.dll
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\Tasks\*.job /lockedfiles
      %systemroot%\system32\drivers\*.sys /lockedfiles
      %systemroot%\System32\config\*.sav
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      /md5stop
      HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
      HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
      CREATERESTOREPOINT
      nslookup www.google.fr /c
      SAVEMBR:0
      hklm\software\clients\startmenuinternet|command /rs
      hklm\software\clients\startmenuinternet|command /64 /rs

      * Clique sur le bouton Analyse.
      * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
      0
  4. dam131415
     
    Fichier OTL.txt: http://pjjoint.malekal.com/files.php?id=20120627_o10k12d8g14d11

    Fichier Extra.txt: http://pjjoint.malekal.com/files.php?id=20120627_k7b7v12c6h13
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Il est encore là.

    Relance OTL.
    o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    PRC - [2010/11/05 03:58:15 | 001,169,224 | ---- | M] (Microsoft Corporation) -- C:\Users\Dadou\AppData\Local\Temp\svchost.exe
    PRC - [2010/11/05 03:58:15 | 001,169,224 | ---- | M] (Microsoft Corporation) -- C:\Users\Dadou\AppData\Local\Temp\svchost.exe
    PRC - [2010/11/05 03:58:15 | 001,169,224 | ---- | M] (Microsoft Corporation) -- C:\Users\Dadou\AppData\Local\Temp\svchost.exe
    PRC - [2010/11/05 03:58:15 | 001,169,224 | ---- | M] (Microsoft Corporation) -- C:\Users\Dadou\AppData\Local\Temp\svchost.exe
    PRC - [2010/11/05 03:58:15 | 001,169,224 | ---- | M] (Microsoft Corporation) -- C:\Users\Dadou\AppData\Local\Temp\svchost.exe
    O4 - HKU\S-1-5-21-2120964655-2429912195-763531326-1000..\Run: [© Microsoft Corporation. All rights reserved.] C:\Users\Dadou\AppData\Roaming\MicrosoftUpdates.exe ()
    [2012/06/27 17:20:47 | 000,000,000 | ---D | C] -- C:\Users\Dadou\AppData\Roaming\dclogs
    [2012/06/19 22:33:33 | 000,027,648 | ---- | M] () -- C:\Users\Dadou\AppData\Roaming\WindowsApplication1.exe
    [2011/01/27 00:03:05 | 000,000,000 | ---D | M] -- C:\Users\Dadou\AppData\Roaming\lzhykoPDBuNKgCagcorH
    [2012/05/27 13:21:20 | 078,934,016 | ---- | M] () -- C:\Users\Dadou\AppData\Roaming\MicrosoftUpdates.exe
    [2012/06/19 22:33:33 | 000,027,648 | ---- | M] () -- C:\Users\Dadou\AppData\Roaming\WindowsApplication1.exe


    * redemarre le pc sous windows et poste le rapport ici

    Tu peux zipper le dossier C:\_OTL\MoveIT et envoyer le zip sur http://upload.malekal.com
    0
  7. dam131415
     
    Voici le rapport qui s'est ouvert avant que je ne redémarre:

    ========== OTL ==========
    Process svchost.exe killed successfully!
    No active process named svchost.exe was found!
    No active process named svchost.exe was found!
    No active process named svchost.exe was found!
    No active process named svchost.exe was found!
    Registry value HKEY_USERS\S-1-5-21-2120964655-2429912195-763531326-1000\Software\Microsoft\Windows\CurrentVersion\Run\\© Microsoft Corporation. All rights reserved. deleted successfully.
    C:\Users\Dadou\AppData\Roaming\MicrosoftUpdates.exe moved successfully.
    C:\Users\Dadou\AppData\Roaming\dclogs folder moved successfully.
    C:\Users\Dadou\AppData\Roaming\WindowsApplication1.exe moved successfully.
    C:\Users\Dadou\AppData\Roaming\lzhykoPDBuNKgCagcorH\lzhykoPDBuNKgCagcorH\0.0.0.0 folder moved successfully.
    C:\Users\Dadou\AppData\Roaming\lzhykoPDBuNKgCagcorH\lzhykoPDBuNKgCagcorH folder moved successfully.
    C:\Users\Dadou\AppData\Roaming\lzhykoPDBuNKgCagcorH folder moved successfully.
    File C:\Users\Dadou\AppData\Roaming\MicrosoftUpdates.exe not found.
    File C:\Users\Dadou\AppData\Roaming\WindowsApplication1.exe not found.

    OTL by OldTimer - Version 3.2.53.0 log created on 06272012_195202

    Il n'y avait pas de dossier "MovedIT" mais "MovedFiles" je l'ai donc zippé en .rar .
    Mais lorsque je l'upload, ça termine le transfert (100%) puis ça me dit que je n'ai pas choisi de fichier alors que je pointe bien vers le .rar
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ca doit être ton antivirus qui bloque l'envoi.
      Désactive le durant l'envoi.
      ou mets un mot de passe à l'archive.

      sinon envoie là : spamhere-@wanadoo.Fr
      0
  8. dam131415
     
    Même en désactivant l'antivirus ça ne marche pas. L'archive fait 58mo donc impossible de l'envoyer par email. Je vais essayer de mettre un mot de passe puis retenter l'upload.
    0
  9. dam131415
     
    J'ai uploadé le fichier sur mediafire: http://www.medi-a-fire.com/?33n2lznah35bayc

    Le mot de passe c'est: Malekal

    Il faut enlever les "-" dans l'url
    0
  10. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Merci, ça va sur une IP Free.
    Et ça ouvre un crack...

    sinon tes accents ça donne quoi ?
    0
  11. dam131415
     
    Les accents refonctionnent donc c'est nickel. Je te remercie en tous cas !
    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Attention aux cracks :)

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    0