Trojan Barys et autres virus Fermé

Question

Cher communauté d'entraide,

Mon pc a été infecté il y 10 jours par un Trojan quelconque dont j'ai cru m'être débarrassé facilement avec Avira.
Mais depuis, c'est la catastrophe et des dizaines de Trojans, worms et malwares se sont infiltrés. Aujourd'hui mon pc est quasi inutilisable, mon ventilateur marche en sur régime en permanence.

J'ai scanné et désinfecté avec Avira et Malware's byte qui détectent une quarantaine de menaces. Les rapports indiquent à chaque fois que les menaces ont été supprimées avec succès mais à chaque démarrage le système débloque, Avira m'indique que le Trojan Barys a été trouvé, des fenêtres système m'indiquent que des fichiers tentent d'être copiés et remplacés (camp23.bat). Mon onglet "Protection du système" a carrément disparu donc impossible d'écraser les anciens points de restauration...

Je ne sais plus quoi faire. A l'aide. C'est mon outil de travail et je n'ai évidemment pas eu le cd d'installation de windows 7 quand j'ai acheté le pc..

D'avance merci,

Emilie

Config Windows 7
Chrome

g3n-h@ckm@n · Answer

salut quand tu achetes le pc il est conseillé d'en faire les dvd de sauvegarde....

poste ton rapport de mlawarebytes relatant les infections

WishIwasageek · Answer

Merci pour ton aide! Ok, je lance un scan, ça peut durer un moment... ma machine est très lente.

g3n-h@ckm@n · Answer

non je voudrais lire le rapport de scan que tu as deja effectué

WishIwasageek · Answer

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.07.02.02

Windows 7 x64 NTFS (Mode sans échec/Réseau)
Internet Explorer 8.0.7600.16385
Emi :: EMI-LAPTOP [administrateur]

02/07/2012 21:57:05
mbam-log-2012-07-02 (21-57-05).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 378183
Temps écoulé: 59 minute(s), 27 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Désolée c'est un peu indigeste. Ci-dessous.

...

Clé(s) du Registre détectée(s): 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 8
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|RjVCQTJCQkY3MjQyRkEyQk (Backdoor.Bot) -> Données: C:\Users\Emi\seWsm.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|svchost.exe (Trojan.Agent) -> Données: "C:\Users\Emi\AppData\Roaming\svchost.exe" -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|muteysexymylul (Trojan.Agent) -> Données: "C:\Users\Emi\AppData\Roaming\svchost.exe" -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|Load (Trojan.Agent) -> Données: C:\Users\Emi\LOCALS~1\Temp\msafeq.exe -> Suppression au redémarrage.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|a (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\Desktop\chrome.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|b (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\my documents\chrome.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|c (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\Downloads\chrome.exe -> Mis en quarantaine et supprimé avec succès.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|d (Trojan.Agent.CRGen) -> Données: C:\Users\Emi\chrome.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 50
C:\Users\Emi\AppData\Local\Temp\44681.exe (PUP.HackTool.ACGen) -> Aucune action effectuée.
C:\Users\Emi\AppData\Local\Temp\Updates\scvhost.exe (PUP.BitMiner) -> Aucune action effectuée.
C:\Users\Emi\seWsm.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3343375311-4005270121-35972799-1001\$RMG81DU.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\$Recycle.Bin\S-1-5-21-3343375311-4005270121-35972799-1001\$RTO32FK.exe (PUP.ToolbarDownloader) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RGDKAY9\339504584.jangaland[1].exe (PUP.HackTool.ACGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RGDKAY9\Protected[1].exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JTG10TRP\file[1].exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0008b846.exe (Backdoor.MSIL.P) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00114163.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\005b7e64.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00955ee4.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00b69cde.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00c73bcb.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00cf9669.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00e032e6.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\00f90b5a.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0112121e.exe (Rogue.InternetSecurityEssentials) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0187c77a.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\0188a22f.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\1603.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\2715.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\3088.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\4954.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\6836.exe (Trojan.MSIL) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\81CE.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\913F.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\B969.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\BFCF.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\D8A4.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\D934.tmp (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\eUHhp.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\sppnp.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\System.Deployment.exe (Backdoor.MSIL.P) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\asvizv.exe_knnls (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\eutreu.exe (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\hpdydb.exe (Heuristics.Shuriken) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\icbnti.exe (Trojan.MSIL.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\iubtbt.exe_qtwwj (Backdoor.Bot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\MsAiStart.zgy (Worm.Ainslot) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\xoawud.exe (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\3 2\svchost2.exe (Trojan.BitMiner) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\file2.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\svchost.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Roaming\91534.exe (Rogue.Agent.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\Updates\msusm.exe (Backdoor.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\AppData\Local\Temp\plugtmp\Service.exe (Backdoor.Messa) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\Desktop\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\Downloads\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Emi\chrome.exe (Trojan.Agent.CRGen) -> Mis en quarantaine et supprimé avec succès.

(fin)

WishIwasageek · Answer

Merci! Et désolée d'avoir posté le rapport directement sur le forum...

g3n-h@ckm@n · Answer

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

WishIwasageek · Answer

Bien noté, je m'y atèle. Merci.

WishIwasageek · Answer

Bon... fausse joie. TR/Dropper Gen continue d'être détecté par Avira... mais le pc est globalement beaucoup moins lent.

g3n-h@ckm@n · Answer

service pack1 à installer
internet explorer  à mettre à jour => 9
Mozilla à mettre à jour => 13
desinstalle sweetIM
desinstalle babylon
desinstalle 1ClickDownload 
desinstalle ScanSpyware 3.9.2.2 

====================

NE TE SERS PLUS DU PC QUE POUR DESINFECTER !!!

=====================


@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGdwhmaOq3A

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

WishIwasageek · Answer

Le pre-script: https://pjjoint.malekal.com/files.php?id=20120703_s15i8u8c15n6

service pack1 à installer : Windows update ne me le propose pas. Dois-je forcer l'installation? Sinon tout est à jour.
internet explorer à mettre à jour => 9 : Fait
Mozilla à mettre à jour => 13 : Fait mais après le pre-script
desinstalle sweetIM : Fait
desinstalle babylon : Fait mais continue de se lancer en page d'accueil de Mozilla.
desinstalle 1ClickDownload : Fait 
desinstalle ScanSpyware 3.9.2.2: Fait

Au démarrage, le fichier camp23.bat continue de vouloir copier/remplacer la version existante du fichier. J'ai TOUJOURS refusé la copie. Est-ce que je devrais accepter?

Merci!

g3n-h@ckm@n · Answer

pre_scan est corrompu tu peux le jeter

===========

suis ce tutoriel 

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

WishIwasageek · Answer

Je n'arrive plus à poster dans la discussion! Mes messages ne s'affichent pas.
Du coup je viens de t'envoyer un mail...

Merci!

WishIwasageek · Answer

Je viens de comprendre que mes messages ne s'affichaient plus car mon lien de téléchargement était un https.

Donc...

J'ai suivi le tutoriel, l'analyse a pris 5 heures et je ne sais pas si elle a abouti (impossible de faire "tout sélectionner" puis "supprimer" à la fin du scan, les boutons étaient grisés). Mais le rapport indique que les menaces ont été traitées.

Le voici: http://ww38.toofiles.com/fr/oip/documents/csv/drweb.html

Merci mille fois.

Emilie

g3n-h@ckm@n · Answer

bon ben il a vidé des quarantaines...

WishIwasageek · Answer

Hum... est-ce que je dois prendre ça comme une victoire? 
Est-ce qu'il y a autre chose que je puisse faire?

g3n-h@ckm@n · Answer

supprime pre_sscan retelecharge-le puis repasse-le

WishIwasageek · Answer

Et voici!
https://pjjoint.malekal.com/files.php?id=20120705_w12v14e6b11l5

g3n-h@ckm@n · Answer

service pack 1 à installer !!!

============================

@: à L'attention de ceux qui utilisent les switchs de Pre_script :
n'utiliser que les switchs proposés sur la page correspondante :
https://gen-hackman.kanak.fr/

================================

Clique sur ce lien : https://www.cjoint.com/?BGfc0AkQkSW

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

WishIwasageek · Answer

Le pre-script: https://pjjoint.malekal.com/files.php?id=20120705_c7k13g6w12q7

Pour le service pack 1, Windows déconseille fortement de forcer l'installation si elle ne m'est pas proposée par Windows Update. J'ai lu tous les guides et je ne comprends pas quels éléments manquent pour que je puisse accéder "normalement" au pack 1. J'ai peur qu'une installation prématurée ne foute en l'air le système. Mais si tu me dis qu'il n'y a pas de danger alors je l'installe.

Merci!

Emilie

g3n-h@ckm@n · Answer

va voir sur windows update dans ton menu demarrer/programmes

WishIwasageek · Answer

C'est ce que j'ai fait, plusieurs fois, et aucune mise à jour importante n'est disponible.

g3n-h@ckm@n · Answer

je serais toi je le telechargerais et l installerais manuellement alors.....

WishIwasageek · Answer

Ok je me lance alors!

g3n-h@ckm@n · Answer

je vais dormir à plus tard il est 4h du mat chez moi :)

WishIwasageek · Answer

Ah, c'est bien ce que je me disais! Bonne nuit et merci :)

g3n-h@ckm@n · Answer

hello où en est-on ?

WishIwasageek · Answer

Hello! Désolée j'ai mis le temps... 
Bon alors le service pack 1 a été installé avec succès, pas d'instabilité système pour l'instant.

Quant aux virus ça a l'air d'aller, pas d'alertes ou d'anormalités mais j'ai pas fait de scan aujourd'hui.

Voilà!

Merci!

Emilie

g3n-h@ckm@n · Answer

tu te sers du pc autre que pour desinfecter ?

tu vas sur des sites de streaming ?

WishIwasageek · Answer

Oui car je travaille avec donc c'est soit ça, soit je prends des jours de congés pendant toute la phase de désinfection....

En revanche, je n'ai fait aucun streaming ou téléchargement. Je me limite aux mails et à la suite office.

g3n-h@ckm@n · Answer

tant que tu t'en serviras tu te reinfecteras tant que la procedure de desinfection n'est pas terminée 

pour drweb , tu as fait l analyse normale + l analyse complete ensuite hein ? avec tous tes peripheriques possibles branchés ? 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

WishIwasageek · Answer

Ah merde... bon c'est le weekend dans quelques heures donc je vais pouvoir le laisser tranquille pendant deux jours. 

Pour docteur web, oui j'ai bien fait analyse normale + analyse complète (je n'ai aucun périphérique branché). Comme indiqué dans le tutoriel, je l'ai fait en mode sans échec.

g3n-h@ckm@n · Answer

ce genre d infection se propage par les clés usb ou mp3 me semble-t-il alors suivant ce que tu as branché ....

WishIwasageek · Answer

Hum... pas branché de clé usb depuis 10 jours. Et sinon oui, je m'en sers pour recharger mon ipod et mon iphone...

Est-ce que je devrais refaire un Docteur Web avec ces deux périphériques branchés? Et si oui, je refais exactement la même procédure que celle décrite dans le tutoriel?

g3n-h@ckm@n · Answer

re

oui je pense qu'il serait plus judicieux de refaire avec tout ce qui est possible de braché sur les ports

WishIwasageek · Answer

Ok, j'ai refait tout le tutoriel Docteur Web avec les périphériques branchés et toutes les infections trouvées sont dans les quarantaines de mon premier scan Docteur Web ou dans mon dernier pre-scan.

Est-ce que je vide les quarantaines?


Le rapport: http://ww38.toofiles.com/fr/oip/documents/csv/drweb.html

Merci!

Emilie

g3n-h@ckm@n · Answer

ok vide tout , la quarantaine de malwarebytes aussi ; mets-le à jour puis fais un scan complet en laissant tout branché

WishIwasageek · Answer

J'ai vidé toutes les quarantaines (Docteur Web et pre-scan - Malwarebytes et Avira étaient vides).

Quand tu parles de scan complet, c'est avec quel logiciel (Malwarebytes?)? J'en ai quatre maintenant!

Merci.

g3n-h@ckm@n · Answer

oui oui pardon je me suis mal exprimé

Trojan Barys et autres virus

38 réponses

Discussions similaires