Trojan Banker

Résolu
Célestine -  
 Célestine -
Bonjour,

Voici le log de Malwarebytes Anti Malware.

Que faire en présence de Trojan Banker s'il vous plaît?

http://cjoint.com/12au/BHBsm5PdOxp.htm

Merci d'avance.

13 réponses

  1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    hello Célestine,

    Attention Trojan dangereux.

    je t'invites à consulter ce site.
    http://www.malekal.com/2010/11/12/supprimer-trojan-spy-win32-banker-cnqinfostealer-bancos/

    A+

    ----------Contributeur Sécurité-----------
    Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !
    0
  2. Célestine
     
    Bonsoir,

    Le lien pour télécharger "Clean.zip" ne fonctionne plus.

    Le rapport HiJack This est situé là (http://cjoint.com/12au/BHBs4wN6eWd.htm).

    Merci.
    0
  3. Célestine
     
    Bonsoir,

    Voici le rapport Avira Free Antivrus.

    Avira Free Antivirus
    Date de création du fichier de rapport : lundi 27 août 2012 18:20

    La recherche porte sur 4169040 souches de virus.

    Le programme fonctionne en version intégrale illimitée.
    Les services en ligne sont disponibles.

    Détenteur de la licence : Avira AntiVir Personal - Free Antivirus
    Numéro de série : 0000149996-ADJIE-0000001
    Plateforme : Microsoft Windows XP
    Version de Windows : (Service Pack 3) [5.1.2600]
    Mode Boot : Démarré normalement
    Identifiant : SYSTEM
    Nom de l'ordinateur : YOUR-469HH4QW0Z

    Informations de version :
    BUILD.DAT : 12.0.0.348 40868 Bytes 23/07/2012 15:03:00
    AVSCAN.EXE : 12.3.0.33 468472 Bytes 17/08/2012 19:58:52
    AVSCAN.DLL : 12.3.0.15 65488 Bytes 17/08/2012 19:58:51
    LUKE.DLL : 12.3.0.15 68304 Bytes 17/08/2012 19:58:54
    AVSCPLR.DLL : 12.3.0.14 97032 Bytes 08/05/2012 21:02:43
    AVREG.DLL : 12.3.0.17 232200 Bytes 10/05/2012 21:08:39
    VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:18:34
    VBASE001.VDF : 7.11.0.0 13342208 Bytes 14/12/2010 09:07:39
    VBASE002.VDF : 7.11.19.170 14374912 Bytes 20/12/2011 20:34:31
    VBASE003.VDF : 7.11.21.238 4472832 Bytes 01/02/2012 07:38:48
    VBASE004.VDF : 7.11.26.44 4329472 Bytes 28/03/2012 21:23:08
    VBASE005.VDF : 7.11.34.116 4034048 Bytes 29/06/2012 15:56:33
    VBASE006.VDF : 7.11.34.117 2048 Bytes 29/06/2012 15:56:34
    VBASE007.VDF : 7.11.34.118 2048 Bytes 29/06/2012 15:56:34
    VBASE008.VDF : 7.11.34.119 2048 Bytes 29/06/2012 15:56:34
    VBASE009.VDF : 7.11.34.120 2048 Bytes 29/06/2012 15:56:34
    VBASE010.VDF : 7.11.34.121 2048 Bytes 29/06/2012 15:56:34
    VBASE011.VDF : 7.11.34.122 2048 Bytes 29/06/2012 15:56:34
    VBASE012.VDF : 7.11.34.123 2048 Bytes 29/06/2012 15:56:34
    VBASE013.VDF : 7.11.34.124 2048 Bytes 29/06/2012 15:56:35
    VBASE014.VDF : 7.11.38.18 2554880 Bytes 30/07/2012 19:58:51
    VBASE015.VDF : 7.11.38.70 556032 Bytes 31/07/2012 19:58:51
    VBASE016.VDF : 7.11.38.143 171008 Bytes 02/08/2012 19:58:51
    VBASE017.VDF : 7.11.38.221 178176 Bytes 06/08/2012 19:58:51
    VBASE018.VDF : 7.11.39.37 168448 Bytes 08/08/2012 19:58:51
    VBASE019.VDF : 7.11.39.89 131072 Bytes 09/08/2012 19:58:51
    VBASE020.VDF : 7.11.39.145 142336 Bytes 11/08/2012 19:58:51
    VBASE021.VDF : 7.11.39.207 165888 Bytes 14/08/2012 19:58:51
    VBASE022.VDF : 7.11.40.9 156160 Bytes 16/08/2012 19:58:51
    VBASE023.VDF : 7.11.40.49 133120 Bytes 17/08/2012 19:58:51
    VBASE024.VDF : 7.11.40.95 156160 Bytes 20/08/2012 19:56:01
    VBASE025.VDF : 7.11.40.155 181760 Bytes 22/08/2012 22:11:03
    VBASE026.VDF : 7.11.40.205 203264 Bytes 23/08/2012 22:11:03
    VBASE027.VDF : 7.11.40.206 2048 Bytes 23/08/2012 22:11:04
    VBASE028.VDF : 7.11.40.207 2048 Bytes 23/08/2012 22:11:04
    VBASE029.VDF : 7.11.40.208 2048 Bytes 23/08/2012 22:11:04
    VBASE030.VDF : 7.11.40.209 2048 Bytes 23/08/2012 22:11:04
    VBASE031.VDF : 7.11.41.4 125440 Bytes 26/08/2012 22:13:53
    Version du moteur : 8.2.10.146
    AEVDF.DLL : 8.1.2.10 102772 Bytes 12/07/2012 18:18:03
    AESCRIPT.DLL : 8.1.4.46 455034 Bytes 24/08/2012 22:28:05
    AESCN.DLL : 8.1.8.2 131444 Bytes 04/03/2012 07:38:49
    AESBX.DLL : 8.2.5.12 606578 Bytes 14/06/2012 22:51:56
    AERDL.DLL : 8.1.9.15 639348 Bytes 08/09/2011 21:16:06
    AEPACK.DLL : 8.3.0.32 811382 Bytes 24/08/2012 22:28:02
    AEOFFICE.DLL : 8.1.2.42 201083 Bytes 19/07/2012 23:08:14
    AEHEUR.DLL : 8.1.4.92 5177718 Bytes 24/08/2012 22:27:57
    AEHELP.DLL : 8.1.23.2 258422 Bytes 08/07/2012 15:56:40
    AEGEN.DLL : 8.1.5.36 434549 Bytes 24/08/2012 22:27:19
    AEEXP.DLL : 8.1.0.80 86389 Bytes 24/08/2012 22:28:08
    AEEMU.DLL : 8.1.3.2 393587 Bytes 12/07/2012 18:18:02
    AECORE.DLL : 8.1.27.4 201078 Bytes 17/08/2012 19:58:51
    AEBB.DLL : 8.1.1.0 53618 Bytes 01/09/2011 21:46:01
    AVWINLL.DLL : 12.3.0.15 27344 Bytes 17/08/2012 19:58:50
    AVPREF.DLL : 12.3.0.15 51920 Bytes 17/08/2012 19:58:51
    AVREP.DLL : 12.3.0.15 179208 Bytes 08/05/2012 21:02:43
    AVARKT.DLL : 12.3.0.15 211408 Bytes 17/08/2012 19:58:51
    AVEVTLOG.DLL : 12.3.0.15 169168 Bytes 17/08/2012 19:58:51
    SQLITE3.DLL : 3.7.0.1 398288 Bytes 17/08/2012 19:58:55
    AVSMTP.DLL : 12.3.0.32 63992 Bytes 17/08/2012 19:58:52
    NETNT.DLL : 12.3.0.15 17104 Bytes 17/08/2012 19:58:54
    RCIMAGE.DLL : 12.1.0.13 4449488 Bytes 20/09/2011 00:36:03
    RCTEXT.DLL : 12.3.0.31 101368 Bytes 17/08/2012 19:58:51

    Configuration pour la recherche actuelle :
    Nom de la tâche...............................: Contrôle intégral du système
    Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
    Documentation.................................: par défaut
    Action principale.............................: interactif
    Action secondaire.............................: ignorer
    Recherche sur les secteurs d'amorçage maître..: marche
    Recherche sur les secteurs d'amorçage.........: marche
    Secteurs d'amorçage...........................: C:, D:,
    Recherche dans les programmes actifs..........: marche
    Programmes en cours étendus...................: marche
    Recherche en cours sur l'enregistrement.......: marche
    Recherche de Rootkits.........................: marche
    Contrôle d'intégrité de fichiers système......: arrêt
    Fichier mode de recherche.....................: Tous les fichiers
    Recherche sur les archives....................: marche
    Limiter la profondeur de récursivité..........: 20
    Archive Smart Extensions......................: marche
    Heuristique de macrovirus.....................: marche
    Heuristique fichier...........................: avancé

    Début de la recherche : lundi 27 août 2012 18:20

    La recherche sur les secteurs d'amorçage maître commence :
    Secteur d'amorçage maître HD0
    [INFO] Aucun virus trouvé !

    La recherche sur les secteurs d'amorçage commence :
    Secteur d'amorçage 'C:\'
    [INFO] Aucun virus trouvé !
    Secteur d'amorçage 'D:\'
    [INFO] Aucun virus trouvé !

    La recherche d'objets cachés commence.
    c:\windows\system32\drivers\mbamswissarmy.sys
    c:\windows\system32\drivers\mbamswissarmy.sys
    [REMARQUE] L'entrée d'enregistrement n'est pas visible.

    La recherche sur les processus démarrés commence :
    Processus de recherche 'rsmsink.exe' - '29' module(s) sont contrôlés
    Processus de recherche 'msdtc.exe' - '40' module(s) sont contrôlés
    Processus de recherche 'dllhost.exe' - '62' module(s) sont contrôlés
    Processus de recherche 'dllhost.exe' - '45' module(s) sont contrôlés
    Processus de recherche 'vssvc.exe' - '48' module(s) sont contrôlés
    Processus de recherche 'avscan.exe' - '73' module(s) sont contrôlés
    Processus de recherche 'alg.exe' - '33' module(s) sont contrôlés
    Processus de recherche 'wmiapsrv.exe' - '45' module(s) sont contrôlés
    Processus de recherche 'avshadow.exe' - '25' module(s) sont contrôlés
    Processus de recherche 'SuperHybridEngine.exe' - '28' module(s) sont contrôlés
    Processus de recherche 'igfxext.exe' - '20' module(s) sont contrôlés
    Processus de recherche 'ctfmon.exe' - '25' module(s) sont contrôlés
    Processus de recherche 'jusched.exe' - '21' module(s) sont contrôlés
    Processus de recherche 'avgnt.exe' - '65' module(s) sont contrôlés
    Processus de recherche 'rundll32.exe' - '34' module(s) sont contrôlés
    Processus de recherche 'RTHDCPL.EXE' - '37' module(s) sont contrôlés
    Processus de recherche 'CapsHook.exe' - '22' module(s) sont contrôlés
    Processus de recherche 'AsTray.exe' - '31' module(s) sont contrôlés
    Processus de recherche 'AsEPCMon.exe' - '13' module(s) sont contrôlés
    Processus de recherche 'igfxsrvc.exe' - '22' module(s) sont contrôlés
    Processus de recherche 'AsAcpiSvr.exe' - '36' module(s) sont contrôlés
    Processus de recherche 'SynTPEnh.exe' - '34' module(s) sont contrôlés
    Processus de recherche 'LiveUpdate.exe' - '42' module(s) sont contrôlés
    Processus de recherche 'hkcmd.exe' - '25' module(s) sont contrôlés
    Processus de recherche 'igfxtray.exe' - '26' module(s) sont contrôlés
    Processus de recherche 'Explorer.EXE' - '106' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '42' module(s) sont contrôlés
    Processus de recherche 'jqs.exe' - '76' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
    Processus de recherche 'SeaPort.EXE' - '50' module(s) sont contrôlés
    Processus de recherche 'avguard.exe' - '56' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '34' module(s) sont contrôlés
    Processus de recherche 'sched.exe' - '38' module(s) sont contrôlés
    Processus de recherche 'spoolsv.exe' - '58' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '37' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '32' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '175' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '40' module(s) sont contrôlés
    Processus de recherche 'svchost.exe' - '51' module(s) sont contrôlés
    Processus de recherche 'lsass.exe' - '58' module(s) sont contrôlés
    Processus de recherche 'services.exe' - '27' module(s) sont contrôlés
    Processus de recherche 'winlogon.exe' - '67' module(s) sont contrôlés
    Processus de recherche 'csrss.exe' - '12' module(s) sont contrôlés
    Processus de recherche 'smss.exe' - '2' module(s) sont contrôlés

    La recherche sur les renvois aux fichiers exécutables (registre) commence :
    Le registre a été contrôlé ( '1066' fichiers).

    La recherche sur les fichiers sélectionnés commence :

    Recherche débutant dans 'C:\'
    C:\Documents and Settings\Sandra\Local Settings\Temporary Internet Files\Content.IE5\6E0XKJOA\boa[1].pdf
    [RESULTAT] Contient le cheval de Troie TR/Spy.Bancos.aev.332
    C:\System Volume Information\_restore{89BA372F-6E54-4977-BFFE-9DA9DB459F1D}\RP84\A0052055.exe
    [AVERTISSEMENT] Fin inattendue du fichier atteinte
    C:\System Volume Information\_restore{89BA372F-6E54-4977-BFFE-9DA9DB459F1D}\RP84\A0052444.dll
    [RESULTAT] Contient le cheval de Troie TR/Spy.Bancos.aev.332
    C:\System Volume Information\_restore{89BA372F-6E54-4977-BFFE-9DA9DB459F1D}\RP84\A0052445.exe
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    Recherche débutant dans 'D:\'
    D:\System Volume Information\_restore{89BA372F-6E54-4977-BFFE-9DA9DB459F1D}\RP84\A0052052.exe
    [AVERTISSEMENT] Aucun autre fichier n'a pu être décompressé de cette archive. L'archive est refermée.

    Début de la désinfection :
    C:\System Volume Information\_restore{89BA372F-6E54-4977-BFFE-9DA9DB459F1D}\RP84\A0052445.exe
    [RESULTAT] Contient le cheval de Troie TR/Trash.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '54441441.qua' !
    C:\System Volume Information\_restore{89BA372F-6E54-4977-BFFE-9DA9DB459F1D}\RP84\A0052444.dll
    [RESULTAT] Contient le cheval de Troie TR/Spy.Bancos.aev.332
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cd33be6.qua' !
    C:\Documents and Settings\Sandra\Local Settings\Temporary Internet Files\Content.IE5\6E0XKJOA\boa[1].pdf
    [RESULTAT] Contient le cheval de Troie TR/Spy.Bancos.aev.332
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '1e7b60ce.qua' !

    Fin de la recherche : lundi 27 août 2012 19:39
    Temps nécessaire: 1:18:43 Heure(s)

    La recherche a été effectuée intégralement

    6978 Les répertoires ont été contrôlés
    352516 Des fichiers ont été contrôlés
    3 Des virus ou programmes indésirables ont été trouvés
    0 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    3 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    352513 Fichiers non infectés
    8175 Les archives ont été contrôlées
    2 Avertissements
    4 Consignes
    325323 Des objets ont été contrôlés lors du Rootkitscan
    1 Des objets cachés ont été trouvés

    Que dois-je faire s'il vous plait?
    0
  4. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    As-tu exécuté MalwareByte ?

    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Si non :

    * Télécharge Malwaresbytes anti malware ici
    * Choisis la version -Download free version-
    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installation ) et mets le à jour .
    * Tu as un tuto si tu en as besoin : tuto
    * Avant de lancer le programme Déconnecte toi d'Internet et ferme toutes tes applications.
    * /I\ Sous Vista ou Seven ---> clic droit "Exécuter en tant qu'administrateur"/I\
    * Clique sur l'onglet "Mise à jour" si celle ci ne t'a pas été proposée lors de l'installation.
    * Clique ensuite sur l'onglet "Recherche" puis coche "Exécuter un examen Complet"
    * Le scan peut durer plusieurs heures, aussi ne t'impatiente pas et laisse tourner le programme sans rien faire d'autre sur ta machine.
    * Lorsque le scan est terminé clique sur "Afficher les résultats"
    * Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

    PS : Redémarre ta machine pour achever le nettoyage.

    * Un rapport sera généré, enregistre-le dans un endroit approprié pour le retrouver et héberge-le sur ce site
    * Envoie-moi le lien fourni dans ta prochaine réponse.

    A+
    0
  7. Célestine
     
    Bonsoir Cabrier,

    Je reposte mon log Malwarebytes Anti Malware.

    Malwarebytes Anti-Malware 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.08.27.04

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Sandra :: YOUR-469HH4QW0Z [administrateur]

    27/08/2012 15:56:58
    mbam-log-2012-08-27 (18-03-58).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 237007
    Temps écoulé: 2 heure(s), 3 minute(s), 17 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|wmplayer (Trojan.Banker) -> Données: C:\MessengerPlus\mplayer2.exe -> Aucune action effectuée.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 1
    C:\MessengerPlus (Trojan.Banker) -> Aucune action effectuée.

    Fichier(s) détecté(s): 2
    C:\MessengerPlus\goggles.log (Trojan.Banker) -> Aucune action effectuée.
    C:\MessengerPlus\mplayer2.exe (Trojan.Banker) -> Aucune action effectuée.

    (fin)

    Qu'en penses-tu?
    0
  8. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Tu n'as pas fait ceci !

    * Vérifie que toutes les lignes des objets infectés soient cochées, puis clique sur "Supprimer la sélection"

    Recommence.

    A+
    0
  9. Célestine
     
    T'as peut-être raison. Je me souviens qu'on m'avait demandé de redémarrer le PC.
    0
  10. Célestine
     
    Bonsoir,

    Voici un deuxième scan effectué avec MBAM.

    http://pjjoint.malekal.com/files.php?read=20120827_c7t6b11r6l12

    Qu'en pensez-vous s'il vous plaît?
    0
  11. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Célestine,

    On vérifie qu'il ne reste rien.

    * Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
    /!\Il est très important de l'enregistrer sur le bureau / !\
    * Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
    /!\L'outil a créé 3 icônes ZHPDiag , ZHPFix et MBRCheck) /!\
    /!\Utilisateurs de Vista et Windows 7 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\
    * Vérifie si tu trouves une icône marquée "UAC" en haut à droite de ZHPDiag : si c'est le cas, clique dessus.
    * Clique également sur l'icône du "tournevis" et dans la fenêtre d'options qui apparait coche "Tous"
    * Clique sur la loupe pour « lancer le diagnostic » .
    * ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !
    * En cas de blocage sur la section O80, clique sur le tournevis pour le décocher.
    * Laisse l'outil travailler, il peut être assez long.
    * Le rapport s'enregistre sur ton bureau et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).
    * Transmets moi le lien du fichier.
    * Rappel des dépôts : cijoint ou pjjoint
    A+
    0
  12. Célestine
     
    Bonsoir,

    Voici le rapport demandé.

    http://pjjoint.malekal.com/files.php?read=ZHPDiag_20120827_t8d15j9u14s6

    Qu'en pensez-vous s'il vous plaît?
    0
  13. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
     
    Good Célestine, c'est clean !

    Important :

    Penses à bien tenir tous tes programmes à jour pour éviter les infections par exploits.

    Vérifie les mises à jour disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour

    Pour moi c'est terminé :
    Conserves MBAM et utilises le régulièrement (après mise à jour) au moins tous les 15 jours.

    *Tu peux lire ce sujet sur les logiciels recommandés :
    logiciels

    *Et celui ci, sur les logiciels gratuits à éviter :
    à éviter

    *Et enfin ce dossier sur la prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
    protection

    *Si tu utilise FireFox, vérifie que tes plug in sont à jour : plugins

    *Par rapport au P2P : les risques du P2P

    *Reconnaitre les PUPS PUPS

    *Enfin les Toolbars c'est pas obligatoire Toolbars

    Sois plus vigilant(e) sur Internet à l'avenir
    Voilà pour moi c'est terminé.
    Si tu as des questions n'hésite pas.

    Eventuellement :
    https://gen-hackman.kanak.fr/#1037

    A+

    Si tu n'as pas de questions je marquerai le fil comme résolu !
    0
  14. Célestine
     
    Bonsoir,

    Merci beaucoup de votre aide.
    0