Virus sur Facebook Backdoor:win32/IRCbot.gen
Résolu
virusé
Messages postés
22
Statut
Membre
-
virusé Messages postés 22 Statut Membre -
virusé Messages postés 22 Statut Membre -
Bonjour,
J'ai reçu en message sur facebook de la part d'un ami.
Il y'avait un lien , j'ai clické, "DSC50971.JPEG.zip" du [offwestend.com/.c/DSC50971.JPEG.zip]
J'ai analysé le fichier avec Avira, résultat négatif, puis j'ai double clické pour extraire le contenu (DSC50971.JPEG.SCR)
puis j'ai double clické sur le fichier et depuis:
-mon compte facebook commence automatiquement à envoyer le message à mes contacts ,
-antivirus "microsift essentiel" ne cesse de me signaler un fichier exe (envoie un rapport mais trouve pas de solution)
-ce fichier exe , après chaque redémarage prend un autre nom: igfxdc64.exe, wdtcmb.exe etc)
-Malwarebytes nettoie le fichier mais ça revient.
-J'ai également un message de la part du defender: Backdoor:win32/IRCbot.gen!K
Voici le rapport OTL:
https://pjjoint.malekal.com/index.php ... h9y15z13z5
Je vous remercie d'avance de votre aide précieuse, Il s'agit de mon PC principal donc je suis vraiment embeté..
Bonne journée à tous,
J'ai reçu en message sur facebook de la part d'un ami.
Il y'avait un lien , j'ai clické, "DSC50971.JPEG.zip" du [offwestend.com/.c/DSC50971.JPEG.zip]
J'ai analysé le fichier avec Avira, résultat négatif, puis j'ai double clické pour extraire le contenu (DSC50971.JPEG.SCR)
puis j'ai double clické sur le fichier et depuis:
-mon compte facebook commence automatiquement à envoyer le message à mes contacts ,
-antivirus "microsift essentiel" ne cesse de me signaler un fichier exe (envoie un rapport mais trouve pas de solution)
-ce fichier exe , après chaque redémarage prend un autre nom: igfxdc64.exe, wdtcmb.exe etc)
-Malwarebytes nettoie le fichier mais ça revient.
-J'ai également un message de la part du defender: Backdoor:win32/IRCbot.gen!K
Voici le rapport OTL:
https://pjjoint.malekal.com/index.php ... h9y15z13z5
Je vous remercie d'avance de votre aide précieuse, Il s'agit de mon PC principal donc je suis vraiment embeté..
Bonne journée à tous,
A voir également:
- Virus sur Facebook Backdoor:win32/IRCbot.gen
- Story facebook comment ça marche - Guide
- Virus mcafee - Accueil - Piratage
- Voir qui regarde mon profil facebook - Guide
- Facebook lite gratuit - iam - Télécharger - Messagerie
- Compte facebook désactivé - Guide
7 réponses
Salut,
Le lien pjjoint n'est pas bon.
et faire poste le rapport Malwarebyte.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Le lien pjjoint n'est pas bon.
et faire poste le rapport Malwarebyte.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour,
Merci de votre retour,
voici le nouveau lien pour le rapport OTL:
https://pjjoint.malekal.com/files.php?id=20120911_h11l14t9n15g8
Et le rapport Malwarebyte:
Afin de ne pas poster la totalité des rapports, je me permets de vous envoyer les détections sur 5 scans:
1)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\jyt.exe" /r
et
C:\Users\Onur\jyt.exe (Trojan.Agent)
2)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\wdtcmb.exe" /r
et
C:\Users\Onur\wdtcmb.exe (Trojan.Agent)
3)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\wdtcmb.exe" /r
et
C:\Users\Onur\wdtcmb.exe (Trojan.Agent)
4)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\iind.exe" /r
et
C:\Users\Onur\iind.exe (Trojan.Agent)
C:\Users\Onur\Local Settings\Temporary Internet Files\Content.IE5\5NP1OYLS\t[1] (Trojan.Agent)
5)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\iind.exe" /r
et
C:\Users\Onur\iind.exe (Trojan.Agent)
C:\Users\Onur\Local Settings\Temporary Internet Files\Content.IE5\5NP1OYLS\t[1] (Trojan.Agent)
A chauqe fois, j'ai tout supprimé, cependant avec le reboot tout revient..
Merci d'avance,
Merci de votre retour,
voici le nouveau lien pour le rapport OTL:
https://pjjoint.malekal.com/files.php?id=20120911_h11l14t9n15g8
Et le rapport Malwarebyte:
Afin de ne pas poster la totalité des rapports, je me permets de vous envoyer les détections sur 5 scans:
1)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\jyt.exe" /r
et
C:\Users\Onur\jyt.exe (Trojan.Agent)
2)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\wdtcmb.exe" /r
et
C:\Users\Onur\wdtcmb.exe (Trojan.Agent)
3)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\wdtcmb.exe" /r
et
C:\Users\Onur\wdtcmb.exe (Trojan.Agent)
4)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\iind.exe" /r
et
C:\Users\Onur\iind.exe (Trojan.Agent)
C:\Users\Onur\Local Settings\Temporary Internet Files\Content.IE5\5NP1OYLS\t[1] (Trojan.Agent)
5)
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MSConfig (Trojan.Agent) -> Data: "C:\Users\Onur\iind.exe" /r
et
C:\Users\Onur\iind.exe (Trojan.Agent)
C:\Users\Onur\Local Settings\Temporary Internet Files\Content.IE5\5NP1OYLS\t[1] (Trojan.Agent)
A chauqe fois, j'ai tout supprimé, cependant avec le reboot tout revient..
Merci d'avance,
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKCU..\Run: [MSConfig] C:\Users\Onur\wdtcmb.exe ()
O4 - HKCU..\Run: [Intel Display Control] C:\Users\Onur\Network\igfxdc64.exe ()
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O4 - HKCU..\Run: [MSConfig] C:\Users\Onur\wdtcmb.exe ()
O4 - HKCU..\Run: [Intel Display Control] C:\Users\Onur\Network\igfxdc64.exe ()
:Commands
[emptytemp]
[emptyflash]
[resethosts]
[reboot]
* redemarre le pc sous windows et poste le rapport ici
Rebonjour,
Je viens de effectuer l'opération demandé, après reboot voici le rapport que j'ai eu automatiquement.
Files\Folders moved on Reboot...
C:\Users\Onur\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Onur\AppData\Local\Temp\log_plg_locs.txt moved successfully.
File\Folder C:\Users\Onur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\GRAAMXOS\affich-26051681-virus-sur-facebook-backdoor-win32-ircbot-gen[1].txt not found!
C:\Users\Onur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Users\Onur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Je viens de effectuer l'opération demandé, après reboot voici le rapport que j'ai eu automatiquement.
Files\Folders moved on Reboot...
C:\Users\Onur\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Onur\AppData\Local\Temp\log_plg_locs.txt moved successfully.
File\Folder C:\Users\Onur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\GRAAMXOS\affich-26051681-virus-sur-facebook-backdoor-win32-ircbot-gen[1].txt not found!
C:\Users\Onur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.
C:\Users\Onur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
PendingFileRenameOperations files...
Registry entries deleted on Reboot...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je viens d'effctuer un scan (rapid) avec Malwarebyte et le résultat est négatif.
Voici le rapport:
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org
Veritaban? sürümü: v2012.09.11.05
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Onur :: ONUR-VAIO [yönetici]
11.09.2012 19:09:58
mbam-log-2012-09-11 (19-09-58).txt
Tarama kipi: H?zl? tarama
Devrede olan tarama ayarlar?: Haf?za | Ba?lang?ç | Kay?t defteri | Dosya Sistemi | Sezgisel/Ek | Sezgisel/Shuriken | PUP | PUM
Devre d??? olan tarama ayarlar?: P2P
Taranm?? ö?eler: 206410
Geçen süre: 3 dakika, 40 saniye
Bulunan Haf?za ??lemleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Haf?za Modülleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Kay?t Anahtarlar?: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Kay?t De?erleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Veri Ö?eleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Klasörler: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Dosyalar: 0
(Zararl? ö?e tespit edilmedi)
(son)
Je pense que tout est en ordre maintenant?
Me conseillerez-vous de faire une autre opération?
En vous remerciant,
Voici le rapport:
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org
Veritaban? sürümü: v2012.09.11.05
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 8.0.7601.17514
Onur :: ONUR-VAIO [yönetici]
11.09.2012 19:09:58
mbam-log-2012-09-11 (19-09-58).txt
Tarama kipi: H?zl? tarama
Devrede olan tarama ayarlar?: Haf?za | Ba?lang?ç | Kay?t defteri | Dosya Sistemi | Sezgisel/Ek | Sezgisel/Shuriken | PUP | PUM
Devre d??? olan tarama ayarlar?: P2P
Taranm?? ö?eler: 206410
Geçen süre: 3 dakika, 40 saniye
Bulunan Haf?za ??lemleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Haf?za Modülleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Kay?t Anahtarlar?: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Kay?t De?erleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Veri Ö?eleri: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Klasörler: 0
(Zararl? ö?e tespit edilmedi)
Bulunan Dosyalar: 0
(Zararl? ö?e tespit edilmedi)
(son)
Je pense que tout est en ordre maintenant?
Me conseillerez-vous de faire une autre opération?
En vous remerciant,
:)
Vérifie que tu n'envoies plus de message sur Facebook.
Mais ça semble correct.
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
~~
Attention sur quoi tu clics.
~~
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Vérifie que tu n'envoies plus de message sur Facebook.
Mais ça semble correct.
Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
~~
Attention sur quoi tu clics.
~~
Sécurise ton PC !
Important - ton infection est venue par un exploit sur site web :
Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Passe le mot à tes amis !
~~
Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Bonjour Malekal,
En fait j'ai désactivé mon compte Facebook et je n'ose pas trop le réactiver ..:)
voici le rapport :
# AdwCleaner v2.001 - Logfile created 09/12/2012 at 13:50:14
# Updated 09/09/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Onur - ONUR-VAIO
# Boot Mode : Normal
# Running from : C:\Users\Onur\Desktop\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
Folder Deleted : C:\Users\Onur\AppData\Local\Conduit
Folder Deleted : C:\Users\Onur\AppData\LocalLow\Conduit
***** [Registry] *****
Key Deleted : HKCU\Software\AppDataLow\Software\SmartBar
Key Deleted : HKCU\Software\Conduit
Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2786678
Key Deleted : HKLM\Software\Conduit
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.7601.17514
Restored : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
-\\ Mozilla Firefox v15.0.1 (tr)
Profile name : default
File : C:\Users\Onur\AppData\Roaming\Mozilla\Firefox\Profiles\619dnut5.default\prefs.js
[OK] File is clean.
-\\ Google Chrome v21.0.1180.89
File : C:\Users\Onur\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] File is clean.
*************************
AdwCleaner[S1].txt - [1660 octets] - [12/09/2012 13:50:14]
########## EOF - C:\AdwCleaner[S1].txt - [1720 octets] ##########
En fait j'ai désactivé mon compte Facebook et je n'ose pas trop le réactiver ..:)
voici le rapport :
# AdwCleaner v2.001 - Logfile created 09/12/2012 at 13:50:14
# Updated 09/09/2012 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Onur - ONUR-VAIO
# Boot Mode : Normal
# Running from : C:\Users\Onur\Desktop\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
Folder Deleted : C:\Users\Onur\AppData\Local\Conduit
Folder Deleted : C:\Users\Onur\AppData\LocalLow\Conduit
***** [Registry] *****
Key Deleted : HKCU\Software\AppDataLow\Software\SmartBar
Key Deleted : HKCU\Software\Conduit
Key Deleted : HKLM\SOFTWARE\Classes\Toolbar.CT2786678
Key Deleted : HKLM\Software\Conduit
Key Deleted : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{7D86A08B-0A8F-4BE0-B693-F05E6947E780}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
***** [Internet Browsers] *****
-\\ Internet Explorer v8.0.7601.17514
Restored : [HKCU\Software\Wow6432Node\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restored : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
-\\ Mozilla Firefox v15.0.1 (tr)
Profile name : default
File : C:\Users\Onur\AppData\Roaming\Mozilla\Firefox\Profiles\619dnut5.default\prefs.js
[OK] File is clean.
-\\ Google Chrome v21.0.1180.89
File : C:\Users\Onur\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] File is clean.
*************************
AdwCleaner[S1].txt - [1660 octets] - [12/09/2012 13:50:14]
########## EOF - C:\AdwCleaner[S1].txt - [1720 octets] ##########
