Fichier Trojan trouvé sur spybotRésolu/Fermé

Question

Bonjour, 
Avec spyboot, analyse du PC et un seul fichier infecté WIN32.downloader.bltu
J'ai fais un scan avec Avast, Adaware, MalawareBites et aucun fichier trouvé.

Est-ce que je dois tenir compte du résultat de spybot ? Ce fichier est-il un vrai espion ?
Peut-on le supprimer simplement ?

Merci  à vous,



Configuration: Windows 7 / Firefox 15.0.1

juju666 · Answer

Salut

Désinstalle AD-Aware et spybot ils servent plus à rien

===============

&#9654 Télécharge et installe Malwarebytes' Anti-Malware (MBAM). 

&#9654 Exécute-le. Accepte la mise à jour.



&#x25CF; Uniquement en cas de problème de mise à jour:

&#x25CF; Télécharger mises à jour manuelles MBAM 

&#x25CF; Exécute le fichier après l'installation de MBAM 



&#9654 Sélectionne "Exécuter un examen complet" 
&#9654 Clique sur "Rechercher" 
&#9654 L'analyse démarre, le scan est relativement long, c'est normal. 

A la fin de l'analyse, un message s'affiche : 

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. 
&#9654 Ferme tes navigateurs. 
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats. 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le. 

Si MBAM demande à redémarrer le pc : &#9654  fais-le. 

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.

douwy · Answer

voilà ce que j'ai eu comme résultats, le bloc note s'est ouvert dès la fin de l'analyse.
Pas de trace de ce fichier WIN32.downloader .....


Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.10.17.07

Windows 7 Service Pack 1 x64 NTFS
 [administrateur]

17/10/2012 15:50:17
mbam-log-2012-10-17 (15-50-17).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 312332
Temps écoulé: 46 minute(s), 51 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

juju666 · Answer

Re

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

Tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

Télécharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

Miroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

Une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

Si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

Si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

Si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Si possible , confirme ou infirme l'utilisation de Defogger par Pre_Scan

douwy · Answer

Merci mais avant de faire tout ça, j'aimerai savoir si le fichier en question peut être un espion ou pas. Y a que spybot qui l'a détecté !

Vous connaissez ce fichier ? 

merci

juju666 · Answer

On va voir :)

Spybot ... c'est bien le premier truc qu'il détecte ^^

douwy · Answer

j'ai lancé prescan. Au final, sur le bureau j'ai 3 icones (poste de travail, panneau configuration, réseau). Pas fichier txt.

juju666 · Answer

et dans C:\ ?

douwy · Answer

j'ai trouvé un fichier simplement nommé prescan
http://cjoint.com/?3JrtFKFovQO

juju666 · Answer

Célui :)

Relance Pre_Scan clique sur kill et héberge le nouveau rapport ;)

douwy · Answer

prescan relancé, le PC redémarre, prescan termine et 2 fichiers comme tu disais apparaissent sur le bureau ;
	http://cjoint.com/?3JruWTjY75Q
        http://cjoint.com/?3JruZlaZ4mB

C'est assez bizarre comme programme ce PreScan, quel est son but ? J'ai vu défilé pendant le scan, des fichiers que j'avais supprimer de la corbeille. J'espère qu'ils sont pas revenus !
merci

juju666 · Answer

Explications :

Pre_Scan supprime les rogues/scarewares/ransomwares.
Dans le cas où le rogue empêche toute action sur Windows (démarrage normal/en mode sans échec corrompus) vous pouvez utiliser ce logiciel.

Mais l'action de Pre_Scan ne s'arrête pas là.
Il réattribue les fichiers cachés, répare le mode sans échec, supprime les IFEO néfastes, permet le contrôle des partitions et leur effacement via script, etc.  


&#9654 Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

&#9654 Ferme les fenêtres  de tous les programmes en cours. 
Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

Si tu es sur Windows XP, laisse-le installer la console de récupération.

&#9654 Ne touche à rien durant le scan

ComboFix devrait redémarrer ton PC.

&#9654 n'oublie pas de réactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

douwy · Answer

je trouve que ça fait beaucoup de manip pour un simple fichier détecté par spybot et dont personne peut me dire s'il faut en tenir compte ou pas !

La dernière manip avec Combofix sert à quoi ?

ouikiij · Answer

Regarde déjà le nom et l'emplacement du fichier infecté. Cela peut permettre déjà de te renseigner sur la dangerosité.

Si il se trouve dans un répertoire dédié à des fichiers temporaires, alors te pose pas de question et supprime le fichier.
Idem, si le nom du fichier n'a rien de conventionnel et s'appelle par exemple "N45dkjkkjnn78", tu l'effaces direct.

douwy · Answer

le nom est WIN32.downloader.bltu

juju666 · Answer

Bon, si tu n'écoute pas mes conseils, ça sert à rien de continuer.

Je classe en "Résolu".

A+

douwy · Answer

tu est bien pressé ! y a d'autres choses à faire à côté de l'informatique !

douwy · Answer

qd je fais 
Fais un clic droit et "Enregistrer la cible (du lien sous) -> tonprenom.exe -> destination ton bureau (ET PAS AILLEURS) sur le lien suivant : ComboFix 

J'ai un message d'erreur ERROR NSIS incompleted download and damage media

douwy · Answer

voilà le compte rendu de combofix, le PC n'a pas redémarré après le scan.
http://cjoint.com/?3JskLzP0efE

Merci de cette démarche, tu comprendras aussi, qu'on souhaite un peu comprendre ce qu'on fait et pas le faire bêtement.

juju666 · Answer

Ben on nettoie ton PC ... __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui est entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: ClearJavaCache:: Folder:: c:\users\john\AppData\Roaming\LavasoftStatistics c:\users\john\AppData\Roaming\Ad-Aware Antivirus c:\programdata\Spybot - Search & Destroy Firefox:: FF - ExtSQL: 2012-10-17 09:48; jid1-yZwVFzbsyfMrqQ@jetpack; c:\users\john\AppData\Roaming\Mozilla\Firefox\Profiles\9kuimola.default\extensions\jid1-yZwVFzbsyfMrqQ@jetpack ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

douwy · Answer

voici

http://cjoint.com/?3Jslaaj3mo3

juju666 · Answer

:)

ça donne quoi le pc ?

douwy · Answer

et bien il faudrait que je refasse un test avec spybot pour voir si le fichier apparait.
Mais j'ai pas envie de tout remettre en désordre.
Sinon, le PC n'avait pas de pb de fonctionnement pas particulier, simplement ce fichier qui me posait un doute.

juju666 · Answer

Un faux positif, spybot il est bon pour ça seulement ^^

le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

douwy · Answer

merci, j'utilise régulièrement ccleaner.

Qu'est ce que tu veux dire par "faux positif' ?

Merci de tes conseils et du temps passé à me répondre.

douwy · Answer

j'avais oublié de mettre une photo du fichier trouvé par skybot
	http://cjoint.com/?3Jsonv5L7GU

juju666 · Answer

Faux positif : fausse détection ...

ouais mais on voit pas sur QUOI il le détectait ...

douwy · Answer

Tu penses que les manipulations sur le PC sont terminées après tout ça ?
le principal a été fait ?
merci

juju666 · Answer

oui, fais le final

douwy · Answer

je viens de lire le final, mais j'ai vraiment pas le temps de tout faire. 
C'est énorme le temps que ça prend, les différents petits programmes à télécharger, installer, lancer .....

C'est une étape obligée ou on peut passer ?

juju666 · Answer

tu peux passer et revenir dans 1 semaine ou tu peux prendre ton temps pour faire ça, genre 1 semaine mais après tu seras tranquille ^^

douwy · Answer

bon j'ai continué :
Java mis à jour, ancien supprimé. Flash et Reader à jour.
Pour delfix : 	http://cjoint.com/?3JtuUzz6xr8
Pour Purera : Total space cleaned: 79.58 MB

juju666 · Answer

Nickel :)

Bon surf ;)

Fichier Trojan trouvé sur spybot

32 réponses

Discussions similaires

Newsletters