Virus backdoor.bot.M que faire? Résolu/Fermé

Question

Bonjour, 

J'ai un soucis en ce moment avec mon ordinateur, à partir d'un certain temps d'utilisation, je perds le contrôle de l'écran et tout se met à clignoter, quand je suis sur internet la page défille toute seule...etc
J'ai donc fait un scan avec Malwarebytes, et il m'a détecté un élément infecté par backdoor.bot.M. Je voulais donc que malwarebytes me le supprime mais à chaque fois ce virus est de retour quand je fais un nouveau scan...
Je ne sais pas comment faire pour le supprimer.
Est-ce à cause de ça que mon ordinateur ne fonctionne plus correctement??
Pourriez m'aider?? (sachant que je ne suis pas super forte en informatique...)
Merci d'avance

Configuration: Windows 7 / Firefox 18.0

Utilisateur anonyme · Answer

Bonjour

Peux tu poster un de ces rapports de Malwaresbytes

Merci

@+

aurelie · Answer

Voici le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5150

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

17/02/2013 15:31:37
mbam-log-2013-02-17 (15-31-37).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 315035
Temps écoulé: 1 heure(s), 32 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\D (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Aurélie\AppData\Roaming\install\server.exe (Backdoor.Bot.M) -> Quarantined and deleted successfully.


Bon, c'est écrit que c'est bien supprimé mais chaque fois que je refais un scan ce virus est toujours là...

Utilisateur anonyme · Answer

Re

Inscris toi avant tout  

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci


@+

aurelie05 · Answer

Voici le lien :
 https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130220_s14x1215w14t8

Utilisateur anonyme · Answer

Re

1) Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur [Suppression] puis patiente le temps du scan. 
Lorsque le message indiquant qu'AdwCleaner a détecté une variante spécifique d'adware s'affiche , clique sur [OK] 
- L'ordinateur va redémarrer tout seul. Redémarre le en mode normal. 
- AdwCleaner s'ouvrira normalement , avec comme seul choix possible[Suppression] 
- Clique dessus, puis patiente pendant la suppression. 
- Une fois la suppression effectuée, AdwCleaner t'invitera à redémarrer l'ordinateur 
- Au redémarrage, un rapport s'ouvrira. Poste le sur le forum. 


Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start= 


@+

aurelie05 · Answer

Voici le rapport Adwcleaner:
https://www.cjoint.com/?0Bumk6yAD5S

Utilisateur anonyme · Answer

Re

Poste moi un nouveau rapport ZHPDiag;merci

@+

aurelie05 · Answer

Voici le nouveau rapport ZHPDiag :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130220_d11g8i145k8

Utilisateur anonyme · Answer

Re

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified     
B1 - OSP: search.ini [Aurélie] URL=http://www.searchqu.com/web?src=opb&appid=0&systemid=410&sr=0&q=%s 
M3 - MFPP: Plugins - [Aurélie] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\babylon.xml 
[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Program Files (x86)\FREEzeFrog\bin\1.0.670.0\FREEzeFrogSA.exe (.not file.)     
O42 - Logiciel: SearchCore for Browsers - (.Bandoo Media Inc.) [HKLM][64Bits] -- SearchCore for Browsers 
O42 - Logiciel: Windows Searchqu Toolbar - (.Bandoo Media Inc.) [HKLM][64Bits] -- Searchqu 410 MediaBar 
[HKCU\Software\SearchCore for Browsers]     
[HKCU\Software\SweetIM] 
[HKLM\Software\SearchCore for Browsers]     
[HKLM\Software\Wow6432Node\SweetIM] 
O43 - CFD: 19/02/2013 - 22:39:44 - [0,194] ----D C:\Program Files (x86)\Yontoo 
O53 - SMSR:HKLM\...\startupreg\DATAMNGR  [Key] . (...) -- C:\Program Files (x86)\SEARCH~1\SEARCH~1\DATAMN~1.exe (.not file.) 
[MD5.57BC8F4F1201610668773875A4484C1E] [SPRF][31/01/2013] (.Babylon Ltd. - Uninstaller Application.) -- C:\Users\Aurélie\AppData\Local\Temp\uninst1.exe   [392784] 
O87 - FAEL: "{D6DDB355-2504-47F8-B363-CFDA2D482D12}" |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.) 
O87 - FAEL: "{92983F26-2DB7-46FF-97BA-4D904E636204}" |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\Windows Searchqu Toolbar\Datamngr\ToolBar\dtUser.exe (.not file.) 
[HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]     
[HKLM\Software\Wow6432Node\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]     
[HKLM\Software\Classes\TypeLib\{93e3d79c-0786-48ff-9329-93bc9f6dc2b3}]     
[HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]     
[HKLM\Software\Wow6432Node\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]     
[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\DataMngr] 
[HKLM\Software\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]     
[HKLM\Software\Wow6432Node\Classes\AppID\{4D076AB4-7562-427A-B5D2-BD96E19DEE56}]     
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SearchCore for Browsers]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application 
[HKLM\Software\Classes\AppID\secman.DLL] 
C:\Program Files (x86)\yontoo 
C:\Users\Aurélie\AppData\Local\Google\Chrome\User Data\Default\Extensions\dlfienamagdnkekbbbocojppncdambda     
C:\Users\Aurélie\AppData\Local\Temp\uninst1.exe     
O4 - Global Startup: C:\Users\Aurélie\Desktop\Poste de Travail.lnk - Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [{64054280-1095-4A4F-9864-26B352B18A99}] (...) -- C:\Users\Aurélie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\43YG0LYQ\Install_CopyTrans_Suite[1].exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{934420AC-B845-4534-B668-79816E3FA023}] (...) -- C:\Users\Aurélie\Desktop\OOo_3.3.0_Win_x86_install-wJRE_fr.exe (.not file.) 
O41 - Driver:  (CFRMD) . (. - .) - C:\Windows\System32\DRIVERS\CFRMD.sys (.not file.) 
O42 - Logiciel: PMB - (.Sony Corporation.) [HKLM][64Bits] -- {B6A98E5F-D6A7-46FB-9E9D-1F7BF443491C}     
O43 - CFD: 19/02/2013 - 22:59:49 - [0] ----D C:\Users\Aurélie\AppData\Roaming\install 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.illimitux_backup_http", ""); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.illimitux_backup_port", 0); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.illimitux_backup_referer", 2); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.illimitux_backup_type", 5); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_firsttime_4.2_", false); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_mu_auto", ""); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_auto", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_box", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_captcha", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_divx", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_embed", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_proxy", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_4s", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_captcha", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_mp", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_mu", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_mv", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_rs", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_rs1", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_pt_zs", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_referer", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_rs", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_tab", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.ilx_pref_zapmu", true); 
O69 - SBI: prefs.js [Aurélie - 3ly2s7py.default] user_pref("extensions.illimitux.locale", "fr"); 
 [MD5.3D7CDC3E67A97110321BF7453C649B1F] [SPRF][17/02/2013] (...) -- C:\Users\Aurélie\AppData\Local\Temp	oolbar13880454.exe   [775664] 
M3 - MFPP: Plugins - [Aurélie] -- C:\Program Files (x86)\Mozilla FireFox\searchplugins\SearchResults.xml     
O42 - Logiciel: Delta Chrome Toolbar - (.DeltaInstaller.) [HKLM][64Bits] -- {177586E7-E42E-4F38-83D1-D15B4AF5B714}    
[HKCU\Software\YahooPartnerToolbar]     
[HKCU\Software\delta LTD]     
O43 - CFD: 23/01/2013 - 11:08:36 - [1,792] ----D C:\ProgramData\Tarma Installer     
O43 - CFD: 26/06/2011 - 20:49:47 - [0,361] ----D C:\Users\Aurélie\AppData\Roaming\uStart     
[HKCU\Software\delta LTD]     
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{177586E7-E42E-4F38-83D1-D15B4AF5B714}]    
[HKLM\Software\Classes\Installer\Features\7E685771E24E83F4381D1DB5A45F7B41]     
[HKLM\Software\Classes\Installer\Products\7E685771E24E83F4381D1DB5A45F7B41]     
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\7E685771E24E83F4381D1DB5A45F7B41]     
[HKLM\Software\Wow6432Node\Classes\Installer\Features\7E685771E24E83F4381D1DB5A45F7B41]     
[HKLM\Software\Wow6432Node\Classes\Installer\Products\7E685771E24E83F4381D1DB5A45F7B41]     
C:\Users\Aurélie\AppData\Roaming\uStart     
O90 - PUC: "7E685771E24E83F4381D1DB5A45F7B41" . (.Delta Chrome Toolbar.) -- C:\Windows\Installer\{177586E7-E42E-4F38-83D1-D15B4AF5B714}\Delta.ico 
[MD5.00000000000000000000000000000000] [APT] [GoforFilesUpdate] (...) -- C:\Program Files (x86)\GoforFiles\GFFUpdater.exe (.not file.)     
[MD5.00000000000000000000000000000000] [APT] [{64054280-1095-4A4F-9864-26B352B18A99}] (...) -- C:\Users\Aurélie\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\43YG0LYQ\Install_CopyTrans_Suite[1].exe (.not file.)     
 [MD5.00000000000000000000000000000000] [APT] [{934420AC-B845-4534-B668-79816E3FA023}] (...) -- C:\Users\Aurélie\Desktop\OOo_3.3.0_Win_x86_install-wJRE_fr.exe (.not file.)    
[MD5.090C20273FA74B94CAF4A297FE548E47] [SPRF][17/02/2013] (.http://www.goforfiles.com/ - GoforFiles.) -- C:\Users\Aurélie\AppData\Local\Temp\uninstall15616870.exe   [5383816]     
 [MD5.9455BE5DB5C1092A89ED3D9DAEAAC9B3] [SPRF][17/02/2013] (.http://goforfiles.com/ - GoforFiles Application.) -- C:\Users\Aurélie\AppData\Local\Temp\uninstall15645106.exe   [891984]    
O42 - Logiciel: Java 6 Update 16 (64-bit) - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F86416016FF}     
 O42 - Logiciel: Java 6 Update 17 - (.Sun Microsystems, Inc..) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216017F0}     
 O42 - Logiciel: Java 6 Update 22 - (.Oracle.) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216022F0}     
 O42 - Logiciel: Java 6 Update 35 - (.Oracle.) [HKLM][64Bits] -- {26A24AE4-039D-4CA4-87B4-2F83216033FF}     


--------------------------------------------------------------------------------------------
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier") 
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Clique sur le bouton GO pour lancer le nettoyage 
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 


@+

aurelie05 · Answer

Voilà:
https://pjjoint.malekal.com/files.php?id=20130220_l7l10y10u11j12

Utilisateur anonyme · Answer

Re

Relance une analyse rapide avec Malwaresbytes et poste moi ce rapport de suppression

Merci

@+

aurelie05 · Answer

Tu parles de quel rapport de suppression? le rapport de Malwarebytes?

aurelie05 · Answer

Autant pour moi :)
Voici le rapport malwarebytes :	
https://pjjoint.malekal.com/files.php?id=20130220_h10r15d11b13s6
j'ai eu de nouveau des soucis tout s'est de nouveau mis à clignoter et à défiler seul...backdoor.bot.m est toujours en quarantaine...

Utilisateur anonyme · Answer

Re

je n'avais pas vu avant
Mais ta version de Malwaresbytes est périmé depuis longtemps

Nous sommes à la version 1.70 
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Fait le nécessaire et reviens avec une nouvelle analyse complète de ton PC
installe le ;met le à jour (base de détection)
Merci

@+

aurelie05 · Answer

Voici maintenant le nouveau scan :
 https://pjjoint.malekal.com/files.php?id=20130220_n5y15i14u7z10

Utilisateur anonyme · Answer

Bonjour

Voilà ton problème résolu

1)  Télécharge DelFix de Xplode

* Lance le.
* A l'invite,  [Suppression]  
* Un rapport va s'ouvrir à la fin, colle le dans la réponse

2)Conserve Malwaresbytes en complément de ton antivirus mais il faut le mettre à jour avant utilisation

3)Tu disposes de Ccleaner;met le à jour et lance avec ces réglages
.double-cliques ou clic droit sous Vista ;Seven et Windows 8 sur l'icône  de Ccleaner pour l'ouvrir 
.une fois ouvert tu cliques sur option  et puis avancé  
.tu décoches  effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures 
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
. coches  la première case vieilles données du perfetch  ce qui te donnes la case vielles données du perfetch  
.cliques sur analyse  une fois l'analyse terminé 
.cliques sur lancer le nettoyage  et sur la demande de confirmation OK  il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien 
.clique maintenant sur registre  et puis sur rechercher les erreurs 
.laisse tout coché et clique sur réparer les erreurs sélectionnées 
.il te demande de sauvegarder OUI 
.tu lui donnes un nom pour pouvoir la retrouver et enregistre 
.clique sur corriger toutes les erreurs sélectionnées  et sur la demande de confirmation OK   
.il supprime et une fois fermé   tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option  et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner.

4)Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.


5)Purge la restauration sur Seven
Comment faire :

http://www.forum-seven.com/forum/

Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections


@+

aurelie05 · Answer

Bonjour, 
j'ai fait tout ce que tu m'a dit de faire, ça a marché !! Merci!
Cependant j'ai toujours mes icônes qui clignotent quand je suis un certain temps sur l'ordinateur... Ça ne devait donc pas être ce virus... 
Je ne sais pas, est-ce que ça pourrait être un problème de surchauffe?
Je ne sais pas quoi faire... c'est assez embêtant car je dois à chaque fois éteindre mon ordi et quelques fois le problème persiste...
Merci pour ton aide!

Utilisateur anonyme · Answer

Re

Le problème est il présent en mode sans echec avec prise en charge réseau?

@+

aurelie05 · Answer

J'ai démarré mon ordinateur en mode sans échec,  ça me fait toujours la même chose....

Utilisateur anonyme · Answer

Re

PC fixe ou portable?

aurelie05 · Answer

C'est un portable sony vaio.

Utilisateur anonyme · Answer

Re

Essaye de brancher un autre écran pour voir si cela provient du tien

@+

aurelie05 · Answer

Bonjour, 
désolé pour l'absence de réponse mais finalement j'ai donné mon ordinateur à réparer. C'était une histoire de clavier qui se bloquait sur certaines touches. On a donc remplacé le clavier, et pour l'instant je n'ai plus eu de problèmes :)
Merci encore pour ton aide ;)

Utilisateur anonyme · Answer

Bonsoir

Je te propose donc de mettre ce sujet en résolu

@+

Virus backdoor.bot.M que faire?

24 réponses

Discussions similaires