backdoor fynloski.a Résolu/Fermé

Question

Bonjour, 

voila aujourd hui mon antivirus m'a decouvert ceci: backdoor.fynloski.a

ils sont en quarantaine donc je les effaces mais a chaque demarrage du pc ils reviennent !
j ai beau faire effacer a chaque fois ils sont la!
ensuite je fait un passage de mbam et ils me trouve ceci(voir le rapport)


Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.22.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
cuisine :: CUISINE-PC [administrateur]

22/02/2013 10:07:39
MBAM-log-2013-02-22 (10-13-02).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 205738
Temps écoulé: 3 minute(s), 54 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\cuisine\AppData\Local\Temp\svghost.exe (Trojan.Agent) -> 3860 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|b089cc196d33ce362f34cea6edbe1dc2 (Trojan.Agent) -> Données: "C:\Users\cuisine\AppData\Local\Temp\svghost.exe" .. -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\cuisine\AppData\Local\Temp\svghost.exe (Trojan.Agent) -> Aucune action effectuée.

(fin)



que dois je faire s il vous plait ?

merci d avance

Configuration: Windows 7 / Firefox 19.0

Malekal_morte- · Answer

Salut,

"Aucune action effectuée."

Supprime les éléments détectés.

m11 · Answer

voila je fait suppression et il va me demander de redemarrer ce que je vais faire mais donc mbam va me retrouver les meme trojan!!
je joint mon rapport et merci de m avoir repondu!

cuisine :: CUISINE-PC [administrateur]

22/02/2013 10:32:58
mbam-log-2013-02-22 (10-32-58).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 205962
Temps écoulé: 2 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\cuisine\AppData\Local\Temp\svghost.exe (Trojan.Agent) -> 3848 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|b089cc196d33ce362f34cea6edbe1dc2 (Trojan.Agent) -> Données: "C:\Users\cuisine\AppData\Local\Temp\svghost.exe" .. -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\cuisine\AppData\Local\Temp\svghost.exe (Trojan.Agent) -> Suppression au redémarrage.

(fin)



je met a la suite le nouveau rapport apres redemarrage

m11 · Answer

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.22.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
cuisine :: CUISINE-PC [administrateur]

22/02/2013 10:42:19
MBAM-log-2013-02-22 (10-48-08).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 205818
Temps écoulé: 3 minute(s), 52 seconde(s)

Processus mémoire détecté(s): 1
C:\Users\cuisine\AppData\Local\Temp\svghost.exe (Trojan.Agent) -> 3960 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|b089cc196d33ce362f34cea6edbe1dc2 (Trojan.Agent) -> Données: "C:\Users\cuisine\AppData\Local\Temp\svghost.exe" .. -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\cuisine\AppData\Local\Temp\svghost.exe (Trojan.Agent) -> Aucune action effectuée.

(fin)


et voila

m11 · Answer

je peut faire ça des dixaines de fois ils reviennent tout le temps

Malekal_morte- · Answer

oki :)


Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  



puis :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

m11 · Answer

# AdwCleaner v2.112 - Rapport créé le 22/02/2013 à 10:56:14
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : cuisine - CUISINE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\cuisine\Desktop\adwcleaner0.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKCU\Software\APN PIP
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\b089cc196d33ce362f34cea6edbe1dc2
Clé Supprimée : HKLM\Software\Classes\Installer\Features\EB6AF8AEEB922FA4392548F13812E50B
Clé Supprimée : HKLM\Software\Classes\Installer\Products\EB6AF8AEEB922FA4392548F13812E50B
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetIM_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SweetPacksUpdateManager_RASMANCS
Clé Supprimée : HKLM\Software\PIP

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16464

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v19.0 (fr)

Fichier : C:\Users\cuisine\AppData\Roaming\Mozilla\Firefox\Profiles\qvm4tv6h.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\cuisine\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1639 octets] - [22/02/2013 10:56:14]

########## EOF - C:\AdwCleaner[S1].txt - [1699 octets] ##########

m11 · Answer

https://pjjoint.malekal.com/files.php?id=20130222_j7c10l8e7l6

m11 · Answer

https://pjjoint.malekal.com/files.php?id=20130222_o10v15p710x15

Malekal_morte- · Answer

Désinstalle Advanced SystemCare 6
Sert à rien 
=> https://forum.malekal.com/viewtopic.php?t=26069&start=


Envoye les fichiers suivants sur http://upload.malekal.com à partir du bouton Parcourir.
C:\Users\cuisine\AppData\Local\Temp\svghost.exe
C:\Users\cuisine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b089cc196d33ce362f34cea6edbe1dc2.exe 

Si tu y arrives pas, essaye par mail : spamhere-@wanadoo.fr



Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKU\S-1-5-21-667078599-1827794495-2000042489-1000..\Run: [b089cc196d33ce362f34cea6edbe1dc2] C:\Users\cuisine\AppData\Local\Temp\svghost.exe () 
O4 - Startup: C:\Users\cuisine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b089cc196d33ce362f34cea6edbe1dc2.exe () 

* redemarre le pc sous windows et poste le rapport ici

m11 · Answer

impossible de vous envoyer les fichiers demandés que ce soit par mail ou par ci joint!

m11 · Answer

il trouve pas le appdata mais fallait s en douter

m11 · Answer

donc est ce que je fait la suite avec OTL???

m11 · Answer

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-667078599-1827794495-2000042489-1000\Software\Microsoft\Windows\CurrentVersion\Run\b089cc196d33ce362f34cea6edbe1dc2 deleted successfully.
C:\Users\cuisine\AppData\Local\Temp\svghost.exe moved successfully.
C:\Users\cuisine\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\b089cc196d33ce362f34cea6edbe1dc2.exe moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 02222013_142612

Malekal_morte- · Answer

Change tes mots de passe WEB.

J'imagine que Malwarebyte détecte plus rien ou seulement dans la quarantaine d'OTL ?

m11 · Answer

toujours ça 



Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.22.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
cuisine :: CUISINE-PC [administrateur]

22/02/2013 17:42:34
MBAM-log-2013-02-22 (17-45-36).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 205967
Temps écoulé: 2 minute(s), 37 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|b089cc196d33ce362f34cea6edbe1dc2 (Backdoor.Agent.Gen) -> Données: "C:\Users\cuisine\AppData\Local\Temp\svghost.exe" .. -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

m11 · Answer

bonjour
tres bien voila ce que j ai 

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.22.01

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
cuisine :: CUISINE-PC [administrateur]

23/02/2013 08:42:03
mbam-log-2013-02-23 (08-42-03).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 205634
Temps écoulé: 2 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

m11 · Answer

mon antivirus (MSE) ne detecte plus rien lui non plus

m11 · Answer

les mots de passe c est fait
 je vous remercie beaucoup pour le temps que vous avez passé a m aider
 je passe en resolu 
bonne continuation et encore merci

Backdoor fynloski.a

18 réponses

Discussions similaires