Super Malware : Reveton / gendarmerie Résolu/Fermé

Question

Bonjour à tous, Je me permets de solliciter l'aide des experts du forum pour un malware qui a infecté mon PC. Il s'agit d'un écran bloquant l'usage de mon PC au démarrage. j'ai immédiatement redémarré en mode sans échec. J'ai lancé : Roguekiller (pre scan, scan et suppression) MBLM (scan et suppression) Hijackthis (seulement scan). J'ai imprimé tous les rapports, dont je donne une copie ci-dessous de RK et MBLM (je peux envoyer le rapport Hijackthis à la demande) => Par avance, merci beaucoup ! : RogueKiller scan : RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec Utilisateur : a [Droits d'admin] Mode : Recherche -- Date : 29/04/2013 23:03:05 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 12 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : ctfmon.exe (C:\PROGRA~3\rundll32.exe C:\PROGRA~3\8olo1.dat,FG00) [7] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-1760309661-222488283-2336323687-1001[...]\Run : ctfmon.exe (C:\PROGRA~3\rundll32.exe C:\PROGRA~3\8olo1.dat,FG00) [7] -> TROUVÉ [STARTUP][BLACKLISTDLL] msconfig.lnk @a : C:\Windows\System32\rundll32.exe|C:\PROGRA~3\8olo1.dat,FG00 -> TROUVÉ [HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] U : C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\U --> TROUVÉ [ZeroAccess][FOLDER] L : C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\L --> TROUVÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BPVT-75HXZT1 +++++ --- User --- [MBR] 4df54cf6ad27278d4db8a5ca41283439 [BSP] dea9defa67a18cc486b8c709b2ee22f0 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 101 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 208896 | Size: 15000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30928896 | Size: 595377 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] 1b79601bc31ab5edf97b46592dc97578 [BSP] 88c4a8fc0d23f93eb9a86c81397be458 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 367538176 | Size: 431017 Mo 1 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 266 Mo 2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 546816 | Size: 25600 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52975616 | Size: 153595 Mo Termine : << RKreport[1]_S_29042013_230305.txt >> RKreport[1]_S_29042013_230305.txt =================================================== Rapport RogueKIller après suppression : RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode sans echec Utilisateur : a [Droits d'admin] Mode : Suppression -- Date : 29/04/2013 23:03:56 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : ctfmon.exe (C:\PROGRA~3\rundll32.exe C:\PROGRA~3\8olo1.dat,FG00) [7] -> SUPPRIMÉ [STARTUP][BLACKLISTDLL] msconfig.lnk @a : C:\Windows\System32\rundll32.exe|C:\PROGRA~3\8olo1.dat,FG00 -> SUPPRIMÉ [HJPOL] HKCU\[...]\System : disableregistrytools (0) -> SUPPRIMÉ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\U --> SUPPRIMÉ [ZeroAccess][FOLDER] ROOT : C:\Windows\Installer\{792f4199-0b73-e2f4-7b46-706eb422a6b8}\L --> SUPPRIMÉ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD6400BPVT-75HXZT1 +++++ --- User --- [MBR] 4df54cf6ad27278d4db8a5ca41283439 [BSP] dea9defa67a18cc486b8c709b2ee22f0 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 63 | Size: 101 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 208896 | Size: 15000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 30928896 | Size: 595377 Mo User = LL1 ... OK! User != LL2 ... KO! --- LL2 --- [MBR] 1b79601bc31ab5edf97b46592dc97578 [BSP] 88c4a8fc0d23f93eb9a86c81397be458 : Windows Vista MBR Code Partition table: 0 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 367538176 | Size: 431017 Mo 1 - [XXXXXX] DELL-UTIL (0xde) [VISIBLE] Offset (sectors): 2048 | Size: 266 Mo 2 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 546816 | Size: 25600 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 52975616 | Size: 153595 Mo Termine : << RKreport[2]_D_29042013_230356.txt >> RKreport[1]_S_29042013_230305.txt ; RKreport[2]_D_29042013_230356.txt ============================================= Rapport MBLM après suppression : Malwarebytes Anti-Malware 1.75.0.1300 www.malwarebytes.org Version de la base de données: v2013.04.29.09 Windows 7 Service Pack 1 x64 NTFS (Mode sans échec) Internet Explorer 10.0.9200.16540 a :: A-PC [administrateur] 29/04/2013 23:07:22 mbam-log-2013-04-29 (23-07-22).txt Type d'examen: Examen complet (C:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 915551 Temps écoulé: 2 heure(s), 14 minute(s), 31 seconde(s) Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté) Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté) Clé(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Valeur(s) du Registre détectée(s): 0 (Aucun élément nuisible détecté) Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté) Dossier(s) détecté(s): 0 (Aucun élément nuisible détecté) Fichier(s) détecté(s): 4 C:\ProgramData\8olo1.dat (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès. C:\ProgramData\ritdq.dat (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès. C:\Users\a\AppData\Local\Temp\DCdJOya.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès. C:\ProgramData\rundll32.exe (Trojan.Agent.Gen) -> Mis en quarantaine et supprimé avec succès. (fin) Configuration: Windows 7 / Firefox 20.0

Malekal_morte- · Answer

Salut, 

yep malware - Reveton. 



Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt  
Fournir les deux rapports : 

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/     

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.     
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)     

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus). 

* Lance OTL     
* En haut à droite de Analyse rapide, coche "tous les utilisateurs" 
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :     



netsvcs    
msconfig    
safebootminimal    
safebootnetwork    
activex    
drivers32    
%ALLUSERSPROFILE%\Application Data\*.    
%ALLUSERSPROFILE%\Application Data\*.exe /s    
%APPDATA%\*.    
%APPDATA%\*.exe /s    
%temp%\.exe /s    
%SYSTEMDRIVE%\*.exe    
%systemroot%\*. /mp /s 
%systemroot%\system32\consrv.dll 
%systemroot%\system32\*.dll /lockedfiles    
%systemroot%\Tasks\*.job /lockedfiles    
%systemroot%\system32\drivers\*.sys /lockedfiles    
%systemroot%\System32\config\*.sav    
/md5start    
explorer.exe    
winlogon.exe    
wininit.exe    
/md5stop 
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s 
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s 
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s 
CREATERESTOREPOINT    
nslookup www.google.fr /c    
SAVEMBR:0    
hklm\software\clients\startmenuinternet|command /rs    
hklm\software\clients\startmenuinternet|command /64 /rs     



* Clique sur le bouton Analyse. 

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent). 
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message. 

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE 
  
  
Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

rennoz · Answer

Bonjour,

J'ai suivi toute la procédure, voici les liens vers les rapports d'analyse :

OTL.txt :
https://pjjoint.malekal.com/files.php?id=20130430_u7q1411x12m7

Extras.txt :
https://pjjoint.malekal.com/files.php?id=20130430_m14x10h13d14n11

Merci pour ton aide !

Malekal_morte- · Answer

Relance OTL. 
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2013/04/29 22:39:16 | 095,023,320 | ---- | M] () -- C:\ProgramData\1olo8.pad 
[2013/04/29 22:39:02 | 000,002,608 | ---- | M] () -- C:\ProgramData\1olo8.js 
[2013/04/29 22:35:58 | 000,000,151 | ---- | M] () -- C:\ProgramData\1olo8.reg 
[2013/04/29 22:35:58 | 000,000,055 | ---- | M] () -- C:\ProgramData\1olo8.bat 
[2013/04/29 22:35:51 | 095,023,320 | ---- | M] () -- C:\ProgramData\qdtir.pad


* redemarre le pc sous windows et poste le rapport ici

rennoz · Answer

Voici le lien apres suivi de la procédure :

https://pjjoint.malekal.com/files.php?id=20130430_i14g9w9m11z12

pour info, 1olo8.js n'est pas trouvable, peut etre parce qu'avira me l'a indiqué tout à l'heure en malware et que j'ai cliqué sur "supprimer"... don't know...

rennoz · Answer

plus de trace d'infection ?

Malekal_morte- · Answer

yep c'est bon :)

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.  
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis ! 

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

rennoz · Answer

thanks a lot !

Je suivrai tes conseils et serai vigilant !

Excellente soirée et merci encore pour ton aide

incaroads · Answer

Bonjour a tous.

je me suis aperçu d'avoir été infecté par le meme trojan que l'ami rennoz (trojan.agent.gen) qui me bloque mon ordi avec le fameux message de la police...

alors moi je suis vraiment pas calé niveau informatique, mais j'ai reussi a le détecter avec malwarebytes mais malheureusement il n'arrive pas a le supprimer, j'ai beau essayer plusieurs fois mais rien a faire, je deviens dingue.

le programme détecte le trojan sous C:/programdata/rundll32.exe

est-ce que je dois suivre le meme procédé que l'ami rennoz et aussi télécharger tous ces programmes que vous nommez ? (Roguekiller MBLM Hijackthis) et suivre les conseils de malekal? ou seulement avec malwarebytes ça devrait suffire ?

peut-etre que je dois reconfigurer mon malwarebytes...j'en sais rien, je suis vraiment perdu.

si quelqu'un aurait la gentillesse de me guider ça serait vraiment sympa de votre part.
Merci.

Super Malware : Reveton / gendarmerie

8 réponses

Discussions similaires