Trojan.Win32.Agenb.abdf setup.exe qui revient à chaque boot

Résolu
Zertjn Messages postés 5 Statut Membre -  
Zertjn Messages postés 5 Statut Membre -
Boujour,
Depuis quelque temps j'ai un processus setup.exe qui se lance au demarrage et qui utilise 90% du CPU jusqu'a ce que je le termine.
Le setup.exe est dans G:\User\%Username\AppData\Local\Roaming\Temp\GoogleSetup\setup.exe, et il revient a chaque demarrage apres que je le supprime.

ZoneAlarm le detecte au démarrage (Trojan.Win32.Agenb.abdf) mais n'arrive pas a l'enlever, ou me dit qu'il a réussit et redemarre mais il revient toujours.

J'ai essayé pas mal d'antivirus, Malwarebyte et Spybot ne le detecte pas comme un virus.

J'ai aussi un autre setup.exe (qui revient aussi au démarrage, mais n'est pas detecté par ZoneAlarm) et les deux setup.exe prennent chacun 45% du CPU.
Sauf que celui la (G:\User\%Username\AppData\Local\Roaming\Temp\GoogleUpdateSetup\setup.exe) se termine tout seul apres que je recoit un message me disant qu'il a arreté de fonctionner.
Après quoi l'autre setup.exe prend 90% du CPU et je doit le terminer moi même.

Du coup je me demande si c'est vraiment un/des virus, mais en tout cas ils sont génant et j'aimerai les supprimer definitivement.

Merci.

8 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
    Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
    Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis:

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
    Fournir les deux rapports :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %windir%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    services.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
    HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
    CREATERESTOREPOINT
    nslookup https://www.google.fr/?gws_rd=ssl /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.

    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
    Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Spybot est dépassé, désinstalle le.

    Envoie G:\Users\Casper\AppData\Local\Temp\GoogleUpdateSetup\setup.exe
    sur http://upload.malekal.com
    pour que je puisse regarder.
    1
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    c'est un miner - https://www.malekal.com/bitcoin-monetisation-de-botnet/

    SHA256: 1ed5f7e3da1f7926da9d3174bf269419f52c178233332f5a6ba499e06af9f4e7
    Nom du fichier : SearchIndexer.exe
    Ratio de détection : 14 / 46
    Date d'analyse : 2013-07-24 18:07:01 UTC (il y a 2 jours, 19 heures)

    AhnLab-V3 Trojan/Win32.BitMiner 20130724
    AntiVir ? 20130724
    Avast Win32:BitCoinMiner-CZ [Trj] 20130724
    AVG Skodna.BitCoinMiner.DP 20130724
    BitDefender Gen:Variant.Graftor.100445 20130724
    Commtouch W32/Trojan.EKSP-8112 20130724
    Comodo ? 20130724
    DrWeb Tool.BtcMine.121 20130724
    Emsisoft Gen:Variant.Graftor.100445 (B) 20130724
    ESET-NOD32 probably a variant of Win32/BitCoinMiner.D 20130724
    F-Secure Gen:Variant.Graftor.100445 20130724
    GData Gen:Variant.Graftor.100445 20130724
    Ikarus Trojan.SuspectCRC 20130724
    MicroWorld-eScan Gen:Variant.Graftor.100445 20130724
    TrendMicro-HouseCall TROJ_GEN.RFFFH01FU13 20130724
    VIPRE Trojan.Win32.Generic!BT 20130724


    ~~

    Tu as eu ces alertes après avoir téléchargé un fichier pourri ?

    un peu bizarre ce fichier :
    [2013/06/30 03:31:45 | 002,270,221 | ---- | M] () -- G:\Windows\GoogleSetup.exe

    tu peux l'envoyer sur http://upload.malekal.com aussi pour voir ?
    1
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    nan c'est pas toi qui l'a mis.
    C'est un malware, ça mine pour quelqu'un et il gagne de la thune en utilisant ton PC.

    GoogleSetup, c'est le dropper, vire le :


    Child process:
    Path: C:\Documents and Settings\Mak\Local Settings\Temp\GoogleSetup\setup.exe
    Command line:C:\DOCUME~1\Mak\LOCALS~1\Temp\GoogleSetup\setup.exe --algo scrypt --url stratum+tcp://stratum.give-me-ltc.com:3334 --userpass voltage.84:123456 --threads 4 -s 3


    La détection est moisie, mais le fichier droppé est bien détecté.

    https://www.virustotal.com/gui/file/51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648

    SHA256: 51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648
    Nom du fichier : GoogleSetup.exe
    Ratio de détection : 1 / 46
    Date d'analyse : 2013-07-27 13:33:40 UTC (il y a 0 minute)

    AntiVir TR/Dropper.Gen 20130727
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Zertjn Messages postés 5 Statut Membre
     
    Merci de ton aide

    Le rapport AdwCleaner :

    # AdwCleaner v2.306 - Logfile created 07/27/2013 at 14:48:20
    # Updated 19/07/2013 by Xplode
    # Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
    # User : Casper - CASPER-PC
    # Boot Mode : Normal
    # Running from : I:\adwcleaner.exe
    # Option [Delete]

    ***** [Services] *****

    ***** [Files / Folders] *****

    Deleted on reboot : G:\Users\Casper\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
    Folder Deleted : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\jetpack

    ***** [Registry] *****

    ***** [Internet Browsers] *****

    -\\ Internet Explorer v9.0.8112.16496

    [OK] Registry is clean.

    -\\ Mozilla Firefox v22.0 (en-US)

    File : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\prefs.js

    [OK] File is clean.

    *************************

    AdwCleaner[S1].txt - [952 octets] - [27/07/2013 14:48:20]

    ########## EOF - G:\AdwCleaner[S1].txt - [1011 octets] ##########

    Et les rapports OTL :
    OTL.txt https://pjjoint.malekal.com/files.php?id=20130727_o5j11n12m7r11
    Extras.txt https://pjjoint.malekal.com/files.php?id=20130727_h15o11y14u11k13

    Du coup j'ai terminé le processus setup.exe avant les deux scans je sais pas si ca pause probleme.
    0
  7. Zertjn Messages postés 5 Statut Membre
     
    Ok j'ai envoyé GoogleUpdateSetup\setup.exe et GoogleSetup\setup.exe, mais j'ai pas recu de lien à copier ici.
    0
  8. Zertjn Messages postés 5 Statut Membre
     
    Envoyé.

    ok je voit, nan j'ai pas eu d'alerte en telechargant, juste un jour au demarrage par Zonealarm

    mais jcrois me rappeler avoir telechargé un bitcoin miner un jour mais l'avoir jamais utilisé et supprimé pas longtemps apres, mais cetait bien avant que je voit les processus au demarrage

    Edit : oui j'ai envoyé G:\Windows\GoogleSetup.exe du coup

    J'ai pas été clair j'ai envoyé 4 fichiers en tout :
    2 fois GoogleUpdateSetup\setup.exe,
    1 fois GoogleSetup\setup.exe
    et 1 fois G:\Windows\GoogleSetup.exe
    0
  9. Zertjn Messages postés 5 Statut Membre
     
    Ok super merci, je l'ai viré je redemarre voir ce que ca donne.

    Ca à l'air tout bon :) les 2 setup.exe sont pas revenu et GoogleSetup.exe est bien parti aussi

    Merci beaucoup en tout cas ca faisait un moment que ces process me faisait chier!
    0