Trojan.Win32.Agenb.abdf setup.exe qui revient à chaque bootRésolu/Fermé

Question

Boujour, 
Depuis quelque temps j'ai un processus setup.exe qui se lance au demarrage et qui utilise 90% du CPU jusqu'a ce que je le termine. 
Le setup.exe est dans G:\User\%Username\AppData\Local\Roaming\Temp\GoogleSetup\setup.exe, et il revient a chaque demarrage apres que je le supprime.

ZoneAlarm le detecte au démarrage (Trojan.Win32.Agenb.abdf) mais n'arrive pas a l'enlever, ou me dit qu'il a réussit et redemarre mais il revient toujours.

J'ai essayé pas mal d'antivirus, Malwarebyte et Spybot ne le detecte pas comme un virus.

J'ai aussi un autre setup.exe (qui revient aussi au démarrage, mais n'est pas detecté par ZoneAlarm) et les deux setup.exe prennent chacun 45% du CPU.
Sauf que celui la (G:\User\%Username\AppData\Local\Roaming\Temp\GoogleUpdateSetup\setup.exe) se termine tout seul apres que je recoit un message me disant qu'il a arreté de fonctionner.
Après quoi l'autre setup.exe prend 90% du CPU et je doit le terminer moi même.

Du coup je me demande si c'est vraiment un/des virus, mais en tout cas ils sont génant et j'aimerai les supprimer definitivement.

Merci.

Malekal_morte- · Answer

Salut,     



Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Zertjn · Answer

Merci de ton aide

Le rapport AdwCleaner :


# AdwCleaner v2.306 - Logfile created 07/27/2013 at 14:48:20
# Updated 19/07/2013 by Xplode
# Operating system : Windows 7 Ultimate Service Pack 1 (32 bits)
# User : Casper - CASPER-PC
# Boot Mode : Normal
# Running from : I:\adwcleaner.exe
# Option [Delete]


***** [Services] *****


***** [Files / Folders] *****

Deleted on reboot : G:\Users\Casper\AppData\Roaming\CheckPoint\ZoneAlarm LTD Toolbar
Folder Deleted : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\jetpack

***** [Registry] *****


***** [Internet Browsers] *****

-\ Internet Explorer v9.0.8112.16496

[OK] Registry is clean.

-\ Mozilla Firefox v22.0 (en-US)

File : G:\Users\Casper\AppData\Roaming\Mozilla\Firefox\Profiles\fhefzttn.default\prefs.js

[OK] File is clean.

*************************

AdwCleaner[S1].txt - [952 octets] - [27/07/2013 14:48:20]

########## EOF - G:\AdwCleaner[S1].txt - [1011 octets] ##########



Et les rapports OTL : 
OTL.txt https://pjjoint.malekal.com/files.php?id=20130727_o5j11n12m7r11
Extras.txt https://pjjoint.malekal.com/files.php?id=20130727_h15o11y14u11k13


Du coup j'ai terminé le processus setup.exe avant les deux scans je sais pas si ca pause probleme.

Malekal_morte- · Answer

Spybot est dépassé, désinstalle le.

Envoie G:\Users\Casper\AppData\Local\Temp\GoogleUpdateSetup\setup.exe
sur http://upload.malekal.com
pour que je puisse regarder.

Zertjn · Answer

Ok j'ai envoyé GoogleUpdateSetup\setup.exe et GoogleSetup\setup.exe, mais j'ai pas recu de lien à copier ici.

Malekal_morte- · Answer

c'est un miner - https://www.malekal.com/bitcoin-monetisation-de-botnet/

SHA256:	1ed5f7e3da1f7926da9d3174bf269419f52c178233332f5a6ba499e06af9f4e7
Nom du fichier :	SearchIndexer.exe
Ratio de détection :	 14 / 46 
Date d'analyse :	 2013-07-24 18:07:01 UTC (il y a 2 jours, 19 heures)

AhnLab-V3 	 Trojan/Win32.BitMiner 	 20130724 
 AntiVir 	? 	 20130724 
 Avast 	 Win32:BitCoinMiner-CZ [Trj] 	 20130724 
 AVG 	 Skodna.BitCoinMiner.DP 	 20130724 
 BitDefender 	 Gen:Variant.Graftor.100445 	 20130724 
 Commtouch 	 W32/Trojan.EKSP-8112 	 20130724 
Comodo 	? 	 20130724
 DrWeb 	 Tool.BtcMine.121 	 20130724 
 Emsisoft 	 Gen:Variant.Graftor.100445 (B) 	 20130724 
 ESET-NOD32 	 probably a variant of Win32/BitCoinMiner.D 	 20130724 
 F-Secure 	 Gen:Variant.Graftor.100445 	 20130724 
 GData 	 Gen:Variant.Graftor.100445 	 20130724 
 Ikarus 	 Trojan.SuspectCRC 	 20130724 
 MicroWorld-eScan 	 Gen:Variant.Graftor.100445 	 20130724 
 TrendMicro-HouseCall 	 TROJ_GEN.RFFFH01FU13 	 20130724 
 VIPRE 	 Trojan.Win32.Generic!BT 	 20130724 
 
~~

Tu as eu ces alertes après avoir téléchargé un fichier pourri ?

un peu bizarre ce fichier :
[2013/06/30 03:31:45 | 002,270,221 | ---- | M] () -- G:\Windows\GoogleSetup.exe

tu peux l'envoyer sur http://upload.malekal.com aussi pour voir ?

Zertjn · Answer

Envoyé.

ok je voit, nan j'ai pas eu d'alerte en telechargant, juste un jour au demarrage par Zonealarm

mais jcrois me rappeler avoir telechargé un bitcoin miner un jour mais l'avoir jamais utilisé et supprimé pas longtemps apres, mais cetait bien avant que je voit les processus au demarrage

Edit : oui j'ai envoyé G:\Windows\GoogleSetup.exe du coup

J'ai pas été clair j'ai envoyé 4 fichiers en tout :
2 fois GoogleUpdateSetup\setup.exe, 
1 fois GoogleSetup\setup.exe 
et 1 fois G:\Windows\GoogleSetup.exe

Malekal_morte- · Answer

nan c'est pas toi qui l'a mis.
C'est un malware, ça mine pour quelqu'un et il gagne de la thune en utilisant ton PC.

GoogleSetup, c'est le dropper, vire le :



Child process:
   Path: C:\Documents and Settings\Mak\Local Settings\Temp\GoogleSetup\setup.exe
   Command line:C:\DOCUME~1\Mak\LOCALS~1\Temp\GoogleSetup\setup.exe --algo scrypt --url stratum+tcp://stratum.give-me-ltc.com:3334 --userpass voltage.84:123456 --threads 4 -s 3

La détection est moisie, mais le fichier droppé est bien détecté.

https://www.virustotal.com/gui/file/51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648

SHA256: 51849781c6c990296f14dd072d2abd8cf37c47f45dc0daf4ce60a960a765b648
Nom du fichier : GoogleSetup.exe
Ratio de détection :  1 / 46 
Date d'analyse :  2013-07-27 13:33:40 UTC (il y a 0 minute)

AntiVir   TR/Dropper.Gen   20130727

Zertjn · Answer

Ok super merci, je l'ai viré je redemarre voir ce que ca donne.



Ca à l'air tout bon :) les 2 setup.exe sont pas revenu et GoogleSetup.exe est bien parti aussi

Merci beaucoup en tout cas ca faisait un moment que ces process me faisait chier!

Trojan.Win32.Agenb.abdf setup.exe qui revient à chaque boot

8 réponses

Discussions similaires

Newsletters