BackDoor.Andromeda / BackDoor.Generic17.AIOX Résolu/Fermé

Question

Bonjour, 

J'ai installé java dernièrement pour pour voir débrider un streaming sur debrideur streaming.com. Après quelques recherches j'ai vu que java était utilisé par des pirates alors j'ai de suite désinstallé.

Y'aurais d'autres à faire si jamais j'ai un virus ? Mon  pc est sous windows 7
Configuration: iPhone / Safari 4.0

Malekal_morte- · Answer

Salut,

Ca n'est pas un virus.
Mais si tu ne t'en sers pas, il vaut mieux pour des raisons de sécurité le désactiver.
=> https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

hardy38 · Answer

Tu es sûr ? J'ai essayé de me connecter sur mon e-mail secondaire mais le mdp a été changé...

Malekal_morte- · Answer

je vois pas où c'est écrit que y a besoin de java pour fonctionner...
Ca fout une extension sur le navigateur ...

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.  
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).  
Une fois le scan fini, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

hardy38 · Answer

Rapport adwcleaner :

# AdwCleaner v2.306 - Rapport créé le 27/07/2013 à 10:39:52
# Mis à jour le 19/07/2013 par Xplode
# Système d'exploitation : Windows 7 Starter Service Pack 1 (32 bits)
# Nom d'utilisateur : Betty - BETTY-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Betty\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16635

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v28.0.1500.72

Fichier : C:\Users\Betty\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [760 octets] - [27/07/2013 10:39:52]

########## EOF - C:\AdwCleaner[S1].txt - [819 octets] ##########

hardy38 · Answer

OTL.txt

https://pjjoint.malekal.com/files.php?id=20130727_i6k7g12q8w11

Extras.txt

https://pjjoint.malekal.com/files.php?id=20130727_t7e9c9p15h6

Voilà.

Malekal_morte- · Answer

infecté mais depuis le 25/07.



Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
[2013/07/25 15:22:21 | 000,588,827 | ---- | M] (VXbRcuKk) -- C:\Users\Betty\AppData\Roaming\BS inject to DC.exe
[2013/06/20 13:38:30 | 000,000,000 | ---D | M] -- C:\Users\Betty\AppData\Roaming\dsk
[2013/07/20 18:02:11 | 000,389,632 | -H-- | M] (VXbRcuKk) -- C:\Users\Betty\AppData\Roaming\Microsoft\Windows\SyncHost.exe 
[2013/07/25 19:11:05 | 000,011,776 | ---- | M] (Microsoft Corporation) -- C:\Users\Betty\AppData\Roaming\Microsoft\Windows\wbemcore.exe 
[2013/07/20 18:02:11 | 000,389,632 | -H-- | M] (VXbRcuKk) -- C:\Users\Betty\AppData\Roaming\Microsoft\Windows\Templates\dwm.exe 

* redemarre le pc sous windows et poste le rapport ici 



~~~

Zip le dossier C:\_OTL 
Ouvre Mon Ordinateur / Poste de travail => Disque C 
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MoveIT - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MoveIT.zip
Envoie ce fichier _MoveIT.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.

hardy38 · Answer

========== OTL ==========
C:\Users\Betty\AppData\Roaming\BS inject to DC.exe moved successfully.
C:\Users\Betty\AppData\Roaming\dsk\maps folder moved successfully.
C:\Users\Betty\AppData\Roaming\dsk folder moved successfully.
C:\Users\Betty\AppData\Roaming\Microsoft\Windows\SyncHost.exe moved successfully.
C:\Users\Betty\AppData\Roaming\Microsoft\Windows\wbemcore.exe moved successfully.
C:\Users\Betty\AppData\Roaming\Microsoft\Windows\Templates\dwm.exe moved successfully.
 
OTL by OldTimer - Version 3.2.69.0 log created on 07272013_112129

Le rapport OTL

hardy38 · Answer

Malekal_morte- 27 juil. 2013 à 17:17
infecté mais depuis le 25/07. 

Je suis toujours infecté alors ?

Malekal_morte- · Answer

Ca doit être bon je pense.


Pas terrible la détection : https://www.virustotal.com/gui/file/50425421077718ce440927a5697b24f1b6041a4c2c228877e68ad8a62948b1c6

SHA256:	50425421077718ce440927a5697b24f1b6041a4c2c228877e68ad8a62948b1c6
Nom du fichier :	dwm.exe
Ratio de détection :	 4 / 46 
Date d'analyse :	 2013-07-27 15:58:36 UTC (il y a 0 minute)

AVG 	 BackDoor.Generic17.AIOX 	 20130727 
 DrWeb 	 BackDoor.Andromeda.22 	 20130727 
 ESET-NOD32 	 a variant of MSIL/Injector.BPM 	 20130727 
 Ikarus 	 Backdoor.Win32.Androm 	 20130727 

~~

ca va sur une ipette belge : airygaming.no-ip.info - 87.64.49.184

~~

Tu as été infecté par un Rat (Remote Administration Tools).
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par ce Rat.

Faire attention à ce que vous téléchargez - change tous tes mots de passe

~~


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

hardy38 · Answer

Ah bah j'utilise Avast normal qu'il ait rien vu, j'avais déjà suivis une procédure pour supprimer ça.

Maintenant que tu me dis que ça va, ça me rassure.

Tu me conseille de changer d'antivirus ?

g3n-h@ckm@n · Answer

evite d'ouvrir 50 sujets

https://forums.commentcamarche.net/forum/affich-28355125-des-dossiers-jamais-vu-ni-installe#p28359802