Supprimer Trojan.Dorkbot [Résolu/Fermé]

Signaler
-
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
-
Bonjour,

J'ai besoin de votre aide, après un scan rapide de malwarbytes, je voudrais savoir si ce sont des virus ?
Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 215168
Temps écoulé: 7 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 1
C:\Users\alex\AppData\Local\IQDsoft\Twain_32.dll (VirTool.Vbcrypt) -> Aucune action effectuée.

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Users\alex\AppData\Local\IQDsoft\Twain_32.dll (VirTool.Vbcrypt) -> Aucune action effectuée.
C:\Users\alex\AppData\Local\Temp\mxdxezhb.exe (Trojan.Dorkbot.ED) -> Aucune action effectuée.

(fin)

Si oui, pouvez-vous m'aidez un désinfecter mon pc ?
Merci d'avance !

8 réponses

Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
Salut,

oui,

Coche tout et fais supprimer selection.


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Fait. Que dois-je faire après ?

Edit : Je n'avais pas vu la suite, je le fais de suite.
Euh, après avoir redémarré après avoir supprimer avec malawarbytes, cela me met une erreur qui me dit :

RegSvr32

Echec du chargement du module
"C:/users/alex/appdaa/local/iqdsoft/twain_32.dll'
Vérifiez que le fichier binaire est stocké à l'emplacement désigné par le chemin d'accès spécifié ou déboguez-le pour rechercher d'éeventuels problèmes de fichier .DLL binaires ou dépendants.

Le module spécifé est introuvable.



C'était bien un virus .. ?
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
Pas grave, fais le scan OTL.
Voilà : Extras :
http://pjjoint.malekal.com/files.php?id=20140116_f13l5d13n6u12

Otl :
http://pjjoint.malekal.com/files.php?id=20140116_q10g15j12u15w12
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O4 - HKU\S-1-5-21-3971021578-607728411-3101485768-1001..\Run: [IQDsoft] C:\Windows\SysWow64\regsvr32.exe (Microsoft Corporation)
[2014/01/16 11:09:59 | 000,000,000 | ---D | C] -- C:\Users\alex\AppData\Local\IQDsoft



* poste le rapport ici

========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-3971021578-607728411-3101485768-1001\Software\Microsoft\Windows\CurrentVersion\Run\\IQDsoft deleted successfully.
File move failed. C:\Windows\SysWOW64\regsvr32.exe scheduled to be moved on reboot.
C:\Users\alex\AppData\Local\IQDsoft folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 01162014_210657

Files\Folders moved on Reboot...
File move failed. C:\Windows\SysWOW64\regsvr32.exe scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...


Juste avant le rapport (après redémarrage du pc), un écran bleu est apparu et m'a dit si je voulais exécuter Otl.exe, j'ai don exécuter ^^
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
Fais un scan Malwarebytes ces prochains jours.
Change tes mots de passe, ils ont été volés.
Euh tu m'inquiètes énormément :o
Comment ont t-il été volés, et comment cela c'est fait ????
C'est actuellement le pc de mes parents, comment le faire comprendre ? ...
Et il n'y à rien d'autre à faire pour désinfecter complètement ?
Et une autre question, comment peut on avoir eu ce 'virus' là ...
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
Possible par un exploit depuis une malvertising : https://www.malekal.com/malvertising-on-clicksor-via-rapid8-com/
https://www.malekal.com/directrev-malvertising-lead-to-zbot/

ou un téléchargement malheureux.

~~

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
Merci de ton aide, je vais essayer de faire plus attention la prochaine fois ...
Messages postés
180267
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
23 291
:)