Infecté par Backdoor.Andromeda.AMZ Résolu/Fermé

Question

Bonjour, 
Je n'arrive pas à trouver la solution sur d'autres post donc je pose la question ici.
Choppé Backdoor.Andromeda.AMZ aujourd'hui via un courrier indésirable dans Hotmail. J'aurais pas du ouvrir le message en même temps c'est ma faute lol. 

Au début mon ordi me donnait des messages d'alertes réguliers et surtout m'informait que mon centre de sécurité avait été désactivé. Bien évidemment message d'erreur Impossible de lancer l'activation. J'ai déconnecté internet, ensuite j'ai lancé un scan complet avec Malwarebytes dont voilà le rapport 

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.22.10

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 11.0.9600.16476
Loriane :: LORIANE-TOSH [administrateur]

22/01/2014 15:10:45
mbam-log-2014-01-22 (15-10-45).txt

Type d'examen: Examen complet (C:\|D:\|E:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 466213
Temps écoulé: 1 heure(s), 23 minute(s), 13 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|1540 (Backdoor.Andromeda.AMZ) -> Données: c:\progra~3\msuuwbra.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\ProgramData\msuuwbra.exe (Backdoor.Andromeda.AMZ) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Loriane\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\3PKP4L70\mypic755006.zip (Backdoor.Andromeda.AMZ) -> Mis en quarantaine et supprimé avec succès.

(fin)


Tout a été supprimé avec succès mais le centre de sécurité ne voulait toujours pas se lancer. j'ai quand même voulu essayer une restauration de système et là ça a coincé encore et en redémarrant petite frayeur, avast était désactivé (s'est réactivé néanmoins sans problème)

Comment venir à bout du problème ? Un grand merci d'avance pour vos précieux conseils

Configuration: Windows 7 / Mozilla 11.0

Malekal_morte- · Answer

Salut,

C'est mal,

Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Malekal_morte- · Answer

As-tu volontairement installé Jing de TechSmith ?

Sinon ça semble correct, change bien tes mots de passe.

Malekal_morte- · Answer

non supprime OTL, tu le retéléchargeras pour avoir la dernière version :)

Cool pour les mots de passe :)

Infecté par Backdoor.Andromeda.AMZ

3 réponses

Discussions similaires