Problème avec un Trojan.downloader

Résolu/Fermé
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014
- 12 mars 2014 à 09:23
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
- 12 mars 2014 à 13:37
Bonjour,

malgré l'utilisation de Malware Bytes à répétition, j'ai un trojan.downloader qui revient systématiquement dans le rapport. J'ai beau les supprimer, ils reviennent à chaque fois. Que faire ? Merci pour votre aide. Voici le rapport :
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.03.11.05

Windows 7 Service Pack 1 x64 NTFS


12/03/2014 09:03:58
mbam-log-2014-03-12 (09-03-58).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 245773
Temps écoulé: 9 minute(s), 18 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 7
HKCR\AppID\{90A52F08-64AC-4DC6-9D7D-4516670275D3} (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKCR\CLSID\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKCR\TypeLib\{90A52F08-64AC-4DC6-9D7D-4516670275D3} (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKCR\Interface\{6C51F7E9-8542-4F25-A30F-2060157752E1} (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKCR\BaseFlash.1 (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKCR\BaseFlash (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Fab\AppData\Roaming\BaseFlash\IE\BaseFlash.dll (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.

(fin)

14 réponses

Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 09:26
Bonjour,

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (laisse "Créer une icône sur le Bureau" coché).

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.

--> Clique sur "Configurer" puis sur la loupe la plus à droite "Diagnostic avec légitimes".

--> A la fenêtre "Voulez-vous un rapport full options ?", clique sur Oui et patiente le temps du scan.

--> Une fois le scan terminé, un rapport est créé sur le Bureau.

--> Héberge-le sur pjjoint.malekal.com puis copie-colle le lien donné par le site dans ton prochain message.
0
bonjour,
j'ai un problème similaire!! merci de votre aide
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 11:15
Bonjour galopi35,

Je t'invite à créer ton propre sujet :
https://forums.commentcamarche.net/forum/virus-securite-7/new
0
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014

12 mars 2014 à 09:55
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 10:30
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


Script ZHPFix
SysRestore
C:\Users\Fabienne\AppData\Local\Google\Chrome\User Data\Default\Preferences
G0 - GCSP: Preference [User Data\Default][HomePage] http://www.awesomehp.com
G2 - GCE: Preference [User Data\Default] [fhokfmhpdoppcompklkineedkmhinhdf] BaseFlash v.1.0, (Activé)
G2 - GCE: Preference [User Data\Default] [flpcjncodpafbgdpnkljologafpionhb] Managera v.0.1 (Activé)
G2 - GCE: Preference [User Data\Default] [zzzzzzzzzzzzzzzzoibponkmmpgpmjgl] BaseFlash v.1.0, (Désactivé)
R0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.awesomehp.com
R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com
R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.awesomehp.com
R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.awesomehp.com
R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\AboutURLs,Tabs = http://start.mysearchdial.com
R1 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = http://www.awesomehp.com
O4 - HKLM\..\Wow6432Node\Run: [fst_fr_108] Clé orpheline
O20 - AppInit_DLLs: . (...) - C:\Program Files (x86)\SearchProtect\SearchProtect\bin\SPVC64Loader.dll (.not file.)
O23 - Service: Protect your browser's extensions (srvProtectExtension) . (.Pas de propriétaire - ProtectExtension.) - C:\Users\Fabienne\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe
[HKCU\Software\Conduit]
[HKCU\Software\ForumerIT]
[HKCU\Software\TutoTag]
[HKLM\Software\IB Updater]
[HKLM\Software\Wow6432Node\BaseFlash]
[HKLM\Software\Wow6432Node\InstallCore]
[HKLM\Software\Wow6432Node\ProtectExtension]
[HKLM\Software\Wow6432Node\SearchProtect]
[HKLM\Software\Wow6432Node\Tutorials]
[HKLM\Software\Wow6432Node\Vittalia]
[HKLM\Software\Wow6432Node\Wpm]
[HKLM\Software\Wow6432Node\free_soft_to_day]
[HKLM\Software\Wow6432Node\supTab]
[HKLM\Software\Wow6432Node\supWPM]
O43 - CFD: 05/03/2014 - 17:47:54 - [0] ----D C:\Program Files (x86)\MediaPlayerEnhance
O43 - CFD: 05/03/2014 - 15:37:34 - [11,588] ----D C:\Program Files (x86)\MyPC Backup
O43 - CFD: 05/03/2014 - 15:23:09 - [0] ----D C:\Program Files (x86)\predm
O43 - CFD: 05/03/2014 - 17:47:54 - [0] ----D C:\Program Files (x86)\SupTab
O43 - CFD: 08/06/2013 - 09:32:30 - [0] ----D C:\ProgramData\BrowserProtect
O43 - CFD: 05/03/2014 - 15:30:35 - [0] ----D C:\ProgramData\WPM
O43 - CFD: 22/10/2013 - 15:17:47 - [1,063] ----D C:\Users\Fabienne\AppData\Roaming\0F1F1C2Y1H1P1C0I0T
O43 - CFD: 05/03/2014 - 15:21:40 - [0] ----D C:\Users\Fabienne\AppData\Roaming\awesomehp
O43 - CFD: 26/02/2014 - 23:17:50 - [0,018] ----D C:\Users\Fabienne\AppData\Roaming\BaseFlash
O43 - CFD: 26/02/2014 - 18:50:26 - [2,525] ----D C:\Users\Fabienne\AppData\Roaming\ProtectExtension
O43 - CFD: 05/03/2014 - 17:47:55 - [0,005] ----D C:\Users\Fabienne\AppData\Roaming\SupTab
O43 - CFD: 03/01/2014 - 19:19:04 - [0,128] ----D C:\Users\Fabienne\AppData\Local\SearchProtect
O43 - CFD: 04/03/2014 - 13:01:33 - [0,001] ----D C:\Users\Fabienne\AppData\Local\Tuguu_SL
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 04/03/2014 - 11:24:25 ---A- . (...) -- C:\END [0]
C:\Users\Fabienne\AppData\Local\Google\Chrome\User Data\Default\Extensions\fhokfmhpdoppcompklkineedkmhinhdf
O69 - SBI: SearchScopes [HKCU] {014DB5FA-EAFB-4592-A95B-F44D3EE87FA9} [DefaultScope] - (Conduit Search) - http://search.conduit.com
SR - | Auto 11/03/2014 59392 | (srvProtectExtension) . (...) - C:\Users\Fabienne\AppData\Roaming\ProtectExtension\protect\ProtectExtension.exe
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D2CE3E00-F94A-4740-988E-03DC2F38C34F}]
[HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]
[HKLM\Software\Wow6432Node\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}]
[HKLM\Software\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKLM\Software\Classes\TypeLib\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKLM\Software\Wow6432Node\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
[HKLM\Software\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]
[HKLM\Software\Wow6432Node\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}]
[HKLM\Software\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
[HKLM\Software\Classes\TypeLib\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
[HKLM\Software\Wow6432Node\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
[HKLM\Software\Classes\AppID\escort.dll]
[HKLM\Software\Classes\AppID\escortapp.dll]
[HKLM\Software\Classes\AppID\escorteng.dll]
[HKLM\Software\Classes\AppID\esrv.EXE]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\90C64EA18BA25EE488BF80DCF07F2FFD]
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
[HKLM\Software\Classes\SpeedUpMyPC]
[HKLM\Software\Classes\AppID\escorTlbr.DLL]
[HKLM\Software\Wow6432Node\Classes\AppID\escort.DLL]
[HKLM\Software\Wow6432Node\Classes\AppID\escortApp.DLL]
[HKLM\Software\Wow6432Node\Classes\AppID\escortEng.DLL]
[HKLM\Software\Wow6432Node\Classes\AppID\escorTlbr.DLL]
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:fst_fr_108
O2 - BHO: Bing Bar Helper [64Bits] - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} . (...) -- C:\Program Files (x86)\Microsoft\BingBar\7.2.241.0\BingExt.dll (.not file.)
C:\Program Files (x86)\Microsoft\BingBar
[HKCU\Software\Safer Networking Limited]
[HKLM\Software\Safer Networking Limited]
[HKLM\Software\Wow6432Node\Safer Networking Limited]
O43 - CFD: 08/05/2013 - 15:51:36 - [0,348] ----D C:\ProgramData\Spybot - Search & Destroy
O42 - Logiciel: FreeMind Packages - (...) [HKCU][64Bits] -- FreeMind Packages
EmptyCLSID
EmptyFlash
EmptyTemp



--> Lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton IMPORTER. Dans l'encadré principal, tu verras les lignes que tu as copié précédemment apparaître.

--> Clique sur GO pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, héberge le rapport sur pjjoint.malekal.com puis copie-colle le lien dans ton prochain message.
0
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014

12 mars 2014 à 10:48
https://pjjoint.malekal.com/files.php?id=20140312_u10b15w13l7m15

Par contre Avast ne semble pas avoir apprécié la manip puisqu'il m'a annoncé une attaque virale provenant de ZHPFix. J'ai ignoré

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 11:14
ZHPFix a manipulé des infections, Avast en a repéré durant la manip'.

Plus de souci ?

Je voudrais un nouveau rapport ZHPDiag ;)
0
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014

12 mars 2014 à 11:41
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140312_u6r11w10r10t8

Je n'ai pas vérifié encore si çà n'apparaissait pas au nouveau rapport. Merci beaucoup pour le coup de main. Me conseilles tu de garder ces logiciels ?
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 11:58
Non, pour éviter de garder une ancienne version. En plus, ils te sont d'aucune utilité si tu ne sais pas analyser le rapport et faire le script.

Réutilise ZHPFix avec le script suivant :

Script ZHPFix
SysRestore
O2 - BHO: BaseFlash Ads [64Bits] - {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53} . (...) -- C:\Users\Fabienne\AppData\Roaming\BaseFlash\IE\BaseFlash.dll (.not file.)
O42 - Logiciel: FreeMind Packages - (...) [HKCU][64Bits] -- FreeMind Packages
EmptyFlash
EmptyTemp
0
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014

12 mars 2014 à 12:09
0
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014

12 mars 2014 à 12:20
Je viens de relancer malware et il a de nouveau trouvé des choses. Voici son rapport : https://pjjoint.malekal.com/files.php?id=20140312_s9p5s5s5z15

Merci
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 12:26
Je ne pense pas que ces éléments vont revenir, les infections ne sont pas actives.

Dans Menu Démarrer > Panneau de configuration > Désinstaller un programme, quand tu essaies de désinstaller FreeMind Packages (et non FreeMind tout court), que se passe-t-il ?
0
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014

12 mars 2014 à 12:30
Il m'écrit : une erreur s'est produite lors de la tentative de désinstallation de FreeMind Packages. Cet élément est peut-être déjà désinstallé. Voulez-vous supprimer FreeMind Packages de la liste Programmes et fonctionnalités ?

Que dois-je faire ?
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 12:34
Réponds "Oui".

Pour finir :


1/

---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


2/

---> Télécharge DelFix sur ton Bureau puis lance-le.
* Coche Purger la restauration système et laisse Supprimer les outils de désinfection coché.
* Clique sur Exécuter.
* Poste le rapport.


==Prévention==

Désinstalle Java(TM) 6 Update 23 et installe la nouvelle version (refuse / décoche la case s'il te propose un logiciel additionnel) :
https://www.java.com/fr/

Un dossier sur la prévention et sécurité sur Internet est disponible ici.
0
Arnoc35
Messages postés
8
Date d'inscription
mercredi 12 mars 2014
Statut
Membre
Dernière intervention
12 mars 2014

12 mars 2014 à 13:30
Ca y est. Tout est fait et il semble qu'il n'y ait plus rien.

Un très grand merci pour tes conseils et ta grande réactivité.

Agréable d'avoir à faire à quelqu'un comme toi quand on est un amateur !

Voici le rapport de Delfix : https://pjjoint.malekal.com/files.php?id=20140312_r10j5y13j7k12
0
Destrio5
Messages postés
85925
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
30 octobre 2019
10 287
12 mars 2014 à 13:37
Ok pour DelFix.

Bon après-midi ;)
0