Iqoqinr.exe : Trojan.Zbot et Trojan.Win32.Boaxxe

Fermé
mrfonce Messages postés 5 Date d'inscription lundi 3 novembre 2014 Statut Membre Dernière intervention 4 novembre 2014 - 3 nov. 2014 à 19:15
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 nov. 2014 à 14:24
Bonjour, je n'ai pas trop d experience dans le domaine mais il me semble avoir attraper un virus du nom de iqoqinr.exe. Qui peut m en dire plus ? j'ai mcafee , cc cleaner mais il ne le detecte pas ou n arrivent pas a le gerer .

7 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 3/11/2014 à 19:17
Salut,


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
iqoqinr.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
mrfonce Messages postés 5 Date d'inscription lundi 3 novembre 2014 Statut Membre Dernière intervention 4 novembre 2014
3 nov. 2014 à 22:25
merci , scan en cours .
0
mrfonce Messages postés 5 Date d'inscription lundi 3 novembre 2014 Statut Membre Dernière intervention 4 novembre 2014
3 nov. 2014 à 23:27
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 3/11/2014 à 23:44
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:


:OTL
O2:[b]64bit:[/b] - BHO: (GGOSAvae) - {73dd7923-8879-43c7-8aee-d09e69d36853} - C:\Program Files (x86)\GGOSAvae\XZcJYGayaa4PdJ.x64.dll File not found
O4 - HKLM..\Run: [ConvertAd] C:\Users\Mighty\AppData\Local\ConvertAd\ConvertAd.exe File not found
[2014/10/05 20:25:43 | 000,000,000 | ---D | C] -- C:\ProgramData\f293cb834ec2f88e
[2014/11/03 11:09:00 | 000,001,173 | ---- | M] () -- C:\Users\Mighty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wusa.lnk
[2014/11/03 10:53:18 | 000,671,744 | ---- | M] () -- C:\Users\Mighty\AppData\Roaming\G7i31.exe
O4 - HKU\S-1-5-21-1169182431-2359582745-3491751590-1001..\Run: [Afasf] C:\Users\Mighty\AppData\Roaming\Gycawi\iqoqinr.exe ()
O4 - HKU\S-1-5-21-1169182431-2359582745-3491751590-1001..\Run: [AZMworks] C:\Users\Mighty\AppData\Local\AZMworks\tmp7E67.exe ()
O7 - HKU\S-1-5-21-1169182431-2359582745-3491751590-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: Run = C:\Users\Mighty\AppData\Roaming\Microsoft\Windows\IEUpdate\wusa.exe
:files
C:\Users\Mighty\AppData\Roaming\Gycawi

* poste le rapport ici


Redémarre l'ordinateur


~~~

Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com

Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.



Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
mrfonce Messages postés 5 Date d'inscription lundi 3 novembre 2014 Statut Membre Dernière intervention 4 novembre 2014
4 nov. 2014 à 14:15
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\ConvertAd deleted successfully.
C:\ProgramData\f293cb834ec2f88e folder moved successfully.
C:\Users\Mighty\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\wusa.lnk moved successfully.
File C:\Users\Mighty\AppData\Roaming\G7i31.exe not found.
Registry value HKEY_USERS\S-1-5-21-1169182431-2359582745-3491751590-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Afasf deleted successfully.
C:\Users\Mighty\AppData\Roaming\Gycawi\iqoqinr.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-1169182431-2359582745-3491751590-1001\Software\Microsoft\Windows\CurrentVersion\Run\\AZMworks deleted successfully.
C:\Users\Mighty\AppData\Local\AZMworks\tmp7E67.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-1169182431-2359582745-3491751590-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\Run deleted successfully.
========== FILES ==========
C:\Users\Mighty\AppData\Roaming\Gycawi folder moved successfully.

OTL by OldTimer - Version 3.2.69.0 log created on 11042014_141431
0
mrfonce Messages postés 5 Date d'inscription lundi 3 novembre 2014 Statut Membre Dernière intervention 4 novembre 2014
4 nov. 2014 à 14:21
upload reussi vers le lien en question , j attend la suite , merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 4/11/2014 à 14:24
yep reçu.
Tu devrais envisager de changer d'antivirus.

https://www.virustotal.com/gui/file/05f21968743bad5b74250b9c526a548724b5b8f129e6591368fd99ea07b5c86c

SHA256: 05f21968743bad5b74250b9c526a548724b5b8f129e6591368fd99ea07b5c86c
Nom du fichier : iqoqinr.exe
Ratio de détection : 21 / 53
Date d'analyse : 2014-11-04 13:21:59 UTC (il y a 1 minute)

Antivirus Résultat Mise à jour
AVG SHeur4.CDNW 20141104
Ad-Aware Trojan.Spy.Zbot.FOF 20141104
AegisLab Troj.W32.Gen 20141104
AhnLab-V3 Trojan/Win32.Necurs 20141104
Avast Win32:Malware-gen 20141104
BitDefender Trojan.Spy.Zbot.FOF 20141104
Bkav HW32.Packed.CAA5 20141104
Cyren W32/Skintrim.1!Generic 20141104
DrWeb Trojan.Siggen6.22973 20141104
ESET-NOD32 Win32/Spy.Zbot.ABP 20141104
Emsisoft Trojan.Spy.Zbot.FOF (B) 20141104
F-Prot W32/Skintrim.1!Generic 20141104
F-Secure Trojan.Spy.Zbot.FOF 20141104
GData Trojan.Spy.Zbot.FOF 20141104
K7GW Trojan ( 004b02be1 ) 20141104
Kaspersky Trojan-Spy.Win32.Zbot.sbkt 20141104
Malwarebytes Spyware.Zbot.ED 20141104
Microsoft PWS:Win32/Zbot 20141104
Qihoo-360 Malware.QVM07.Gen 20141104
SUPERAntiSpyware Trojan.Agent/Gen-Skintrim 20141104
nProtect Trojan.Spy.Zbot.FOF 20141104


~~

https://www.virustotal.com/fr/file/46c2b1fad296ab2071161c6a7770c9eb31eaabf484cd0e118bf5fd0181940cda/analysis/1415107320/

SHA256: 46c2b1fad296ab2071161c6a7770c9eb31eaabf484cd0e118bf5fd0181940cda
Nom du fichier : tmp7E67.exe
Ratio de détection : 14 / 53
Date d'analyse : 2014-11-04 13:22:00 UTC (il y a 1 minute)

AVG Generic_vb.CYC 20141104
Ad-Aware Gen:Variant.Kazy.488909 20141104
AhnLab-V3 Trojan/Win32.Agent 20141104
Avira TR/Dropper.VB.23103 20141104
Baidu-International Trojan.Win32.Boaxxe.bBR 20141103
BitDefender Gen:Variant.Kazy.488909 20141104
CAT-QuickHeal TrojanPWS.Zbot.S3 20141104
ESET-NOD32 Win32/Boaxxe.BR 20141104
Emsisoft Gen:Variant.Kazy.488909 (B) 20141104
F-Secure Gen:Variant.Kazy.488909 20141104
GData Gen:Variant.Kazy.488909 20141104
Malwarebytes Spyware.Zbot.ED 20141104
Rising PE:Malware.XPACK-HIE/Heur!1.9C48 20141103
Sophos Troj/VB-HSP 20141104



~~

Fais un scan Malwarebytes :

Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.




Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0