Trojan.Sathurbot / Trojan.FakeMS : Explorer.exe infecté backdoor [Résolu/Fermé]

Signaler
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016
-
 mnoir -
Bonjour,

Mon antivirus vient de me détecter le virus Backdoor.A.3768 sur le fichier :
C:\windows\Explorer.exe
L'antivirus ne me laisse que peu de choix : ignorer/supprimer/quarantaine
Je suis allé voir dans ce dossier, et je n'ai qu'un seul fichier explorer.exe (il ne s'agirait donc pas d'un doublon).
Je suis réticent à l'idée de supprimer ou de mettre en quarantaine ce fichier car j'ai bien peur que Windows ne fonctionnera plus. En plus c'est un Windows pré-installé, je n'avais pas effectué de copie pour faire une récupération du système, et je vois qu'il n'est pas possible de télécharger une copie sur le site de Microsoft car c'est un système pré-installé.

Auriez-vous une idée de ce qu'il serait possible de faire dans ce cas?

Merci beaucoup!



11 réponses

Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
Salut,

Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
L'ordinateur est infecté, probablement un zbot ou citadelle.
Ou un stealer qui s'en apparente.


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

Supprime les PUM.DNS avec RogueKiller en suivant ce tutorial : https://forum.malekal.com/viewtopic.php?t=48312&start=
Donne le rapport de suppression de RogueKiller.

Réinitialise Internet Explorer et modules complémentaires / moteurs de recherche : https://forum.malekal.com/viewtopic.php?t=41399&start=
Si tu as speedial en démarrage.

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Voici ce le fichier texte de FRST après avoir appuyé sur "fix" :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 11-04-2015
Ran by Alina at 2015-04-11 20:54:04 Run:1
Running from C:\Users\Alina\Desktop
Loaded Profiles: Alina (Available profiles: Alina)
Boot Mode: Normal

==============================================

Content of fixlist:

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Ohdsics] => regsvr32.exe
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [raba] => C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [301568 2015-04-09] (Hex-RAYS SA)
HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [kix] => C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [302592 2015-04-11] (Hex-RAYS SA)
2015-04-10 11:01 - 2015-04-10 11:01 - 00000000 ____D () C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T
C:\Users\Alina\AppData\Roaming\ludaw
C:\Users\Alina\AppData\Roaming\wavi


HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Ohdsics => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\raba => value deleted successfully.
HKU\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run\\kix => value deleted successfully.
C:\Users\Alina\AppData\Roaming\0V1L2Z2Z1T1I1L1T => Moved successfully.
C:\Users\Alina\AppData\Roaming\ludaw => Moved successfully.
C:\Users\Alina\AppData\Roaming\wavi => Moved successfully.

End of Fixlog 20:54:12

Et voici ce que j'ai obtenu en rapport avec RogueKiller:

Operating System : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Started in : Normal mode
User : Alina [Administrator]
Started from : C:\Users\Alina\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YD0M7G7P\RogueKiller.exe
Mode : Delete -- Date : 04/11/2015 21:45:11

¤¤¤ Processes : 3 ¤¤¤
[Suspicious.Path|Proc.Injected] naqab.exe(3272) -- C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe[-] -> Killed [TermProc]
[Suspicious.Path|Proc.Injected] vemeruz.exe(3280) -- C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe[-] -> Killed [TermProc]
[Suspicious.Path] explorer.exe(1280) -- C:\ProgramData\Microsoft\Security\Client\SecurityProvider.dll[-] -> Unloaded

¤¤¤ Registry : 20 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\0WinSecurityProvider | (default) : {F76FA5C2-3B6A-451E-8CA5-34C8D0AE0637} -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | raba : C:\Users\Alina\AppData\Roaming\ludaw\naqab.exe [-] -> Deleted
[Suspicious.Path] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Run | kix : C:\Users\Alina\AppData\Roaming\wavi\vemeruz.exe [-] -> Deleted
[PUM.HomePage] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.HomePage] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Internet Explorer\Main | Start Page : http://speedial.com/... -> Not selected
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{193ED2A3-D324-4DB2-A787-9197EA4A92D2} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{1D9B638E-0A6E-4294-B7C9-BBE5161A85FE} | DhcpNameServer : 130.195.85.25 130.195.98.151 [NEW ZEALAND (NZ)][NEW ZEALAND (NZ)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{20162C45-FCC3-4189-90C9-ECF0FFD0057E} | NameServer : 193.189.244.225 193.189.244.206 [X][GERMANY (DE)] -> Replaced ()
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{8B53085D-6AEB-407A-8A99-245E9534F78E} | NameServer : 193.189.244.206 193.189.244.225 [GERMANY (DE)][GERMANY (DE)] -> Replaced ()
[PUM.StartMenu] HKEY_USERS\S-1-5-21-3363902407-660404453-229795418-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Not selected
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Not selected

¤¤¤ Tasks : 0 ¤¤¤

¤¤¤ Files : 0 ¤¤¤

¤¤¤ Hosts File : 0 ¤¤¤

¤¤¤ Antirootkit : 2 (Driver: Loaded) ¤¤¤
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
ok voici la suite :

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/#NOD32
Enregistre le rapport
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.

Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Bonjour, voici le rapport du scan avec nod32 :

https://pjjoint.malekal.com/files.php?id=20150412_k5o7n10u11h12

Aussi, je m'aperçois que le dossier "mes documents" s'ouvre tout seul de manière intempestive.

Merci encore pour votre aide !
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
ok, voici la suite :


Scan Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour puis lance un examen.

A la fin du scan, clic sur "Mettre tout en quarantaine" en bas à gauche.
Redémarre l'ordinateur si besoin.
Après redémarrage, relance Malwarebytes.
Vas chercher le rapport dans l'onglet Historique.
A gauche Journal des examens.
Doube-clic sur l'examen dans la liste.
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.



Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Je viens de finir le scanner, par contre l'interface ne me propose pas de tout mettre en quarantaine comme sur le tutoriel https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Mais plutôt il n'y a qu'un gros bouton bleu en bas "Supprimer la sélection", je ne vois nul part la possibilité de mettre en quarante.
Peut-être que je devrais tout simplement appuyer sur "supprimer la sélection" ?
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
c'est bon "supprimer la selection" =)
assure toi que tout est coché.
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Alors voici le rapport :

http://pjjoint.malekal.com
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
Le lien n'est pas bon.
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Effectivement je m'étais trompé, et je n'avais pas vu votre réponse!

Voici le lien :
https://pjjoint.malekal.com/files.php?id=20150412_u12p7f11b8x15
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
Si tu refais un scan Malwarebytes, ça revient ?
Tu peux vérifier ?
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Il n'y a pas d'infections détectées lorsque je fais un scan Malwarebytes, en revanche j'ai toujours la fenêtre "mes documents" qui s'ouvre toute seule, et encore un message que je reçois "RegSvr332 ; To register a module, you must provide a binary name etc."
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
ok, refais une analyse FRST et donne les rapports via pjjoint.
il doit juste rester la clef Run RegSrv
On va la virer, après cela, ça doit être bon.
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
Désinstalle Spybot,


Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

HKU\S-1-5-21-3363902407-660404453-229795418-1001\...\Run: [Uzjkmedia] => C:\Windows\System32\regsvr32.exe [116648 2014-03-30] (Google Inc.)

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
Comme ça non, je vois pas du tout le rapport entre EAP et ton dossier Mes documents qui s'ouvrent.
Mais si ça ne le fait pas en mode sans échec, ça doit quand même avoir un lie navec un programme. (EDIT surement : HP Wireless Assistant (HKLM\...\{1061DF04-CF33-40B0-8360-D07C9BBEB122}) (Version: 3.50.10.1 - Hewlett-Packard) ).

Si tu as un programme qui gère le Wifi désinstalle le pour voir.
Voire tente de désinstaller Antivir.
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Je n'utilise pas de logiciel wifi, maintenant j'ai remis le protocole en marche, et il n'y a de problème que lorsque je suis connecté à internet. Si je me déconnecte de ma box (je suis en wifi), il n'y a plus de problèmes.
Je ne sais pas vraiment ce que ça veut dire : (EDIT surement : HP Wireless Assistant (HKLM\...\{1061DF04-CF33-40B0-8360-D07C9BBEB122}) (Version: 3.50.10.1 - Hewlett-Packard) )
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Peut être que je devrais créer un nouveau sujet pour ce problème spécifique ?
Le problème apparait seulement lorsque la connexion internet fonctionne. Il n y a pas de problèmes si par exemple je suis connecté au réseau SFR wifi et que je n ai pas entré les identifiants pour que la connexion soit effective. Auriez vous une idée de ce que je pourrais faire ?
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
Non pas trop d'idée à part te redire ce que j'ai dit avant.
Tu peux créer un nouvel utilisateur et aller voir si ça fait pareil dessus ?
et désinstalle HP Wireless Assistant

Je ne pense pas que ce soit nécessaire de créer un nouveau sujet.
Messages postés
24
Date d'inscription
samedi 9 février 2013
Statut
Membre
Dernière intervention
25 juin 2016

Effectivement le problème est résolu après désinstallation de Avira, qu'est-ce que cela signifie?
Je vais réinstaller un antivirus, en auriez-vous un à me conseiller? J'ai cru lire que Panda Cloud n'était pas trop mal.
Merci pour tout !
Messages postés
179570
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
4 août 2020
21 673
mouais ..... bref =)

En gratuit Avast! en activant les LPIs : https://www.malekal.com/tutoriel-antivirus-avast/

Sinon en payant : NOD32, Kaspersky ou BitDefender.

~~


Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

Merci beaucoup, mon ordinateur fonctionne correctement maintenant, merci mille fois !