Win32/Kovter.C! trojan impossible à supprimer Résolu/Fermé

Question

Bonjour à tous,

je fais appel à la communauté pour suprimer une bonne fois pour toute ce trojan
help!

petit historique :

alors voilà mon problème j'ai installé un virus qui m'envoi : HELP_DECRYPT.HTML
il avait désactivé mon anti virus Microsoft essentials sur win 7. puis crypté de nombreux fichier. je l'ai supprimé à l'aide de trojan remover. qui m'a redonné accès à mon anti virus. après plusieurs scans tt a été supprimé sauf kovter.C! qui revient après suppression.

problème :

Kovter.C! est un trojan qui pirate les données personnelles j'ai un peu peur.
j'ai utilisé Microsoft Safety Scanner et adwcleaner qui me le trouve et supprime à chaque fois.
Mais malheureusement pas entièrement car celui ci réapparait à chaque scan rapide ou complet avec tout les logiciels cité dans le texte. C'est rageant je ne sais plus quoi faire ?

Aidez moi svp :'(

merci

Alberto


ps : et d'ailleurs microsoft essentials security ne se lance plus au démarrage


Configuration: Windows 7 / Firefox 40.0

Malekal_morte- · Answer

Salut,

Tu as été infecté par un Ransomware chiffreurs de fichiers.

Ces derniers vont essentiellement par des pièces jointes malicieux dans des emails ou des Exploits WEB.

Il n'y a pas vraiment de solution pour récupérer les documents.

Il faudra vérifier qu'aucun malware ne soit actif puis changer tous tes mots de passe. 

Pour désinfecter l'ordinateur :


Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

alberto2012 · Answer

merci pour ta reponse,

voici les rapports :

FRST.txt :

https://pjjoint.malekal.com/files.php?id=FRST_20150922_c5j9t9j7b9

addition.txy : 

https://pjjoint.malekal.com/files.php?id=20150922_t15w7w5f14e6

shortcut.txt

https://pjjoint.malekal.com/files.php?id=20150922_b9t5z8x5s11

Malekal_morte- · Answer

T'as du Trojan.Gootkit aussi... c'est lui ça dans tes programmes : bl (x32 Version: 1.0.0 - Your Company Name) Hidden Voici la correction à effectuer avec FRST. Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK. Copie/colle dedans ce qui suit : HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [Enktion] => C:\Users\MediaMonster\AppData\Local\Enktion mp86A1.exe [176128 2015-09-22] (CABALLERO TONDO 2015) HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [Anjfworks] => regsvr32.exe C:\Users\MediaMonster\AppData\Local\Anjfworks\SEtrace.dll <===== ATTENTION HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [Ofbhics] => C:\Windows\SysWOW64 egsvr32.exe C:\Users\MediaMonster\AppData\Local\Enktion\wbwridsg.dll HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [**a65a6f3c<*>] => mshta javascript:unvs2Hj=k;X1g6=new%20ActiveXObject(WScript.Shell);DsTyE8DUZ=otI;P0b0Sn=X1g6.RegRead(HKCU\software\fcaecbdcb3\0c87185c);OwH2XMj=m;eval(P0b0Sn);SY3Uvrbq=NBel63GCO; <===== ATTENTION (Nom de valeur avec caractères invalides) 2015-09-22 13:24 - 2015-09-22 16:07 - 00000000 ____D C:\Users\MediaMonster\AppData\Local\Anjfworks 2015-09-22 13:23 - 2015-09-22 16:07 - 00000000 ____D C:\Users\MediaMonster\AppData\Local\Enktion 2015-09-22 16:07 - 2014-05-15 04:07 - 00000000 ___HD C:\Users\MediaMonster\AppData\Local\uw9krs1y4dqyEdW Une fois, le texte coller dans le bloc-note. Menu Fichier puis Enregistrer sous. A gauche, place toi sur le bureau. Dans le champs en bas, nom du fichier mets : fixlist.txt Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau. Relance FRST et clic sur le bouton Corriger / Fix Selon comment un redémarrage est nécessaire (pas obligatoire). Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. Redémarre l'ordinateur Ensuite Ouvre Mon Ordinateur puis le disque C Ouvre le dossier FRST. Dedans se trouve, le dossier Quarantine Fais un clic droit dessus puis envoyer vers le dossier compressé. Envoie le zip sur http://upload.malekal.com Like the angel you are, you laugh creating a lightness in my chest, Your eyes they penetrate me, (Your answer's always 'maybe') That's when I got up and left

alberto2012 · Answer

aie!

voici le fixlog.txt :

https://pjjoint.malekal.com/files.php?id=20150922_z15v14t8r13r11

je redemarre et je reviens

Malekal_morte- · Answer

ok =)

et du Win32/Boaxxe aussi
voyons si y a sathurbot avec =)

Fais un scan en ligne NOD32
Enregistre le rapport 
Envoie le sur http://pjjoint.malekal.com
Donne le lien ici.
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

alberto2012 · Answer

L'upload a r?ussi !
voilà j'ai envoyer le dossier quarantine.zip

et l'antivirus ne detecte plus de trojan

mais dois je supprimer ce dossier quarantine et FRST ?
dois je utiliser RogueKiller. ?

merci encore ouf!

alberto2012 · Answer

j'ai utilisé panda cloud cleaner et il m'a détecté des virus et une suppression mais sans rapport. je viens de comprendre où été nod32
du coup je recommence avec lui ...

alberto2012 · Answer

Désolé pour le retard :

voici le rapport donné par nod32
https://pjjoint.malekal.com/files.php?id=20150923_k14c6p11h15i13

Malekal_morte- · Answer

ok, voici la suite :

 Malwarebytes (temps : environ 40min de scan):
==================================================
Télécharge et installe Malwarebyte.
Il existe une version gratuite qui permet de nettoyer son ordinateur (décoche bien la proposition d'essai de la version Premium à la fin de l'installation) :

 Tutorial Malwarebytes version gratuite
 Tutorial Malwarebytes version payante

Mets Malwarebytes à  jour puis lance un examen. 

A la fin du scan, clic sur "Supprimer Selection" en bas à  gauche. 
Redémarre l'ordinateur si besoin. 
Après redémarrage, relance Malwarebytes. 
Vas chercher le rapport dans l'onglet Historique. 
A gauche Journal d'analyse. 
Doube-clic sur l'examen dans la liste. 
Puis en bas Copier dans le presse papier
Vas sur http://pjjoint.malekal.com et en bas, clic droit / coller pour coller le rapport du scan Malwarebytes.
Clic sur envoyer.
Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

alberto2012 · Answer

bonjour,
une nuit est passée héhé

voici le rapport : 

https://pjjoint.malekal.com/files.php?id=20150923_p10v13y10d7b11

j'ai plusieurs fenêtre qui se lancent au démarrage  qui me disent que certains modules sont introuvable et certain programmes ne peuvent se lancer. s'agit il du virus en lui meme ou du systeme de mon ordinateur?

merci encore pour ton aide je ne pensais pas que c'était aussi grave :/

Malekal_morte- · Answer

voila Sathurbot =)

Trojan.Sathurbot, C:\ProgramData\Microsoft\Performance\Monitor, En quarantaine, [143a5bd8d4b7be78c740fc098f7404fc], 
Trojan.Sathurbot, C:\ProgramData\Microsoft\Performance\Monitor\SecurityCache, En quarantaine, [143a5bd8d4b7be78c740fc098f7404fc],   


Change tous tes mots de passe,

refais un scan FRST et donne les rapports via pjjoint.

alberto2012 · Answer

voila le fichier FRST:

https://pjjoint.malekal.com/files.php?id=FRST_20150923_u9s514q7z9

addition:

https://pjjoint.malekal.com/files.php?id=20150923_d7t12y8g1213

et shotcut:

https://pjjoint.malekal.com/files.php?id=20150923_h13u5t7m8i5

Malekal_morte- · Answer

Je te conseille de désinstaller Spybot, pas super efficace, selon moi.
Voir ce sujet : Adwares : Antispyware comment ne pas désinfecter son PC


Voici la correction à  effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [Ofbhics] => C:\Windows\SysWOW64\regsvr32.exe C:\Users\MediaMonster\AppData\Local\Enktion\hcwWIweb24.dll  
 HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [Anjfworks] => regsvr32.exe C:\Users\MediaMonster\AppData\Local\Anjfworks\hcwWIweb24.dll <===== ATTENTION  
Task: {13563931-A277-4C45-A243-80284B09D36A} - System32\Tasks\{0C499715-E353-4A91-B5DB-AF4C10916972} => pcalua.exe -a "E:\programme sa mere\WinZip Pro v19.0 + Serials [ChattChitto RG]\WinZip Pro v19.0 + Serials [ChattChitto RG].exe" -d "E:\programme sa mere\WinZip Pro v19.0 + Serials [ChattChitto RG]"

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Corriger / Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

alberto2012 · Answer

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:23-09-2015
Exécuté par MediaMonster (2015-09-23 15:01:39) Run:2
Exécuté depuis C:\Users\MediaMonster\Desktop
Profils chargés: MediaMonster & UpdatusUser (Profils disponibles: MediaMonster & UpdatusUser)
Mode d'amorçage: Normal
==============================================

fixlist contenu:


HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [Ofbhics] => C:\Windows\SysWOW64egsvr32.exe C:\Users\MediaMonster\AppData\Local\Enktion\hcwWIweb24.dll
HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\...\Run: [Anjfworks] => regsvr32.exe C:\Users\MediaMonster\AppData\Local\Anjfworks\hcwWIweb24.dll <===== ATTENTION
Task: {13563931-A277-4C45-A243-80284B09D36A} - System32\Tasks\{0C499715-E353-4A91-B5DB-AF4C10916972} => pcalua.exe -a "E:\programme sa mere\WinZip Pro v19.0 + Serials [ChattChitto RG]\WinZip Pro v19.0 + Serials [ChattChitto RG].exe" -d "E:\programme sa mere\WinZip Pro v19.0 + Serials [ChattChitto RG]" 



HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\Software\Microsoft\Windows\CurrentVersion\Run\Ofbhics => valeur supprimé(es) avec succès
HKU\S-1-5-21-2294536849-3913069294-1569050174-1000\Software\Microsoft\Windows\CurrentVersion\Run\Anjfworks => valeur supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{13563931-A277-4C45-A243-80284B09D36A}" => clé supprimé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{13563931-A277-4C45-A243-80284B09D36A}" => clé supprimé(es) avec succès
C:\Windows\System32\Tasks\{0C499715-E353-4A91-B5DB-AF4C10916972} => déplacé(es) avec succès
"HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\{0C499715-E353-4A91-B5DB-AF4C10916972}" => clé supprimé(es) avec succès
 Fin de Fixlog 15:01:40

alberto2012 · Answer

j'ai toujours un message lorsque je demarre mon ordinateur :

et

alberto2012 · Answer

trop bien ca a marché!
c'est fini?
je peux desinstaller Frst et autre scanner?
le fichier FRST dans mon disque local C: egalement?

Malekal_morte- · Answer

Je pense que oui, fais des scans malwarebytes ces prochains jours.
Change bien tous tes mots de passe.



Sécurise ton PC - surtout désactive bien java de tes navigateurs WEB !

Important - ton infection est venue par un exploit sur site web :   

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à  la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à  jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à  ton insu.  
Le fait de ne pas avoir des logiciels à  jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.  
Exemple avec : Exploit Java  

Il faut donc impérativement maintenir tes logiciels à  jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à  jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à  jour tes programmes notamment Java/Adobe Reader et Flash : 
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite     
https://forum.malekal.com/viewtopic.php?t=15960&start=  

Désactive Java de tes navigateurs WEB  : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à  tes amis ! 

~~


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

alberto2012 · Answer

merci merci grand maitre !
c'est vraiment gentil à toi ^^
vive malekal vive internet !
comment ca marche c'est super youhoo !

alberto2012 · Answer

Salut,

J'ai encore quelques spam sur mon navigateur firefox.
il me redirige sur yahoo ou autre navigateur inconnu alors que je suis sur google puis qd je reviens à la page precedente il m'envoi à la destination d'origine.

j'espere que t'es encore là, si t'as une idée?

merci

Win32/Kovter.C! trojan impossible à supprimer

19 réponses

Fin de Fixlog 15:01:40

Discussions similaires