verification pc apres infection backdoor Résolu/Fermé

Question

Bonjour, 
j'ai chopé un virus par un petit malin sur un tchat . apres fermeture du navigateur mon pc a ramé comme un malade et a redemaré par reflex j'ai directement coupé ma connaixion reenitialiser mon adresse ip puis j'ai demarrer en mode sans eche netooyé mes cache puis lancé une analyse avec mbam j'ai eu 2 backdoor et 4 trojan que j'ai supprimé ensuite j'ai installé esetnod32 l'analyse a planté et un ecran bleu s'est affiché "reparation system" apres reparation je refait un scan avec nod32 nickel puis mbam c'est nickel mais comment savoir si c'est pas des faux positifs.
pouvez vous m'aider merci 

Configuration: Windows 7 / Chrome 48.0.2564.103

Malekal_morte- · Answer

Salut,

Si tu as le lien de la Backdoor, je suis preneur =)

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Malekal_morte- · Answer

Le PC est infecté, notamment par Trojan Kovter (Malware FileLess).

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

 HKLM\...\Policies\Explorer\Run: [2060045610] => C:\ProgramData\msptz.exe [83707008 2015-06-15] ()   HKU\S-1-5-21-734002382-1877259296-3802817155-1000\...\Run: [{83B55E31-AF6B-447C-82D9-4C232ECB3B46}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\CWWGYF').KUJWQZKJEUJC))); 
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


puis:


MalwareBytes ( durée : environ 40min de scan ):
==================================================
Télécharge et installe MBAM. La version gratuite permet de nettoyer ( décoche bien la proposition d'essai de la version Premium à la fin de l'installation ) :

 Tutoriel MBAM version gratuite
 Tutoriel MBAM version payante

Mettre MBAM à jour puis lancer un examen.
A la fin du scan, clique sur "Supprimer Sélection" en bas à gauche. 
Redémarrer l'ordinateur si nécessaire puis relancer Malwarebytes.
Vas chercher le rapport dans l'onglet "Historique".

A gauche "Journal d'analyse", double-clique sur l'examen dans la liste. Puis en bas "Copier dans le presse papier", va sur http://pjjoint.malekal.com/, clique droit "Coller" pour coller le contenu du rapport du scan. Clique sur "Envoyer". Dans un nouveau message ici en réponse, donne le lien pjjoint afin de pouvoir consulter le rapport.

Malekal_morte- · Answer

Encore là, Etonnant que malwarebytes ne le choppe.

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CloseProcesses: HKU\S-1-5-21-734002382-1877259296-3802817155-1000\...\Run: [{83B55E31-AF6B-447C-82D9-4C232ECB3B46}] => powershell.exe -noprofile -windowstyle hidden -executionpolicy bypass iex ([Text.Encoding]::ASCII.GetString([Convert]::FromBase64String((gp 'HKCU:\Software\Classes\CWWGYF').KUJWQZKJEUJC))); reg: reg delete "HKCU:\Software\Classes\CWWGYF"Reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.



Refais un scan FRST et donne les rapports via pjjoint. 
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Malekal_morte- · Answer

ok ça semble bon,
tu peux refaire un scan FRST dans la soirée.

Entre temps, je te conseille de changer tous tes mots de passe.
Fais aussi un scan Malwarebytes demain en mettant à jour les définitions avant.

Malekal_morte- · Answer

ca semble bon,

fais un scan dans le WE avec Malwarebytes
change tous tes mots de passe en attenten.

Quelques conseils : 

Pour tenter de prévenir les sites malicieux, tu peux installer Blockulicious.

Pour ne plus te faire avoir. 
A lire - Programmes parasites / PUPs : Dossier Adwares/PUPs : programmes indésirables et parasites
(Surtout active les détections LPIs pour détecter les programmes parasites et publicitaires)


Renforce la sécurité de ton Windows : Comment sécuriser mon Windows

Verification pc apres infection backdoor

5 réponses