Infection Bamital

Cette infection est très tenace, et détourne votre navigation Internet !

Elle infecte des fichiers systèmes dont :

• C:\Windows\explorer.exe
• C:\Windows\system32\winlogon.exe
• C:\Windows\system32\wininit.exe

Ces fichiers ne doivent pas être supprimés car votre ordinateur ne pourrait redémarrer.
Il faut demander de l'aide sur le forum de sécurité du site afin que vous soyez aidés dans la désinfection de votre PC.

Pour confirmer l'infection et accélérer la désinfection

Seule la première méthode sera compréhensible par un néophyte, les deux autres méthodes sont à faire et à poster sur la discussion du forum de sécurité du site

Analyses sur VirusTotal

Analysez les 3 fichiers cités précédemment sur le site VirusTotal.
Conservez les rapports : ils vous seront demandés sur le forum ou seront pertinents à donner pour vous aider.

Si VirusTotal ne fonctionne pas, rendez-vous sur les sites alternatifs suivants :
VirusScan ou http://scanner.virus.org/.


Exemples de rapport VirusTotal mettant en évidence une infection :

File name: explorer.exe        
Submission date: 2010-11-30 17:32:36 (UTC)        
Current status: queued (#8) queued (#8) analysing finished        
Result: 24/ 43 (55.8%)        
VT Community -        
Compact Print results Antivirus Version Last Update Result        
Avast 4.8.1351.0 2010.11.30 Win32:Bamital-AO        
Avast5 5.0.677.0 2010.11.30 Win32:Bamital-AO        
AVG 9.0.0.851 2010.11.30 Win32/Patched        
BitDefender 7.2 2010.11.30 Trojan.Patched.GR        
CAT-QuickHeal 11.00 2010.11.30 Trojan.Patched.JW        
Command 5.2.11.5 2010.11.30 W32/Bamital.F        
Comodo 6904 2010.11.30 TrojWare.Win32.Patched.kl        
DrWeb 5.0.2.03300 2010.11.30 Win32.Dat.14        
eTrust-Vet 36.1.8008 2010.11.30 Win32/Bamital.AP        
F-Prot 4.6.2.117 2010.11.30 W32/Bamital.F        
F-Secure 9.0.16160.0 2010.11.30 Trojan.Patched.GR        
Fortinet 4.2.254.0 2010.11.30 W32/Pached.KL!tr        
GData 21 2010.11.30 Win32:Bamital-AO s        
Kaspersky 7.0.0.125 2010.11.30 Trojan.Win32.Patched.kl        
Microsoft 1.6402 2010.11.30 Virus:Win32/Bamital.I        
NOD32 5661 2010.11.30 Win32/Bamital.EV        
nProtect 2010-11-30.01 2010.11.30 Trojan.Patched.GR        
Panda 10.0.2.7 2010.11.30 W32/Patched.AC        
PCTools 7.0.3.5 2010.11.30 Trojan.Bamital        
Sophos 4.60.0 2010.11.30 Troj/Patched-O        
SUPERAntiSpyware 4.40.0.1006 2010.11.30 -        
Symantec 20101.2.0.161 2010.11.30 Trojan.Bamital!inf        
TrendMicro 9.120.0.1004 2010.11.30 PE_PATCHED.SMC        
TrendMicro-HouseCall 9.120.0.1004 2010.11.30 PE_PATCHED.SMC        
MD5 : fb7c3e1fb0e273f8a041ee0af27be807        
SHA1 : 312712e4574a6bc039e89d8ac23eaa32ed371de3        
SHA256: f47847cc247396cb9c35fdad409c6e4016e34544207b53961ecf5dbb617b8982

ZHPDIAG

Téléchargez la dernière version de ZHPDiag (de Nicolas Coolman).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

(Il s'agit d'un outil de diagnostic)

Double-cliquez sur le fichier d'installation, puis installez le avec les paramètres par défaut (N'oubliez pas de cocher "Créer une icône sur le bureau" lors de l'installation)

Lancez ZHPDiag en double cliquant sur l'icône présente sur votre bureau (Clique droit -> Executer en tant qu'administrateur sous Vista ou Windows 7).

Cliquez sur la loupe en haut à gauche, puis laissez l'outil scanner l'ordinateur.

Une fois l'analyse terminée, cliquez sur l'icône en forme de disquette et enregistrez le fichier sur votre bureau et conservez le il vous sera utile sur le forum pour un "helpeur" confirmé. Il sera analysé et
permettra d'afficher les fichiers infectieux.


Rendez vous sur le site CJoint pour héberger le rapport sur un site tiers. Cela permettra de faire en sorte que le rapport soit facilement lisible sur le forum (dans le cas contraire, il sera tronqué).

Cliquez sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionnez le rapport ZHPdiag.txt qui se trouve sur votre bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien donné par le site dans votre prochain message

ZHPSearch

Ce logiciel est intégré à ZHPDiag présenté au dessus, pour le lancer, il suffit d'ouvrir ZHPDIAG, puis de cliquer sur les jumelles ( = Zhpsearch)
Ensuite
1) Sélectionnez "Trojan.Batimal" dans la liste déroulante située en bas à droite
2) Cliquez sur le bouton "Loupe" pour lancer la recherche
3) En fin de recherche, cliquez sur le bouton "Afficher le rapport"
4) Postez le rapport

Exemples de rapports générés :

Rapport de ZHPSearch 1.23.09 par Nicolas Coolman, Update du 27/11/2010        
Run by patrice d at 01/12/2010 16:18:50        
Windows XP Professional Service Pack 3 (Build 2600)        

---\\ Elément(s) de recherche        
- Trojan.Batimal        

---\\ Liste des Fichiers & Dossiers:        
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\explorer.exe [1037824] => Fichier inconnu        
[MD5.C3FD6FD5C67D91455C246C2A703D7280] 30/11/2010 23:47:50 | ---A- | -- C:\Windows\Prefetch\EXPLORER.EXE-082F38A9.pf [73992]        
[MD5.FB7C3E1FB0E273F8A041EE0AF27BE807] - (.Microsoft Corporation.) 03/07/2008 17:16:53 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824] => Fichier inconnu       
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [513536] => Fichier inconnu        
[MD5.E6F19E5CF57B7FA9DEBEBC3BBF4F3C6A] - (.Microsoft Corporation.) 02/04/2009 16:17:53 | ---A- | -- C:\Windows\system32\winlogon.exe [513536] => Fichier inconnu 

Dans cet exemple, les fichiers sont notés comme inconnus donc à vérifier. S'il est noté Fichiers sains pour tous c'est qu'il n'y a pas d'infection (voir l'exemple ci dessous) ; et bien sûr s'il est noté fichier infecté c'est que l'infection est présente.

Rapport de ZHPSearch 1.23.09 par Nicolas Coolman, Update du 27/11/2010
Run by patrice d at 02/12/2010 16:31:19
Windows XP Professional Service Pack 3 (Build 2600)

---\\ Elément(s) de recherche
- Trojan.Batimal

---\\ Liste des Fichiers & Dossiers:
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ---A- | -- C:\Windows\ERDNT\cache\explorer.exe [1037824] => Fichier sain
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ----- | -- C:\Windows\explorer.exe [1037824] => Fichier sain
[MD5.F2317622D29F9FF0F88AEECD5F60F0DD] - (.Microsoft Corporation.) 01/12/2010 21:49:37 | ---A- | -- C:\Windows\system32\dllcache\explorer.exe [1037824] => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ---A- | -- C:\Windows\ERDNT\cache\winlogon.exe [512000] => Fichier sain
[MD5.DD73D6B9F6B4CB630CF35B438B540174] - (.Microsoft Corporation.) 01/12/2010 21:49:46 | ---A- | -- C:\Windows\system32\dllcache\winlogon.exe [512000] => Fichier sain

Désinfection de l'ordinateur

Cette infection étant très complexe il faut demander de l'aide sur le forum de sécurité du site

Exemples de logiciels permettant la désinfection

• Combofix : ce logiciel permet parfois une désinfection complète mais n'est pas à utiliser à la légère ...

Téléchargement: https://download.bleepingcomputer.com/sUBs/ComboFix.exe
Tutoriel: https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

• OTLPE
• Console de récupération

Pour plus d'informations

Voir le site de malekal: https://forum.malekal.com/viewtopic.php?t=28779&start=

• https://www.trellix.com/en-us/threat-center.html
• https://www.broadcom.com/support/security-center/detected-writeup?docid=2010-070108-5941-99&tabid=3
• https://www.microsoft.com/en-us/wdsi/threats/threat-search?query=Trojan%3AWin32%2FCaller.A
• https://www.eset.com/?lng=en
• https://www.pandasecurity.com/en/security-info/?idVirus=223647