[résolu] probléme de cheval de troie

[Falkra]

Cain & Abel, pas très clean tout ça...

Tu as utilisé combofix, mais il n'est pas désinstallé, il faut faire super gaffe avec CF... on le dit beaucoup.

Oublie Thecleaner, (et Piratrax, mais ça date).

 

Voici un nouveau script pour OtMoveIT (même topo)

 

:processes
explorer.exe 
:files
E:\CoFix
E:\32788R22FWJFW.1.tmp
E:\32788R22FWJFW.0.tmp
E:\WINDOWS\system32\tmp.txt

:reg 
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}]

:services
PSEXESVC

:commands
[start explorer]

[flowstylz]

Cain & Abel est légal, je sais qu'il peut être utilisé à de mauvaises fins!

je voulais voir à quoi ressemblait le soft et ce qu'il pouvait faire!

Cain fonctionne sous réseau local et je ne suis pas en réseau

 

voilà le rapport!

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

E:\CoFix moved successfully.

E:\32788R22FWJFW.1.tmp\N_ moved successfully.

E:\32788R22FWJFW.1.tmp\License moved successfully.

E:\32788R22FWJFW.1.tmp moved successfully.

E:\32788R22FWJFW.0.tmp\N_ moved successfully.

E:\32788R22FWJFW.0.tmp\License moved successfully.

E:\32788R22FWJFW.0.tmp moved successfully.

E:\WINDOWS\system32\tmp.txt moved successfully.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\{1a3e09be-1e45-494b-9174-d7385b45bbf5}\\ deleted successfully.

========== SERVICES/DRIVERS ==========

 

Service\Driver PSEXESVC deleted successfully.

========== COMMANDS ==========

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 04232009_150754

 

merci pour ton aide

[Falkra]

Plus de fichiers love, en vue ?

[flowstylz]

j'ai refait une analyse en ligne avc bitdefender et les seuls fichiers love.exe qu'il me trouve sont dans ot move it ce qui me semble normal je pense!

 

par contre j'ai remarqué que amounmain.exe ne tourner plus dans les processus!

 

mais bitdefender en ligne l'a encore détecté dans system32

 

voila merci beaucoup pour ton aide j'ai essayer de me débrouiller par moi même pour l'enlever mais ça a été plus compliqué que je pensais!

 

maintenant je peux restaurer la resto système?

[Falkra]

j'ai refait une analyse en ligne avc bitdefender et les seuls fichiers love.exe qu'il me trouve sont dans ot move it ce qui me semble normal je pense!

Tout à fait.

 

maintenant je peux restaurer la resto système?

Il vaut mieux attendre la fin de désinfection pour réactiver la restauration système.

 

Attention, on trouve les deux noms parfois :

E:\WINDOWS\system32\Amoumain.exe

E:\WINDOWS\system32\Amounmain.exe

 

Envoie-les à virustotal, les deux, si windows les trouve (tu peux copier coller la ligne dans le boite de dialogue parcourir de VT).

 

De toute façon, BitDefenr n'est pas un modèle ni une référence, loin de là !

[flowstylz]

j'ai refait une analyse et je me suis aperçu que les fichiers love.exe sont de retour

 

C:\Love.exe

 

Infecté par: Gen:Trojan.Heur.2011EECBCB

 

C:\RECYCLER\S-1-5-21-1614895754-343818398-725345543-1006\Dc1.exe

 

 

Infecté par: Gen:Trojan.Heur.2011EECBCB

 

E:\Love.exe

 

 

Infecté par: Gen:Trojan.Heur.2011EECBCB

 

E:\WINDOWS\system32\Amoumain.exe

 

 

Infecté par: Gen:Trojan.Heur.2011EECBCB

 

E:\WINDOWS\system32\Love.exe

 

 

Infecté par: Gen:Trojan.Heur.2011EECBCB

 

Je n'ai pas trouvé amoumain.exe dans system32

le seul endroit ou je l'ai trouvé c'est dans :

 

E:\WINDOWS\Prefetch

 

je me demande si ce n'est pas en tapant le chemin

E:\WINDOWS\system32\Amoumain.exe

 

qui a fait revenir les love.exe

 

en tout cas je n'ai pas et je n'ai jamais eu de souris sans fil donc c'est un processus suspect

 

merci pour ton aide

[Falkra]

On le vire. Voici un nouveau script pour OtMoveIt

 

:processes
explorer.exe 
:files
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
C:\Love.exe
C:\RECYCLER\S-1-5-21-1614895754-343818398-725345543-1006\Dc1.exe
E:\Love.exe
E:\WINDOWS\system32\Amoumain.exe
E:\WINDOWS\system32\Love.exe
E:\WINDOWS\Prefetch\Amoumain.pf
E:\WINDOWS\Prefetch\love.pf
:commands
[start explorer]

[flowstylz]

bonjour voici le rapport OTMoveIt

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== FILES ==========

C:\autorun.inf moved successfully.

File/Folder D:\autorun.inf not found.

File/Folder E:\autorun.inf not found.

C:\Love.exe moved successfully.

File/Folder C:\RECYCLER\S-1-5-21-1614895754-343818398-725345543-1006\Dc1.exe not found.

E:\Love.exe moved successfully.

E:\WINDOWS\system32\Amoumain.exe moved successfully.

E:\WINDOWS\system32\Love.exe moved successfully.

File/Folder E:\WINDOWS\Prefetch\Amoumain.pf not found.

File/Folder E:\WINDOWS\Prefetch\love.pf not found.

========== COMMANDS ==========

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created

[Falkra]

Parfait.

 

Suis la procédure décrite ici pour protéger tes supports amovibles (utilise USBFix, pas FlashDisinfector) :

http://forum.zebulon.fr/blog/gof/index.php?showentry=689

[flowstylz]

bonjour

 

voilà j'ai tout protéger! je fais quoi maintenant?