[RESOLU]Infections tenaces

[nardino]

Bonjour,

Tu peux désinstaller Antivir.

Une chose m'interroge :

Quelle est l'origine de ce dossier C:\dir

Peux-tu envoyer une saisie d'écran de son contenu ?

@+

[csamy]

Bonjour,

Tu peux désinstaller Antivir.

Une chose m'interroge :

Quelle est l'origine de ce dossier C:\dir

Peux-tu envoyer une saisie d'écran de son contenu ?

@+

 

 

Bonjour,

 

à l'intérieur :

 

"C:\dir\install\Document"

 

il n'y a pas de fichiers visibles dans aucun de ces répertoires (j'ai pris soin de faire apparaître les fichiers et dossiers cachés dans Windows)

 

cependant si je tente de faire une analyse de ce dossier en particulier, MSE, Antivir et MBAm analysent un certain "C:\dir\install\Document\Program File\svchost.exe" douteux, sans détecter de menace...

 

j'ai tenté de supprimer ce dossier à plusieurs reprises mais il revient immédiatement après.

 

 

EDIT : après un redémarrage j'ai inspecté le gestionnaire des tâches, et je vois que des "svchost.exe *32" sont dans la liste des tâches en cours d'exécution. Pourtant je dispose d'un OS 64bit, donc ces svchost x86 n'ont pas lieu d'être.

si je fais clic droit sur un "svchost.exe *32" puis Ouvrir l'emplacement du fichier, cela m'emmène à "C:/dir/install/Document/Program File" sans fichier visible dans l'explorateur Windows

 

voici une capture d'écran du gestionnaire de tâches : http://www.easy-upload.net/fichier.php?fichier=2010812164723

 

 

 

EDIT 2 : j'ai compressé ce dossier "dir" en archive .rar, puis effectué une analyse de l'archive sur VirusTotal, voici les résultats :

 

Antivirus results

AhnLab-V3 - 2010.08.12.00 - 2010.08.11 - -

AntiVir - 8.2.4.34 - 2010.08.12 - -

Antiy-AVL - 2.0.3.7 - 2010.08.11 - -

Authentium - 5.2.0.5 - 2010.08.12 - -

Avast - 4.8.1351.0 - 2010.08.12 - -

Avast5 - 5.0.332.0 - 2010.08.12 - -

AVG - 9.0.0.851 - 2010.08.12 - -

BitDefender - 7.2 - 2010.08.12 - Gen:Trojan.Heur.VP.zw1aaG58deni

CAT-QuickHeal - 11.00 - 2010.08.12 - -

ClamAV - 0.96.0.3-git - 2010.08.12 - PUA.Packed.Themida-1

Comodo - 5715 - 2010.08.12 - -

DrWeb - 5.0.2.03300 - 2010.08.12 - -

Emsisoft - 5.0.0.37 - 2010.08.12 - Trojan.Win32.Agent!IK

eSafe - 7.0.17.0 - 2010.08.12 - -

eTrust-Vet - 36.1.7785 - 2010.08.12 - -

F-Prot - 4.6.1.107 - 2010.08.12 - -

F-Secure - 9.0.15370.0 - 2010.08.12 - Gen:Trojan.Heur.VP.zw1aaG58deni

Fortinet - 4.1.143.0 - 2010.08.12 - -

GData - 21 - 2010.08.12 - Gen:Trojan.Heur.VP.zw1aaG58deni

Ikarus - T3.1.1.88.0 - 2010.08.12 - Trojan.Win32.Agent

Jiangmin - 13.0.900 - 2010.08.12 - -

Kaspersky - 7.0.0.125 - 2010.08.12 - -

McAfee - 5.400.0.1158 - 2010.08.12 - New Win32.g2

McAfee-GW-Edition - 2010.1 - 2010.08.12 - New Win32.g2

NOD32 - 5361 - 2010.08.12 - a variant of Win32/Injector.CFL

Norman - 6.05.11 - 2010.08.12 - Shark.gen1

nProtect - 2010-08-12.03 - 2010.08.12 - -

Panda - 10.0.2.7 - 2010.08.12 - -

PCTools - 7.0.3.5 - 2010.08.12 - -

Prevx - 3.0 - 2010.08.12 - High Risk Cloaked Malware

Rising - 22.60.03.04 - 2010.08.12 - -

Sophos - 4.56.0 - 2010.08.12 - Sus/ComPack-M

Sunbelt - 6722 - 2010.08.12 - -

SUPERAntiSpyware - 4.40.0.1006 - 2010.08.12 - -

Symantec - 20101.1.1.7 - 2010.08.12 - -

TheHacker - 6.5.2.1.343 - 2010.08.11 - -

TrendMicro - 9.120.0.1004 - 2010.08.12 - -

TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.12 - -

VBA32 - 3.12.14.0 - 2010.08.11 - -

ViRobot - 2010.8.9.3978 - 2010.08.12 - -

VirusBuster - 5.0.27.0 - 2010.08.12 - -

File info:

MD5: 74f1b7964f9dfbe2ba4c7b92a1a09304

SHA1: 3868e6fc2ae988d562e8750d997bd039233c4fb6

SHA256: 9445754665d47c8d3a404b79da9402cec5555a32896ae0615485332f4699ded3

File size: 1726737 bytes

Scan date: 2010-08-12 15:04:20 (UTC)

Modifié le 12 août 2010 par csamy

[nardino]

Bonjour,

 

Télécharge OTM de OldTimer

 

Enregistre-le sur le Bureau.

Double-clique sur OTM.exe pour lancer l'outil.

Note :

Sous Vista et 7, clic droit sur le fichier et Exécuter en tant qu'administrateur.

Copie toutes les lignes ci-dessous en citation par CTRL+C dans le presse-papier.

 

:files

C:\dir

 

:commands

[purity]

[emptytemp]

 

Dans OTM, place le curseur dans la la fenêtre "Paste Instructions for Items to be Moved" et tu cliques sur CTRL+V pour coller le contenu du presse-papier.

Clique sur le bouton MoveIt!, le rouge.

 

 

Ferme l'outil. Le pc va redémarrer

Poste le contenu du rapport C:\_OTM\MovedFiles\********_******.log

Les * représentent Mois/Jour/Année_Heure/Minutes/Secondes

 

@+

[csamy]

Bonsoir,

 

merci de votre aide, voici le rapport :

 

 

All processes killed

========== FILES ==========

C:\dir\install\Document\Program file folder moved successfully.

C:\dir\install\Document folder moved successfully.

C:\dir\install folder moved successfully.

C:\dir folder moved successfully.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Kami

->Temp folder emptied: 200260 bytes

->Temporary Internet Files folder emptied: 80203 bytes

->Java cache emptied: 51250 bytes

->Google Chrome cache emptied: 7945156 bytes

->Flash cache emptied: 31635 bytes

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 1069056 bytes

%systemroot%\System32 .tmp files removed: 166912 bytes

%systemroot%\System32 (64bit) .tmp files removed: 12288 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 529354 bytes

%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes

%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 751 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 10,00 mb

 

 

OTM by OldTimer - Version 3.1.15.0 log created on 08122010_183233

 

Files moved on Reboot...

C:\Users\Kami\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

File C:\Windows\temp\TMP00000063926461B0C9FC8C9F not found!

 

Registry entries deleted on Reboot...

[nardino]

Bonsoir,

Relance un scan complet Malwarebytes et poste son rapport après suppression.

Puis redémarre et refais un scan rapide.

@+

[csamy]

Bonsoir,

 

Voici le log du scan avant redémarrage :

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4422

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

12/08/2010 18:42:46

mbam-log-2010-08-12 (18-42-46).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 129962

Temps écoulé: 3 minute(s), 58 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 1

Valeur(s) du Registre infectée(s): 4

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{l7w3r7w4-uu4v-78fg-sf13-5k850liur2fl} (Generic.Bot.H) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hkcu (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\policies (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Trojan.Agent) -> Quarantined and deleted successfully.

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Users\Kami\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.

 

 

 

 

 

Et après redémarrage :

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4422

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

 

12/08/2010 18:49:49

mbam-log-2010-08-12 (18-49-49).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 129911

Temps écoulé: 4 minute(s), 18 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

 

MBAM ne signale plus rien, le dossier /dir a disparu, et les "svchost.exe *32" ne sont plus là non-plus.

 

 

Un grand merci !!

Modifié le 12 août 2010 par csamy

[nardino]

Bonsoir,

 

Nettoyage des outils

 

**Suppression USB-Fix**

Tu relances l'outil et tu choisis l'option 6 pour le désinstaller.

 

**Suppression OTM**

Tu lances OTM et tu cliques sur le bouton [CleanUp].

 

** Nettoyage quarantaine de MalwaresBytes**

Tu vas dans l'onglet quarantaine et tu vides celle-ci de tout son contenu.

 

**Création d'un point sain de restauration système**

Désactive la restauration système comme indiqué sur ce lien :

Désactiver la Restauration Système

Et réactive-la pour recréer automatiquement un point sain de toute infection.

 

Passe la question en résolu.

@+