Apocalyps32

[Flippy]

Bonjour à tous !

 

Je me permets de solliciter votre aide pour un problème qui n'existe pas (je commence fort, hein ? )

 

 

Mise en situation :

Je me balade tranquillement sur mon ordinateur qui fonctionne impeccablement bien, et je check les programmes qui se lancent au démarrage du PC, grâce à CCleaner.

Je tombe par hasard sur un programme en double : apocalyps32.exe

 

10 secondes de recherches sur Google : ça sent pas bon.

Quelques recherches plus tard, j'ai besoin de Hijackthis & cie pour me sortir de cet affaire. Me voila donc sur ce forum.

 

J'aimerais donc connaître la marche à suivre pour éradiquer ce virus / malware (rayer la mention inutile).

 

 

Pour résumer : mon PC va très bien, mais il y a un truc de mauvais dessus => C'est grave docteur ?

 

 

 

 

Merci pour le temps que vous m'accorderez,

 

@++

 

Flippy

 

 

 

 

 

PS : quelques informations sur le PC...

 

Windows 7 64bits formaté très récemment,

Avira Antivir.

Firefox comme navigateur

[Apollo]

Bonsoir,

 

C'est ce machin là? ThreatExpert Report: Mal/Behav-328, Mal/Dropper-G, Mal/Behav-053, Downloader.Delphi

 

C'est pas une bombe H, rassure-toi.

 

Prends le RSIT pour 64 Bits ci-après:

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT.
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

>>>Tu peux héberger les deux rapports de RSIT ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

@++

[Flippy]

Voila pour "info" : Cijoint.fr - Service gratuit de dépôt de fichiers

Voila pour "log" : Cijoint.fr - Service gratuit de dépôt de fichiers

 

En tout cas, merci de ton aide aussi rapide.

 

 

J'espère que je comprendrais un jour ce que vous pouvez détecter avec ces centaines de lignes....

 

@++

 

Flippy

[Apollo]

Re,

 

J'espère que je comprendrais un jour ce que vous pouvez détecter avec ces centaines de lignes....

Je me posais la même question il y a quelques années, mais si j'y suis arrivé, tu le peux aussi, mais cela demande beaucoup de sérieux et d'abnégation et aussi un certain sacrifice de son temps libre.

Mais aider ses semblables me semble être une bonne cause

 

Je comprends mal pourquoi Antivir n'a pas liquidé ton apocalypse là

Mais il y a une autre infection dont on s'occupera aussi.

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

http://oldtimer.geekstogo.com/OTM.exe

 

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  c:\users\germain\appdata\roaming\apocalyps32.exe
  
  :Services
  
  :Reg
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  "apocalyps32"=-
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]
  
  

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

 

 

----------------------

Après le reboot et le post du rapport, passe à ceci:

 

Si vous êtes sous Vista/seven:Désactiver provisoirement l'UAC

 

:arrow: Télécharge USBFix de El Desaparecido et C_XX et enregistre le sur ton bureau.

 

UsbFix

 

NB: Certains antivirus hurlent sur les processus de l'outil; c'est un faux-positif, ignorer les alertes ou désactiver provisoirement l'antivirus.

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Recherche et laisse l'outil travailler
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• Patiente le temps d'exécution du scan.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

@++

[Flippy]

OTM : Cijoint.fr - Service gratuit de dépôt de fichiers

USBfix : Cijoint.fr - Service gratuit de dépôt de fichiers

 

Voila pour les nouveaux rapports.

 

 

Encore merci pour ton aide !

[Apollo]

Bonjour,

 

Quand les rapports ne sont pas trop longs, il est préférable de les poster sur le forum pour garder des traces pour les visiteurs et membres qui cherchent une solution à un problème ressemblant, même si chaque procédure est personnalisée au cas par cas; je poste ton rapport USBFIX et te donne la suite à faire.

 

############################## | UsbFix 7.024 | [Recherche]

 

Utilisateur: Germain (Administrateur) # GERMAIN-PC [Micro-Star International GT627]

Mis à jour le 09/09/10 par El Desaparecido / C_XX

Lancé à 07:28:44 | 13/09/2010

Site Web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

Contact: FindyKill.Contact@gmail.com

 

CPU: Intel® Core2 Duo CPU P8600 @ 2.40GHz

CPU 2: Intel® Core2 Duo CPU P8600 @ 2.40GHz

Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #

Internet Explorer 8.0.7600.16385

 

Pare-feu Windows: Activé

RAM -> 4095 Mo

C:\ (%systemdrive%) -> Disque fixe # 222 Go (91 Go libre(s) - 41%) [] # NTFS

D:\ -> Disque fixe # 236 Go (236 Go libre(s) - 100%) [] # NTFS

E:\ -> CD-ROM

F:\ -> CD-ROM

 

################## | Éléments infectieux |

 

 

################## | Registre |

 

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\accicons.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clview.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cnfnot32.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dw20.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwtrig20.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excel.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excelcnv.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\graph.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\groove.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\infopath.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msaccess.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msohtmed.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosync.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoxmled.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspub.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msqry32.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstordb.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstore.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ois.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onelev.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenote.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenotem.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ose.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powerpnt.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanost.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanpst.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\selfcert.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setlang.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpreview.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordconv .exe

Présent! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wxp.exe

 

################## | Mountpoints2 |

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F |

[Apollo]

Re,

 

On passe à la désinfection:

 

• Si tu es sous XP, Double-clique sur USBFix.exe pour le lancer.
  Si tu es sous Vista, Clique droit sur USBFix.exe et choisis Exécuter en tant qu'administrateur.
   
  
• Clique sur Suppression et laisse travailler l'outil.
   
  
• Une fenêtre de te demandant de bancher tous les périphériques externes que tu as pu utiliser ces derniers jours (clés USB, lecteurs MP3, disques durs externes, etc ...) va apparaitre.
  Branche le matériel puis clique sur OK pour poursuivre.
   
  
• USBFix va continuer son exécution. Le bureau va disparaitre et ne sera plus accessible tout le temps du scan. Ne t'inquiète pas, c'est normal. Patiente le temps du nettoyage sans l'interrompre.
   
  
• A la fin, un rapport va être généré (C:/USBFix.txt). Copie-colle l'intégralité de son contenu dans ta prochaine réponse.
  

 

Réactiver l'UAC sur Vista/7!

--------------------------------------------------------------

 

Vaccination: Lance USBFIX et clique sur Vacciner

 

@++

[Flippy]

############################## | UsbFix 7.024 | [suppression]

 

Utilisateur: Germain (Administrateur) # GERMAIN-PC [Micro-Star International GT627]

Mis à jour le 09/09/10 par El Desaparecido / C_XX

Lancé à 21:03:06 | 13/09/2010

Site Web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

Contact: FindyKill.Contact@gmail.com

 

CPU: Intel® Core2 Duo CPU P8600 @ 2.40GHz

CPU 2: Intel® Core2 Duo CPU P8600 @ 2.40GHz

Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #

Internet Explorer 8.0.7600.16385

 

Pare-feu Windows: Activé

RAM -> 4095 Mo

C:\ (%systemdrive%) -> Disque fixe # 222 Go (91 Go libre(s) - 41%) [] # NTFS

D:\ -> Disque fixe # 236 Go (236 Go libre(s) - 100%) [] # NTFS

E:\ -> CD-ROM

F:\ -> CD-ROM

 

################## | Éléments infectieux |

 

 

################## | Registre |

 

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\accicons.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\clview.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cnfnot32.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dw20.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dwtrig20.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excel.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\excelcnv.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\graph.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\groove.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\infopath.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msaccess.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msohtmed.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msosync.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msoxmled.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspub.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msqry32.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstordb.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mstore.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ois.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onelev.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenote.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\onenotem.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ose.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powerpnt.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanost.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\scanpst.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\selfcert.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setlang.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vpreview.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winword.exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wordconv .exe

Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wxp.exe

 

################## | Mountpoints2 |

 

 

################## | Listing |

 

[13/09/2010 - 21:04:15 | SHD ] C:\$Recycle.Bin

[27/08/2010 - 17:01:34 | SHD ] C:\Boot

[14/07/2009 - 03:38:58 | RASH | 383562] C:\bootmgr

[27/08/2010 - 17:01:36 | RASH | 8192] C:\BOOTSECT.BAK

[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings

[13/09/2010 - 20:50:17 | ASH | 3220561920] C:\hiberfil.sys

[27/08/2010 - 17:14:11 | D ] C:\Intel

[28/08/2010 - 19:15:13 | RHD ] C:\MSOCache

[27/08/2010 - 16:19:56 | D ] C:\NVIDIA

[13/09/2010 - 20:50:20 | ASH | 4294082560] C:\pagefile.sys

[14/07/2009 - 05:20:08 | D ] C:\PerfLogs

[12/09/2010 - 23:11:29 | RD ] C:\Program Files

[12/09/2010 - 19:52:57 | RD ] C:\Program Files (x86)

[12/09/2010 - 19:58:27 | HD ] C:\ProgramData

[27/08/2010 - 16:10:50 | SHD ] C:\Recovery

[12/09/2010 - 23:11:52 | D ] C:\rsit

[12/09/2010 - 19:52:47 | SHD ] C:\System Volume Information

[13/09/2010 - 21:04:15 | D ] C:\UsbFix

[13/09/2010 - 21:03:10 | A | 5134] C:\UsbFix.txt

[27/08/2010 - 16:11:00 | RD ] C:\Users

[12/09/2010 - 19:58:27 | D ] C:\Windows

[12/09/2010 - 19:57:10 | D ] C:\_OTM

[13/09/2010 - 21:04:15 | SHD ] D:\$RECYCLE.BIN

[31/08/2010 - 23:49:43 | D ] D:\f3c75ebb340b83b6d93a9606

[28/08/2010 - 16:14:24 | SHD ] D:\System Volume Information

 

################## | Vaccin |

 

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

 

################## | E.O.F |

 

 

 

 

 

 

Et voila !

 

Je sais pas si je dois être content, parce que le Apocalyps32 est encore la, mais bon. Peut-être reste t-il encore d'autres nettoyage ?