[Résolu] Katusha.BN

[jurassic herve]

Bonjour à tous.

Après de multiples apparitions de pages non souhaitées sur mon navigateur, j'ai fait une analyse en ligne panda et voici le rapport.

Merci de me donner la marche à suivre pour l'éliminer de mon système.

D'avance merci pour le coup de main.

Hervé

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2011-10-13 22:06:16

PROTECTIONS: 1

MALWARE: 3

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Windows Defender Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No c:\users\aubert\appdata\roaming\microsoft\windows\cookies\c8ncdbaz.txt

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\common files\arcsoft\connection service\bin\acservice.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\bonjour\mdnsresponder.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\windows\system32\atieclxx.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\windows\system32\atiesrxx.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\common files\microsoft shared\windows live\wlidsvc.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\google\update\googleupdate.exe

08558814 W32/Katusha.BN Virus Yes 1 Yes No c:\program files\microsoft\search enhancement pack\seaport\seaport.exe

08953789 Trj/ZAccess.B Virus/Trojan No 0 Yes No c:\windows\685236862:2166171863.exe

08953789 Trj/ZAccess.B Virus/Trojan Yes 0 Yes No c:\windows\685236862:2166171863.exe

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Modifié le 21 octobre 2011 par jurassic herve

[jurassic herve]

en plus j'ai fait un scan Hitjackthis ci dessous :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:45:03, on 13/10/2011

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16839)

Boot mode: Safe mode

 

Running processes:

C:\windows\explorer.exe

C:\windows\system32\ctfmon.exe

C:\Users\AUBERT\Downloads\HiJackThis(1).exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [MGSysCtrl] C:\Program Files\System Control Manager\MGSysCtrl.exe

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')

O9 - Extra button: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: @C:\Program Files\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll

O16 - DPF: {9191F686-7F0A-441D-8A98-2FE3AC1BD913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O23 - Service: ArcSoft Connect Daemon (ACDaemon) - ArcSoft Inc. - C:\Program Files\Common Files\ArcSoft\Connection Service\Bin\ACService.exe

O23 - Service: AMD External Events Utility - AMD - C:\windows\system32\atiesrxx.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

 

--

End of file - 3272 bytes

 

fait en mode sans échec, merci de me donner si possible la marche à suivre pour que tout rentre dans l'ordre

[jurassic herve]

A tous, je me suis débrouillé tout seul, bizarre de n'avoir aucune aide cette fois ci, peut être que je me suis trompé de sujet ? Bref, avec mes connaissances j'ai supprimé les fichiers infecté, peut être que tout n'est pas clean mais apparemment il n'y avait personne pour me filer un coup de mais cette fois.

A plus tout le monde.

 

[Tonton]

Bonjour jurassic herve,

 

A tous, je me suis débrouillé tout seul, bizarre de n'avoir aucune aide cette fois ci, peut être que je me suis trompé de sujet ? [...] mais apparemment il n'y avait personne pour me filer un coup de mais cette fois.

Le fait que tu aies fais suivre ton 1er message d'un 2ème message a pu faire croire aux helpers que tu étais déjà pris en charge (ils ne voient plus "0 réponse").

 

Je te propose de faire comme suit :

 

• 
   
  
• tu postes un log ZHPDiag (beaucoup plus fiable que HiJackThis, qui est malheureusement devenu obsolète)
  
• je contacte un helper pour voir s'il peut te prendre en charge dès que tu auras posté le log ZHPDiag
  
• j'ai remplacé le [RESOLU] par [NON RESOLU]
  

Voici comment obtenir un log ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman :
  
• Enregistre-le sur ton Bureau
  
• Pour lancer l’installation :
  - Sous XP : double-clique sur "ZHPDiag.exe"
  - Sous Vista ou Windows 7 : clique droit sur "ZHPDiag.exe" puis « exécuter en tant qu’administrateur »
  - N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau
  
• 2 icônes sont à présent créées sur le Bureau : ZHPDiag et ZHPFix
  
• ZHPDiag une fois installé, vérifie sa dernière mise à jour avec la grosse flèche verte
  
• Pour lancer l’exécution :
  - Sous XP : double-clique sur "ZHPDiag"
  - Sous Vista ou Windows 7 : clique droit sur "ZHPDiag" puis « exécuter en tant qu’administrateur »
  
• Clique sur l’icône TOURNEVIS
  
• Clique sur l'icône LOUPE pour lancer l'analyse et patiente jusqu’à ce que le scan indique 100%
  
• Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente.
  
• Toutefois, en cas de blocage réel sur la section O80, clique sur sur l’icône TOURNEVIS pour le décocher.
  
• A présent, ferme "ZHPDiag"
  
• Tu trouveras le rapport généré par cette analyse sur le Bureau
  
• Pour poster ton rapport :
  - n’effectue pas un simple copier-coller du rapport, car il est trop long pour le forum
  - il convient de l’héberger, par exemple sur Ci-Joint : sur la page qui s’ouvre, clique sur « Parcourir » dans la partie « Sélectionnez le fichier que vous souhaitez déposer » , sélectionne le rapport ZHPDiag.txt qui se trouve sur le Bureau et clique ensuite sur « Cliquez ici pour déposer le fichier » ; un lien va t’être fourni :
  --> copie-colle ce lien dans ta prochaine réponse

 

Bon dimanche,

Tonton

[tomtom95]

Bonjour jurassic herve ,tonton

 

Applique ce que demande Tonton, l'infection Trj/ZAccess est très difficile a supprimer

Même si ton ordinateur semble aller mieux, on peut faire une vérification.

 

A+

[jurassic herve]

Bonjour et merci de t'occuper de mon problème.

En apparence j'ai l'impression que tout est ok mais à chaque extinction du PC il y a des mises à jours qui tentent de s'installer et qui n'aboutissent pas correctement !???? peut être encore du travail de sape de la bestiole ?

Ci joint le rapport de scan Cijoint.fr - Service gratuit de dépôt de fichiers

A plus pour ton avis.

Modifié le 18 octobre 2011 par jurassic herve

[tomtom95]

Bonjour jurassic herve

Il y a encore beaucoup de Bêbetes sur ton ordinateur.

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
  
• Double-clique sur ZHPFix Un raccourci installé par ZHPDiag sur le Bureau
   
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
   
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :
   

  M3 - MFPP: Plugins - [AUBERT] -- C:\Users\AUBERT\AppData\Roaming\Mozilla\Firefox\Profiles\b7zr1pv1.default\searchplugins\conduit.xml
  O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
  O4 - HKUS\S-1-5-21-3954465660-3515360302-440807632-1000\..\Run: [AdobeBridge] Clé orpheline
  [MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineCore] (...) -- C:\Program Files\Google\Update\GoogleUpdate.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [GoogleUpdateTaskMachineUA] (...) -- C:\Program Files\Google\Update\GoogleUpdate.exe (.not file.)
  O42 - Logiciel: pdfforge Toolbar v1.1.2 - (.Spigot, Inc..) [HKLM] -- {5791B7D3-8B34-4218-9750-6A8E45D0AD32}
  [HKCU\Software\7ee2d728]
  [HKCU\Software\AppDataLow\Software\Conduit]
  [HKCU\Software\AppDataLow\Software\pdfforge]
  [HKCU\Software\AppDataLow\Toolbar]
  [HKCU\Software\Conduit]
  [HKCU\Software\Search Settings]
  [HKLM\Software\Application Updater]
  [HKLM\Software\Conduit]
  [HKLM\Software\Search Settings]
  [HKLM\Software\pdfforge]
  [HKCU\Software\Microsoft\Internet Explorer\lowregistry\search settings]
  [HKLM\Software\Classes\AppID\eoenginebho.dll]
  [HKLM\Software\Classes\eoenginebho.eobho]
  [HKLM\Software\Classes\eoenginebho.eobho.1]
  [HKLM\Software\Classes\Toolbar.ct2504091]
  [HKLM\Software\Classes\Installer\Features\3D7B197543B881247905A6E8540DDA23]
  [HKLM\Software\Classes\Installer\Products\3D7B197543B881247905A6E8540DDA23]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\3D7B197543B881247905A6E8540DDA23]
  [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
  [MD5.BE1201B60E2D77B4E2115A72FCF348DE] [sPRF][8/8/2010] (...) -- C:\Users\AUBERT\AppData\Roaming\mdbu.bin [78742]
  O43 - CFD: 2/26/2011 - 9:12:24 PM - [85] ----D- C:\Program Files\Application Updater
  O43 - CFD: 3/12/2010 - 9:56:44 PM - [520728] ----D- C:\Program Files\Conduit
  O43 - CFD: 4/22/2010 - 10:19:30 PM - [2884616] ----D- C:\Program Files\pdfforge Toolbar
  O43 - CFD: 3/12/2010 - 9:57:32 PM - [20] ----D- C:\ProgramData\Azureus
  O43 - CFD: 8/4/2010 - 9:36:10 AM - [41091] ----D- C:\Users\AUBERT\AppData\Roaming\Azureus
  O43 - CFD: 3/3/2010 - 9:23:06 PM - [20578] ----D- C:\ProgramData\McAfee
  O43 - CFD: 2/28/2010 - 11:51:22 PM - [155] ----D- C:\ProgramData\Norton
  O43 - CFD: 12/29/2009 - 9:39:02 PM - [7187571] ----D- C:\ProgramData\NortonInstaller
  O43 - CFD: 10/10/2011 - 9:24:14 PM - [90112] -SH-D- C:\Users\AUBERT\AppData\Local\7ee2d728
  O43 - CFD: 9/21/2011 - 7:11:04 PM - [0] ----D- C:\Users\AUBERT\AppData\Local\{9EA7D858-2CC7-4303-8172-C77F76997578}
  O43 - CFD: 9/21/2011 - 6:46:46 PM - [0] ----D- C:\Users\AUBERT\AppData\Local\{D3330526-CC7A-40E5-B0C7-914288117BFE}
  O58 - SDL:[MD5.14FE36D8F2C6A2435275338D061A0B66] - 2/28/2010 - 11:19:02 AM ---A- . (.Avira GmbH - Avira Minifilter Driver.) -- C:\windows\system32\drivers\avgntflt.sys [56816]
  O69 - SBI: C:\Users\AUBERT\AppData\Roaming\Mozilla\Firefox\Profiles\b7zr1pv1.default\searchplugins\conduit.xml
  O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("CT2504091.SearchEngine", "Search||http://search.conduit.com/Results.aspx?q=UCM_SEARCH_TERM&ctid=CT2504091&octid=EB_ORIGINAL_CTID");
  O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("CT2504091.SearchFromAddressBarUrl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q="'>http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
  O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("CT2504091.myStuffSearchUrl", "http://search.conduit.com/Results.aspx?
  O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("browser.search.defaulturl", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=3&q={searchTerms}");
  O69 - SBI: prefs.js [AUBERT - b7zr1pv1.default] user_pref("keyword.URL", "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&q=");
   
  FirewallRAZ
  EmptyTemp
  EmptyFlash
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

• Télécharge Sur cette page AdwCleaner de Xplode
  
  clique sur Télécharger et enregistre le fichier sur ton Bureau
   
  
• Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7
  il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  
• Sur le menu principal
  clique sur Suppression et patiente le temps de l'analyse
  
  
• A la fin du scan
  un rapport AdwCleaner[R].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner[R].txt

 

Post déja ces rapports on vois ensuite pour le reste

 

A+

[jurassic herve]

Bonsoir

 

ci joint le rapport Cijoint.fr - Service gratuit de dépôt de fichiers

et ensuite le second Cijoint.fr - Service gratuit de dépôt de fichiers

Merci pour ton analyse, j’attends ton avis.

@+

[tomtom95]

jurassic herve

 

Trés bien

 

La suite prend le temps de bien lire les indications OK:

 

• Télécharge

load_tdsskiller de Loup Blanc sur ton Bureau
 
Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller
un fix de Kaspersky.
 
Puis Télécharger TDSSkillerde Kaspersky sur le Bureau
 
Faire un double clique sur load_tdsskiller pour le lancer.(clique droit -> lancer en tant qu'adminstrateur sous Vista et seven )
Cliquer sur Start scan pour lancer l'analyse
 
 

 
 
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 

 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
Attendre l'affichage du fichier rapport.
 
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
Post: le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
 
A+
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
 
Si Suspicious file est indiqué
laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).

[jurassic herve]

ça avance rapide rapide

j'ai suivi tes instructions, voici le log Cijoint.fr - Service gratuit de dépôt de fichiers

où en est on ? encore beaucoup bébêtes ? en tout cas, il redémarre beaucoup plus vite qu'avant

@+