[Résolu] Infecté par un trojan

[NICOBO]

Ok, voici le OTL.txt et le Extra.txt

 

 

A noter que par trois fois durant le scan de OTL, AVG m'a alerté de la présence du même backdoor à l'origine de mon post.

Modifié le 17 décembre 2011 par NICOBO

[lance_yien]

Bonjour,

 

Ce que ton AVG appelle un Backdoor_chose possède d'autres désignations d'un antivirus à un autre et ne nous aide pas à trouver "le coupable".

Ce coupable est un fichier situé à un endroit précis (C:\...\mon_dossier\le_coupable) et nommé backdoor_chose par ton AVG.

Donc, utilise OTL comme indiqué ci-dessous et après redémarrage de ta machine contrôle avec ton AVG et relève les lignes relatives à ce coupable (ou fais une capture d'écran).

 

>>> Correction OTL: (Re)brancher (et allumer) tous les médias amovibles disponibles et fermer toutes les applications et fenêtres en cours.

Désactiver les programmes de protection (antivirus etc...) et lancer OTL.

Copier et coller la liste suivante (commençant par :OTL) dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très importants, merci de vérifier).

 

:OTL

FF - prefs.js..browser.search.defaultenginename: "Ant.com"

FF - prefs.js..extensions.enabledItems: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.3.6

FF - prefs.js..extensions.enabledItems: [email protected]:2.3.0

FF - prefs.js..extensions.enabledItems: [email protected]:1.6.2

[2009/10/13 19:07:15 | 000,000,687 | ---- | M] () -- C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\xuk813ea.default\searchplugins\ask.xml

[2008/05/02 17:12:32 | 000,003,797 | ---- | M] () -- C:\Users\Administrateur\AppData\Roaming\Mozilla\Firefox\Profiles\xuk813ea.default\searchplugins\hooseek.xml

() (No name found) -- C:\USERS\ADMINISTRATEUR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XUK813EA.DEFAULT\EXTENSIONS\{6BFD307A-C040-11DA-9749-FB1C850B47DF}.XPI

() (No name found) -- C:\USERS\ADMINISTRATEUR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XUK813EA.DEFAULT\EXTENSIONS\{AE93811A-5C9A-4D34-8462-F7B864FC4696}.XPI

() (No name found) -- C:\USERS\ADMINISTRATEUR\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\XUK813EA.DEFAULT\EXTENSIONS\{D10D0BF8-F5B5-C8B4-A8B2-2B9879E08C5D}.XPI

O4 - HKU\S-1-5-21-1988142315-3923364369-79243452-500..\Run: [DAEMON Tools Lite] D:\Logiciels\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)

O4 - HKU\S-1-5-21-1988142315-3923364369-79243452-500..\Run: [steam] D:\Jeux\Steam\steam.exe (Valve Corporation)

O4 - HKU\S-1-5-21-1988142315-3923364369-79243452-500..\Run: [uTorrent] D:\Logiciels\µtorrent\uTorrent.exe (BitTorrent, Inc.)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-18\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O7 - HKU\S-1-5-21-1988142315-3923364369-79243452-500\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O15 - HKU\.DEFAULT\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)

O15 - HKU\.DEFAULT\..Trusted Domains: freerealms.com ([]* in Trusted sites)

O15 - HKU\.DEFAULT\..Trusted Domains: soe.com ([]* in Trusted sites)

O15 - HKU\.DEFAULT\..Trusted Domains: sony.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: freerealms.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: soe.com ([]* in Trusted sites)

O15 - HKU\S-1-5-18\..Trusted Domains: sony.com ([]* in Trusted sites)

O15 - HKU\S-1-5-19\..Trusted Domains: clonewarsadventures.com ([]* in )

O15 - HKU\S-1-5-19\..Trusted Domains: freerealms.com ([]* in )

O15 - HKU\S-1-5-19\..Trusted Domains: soe.com ([]* in )

O15 - HKU\S-1-5-19\..Trusted Domains: sony.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: clonewarsadventures.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: freerealms.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: soe.com ([]* in )

O15 - HKU\S-1-5-20\..Trusted Domains: sony.com ([]* in )

O15 - HKU\S-1-5-21-1988142315-3923364369-79243452-500\..Trusted Domains: clonewarsadventures.com ([]* in Trusted sites)

O15 - HKU\S-1-5-21-1988142315-3923364369-79243452-500\..Trusted Domains: freerealms.com ([]* in Trusted sites)

O15 - HKU\S-1-5-21-1988142315-3923364369-79243452-500\..Trusted Domains: soe.com ([]* in Trusted sites)

O15 - HKU\S-1-5-21-1988142315-3923364369-79243452-500\..Trusted Domains: sony.com ([]* in Trusted sites)

[2011/12/16 09:47:09 | 000,000,000 | ---D | C] -- C:\Users\Administrateur\AppData\Roaming\uTorrent

[2011/12/15 22:04:45 | 000,000,000 | ---D | C] -- C:\Qoobox

[2011/12/14 16:17:25 | 000,000,000 | ---D | C] -- C:\ZHP

[2011/12/11 13:06:42 | 000,000,000 | ---D | C] -- C:\Users\Administrateur\AppData\Roaming\thecleaner

[2011/12/16 23:05:29 | 000,022,016 | ---- | M] () -- C:\Users\Administrateur\AppData\Local\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

@Alternate Data Stream - 159 bytes -> C:\ProgramData\TEMP:5F59E8EA

@Alternate Data Stream - 148 bytes -> C:\ProgramData\TEMP:CB0AACC9

@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:18BFD8F8

@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:D6255023

@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:151760F0

@Alternate Data Stream - 124 bytes -> C:\ProgramData\TEMP:33B04540

@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:BDC42529

@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:688A9637

@Alternate Data Stream - 112 bytes -> C:\ProgramData\TEMP:A57500CB

@Alternate Data Stream - 110 bytes -> C:\ProgramData\TEMP:88050731

@Alternate Data Stream - 106 bytes -> C:\ProgramData\TEMP:0C988F7D

@Alternate Data Stream - 105 bytes -> C:\ProgramData\TEMP:E91ADC66

@Alternate Data Stream - 104 bytes -> C:\ProgramData\TEMP:2BC498A4

 

:Services

 

:Reg

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]

"uTorrent" = -

 

:Files

ipconfig /flushdns /c

C:\WINDOWS\tasks\*.job

C:\*.sqm

C:\WINDOWS\System32\*.tmp

C:\WINDOWS\*.tmp

D:\Logiciels\µtorrent

 

:Commands

[EMPTYTEMP]

[EMPTYFLASH]

ATTENTION: Les lignes O15 (en bleu) concernent des sites dans la zone de confiance. Dans cette zone les sites ont des privilèges plus étendus par rapport aux autres. On peut introduire, soi-même, ces sites MAIS des âmes mal intentionnées peuvent s'y inviter aussi. Tu peux supprimer de la liste ceux que tu veux garder dans la zone de confiance (après avoir tout collé).

 

Cliquer sur le bouton rouge Correction et laisser faire.

Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur "Oui".

A la fin un rapport s'ouvre dans le bloc-note. L'héberger et poster son adresse dans une nouvelle réponse. Fermer le rapport et OTL.

[NICOBO]

Bonjour,

 

 

Voilà pour le log OTL : Ici.

 

Question : dans les fichiers déplacés, il ya des éléments indispensables à l'exécution de Steam, que j'aimerais pouvoir réintégrer dans leur dossier d'origine afin d'assurer le bon fonctionnement de l'application. Puis-je le faire manuellement ou y'a t'il une manip à faire via OTL ?

 

Voici une capture d'écran du bilan de mon analyse antivirus :

 

[lance_yien]

- Tes fichiers de "Steam" comportaient des fonctionnalités adware ou similaires et dans ce cas, pour steam ou tout autre programme, on préfère ne pas les remettre mais tu peux si tu le souhaites réinstaller le programme en faisant attention d'où le télécharger et comment l'installer (cases pré-cochées etc...)

- OK pour OTL. Lance-le et cliquer sur "Purge Outils", laisser faire et accepte le redémarrage.

- Ton fichier incriminé par AVG serait Légitime (voir ici) et il s'agirait d'un Faux-Positif.

D'ailleurs c'est étonnant qu'il dit dans la ligne: "Résultat Cet objet figure dans la liste blanche (fichier système ou indispensable..."

En tout cas l'astuce en cas de doute comme ici, il faut faire analyser ton fichier chez Jotti et/ou VirusTotal

[NICOBO]

Merci !

 

Au cas où tu y verrais un intérêt, je te donne le lien des scans du fichier effectués sur Jotti et Virus Total. Je ne sais comment interpréter les résultats : certains antivirus parlent bien de rootkit ou de trojan...A voir...

[lance_yien]

Bonjour,

 

En effet ça ressemble plutôt à une bombe. On recherche une copie saine dans ta machine.

 

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau SystemLook (par jpshortstuff) depuis ici ou ici.

Cliquer-droit sur SystemLook.exe => "Exécuter en tant que Admin..." et y copier/ coller le texte suivant (commençant par :filefind).

 

:filefind
*dfsc*

 

Cliquer sur le bouton Look et attendre que l'analyse se termine.

A la fin, un rapport s'ouvre dans le bloc-note et sera enregistré sur le Bureau sous le nom de "SystemLook.txt". Copier/ coller son contenu dans la prochaine réponse.

[NICOBO]

Bonjour,

 

Voici le log de Systemlook :

 

 

SystemLook 30.07.11 by jpshortstuff

Log created at 08:37 on 20/12/2011 by Administrateur

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "*dfsc*"

C:\Windows\System32\drivers\dfsc.sys --a---- 75264 bytes [06:15 15/06/2011] [14:59 14/04/2011] 8901158B18D853DB26C420DFF99F523B

C:\Windows\System32\migwiz\dlmanifests\DFSClient-DL.man --a---- 1749 bytes [02:23 21/01/2008] [02:23 21/01/2008] EFC7700912E6FA116FF9E6EDCA02A256

C:\Windows\winsxs\Backup\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f.manifest --a---- 10277 bytes [15:06 15/06/2011] [06:29 15/06/2011] F703F392C404190DDCC5CE9CEB09D9BD

C:\Windows\winsxs\Backup\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f_dfsc.sys_ff9a943d --a---- 75264 bytes [15:06 15/06/2011] [06:29 15/06/2011] 622C41A07CA7E6DD91770F50D532CB6C

C:\Windows\winsxs\Manifests\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6000.16386_none_85636be1e930d40a.manifest --a---- 10223 bytes [10:22 02/11/2006] [10:13 02/11/2006] E14D4350B0A9C66F7466D316B568493F

C:\Windows\winsxs\Manifests\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.18000_none_879a2ddde61be4de.manifest --a---- 10277 bytes [02:20 21/01/2008] [02:20 21/01/2008] 3B7BD0683F6F9319B757DC4D702D1211

C:\Windows\winsxs\Manifests\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.18633_none_877cca5be63173a0.manifest ------- 10277 bytes [06:14 15/06/2011] [16:49 14/04/2011] 67F81857303287A7A5D01518059BBB1A

C:\Windows\winsxs\Manifests\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.22899_none_87cb8b40ff7a5041.manifest ------- 10277 bytes [06:14 15/06/2011] [15:28 13/04/2011] 6D32C691939B839BE194D4439C6DADA0

C:\Windows\winsxs\Manifests\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18005_none_8985a6e9e33db02a.manifest ------- 10277 bytes [13:10 14/10/2009] [22:17 10/04/2009] B51BC4C684FD6E46E3422E06CF1274E8

C:\Windows\winsxs\Manifests\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18451_none_894b9dbde369cb1f.manifest ------- 10277 bytes [06:14 15/06/2011] [18:12 14/04/2011] F703F392C404190DDCC5CE9CEB09D9BD

C:\Windows\winsxs\Manifests\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.22625_none_89f9ad5afc6b7999.manifest ------- 10277 bytes [06:14 15/06/2011] [17:07 14/04/2011] DABDA410AD8C31F613564AAF0B12F2CD

C:\Windows\winsxs\Manifests\x86_microsoft-windows-udfschkdsk_31bf3856ad364e35_6.0.6000.16386_none_ffb7be7fe0f0b6f4.manifest --a---- 1761 bytes [10:21 02/11/2006] [10:03 02/11/2006] C863E1CB272CF8F5D7791691D3E99F24

C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.18000_none_879a2ddde61be4de\dfsc.sys --a---- 75264 bytes [02:24 21/01/2008] [02:24 21/01/2008] 9E635AE5E8AD93E2B5989E2E23679F97

C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.18633_none_877cca5be63173a0\dfsc.sys --a---- 75264 bytes [06:15 15/06/2011] [14:24 14/04/2011] A3E9FA213F443AC77C7746119D13FEEC

C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.22899_none_87cb8b40ff7a5041\dfsc.sys --a---- 75264 bytes [06:15 15/06/2011] [13:22 13/04/2011] E20FB30D720810646ED24FB7CA9899A2

C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.18005_none_8985a6e9e33db02a\dfsc.sys --a---- 75264 bytes [13:22 14/10/2009] [04:14 11/04/2009] 218D8AE46C88E82014F5D73D0236D9B2

C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6002.22625_none_89f9ad5afc6b7999\dfsc.sys --a---- 75264 bytes [06:15 15/06/2011] [14:36 14/04/2011] 3A3436F7DFE0E0C58CD5C3B6C9F21634

C:\Windows\winsxs\x86_microsoft-windows-m..-downlevelmanifests_31bf3856ad364e35_6.0.6001.18000_none_0278b57e8399bfdb\DFSClient-DL.man --a---- 1749 bytes [02:23 21/01/2008] [02:23 21/01/2008] EFC7700912E6FA116FF9E6EDCA02A256

C:\Windows\winsxs\x86_microsoft-windows-m..-downlevelmanifests_31bf3856ad364e35_6.0.6002.18005_none_04642e8a80bb8b27\DFSClient-DL.man --a---- 1749 bytes [02:23 21/01/2008] [02:23 21/01/2008] EFC7700912E6FA116FF9E6EDCA02A256

 

-= EOF =-

 

 

 

 

Qu'est ce que tu appelles ne bombe, exactement ? Est-ce encore un autre genre de virus ?

[lance_yien]

Une bombe? C'est à quoi ressemble les dernières variantes d'infection.

 

1- Cliquer-droit sur ton fichier C:\Windows\System32\drivers\dfsc.sys => "Envoyer vers" => "Dossier compressé". Cliquer sur OUI pour le placer sur le Bureau et laisser le nom par défaut. Fermer la fenêtre.

 

2- Sélectionner et copier ce texte (de replace à sys):

 

replace C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.18000_none_879a2ddde61be4de\dfsc.sys C:\Windows\System32\drivers\dfsc.sys

 

Cliquer sur "Démarrer" => "Tous les programmes" => "Accessoires" et cliquer-droit sur "Invite de commandes" => "Exécuter en tant qu'administrateur".

Dans la fenêtre qui s'ouvre, cliquer-droit => "Coller" et appuyer sur "Entrée".

Quand c'est fini (assez rapide), saisir exit et appuyer sur "Entrée" pour fermer la fenêtre.

Redémarrer ta machine et demander à AVG ce qu'il en pense

Modifié le 20 décembre 2011 par lance_yien

[NICOBO]

Ok, quand je crée le dossier compressé, Windows me la crée directement dans le répertoire \System32\drivers\. Que je déplace l'archive sur le bureau ou que je la laisse dans le répertoire, quand je lance l'invite de commande en mode admin, j'obtiens une réponse comme suit :

Chemin d'accès introuvable - C:\Windows\System32\drivers\dfsc.sys

Aucun fichier remplacé.

 

Le fichier est pourtant bien présent à cette adresse???

[lance_yien]

Diable! C'est si différent que ça de mon W7.

 

essaie ça (copier/coller):

 

copy /y C:\Windows\winsxs\x86_microsoft-windows-dfsclient_31bf3856ad364e35_6.0.6001.18000_none_879a2ddde61be4de\dfsc.sys C:\Windows\System32\drivers\