[Résolu] win32/comroki et win32/fyroki.A

[Niash]

supprimé ? attends j'ai peut-être loupé un truc, je redémmare l'ordi pour vérifier si ça réapparait...

[Apollo]

Certes, ce n'est pas tout que MBAM détecte, il faut ensuite supprimer les objets découverts:

 

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.

[*] Ferme tes navigateurs.

[*] Si des malwares ont été détectés, clique sur Afficher les résultats.

Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

[*] MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

[Niash]

Lien CJoint.com 0CmrrUPPDQK

 

et toujours ce Backdoor au démarrage...

[Niash]

je suis en train d'executer MBAM comme tu m'as dis

 

à toute de suite...

[Apollo]

MSE a peut-être un faux-positif, ça arrive à tous les antivirus, mais on va pousser l'examen.

 

Est-ce que MSE donne le chemin complet de la détection de ce backdoor?

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Clique sur H .
   
  
• Copie-colle les lignes ci-dessous dans la fenêtre

 

[HKCU\Software\DC3_FEXEC]    
O61 - LFC:Last File Created 10/03/2012 - 23:20:00 ---A- C:\Users\Niashfamily\AppData\Roaming\demon.exe   [73021952]    
O61 - LFC:Last File Created 10/03/2012 - 23:20:01 ---A- C:\Users\Niashfamily\AppData\Roaming\LWUQMB9VMC.exe   [25411093]    
[MD5.EE1411DDAE283AD2AEC091FD28624EEA] [sPRF][10/03/2012] (.OiDLDXChhH - FbBmaEuxUX.) -- C:\Users\Niashfamily\AppData\Roaming\demon.exe   [73021952]    
[MD5.E6B9F01F4CEB66188D3F3AF44A813BD2] [sPRF][10/03/2012] (...) -- C:\Users\Niashfamily\AppData\Roaming\LWUQMB9VMC.exe   [25411093]    
emptytemp
emptyflash
firewallraz   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

[Niash]

je vais suivre ce que tu m'as dis en attendant voici le dernier rapport de MBAM

 

Lien CJoint.com 0CmrHSMBYyl

 

sur le backdoor j'en sais pas plus que Backdoor:win32/fynloski.A

 

 

Je dois m'absenter... je reviendrai dans la soirée ou demain si tu es là

En tout cas merci pour ton aide !!

 

A plus

[Apollo]

Ce rapport montre que tu n'as pas supprimé les objets trouvés par MBAM:

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.03.12.04

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Niashfamily :: NIASHFAMILY-PC [administrateur]

 

12/03/2012 17:21:03

mbam-log-2012-03-12 (17-28-49).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 296734

Temps écoulé: 7 minute(s), 19 seconde(s)

 

Processus mémoire détecté(s): 1

C:\Users\Niashfamily\AppData\Local\2644101132012server.exe (Trojan.Agent.Gen) -> 2756 -> Aucune action effectuée.

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 1

HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.

 

Valeur(s) du Registre détectée(s): 3

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|winhost (Trojan.Agent) -> Données: C:\Users\Niashfamily\AppData\Local\winhost.exe -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows Host (Trojan.Agent.Gen) -> Données: "C:\Users\Niashfamily\AppData\Local\2644101132012server.exe" -> Aucune action effectuée.

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|2644101132012server (Trojan.Agent.Gen) -> Données: C:\Users\Niashfamily\AppData\Local\2644101132012server.exe -> Aucune action effectuée.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 3

C:\Users\Niashfamily\AppData\Local\Temp\dclogs\2012-03-12-2.dc (Stolen.Data) -> Aucune action effectuée.

C:\Users\Niashfamily\AppData\Local\winhost.exe (Trojan.Agent) -> Aucune action effectuée.

C:\Users\Niashfamily\AppData\Local\2644101132012server.exe (Trojan.Agent.Gen) -> Aucune action effectuée.

 

(fin)

 

Applique les instructions indiquées en rouge ci-dessus. C'est pas compliqué quand-même. Si tu ne les supprimes pas, ils restent là, c'est logique.

 

@++

[Niash]

Me revoilà, j'ai dû t'envoyer un rapport d'avant supprim

voici le dernier rapport (après supprim

 

 

Lien CJoint.com 0CmsDmI5EoX

 

j'essaye maintenant les manips avec ZHPfix...

[Niash]

salut Apollo, désolé mais j'ai pas trés bien saisi une partie de ton message

 

"

Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.

 

Clique sur le bouton GO pour lancer le nettoyage

 

j'ai collé les lignes dans la fenêtre, appuyer sur H et quel script doit apparaitre?

[Niash]

ok! j'imagine que c'est ce rapport que tu souhaites:

 

Lien CJoint.com 0CmsOD9dcqY

 

aplus

 

Niash