Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Trojan Backdoor.Win32.Bifrose.dthg

shabadoo

Par shabadoo
dans Analyses et éradication malwares

 Partager

Messages recommandés

shabadoo Member

shabadoo

Posté(e)
Posté(e) (modifié)

Bonjour

J'ai eu la joie de découvrir grâce à Kaspersky online que je suis infecté par un logiciel malveillant portant le doux nom de : Backdoor.Win32.Bifrose.dthg

J'ai la version 2012 d'avira free qui ne détecte rien. j'ai fait en mode sans échec un scan complet avec MBAM, qui n'a rien trouvé non plus. j'ai aussi fait un peu de nettoyage avec ccleaner. Et là, je préfère m'arrêter avant de faire des bêtises.

Les symptômes sont PC très lent, utilisation de la ram qui me semble excessive(68% alors qu'il n'y a qu'une page chrome ouverte avec 8 onglets), problèmes d'affichages intermittents(ex: à l'ouverture d'une page internet, j'ai des gros rectangles noirs ou des bouts de mon bureau sur cette page pendant 1 à 2 minutes avant d'arriver sur la page internet).

J'ai peur que cette infection soit là depuis un moment car cela fait 1 an et demi que j'ai des petits soucis avec mon ordi et que ceux la ne cessent d'empirer. Cela a commencé par la disparition subite du thème aero de windows avec l'impossibilité de le remettre.( en même temps, je ne sais pas si cela est lié et ce n'est pas le plus important)

 

donc voici le log de HiJackThis : © CJoint.com, 2012

 

En vous remerciant par avance de votre aide.

Modifié par shabadoo

shabadoo Member

shabadoo

Posté(e)
  • Auteur
Posté(e)

bonsoir

kaspersky ne donne pas vraiment de rapport, juste une liste de problème que voici ( c'est la version online où on installe un petit utilitaire qui fait un scan)

 

progr malveillant: 1

 

Backdoor.Win32.Bifrose.dthg

InstallHelp.dll

C:\Documents and Settings\Suk Sukky\Documents\clone cd 4.0 and serial\clone cd 4.0 and serial\SetupCloneCD.exe/

 

vulnerabilites : 8

 

C:\Program Files\GIMP-2.0\bin\libgtk-win32-2.0-0.dll

C:\Program Files\GRETECH\GomPlayer\GOM.exe

C:\Program Files\QuickTime\QuickTimePlayer.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\Program Files\Winamp\winamp.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Windows\system32\msxml4.dll

C:\Windows\system32\Macromed\Flash\NPSWF32_11_4_402_287.dll

 

 

autres problemes : 12

 

"Le lancement automatique depuis les disques durs est activé"

"Le lancement automatique depuis les disques réseau est activé"

"Le lancement automatique depuis le CD/DVD est activé"

"Le lancement automatique depuis les lecteurs amovibles est activé"

"Explorateur Windows - désactiver l'affichage des extensions des fichiers dont le type est connu du système"

"Microsoft Internet Explorer : désactiver la mise en mémoire tampon des données reçues via le canal protégé"

"Microsoft Internet Explorer : désactiver l'envoi de rapports sur les erreurs"

"Microsoft Internet Explorer : supprimer les Cookies"

"Microsoft Internet Explorer : purger la liste des exclusions du blocage de fenêtres pop-up"

"Microsoft Internet Explorer : activer la purge automatique du cache au moment de quitter le navigateur"

"Explorateur Windows : l'affichage des extensions de fichiers dont le type est connu du système est désactivé"

"Microsoft Internet Explorer : purger la page d'accueil"

pear Devil Member !

pear

Posté(e)
Posté(e)

On va voir.

 

 

 

Télécharger OTL sur le bureau

Double cliquer sur l'icône

otlicon.gif

 

20110121104042.jpg

 

Si la protection en temps réel de Malwarebytes Anti-Malware est activée..

Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

 

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

Cochez]----------------->Tous les utilisateurs (scan all users)

Sous Rapport (output)

Cliquez ----------------------------->Rapport Standard (Standard Output)

Sous Régistre Standard(Standard Registry) cocher Tous(All)

Cochez------------------------------> Lop check et Purity check

 

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

afd.sys

ahcix86s.sys

atapi.sys

iaStor.sys

iastorv.sys

ipsec.sys

netbt.sys

tcpip.sys

nvrd32.sys

nvstor.sys

nvstor32.sys

explorer.exe

ntoskrnl.exe

services.exe

userinit.exe

winlogon.exe

wininit.exe

/md5stop

CREATERESTOREPOINT

Clic sur Analyse

une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

pear Devil Member !

pear

Posté(e)
Posté(e)

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de Subs

 

et sauvegardez le sur le bureau

 

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer etc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

2)Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré

Il se trouve à c:\combofix.txt

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

 

 

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.

Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de Subs

 

et sauvegardez le sur le bureau

 

 

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Pour cela:

Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer etc..

 

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

2)Vous avez téléchargé Combofix.

Double cliquer sur combofix.exe pour le lancer.

Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!

Pour lancer le scan

Connecter tous les disques amovibles (disque dur externe, clé USB).

Taper sur la touche 1 pour démarrer le scan.

Si pour une raison quelconque, combofix ne se lançait pas,

Sous Vista, désactivez l'UAC

Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec

Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

 

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:

Patientez au moins 30 minutes pendant l'analyse.

Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.

A la fin,,un rapport sera généré

Il se trouve à c:\combofix.txt

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Jointicne2cjoint.png

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

shabadoo Member

shabadoo

Posté(e)
  • Auteur
Posté(e)

Rebonjour!

 

et voila le log de combofix : © CJoint.com, 2012

 

par contre, je ne sais pas si c'est normal, mais combofix a redémaré mon ordi pendant la procédure juste avant de sortir le log. De plus j'ai du redémarer l'ordi apres que combofix s'est fermé car je ne pouvais rien faire.

J'ai remis l'UAC et réactivé l'antivirus etc...

 

Cordialement.

shabadoo Member

shabadoo

Posté(e)
  • Auteur
Posté(e)

Bonsoir!

 

Bon ca a l'air de moins mouliner, par contre j'ai refais un scan avec Kaspersky security scan et il me retrouve ce fameux "Backdoor.Win32.Bifrose.dthg".

 

Voici le pseudo rapport de kaspersky

programme malveillant : 1

 

Backdoor.Win32.Bifrose.dthg

InstallHelp.dll

C:\Documents and Settings\Suk Sukky\Documents\clone cd 4.0 and serial\clone cd 4.0 and serial\SetupCloneCD.exe/

 

vulnérabilités : 5

 

C:\Program Files\GIMP-2.0\bin\libgtk-win32-2.0-0.dll

C:\Program Files\GRETECH\GomPlayer\GOM.exe

C:\Program Files\uTorrent\uTorrent.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Windows\system32\msxml4.dll

 

autres problèmes : 10

 

"Le lancement automatique depuis les disques durs est activé"

"Le lancement automatique depuis les disques réseau est activé"

"Le lancement automatique depuis le CD/DVD est activé"

"Le lancement automatique depuis les lecteurs amovibles est activé"

"Microsoft Internet Explorer : désactiver la mise en mémoire tampon des données reçues via le canal protégé"

"Microsoft Internet Explorer : désactiver l'envoi de rapports sur les erreurs"

"Microsoft Internet Explorer : supprimer les Cookies"

"Microsoft Internet Explorer : purger la liste des exclusions du blocage de fenêtres pop-up"

"Microsoft Internet Explorer : activer la purge automatique du cache au moment de quitter le navigateur"

"Microsoft Internet Explorer : purger la page d'accueil"

 

 

 

pour les vulnérabilités j'ai mis à jour flash, winamp et quicktime.

Ai-je besoin de mettre à jour les autres alors que je ne les utilises pas?

 

Pour "Backdoor.Win32.Bifrose.dthg",je suppose qu'effacer le dossier clonecd ne changerai rien, ca erait trop facile?

 

Cordialement.

pear Devil Member !

pear

Posté(e)
Posté(e)
Pour "Backdoor.Win32.Bifrose.dthg", je suppose qu'effacer le dossier clonecd ne changerait rien, ça serait trop facile ?

C'est pourquoi je vous en conseille la désinstallation.

Vous pourrez aisément en installer une version récente, si besoin.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...