Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Trojan Qbot


 Share

Messages recommandés

Bonjour, mon ordi est infecté par le trojan Qbot.

Il n'est pas détecté par Antivir et je l'ai trouvé en lancant activescan de Panda, en ligne .

 

Ci-dessous, le rapport où il le détecte (voir dernière ligne) :.

J'ai tenté de lancer virustotal mais le fichier dépasse les 32MO nécessaire.

Il se trouve que ce trojan est passé par Filezilla pour infecté mes sites web, qui sont actuellement bloqué par l'hébergeur, tant que je n'ai pas supprimé le trojan.

Comme il s'agit d'un site institutionnel, je suis vraiment dans l'urgence !!

D'avance, je vous remercie pour votre aide.

 

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2013-01-28 15:06:23

PROTECTIONS: 1

MALWARE: 18

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Avira Desktop Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\skrmw1oz.txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\lq2u08te.txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\j7pubfv7.txt

00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][2].txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\440lxpb1.txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\9n0pewkr.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\0zk5h17w.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\m0eykdpj.txt

00167753 Cookie/Statcounter TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\q45szeu0.txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\ffyrasqe.txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\tmvdbnlk.txt

00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\kvwdon21.txt

00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][2].txt

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][1].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\9cn46zv2.txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\k5uujtsw.txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\6s1nemwm.txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\3hm0p9xe.txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\9cud22bu.txt

00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\1wgv2sdi.txt

00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][1].txt

00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][2].txt

00172221 Cookie/Zedo TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\ro7ep37f.txt

00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\u9rs3c4o.txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\cyzrcdsx.txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\a9xih62b.txt

07879396 Bck/Qbot.AO Virus/Trojan No 1 No No c:\users\max\appdata\roaming\thunderbird\profiles\ztthyorn.default\mail\local folders\courrier entrant[tax_form_rar][tax_form.exe]

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

 

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

 

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

mbam.jpg

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

 

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

 

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Lien vers le commentaire
Partager sur d’autres sites

Voilà, j'ai fait la mise à jour de la base de données et j'ai lancé le scan. le rapport de MBAM ne trouve rien.

Pourtant, ma boîte mail est bien infecté, du moins, le crois-je car je recois tous les jours des mails qui passent à chaque fois la barrière des filtres en créant de nouveaux mots dans le sujet.

(je ne sais pas si je suis bien clair).

De plus, le rapport d'activescan montre bien la présence d'un Trojan.

 

je n'ai qu'une crainte, que vous m'affirmiez qu'il n'y a rien !

Voici le rapport...vide !

 

 

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org

 

Version de la base de données: v2013.01.28.07

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

max :: MAX-PC [administrateur]

 

28/01/2013 17:37:01

mbam-log-2013-01-28 (17-37-01).txt

 

Type d'examen: Examen complet (C:\|D:\|F:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 452780

Temps écoulé: 1 heure(s), 27 minute(s), 22 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

Lien vers le commentaire
Partager sur d’autres sites

Ce trojan est détecté là:

 

c:\users\max\appdata\roaming\thunderbird\profiles\ztthyorn.default\mail\local folders\courrier entrant[tax_form_rar][tax_form.exe]

 

C'est donc dans votre courrier.

Vous devez l'y trouver.

Faites examiner le fichier tax_form.exe chez virustotal.

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Rendez vous à cette adresse:

Cliquez sur parcourir(Choose File) pour trouver ces fichiers

....chemin du fichier à examiner

et cliquez sur "envoyer le fichier"(Scan it)

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

Si c'est propre, vous l'indiquez dans les exceptions de votre antivirus et sinon vous le supprimez.

Lien vers le commentaire
Partager sur d’autres sites

Merci pour votre suivi.

Je ne peux pas accéder au fichier tax_form.exe, car il est contenu dans le fichier courrier entrant (qui n'est pas un dossier).

Ors, je ne peux pas envoyer le fichier courrier entrant (qui du reste n'a pas d'extension) car il pèse plus de 32Mo.

Voilà, du coup je suis coincé. Dois-je supprimé le fichier courrier entrant comme vous semblez l'indiquez dans votre mail - vu son poids, il me semble suspect.

D'avance merci à nouveau pour votre aide !

Lien vers le commentaire
Partager sur d’autres sites

Dois-je supprimé le fichier courrier entrant

 

Je pense que c'est une bonne idée, quitte à faire une Désinstallation/ Réinstallation de Thunderbird ., après avoir sauvegardé vos contacts, bien sûr.

Lien vers le commentaire
Partager sur d’autres sites

OK, je vais faire cela.

Une fois thunderbird réinstallé, Je lance activescan en ligne et je vous tiens au courant pour confirmer l'éradication du trojan.

Encore merci de votre aide.

Lien vers le commentaire
Partager sur d’autres sites

J'ai réinstallé thunderbird, et effectivement le trojan est supprimé.

En relancant un scan avec l'outil en ligne de panda, j'ai malheureusement découvert un virus sur un disque externe.

Voir rapport ci-dessous. Ce virus n'a pas été détecté par MBAM.

Comment faire pour le supprimer ?

Merci pour votre aide.

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2013-01-30 09:59:10

PROTECTIONS: 1

MALWARE: 18

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Avira Desktop Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\skrmw1oz.txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\j7pubfv7.txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\lq2u08te.txt

00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][2].txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\440lxpb1.txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\9n0pewkr.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\0zk5h17w.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\m0eykdpj.txt

00167753 Cookie/Statcounter TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\q45szeu0.txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\ffyrasqe.txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\tmvdbnlk.txt

00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\kvwdon21.txt

00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][2].txt

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][1].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\9cn46zv2.txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\k5uujtsw.txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\6s1nemwm.txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\3hm0p9xe.txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\9cud22bu.txt

00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\1wgv2sdi.txt

00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][1].txt

00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][2].txt

00172221 Cookie/Zedo TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\ro7ep37f.txt

00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\u9rs3c4o.txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\cyzrcdsx.txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\a9xih62b.txt

07360445 W32/P2PWorm.NR Virus No 0 Yes No f:\ipak\volim.exe

07360445 W32/P2PWorm.NR Virus No 0 Yes No f:\system volume information\_restore{feea537f-4e78-4814-a60f-a7a8be8c9f38}\rp212\a0022405.exe

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

;===================================================================================================================================================================================

Lien vers le commentaire
Partager sur d’autres sites

Il y a des cookies et un truc dans la restauration.

 

color=#0000FF]

Téléchargez CCleaner

et installez le

à l'installation penser à décocher l'installation de Yahoo toolbar discrètement proposée en plus de CCleaner.

Lancez le en double cliquant sur CCleaner.exe

 

*Dans la section "Options" située dans la marge gauche,aller dans "Avancé" et décocher "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 24 heures".

Dans l'onglet "Cookies"

Sélectionnez ceux que vous voulez sauvegarder.

Dans la section "Nettoyeur"

Cocher toutes les cases dans la marge gauche pour Internet Explorer et Windows Explorer

Faites de même pour Système sauf les 2 dernières

Dans Avancé, ne cochez que les 4 dernières sauf Nettoyer l'espace libre

Cliquer sur Analyse

Le scan, qui peut prendre un peu de temps si c'est la première fois.

Une fois le scan terminé, cliquer sur Lancer le Nettoyage

Paramètrez la section Applications en fonction de votre système

110219100145686827.jpg

Evitez d'utiliser le nettoyage du Régistre qui, pour vous faire gagner quelques microsecondes, risque de déstabiliser votre système

[/color]

Lien vers le commentaire
Partager sur d’autres sites

Autre info. Je ne peux pas envoyer le fichier infecté sur virus total, car il n'apparait pas dans le chemin du dossier (même en décochant les options des dossiers pour afficher les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation".

Dois-je supprimer le dossier _restore{feea537f-4e78-4814-a60f-a7a8be8c9f38} ?

 

OK, nos messages se sont croisés, je lance CCleaner et vous tiens au jus. Merci !

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...