[Résolu] Trojan Qbot

maxouille · le 28 janvier 2013

Bonjour, mon ordi est infecté par le trojan Qbot.

Il n'est pas détecté par Antivir et je l'ai trouvé en lancant activescan de Panda, en ligne .

Ci-dessous, le rapport où il le détecte (voir dernière ligne) :.

J'ai tenté de lancer virustotal mais le fichier dépasse les 32MO nécessaire.

Il se trouve que ce trojan est passé par Filezilla pour infecté mes sites web, qui sont actuellement bloqué par l'hébergeur, tant que je n'ai pas supprimé le trojan.

Comme il s'agit d'un site institutionnel, je suis vraiment dans l'urgence !!

D'avance, je vous remercie pour votre aide.

;***********************************************************************************************************************************************************************************

ANALYSIS: 2013-01-28 15:06:23

PROTECTIONS: 1

MALWARE: 18

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Avira Desktop Yes Yes

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00139060 Cookie/Casalemedia TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\skrmw1oz.txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\lq2u08te.txt

00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\j7pubfv7.txt

00145457 Cookie/FastClick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\max@fastclick[2].txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\440lxpb1.txt

00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\9n0pewkr.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\0zk5h17w.txt

00167704 Cookie/Xiti TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\m0eykdpj.txt

00167753 Cookie/Statcounter TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\q45szeu0.txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\ffyrasqe.txt

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\tmvdbnlk.txt

00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\kvwdon21.txt

00168061 Cookie/Apmebf TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\max@apmebf[2].txt

00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\max@serving-sys[1].txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\9cn46zv2.txt

00168106 Cookie/Weborama TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\k5uujtsw.txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\6s1nemwm.txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\3hm0p9xe.txt

00168116 Cookie/Comclick TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\9cud22bu.txt

00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\1wgv2sdi.txt

00169190 Cookie/Advertising TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\max@advertising[1].txt

00170304 Cookie/WebtrendsLive TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\[email protected][2].txt

00172221 Cookie/Zedo TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\ro7ep37f.txt

00207936 Cookie/Adviva TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\u9rs3c4o.txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\cyzrcdsx.txt

00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No c:\users\max\appdata\roaming\microsoft\windows\cookies\low\a9xih62b.txt

07879396 Bck/Qbot.AO Virus/Trojan No 1 No No c:\users\max\appdata\roaming\thunderbird\profiles\ztthyorn.default\mail\local folders\courrier entrant[tax_form_rar][tax_form.exe]

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

pear · le 28 janvier 2013

Bonjour,

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

maxouille · le 28 janvier 2013

Voilà, j'ai fait la mise à jour de la base de données et j'ai lancé le scan. le rapport de MBAM ne trouve rien.

Pourtant, ma boîte mail est bien infecté, du moins, le crois-je car je recois tous les jours des mails qui passent à chaque fois la barrière des filtres en créant de nouveaux mots dans le sujet.

(je ne sais pas si je suis bien clair).

De plus, le rapport d'activescan montre bien la présence d'un Trojan.

je n'ai qu'une crainte, que vous m'affirmiez qu'il n'y a rien !

Voici le rapport...vide !

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org

Version de la base de données: v2013.01.28.07

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

max :: MAX-PC [administrateur]

28/01/2013 17:37:01

mbam-log-2013-01-28 (17-37-01).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)

Options d'examen désactivées: P2P

Elément(s) analysé(s): 452780

Temps écoulé: 1 heure(s), 27 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 0