[Résolu] Infecté par Backdoor:Win32/Fynloski.A

[Julien.F]

Bonjour à tous,

 

Mon anti-virus (MSE) vient de détecter Backdoor:Win32/Fynloski.A.

 

J'ai vu plusieurs post concernant ce virus donc j'ai téléchargé MBAM, j'ai fais une analyse complète de mon système, il m'a trouvé 10 problèmes dont Backdoor:Win32/Fynloski.A que j'ai supprimé (tous).

 

Voici le rapport:

 

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org

 

Version de la base de données: v2013.02.23.07

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Julien :: PC-JULIEN [administrateur]

 

23/02/2013 20:25:40

mbam-log-2013-02-23 (20-25-40).txt

 

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 644356

Temps écoulé: 21 minute(s), 26 seconde(s)

 

Processus mémoire détecté(s): 2

C:\Users\Julien\Documents\MSDCSC\msdcsc.exe (Backdoor.Agent.DC) -> 29440 -> Suppression au redémarrage.

C:\Users\Julien\Documents\MSDCSC\msdcsc.exe (Backdoor.Agent.DC) -> 34408 -> Suppression au redémarrage.

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 2

HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

HKLM\SOFTWARE\Boxore (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MicroUpdate (Backdoor.Agent.DC) -> Données: C:\Users\Julien\Documents\MSDCSC\msdcsc.exe -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 3

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools (PUM.Hijack.Regedit) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Mis en quarantaine et réparé avec succès

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 2

C:\Users\Julien\AppData\Local\Temp\svchost_.exe (HackTool.GamesCheat.Gen) -> Mis en quarantaine et supprimé avec succès.

C:\Users\Julien\Documents\MSDCSC\msdcsc.exe (Backdoor.Agent.DC) -> Suppression au redémarrage.

 

(fin)

 

 

J'ai ensuite redémarrer mon système comme demandé et refait une analyse complète dont voici le rapport:

 

Malwarebytes Anti-Malware 1.70.0.1100

www.malwarebytes.org

 

Version de la base de données: v2013.02.23.07

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Julien :: PC-JULIEN [administrateur]

 

23/02/2013 21:11:55

mbam-log-2013-02-23 (21-11-55).txt

 

Type d'examen: Examen complet (C:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 476096

Temps écoulé: 13 minute(s), 40 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

J'ai ensuite installé ZHP et fait une analyse dont voici le .txt

 

ZHPdiag

 

Pouvez-vous me donner la démarche à suivre pour totalement supprimer mes malwares et être sur qu'ils ont totalement disparu svp ?

 

Merci à vous !

Modifié le 23 février 2013 par Julien.F

[Apollo]

Bonsoir,

 

1) Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

2) Télécharge Junkware Removal Tool Download sur le bureau: Junkware Removal Tool Download

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

 

 

 

@++

[Julien.F]

Merci pour ton aide !

 

Voici les rapports:

 

- AdwCleaner: adwcleaner

 

- JRT: JRT

 

Quand penses-tu ?

 

Dois-je changer tous mes mots de passe internet ?

Modifié le 23 février 2013 par Julien.F

[Apollo]

Si tu veux créer des mots de passe forts et qu'un programme gratuit les conserve pour toi (cryptés), utilise PC Astuces - Mettre ses mots de passe en lieu sûr

 

Il les entrera lui-même dans les formulaires et tu ne devras plus en retenir qu'un seul: celui pour accéder à Keepass; il va de soi qu'il ne faut pas l'oublier celui-là!

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI n'est pas obligatoire mais il est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation.

 

-----------------------

Fais ensuite un nouveau scan ZHPDiag et héberge le rapport stp.

 

@++

[Julien.F]

J'ai fais tout ce que tu m'as dis même pour PSI c'est sympa comme outil !

 

Voilà le rapport ZHPDiag: Rapport

[Apollo]

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[MD5.00000000000000000000000000000000] [APT] [RunAsStdUser Task] (...) -- C:\Users\Julien\AppData\Local\BrightBreezeSA\bin\3.0.5.0\BrightBreezeSA.exe (.not file.)    
[HKLM\Software\CrazyLoader]    
O87 - FAEL: "{8CBDA378-C3F9-423D-A4A7-D280951F238B}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.)    
O87 - FAEL: "{E6A42CCB-B447-4910-AC9A-6500902D8066}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.)    
[HKLM\Software\Classes\Interface\{3f607e46-0d3c-4442-b1de-de7fa4768f5c}]   
[HKLM\Software\Classes\Interface\{fe0273d1-99df-4ac0-87d5-1371c6271785}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC] 
firewallraz
emptytemp
emptyflash
sysrestore      

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

@++

[Julien.F]

C'est fait !

 

Voilà le rapport: ZHPFIXREPORT

 

Par contre il m'a mit un message comme quoi il trouvait pas le point de départ de la restauration, c'est normal ?

[Apollo]

Ca arrive; pas grave on va le faire avec ce qui suit:

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

 

Delfix s'auto-détruira ensuite. >>>

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

Si tout va bien,

 

• Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

@++

[Julien.F]

C'est fait aussi !

 

Avec toutes ces étapes tu penses que mon PC est totalement clean ?

 

Merci à toi !

[Apollo]

Je pense que oui, s'il fontionne bien, mais tu peux t'en assurer.

 

Apollo Et Compagnie :: Analyser avec DrWeb CureIt.

 

@++

Modifié le 23 février 2013 par Apollo