[Résolu] Infection répétitive par des trojans

[apt]

Bonjour à tous,

 

Mon antivirus détecte souvent des infections par des trojans comme TR/Agent.494592.9 sous le nom d'un fichier exécutif A0375142.exe, et me propose de les supprimer.

 

J'ai lancé MalWareByte, et il m'a trouvé deux fichiers que je les ai supprimé après.

 

Mais malgré tout cela, ces alertes se répètent de temps en temps.

 

Ces fichiers sont trouvés dans un lecteur précis (J:\) de mon deuxième DD.

 

Merci d’avance de votre aide.

Modifié le 8 avril 2014 par apt

[Apollo]

Bonsoir,

 

Le rapport MBAM se trouve sous l'onglet Rapports/logs dans l'interface du logiciel: poste-le stp.

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

   

  Lien de secours: ftp://zebulon.fr/ZHPDiag2.exe

   

• Double-clique sur ZHPDiag.exe pour lancer l'installation
  • Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

   

   

• L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

   

   

• Double-clique sur ZHPDiag pour lancer l'exécution
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

   

  Clique sur Configurer.

   

• Clique sur le petit tournevis et clique sur TOUS.

   

  

  Décocher 045 et 061 . Clic sur OK.

   

• Clique sur Rechercher pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%
  Tu refermes ZHPDiag

   

   

• Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)
  Ce rapport étant trop long pour le forum, héberge le :
  • soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  • soit sur Cjoint et copie-colle le lien fourni dans ta réponse.

 

ou http://dl.free.fr/

http://www.rue-du-montceau.fr/tuto_cjoint.html >> tuto de Nardino pour héberger.

@++

 

 

[apt]

Bonsoir Apollo,

 

Voila deux rapports mbam (Lancer en deux reprises) :

 

 

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.03.16.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
___ :: MY-PC [administrateur]

Protection: Activé

18/03/2014 22:07:02
mbam-log-2014-03-18 (22-07-02).txt

Type d'examen: Examen complet (C:\|D:\|J:\|K:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 849784
Temps écoulé: 5 heure(s), 15 minute(s), 59 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
J:\Disque Dur Ancien\Partie2 Quantium\Downloads\09092005\___________________.zip (PUP.Optional.Miner) -> Mis en quarantaine et supprimé avec succès.

(fin)

 

et

 

 

Malwarebytes Anti-Malware (PRO) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.03.16.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
___ :: MY-PC [administrateur]

Protection: Activé

21/03/2014 13:27:37
mbam-log-2014-03-21 (13-27-37).txt

Type d'examen: Examen complet (E:\|F:\|H:\|J:\|K:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 749828
Temps écoulé: 4 heure(s), 33 minute(s), 5 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
F:\System Volume Information\_restore{D50692EB-DBBF-4960-9E4D-24617BB3FA39}\RP909\A0390134.exe (PUP.Optional.Conduit) -> Mis en quarantaine et supprimé avec succès.
F:\System Volume Information\_restore{D50692EB-DBBF-4960-9E4D-24617BB3FA39}\RP909\A0390135.exe (PUP.Optional.Conduit) -> Mis en quarantaine et supprimé avec succès.

(fin)

[Apollo]

Ok, fais le scan ZhpDiag comme demandé stp.

[apt]

Bonjour,

 

Rapport ZHPDiag :

 

http://cjoint.com/?DCxwWqD4OOV

[Apollo]

Bonjour,

 

ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf citation.

 

Script ZhpFix

O9 - Extra button: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} . (.No owner - WinHTTrackIEBar Module.) -- d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll

O23 - Service: mysql (mysql) . (...) - d:\AppServ\MySQL\bin\mysqld-nt --defaults-file=d:\AppServ\MySQL\my.ini mysql (.not file.)

O47 - AAKE:Key Export SP - "N:\st2\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe" [Enabled] .(...) -- N:\st2\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe (.not file.)

O47 - AAKE:Key Export DP - "N:\st2\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe" [Enabled] .(...) -- N:\st2\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe (.not file.)

O63 - Logiciel: UsbFix - (.El Desaparecido - www.usbfix.net - www.sosvirus.net.) [HKLM] -- Usbfix

D:\Mes Documents\Downloads\Compressed\Blumentals.Rapid.PHP.2010.v10.2.0.121.Multilingual.WinAll.Cracked-CRD.rar

D:\Mes Documents\Downloads\Compressed\Blumentals.Rapid.PHP.2010.v10.2.0.121.Multilingual.WinAll.Cracked-CRD_2.rar

I:\Wraswell\FTP\WS_FTP 2006 pro\Keygen.rar

J:\Disque Dur Ancien\Partie2 Quantium\CrackSearcher\Cracks par Alphabet\F\FlashGet_v1.60_Keygen_by_Revenge.zip

J:\Disque Dur Ancien\Partie2 Quantium\Downloads\05052005\Trojan.Remover.v6.3.5.WinALL.4000th.RELEASE.CRACKED-LUCiD.rar

J:\Disque Dur Ancien\Partie2 Quantium\Downloads\06122004\flash ftp\FlashFXP.3.0.1015.Final.Cracked-APPs.rar

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-----------------------

Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

 

 

Ferme tes applications, navigateurs.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFTGC.txt)

 

Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

-----------------------

Branche tes supports amovibles (USB):

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

http://download.eset.com/special/eos/esetsmartinstaller_enu.exe

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
• Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
• Une nouvelle fenêtre apparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse

Nota : ce scan peut être très long et prendre plusieurs heures.

 

@++

[apt]

Bonjour Apollo,

 

Rapport ZHPfix :

 

 

Rapport de ZHPFix 2014.3.19.4 par Nicolas Coolman, Update du 19/03/2014
Fichier d'export Registre :
Run by ___ __ at 24/03/2014 17:36:08
High Elevated Privileges : OK
Windows XP Professional Service Pack 3 (Build 2600)

Recycle Bin emptied (00mn 07s)
Prefetcher emptied
Repair of browser shortcuts

========== Software ==========
REMOVES: UsbFix

========== Registry keys ==========
REMOVES: CLSID Extra Buttons: {36ECAF82-3300-8F84-092E-AFF36D6C7040}
REMOVES: Service: mysql
Basis of registers IFEO branch non-infected !

========== Registry values ==========
REMOVES AAKE KeyValue: N:\st2\DreamweaverPortable\App\DreamweaverCS4\Dreamweaver.exe
ProxyFix : Proxy configuration successfully removed
REMOVES ProxyServer Value
REMOVES ProxyEnable Value
REMOVES EnableHttp1_1 Value
REMOVES ProxyHttp1.1 Value
REMOVES ProxyOverride Value
REMOVES: FirewallRaz (SP) : C:\Program Files\Windows Live\Messenger\wlcsdk.exe
REMOVES: FirewallRaz (SP) : C:\Program Files\Windows Live\Messenger\msnmsgr.exe
REMOVES: FirewallRaz (SP) : C:\Program Files\Internet Download Manager\IDMan.exe
REMOVES: FirewallRaz (DP) : C:\Program Files\Windows Live\Messenger\wlcsdk.exe
REMOVES: FirewallRaz (DP) : C:\Program Files\Windows Live\Messenger\msnmsgr.exe
No value present in the exception of registry key (FirewallRaz)

========== Folders ==========
No folders empty CLSID Local user
Deletes temporary Windows (84)
REMOVES Flash Cookies (12)

========== Files ==========
REMOVES: D:\Mes Documents\Downloads\Compressed\Blumentals.Rapid.PHP.2010.v10.2.0.121.Multilingual.WinAll.Cracked-CRD.rar
REMOVES: D:\Mes Documents\Downloads\Compressed\Blumentals.Rapid.PHP.2010.v10.2.0.121.Multilingual.WinAll.Cracked-CRD_2.rar
REMOVES: J:\Disque Dur Ancien\Partie2 Quantium\CrackSearcher\Cracks par Alphabet\F\FlashGet_v1.60_Keygen_by_Revenge.zip
REMOVES: J:\Disque Dur Ancien\Partie2 Quantium\Downloads\05052005\Trojan.Remover.v6.3.5.WinALL.4000th.RELEASE.CRACKED-LUCiD.rar
REMOVES: J:\Disque Dur Ancien\Partie2 Quantium\Downloads\06122004\flash ftp\FlashFXP.3.0.1015.Final.Cracked-APPs.rar
Deletes temporary Windows (93) (3 197 627 octets)
REMOVES Flash Cookies (5) (576 octets)


========== Summary ==========
3 : Registry keys
13 : Registry values
3 : Folders
7 : Files
1 : Software


End of clean in 00mn 16s

========== Path to file report ==========
C:\Documents and Settings\___ __\Application Data\ZHP\ZHPFix[R1].txt - 24/03/2014 17:36:16 [2388]

 

[Apollo]

Ok,

 

en attendant la suite, sûrement assez long.

 

@++

[apt]

Bonjour Apollo,

 

en attendant la suite, sûrement assez long.

 

Surtout pour l'étape de scan online.

 

Comme j'ai une connexion très très lente, je doute que je puisse le faire avec !

 

Et voila le rapport SFTGC.txt :

 

http://cjoint.com/?DCzjRZo8YSJ

Modifié le 25 mars 2014 par apt

[Apollo]

Bonjour,

 

Fais alors ceci:

 

1)

• Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
  Si vous ne savez pas comment faire, reportez-vous à cet article.
  
• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

• Double cliquez sur UsbFix.exe.
• Cliquez sur recherche.

• Laissez travailler l'outil.
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

---------
2)

• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
  Si vous ne savez pas comment faire, reportez-vous à cet article.
  
• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

• Double cliquez sur UsbFix.exe.
• Cliquez sur Supression

• Laissez travailler l'outil.
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

Si l'outil se bloque, recommencer la suppression en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

@++