Win32.rbot

[invitef14a5704]

Bonsoir,

après un scan spybot il a détecté un trojan win32.rbot que je ne peux pas supprimer. En regardant dans la base de registre je trouve ceci

[HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton\CROGRA~1-RIAMVI~1-Enhancer.exe ]
"K-Key"= reg_binary 6b e7 75 18 88 49 1d ab

J'ai consulté un de vos post et j'ai donc télécharger SFIX (report.txt) et hijackthis (hijackthis.log).

Je vous en livre les rapports, pouvez-vous me venir en aide svp?

un grand merci à vous
-----

[invitec04351b8]

Bonsoir,

bien que tu n'ai pas respecté totalement la procédure préliminaire, j'en sais suffisament pour commencer.

===

Télécharge Toolbar-S&D (Team IDN) sur ton Bureau :

Si tu as un message d'erreur, utilise le site miroir.

* Lance l'installation du programme en exécutant le fichier téléchargé.
* Double-clique maintenant sur le raccourci de Toolbar-S&D.
* Sélectionne la langue souhaitée en tapant la lettre de ton choix puis en validant avec la touche Entrée.
* Choisis maintenant l'option "2" puis valide en appuyant sur "Entrée".
! Ne ferme pas la fenêtre lors de la suppression !
Un rapport sera généré, poste son contenu ici.

===
Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt)avec le Bloc-Notes et copie son contenu dans ta réponse.

@+

[invitef14a5704]

merci bien et désolé pour le non respect de la procédure mais je suis nouveau et n'y était pas très au fait de la procédure.

je vous livre les 2 rapports.

Merci

[invitef14a5704]

Vous n'êtes plus là Lyonnais92?

[A voir en vidéo sur Futura]

[yoda1234]

Il a aussi des loisirs, une famille etc...j'oubliais: quelques fois, il dort.

[invitec04351b8]

Bonjour,


je voudrais avoir le contenu de :

C:\ToolBar SD\TB_1.txt

===

Télécharge et installe UsbFix de Chiquitine29 sur ton Bureau.

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir


# Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisi Exécuter en tant qu'administrateur .

# Choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage, UsbFix scannera ton pc, laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.

( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

@+

[invitef14a5704]

Merci Lyonnais92, je tenais à te remercier et je ne comprends pas les propos du modérateur car ce n'était pas le sens de mon interrogation. C'était uniquement pour m'assurer que tu étais toujours en ligne car j'avais été très long pour réaliser les tâches que tu m'avais demandées de faire et qu'il était très tard. J'ai parfaitement conscience de la générosité dont vous faites preuve pour nous dépanner. Je vous prie de m'excuser et en particulier Yoda 1234 si ma demande a pu laisser croire que j'ai été trop exigeant.

====
Lorsque que j'execute UsbFix j'ai Kaspersky qui bloc Bypass.exe puis y aller en toute confiance car vous ne mentionnez que Process.exe

Merci

[yoda1234]

Je vous prie de m'excuser et en particulier Yoda 1234 si ma demande a pu laisser croire que j'ai été trop exigeant.

Pas de problème, j'ai effectivement mal interprété tes écris.

Lorsque que j'execute UsbFix j'ai Kaspersky qui bloc Bypass.exe puis y aller en toute confiance car vous ne mentionnez que Process.exe

Lyonnais92 a bien mentionné Kaspersky:

# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Tu peux donc y aller en toute confiance.

[invitec04351b8]

Bonjour,

je confirme, tu ignores toutes les alertes de Kaspersky.

@+

[invitef14a5704]

Je vous poste tous les fichiers de Tool bar ainsi qu'USBFIX.

Je m'interroge car je travaille actuellement sur mon netbook mais je suppose que si celui-ci est infecté mes autres portables le sont aussi, non?

J'ai vérifié sur mon fixe OS 7 avec une analyse spybot et je n'ai pas de détection de win32.Rbot, je pense que c'est rassurant. Est-ce que les procédures que vous me faites faire sont reproductibles sur mes autres PC ou les actions dépendent-elles des résultats des rapports?

Merci

[invitec04351b8]

Bonsoir,

ta politique de cracks te vaudra les pires déboires.

Tous les cracks ne sont pas infectés mais de plus en plus le seront et par des bestioles plus dangereuses que ce que tu as.

===

Remets un rapport ZHPDiag.

@+

[invitef14a5704]

Bonjour, bien pris en compte vos remarques et je vais faire le nécessaire.
Je vous poste le rapport. Je ne sais si ça à un lien mais après avoir fait le rapport et double-cliqué sur "poste de travail" j'ai un exe qui se lance avec le message suivant "Please wait Windows configures Search Settings 1.2.1". J'ai fais annuler l'installation.
Merci

[invitec04351b8]

Bonjour,

tu as bien fait de refuser l'installation.

==


Copie dans le Presse-papier les lignes ci-dessous (sélectionne le avec la souris et fais simultanément Ctrl et C)

Code:

R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Program Files\AskSearch\bin\DefaultSearch.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program Files\Search Settings\kb128\SearchSettings.dll
O42 - Logiciel: Search Settings 1.2.1
O43 - CFD:Common File Directory ----D- C:\Program Files\AskSearch

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invitef14a5704]

Bonjour Lyonnais92,
La suppression du soft "Search Settings 1.2.1" c'est correctement visiblement. J'en constate déjà le bénéfice puisque celui-ci ne se lance plus lorsque je double-clic sur le poste de travail et le résultat après double-clic sur poste de travail et beaucoup plus rapide qu'avant. Ci-dessous le rapport ZHPFix.
Par contre je m'interroge si tous le pb était seulement lié à ce soft car je vois toujours en base de regitre le Krypton etc ... signalé au tout début de 'ouverture de mon poste. Je lance donc un spybot pour m'assurer qu'il n'y est plus de win32.Rbot et vous tiendrez informé. Si tel est le cas est-ce que la désinfection est terminée.

Cordialement

===================
Tous les rapports doivent être postés en pièces jointes.

yoda1234.

[invitef14a5704]

J'ai ma réponse win32.Rbot positif sous Spybot et pointe toujour sur Krypton.
"[HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton\CROGRA~1-RIAMVI~1-Enhancer.exe ]
"K-Key"= reg_binary 6b e7 75 18 88 49 1d ab

@+

[invitec04351b8]

Bonsoir,

Télécharge seaf.exe de C__XX


*Double clique sur SEAF.exe ( clic droit et "Exécuter en tant qu'administrateur" pour Vista).

*Une fenêtre Cmd va s'ouvrir.

*Tape Enhancer dans cette fenêtre et "Entrée".

*Patiente pendant la recherche.

*Une fenêtre avec un log .txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

@+

[invitef14a5704]

Tout d'abord j'ai un ZHPFIX pour vérifier qu'il n'y avait plus de trace du fameux : "Search Settings 1.2.1" et il en reste une :
O42 - Logiciel: Search Settings 1.2.1
étrange non?

 Cliquez pour afficher

Code:

==Rapport SEAF==
1. ========================= SEAF 1.0.0.6 - C_XX | 23:08:09,85
2. 
3. Valeur(s) recherchée(s):
4. 
5. Enhancer
6. 
7. 
8. ========================= Fichier(s)/Dossier(s):
9.  
10. "D:\IAE\m‚moire\doc agile\CMMI\agile-cmmi_fichiers\link-enhancer"
11. MD5: 7a3e5ebdc4e09861008ac2a75e4d3630 | --a------ | 26/09/2009 14:08
12.  
13. =========================
14.  
15. "D:\IAE\m‚moire\doc agile\CMMI\agile-cmmi_fichiers\link-enhancer-common.js"
16. MD5: 14c29ab486384bfb1f9fab5862283194 | --a------ | 26/09/2009 14:08
17.  
18. =========================
19.  
20. (!) --- 1 ligne(s) contenant la/les valeur(s) recherchée(s). 
21. "C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP9\Report\05\00000002_objdt.dat"
22. MD5: DENIED       | --a------ | 08/01/2010 23:12
23.  
24. =========================
25.  
26. (!) --- 1 ligne(s) contenant la/les valeur(s) recherchée(s). 
27. "C:\SDFix\RunThis.bat"
28. MD5: d92a15991e72c49bba284963cc037b4a | --a------ | 06/11/2008 00:58
29.  
30. =========================
31.  
32. (!) --- 1 ligne(s) contenant la/les valeur(s) recherchée(s). 
33. "C:\System Volume Information\_restore{76428814-A470-44CC-B33B-D2DD101DEAAB}\RP116\A0033989.bat"
34. MD5: d92a15991e72c49bba284963cc037b4a | --a--c--- | 06/11/2008 00:58
35.  
36. =========================
37.  
38. 
39. ========================= Registre:
40.  
41. 
42. 
43. [HKEY_CURRENT_USER\Software\Enhancer]
44. "path"="C:\PROGRA~1\RIAMVI~1\Enhancer.exe"
45. 
46. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
47. "LastKey"="Poste de travail\HKEY_LOCAL_MACHINE\SOFTWARE\Krypton\C:-PROGRA~1-RIAMVI~1-Enhancer.exe "
48. 
49. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\GroupOrderList]
50. "FSFilter Security Enhancer"=""
51. 
52. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\GroupOrderList]
53. "FSFilter Security Enhancer"=""
54. 
55. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList]
56. "FSFilter Security Enhancer"=""
57. 
58. [HKEY_USERS\S-1-5-21-2962734577-3578237037-2423729292-1005\Software\Enhancer]
59. "path"="C:\PROGRA~1\RIAMVI~1\Enhancer.exe"
60. 
61. [HKEY_USERS\S-1-5-21-2962734577-3578237037-2423729292-1005\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]
62. "LastKey"="Poste de travail\HKEY_LOCAL_MACHINE\SOFTWARE\Krypton\C:-PROGRA~1-RIAMVI~1-Enhancer.exe "
63. 
64. 
65. ========================= E.O.F | 23:22:43,04

[invitec04351b8]

Bonsoir,

Copie dans le Presse-papier les lignes ci-dessous (sélectionne le avec la souris et fais simultanément Ctrl et C)) :

Code:

[-HKEY_CURRENT_USER\Software\Enhancer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Krypton]
[-HKEY_USERS\S-1-5-21-2962734577-3578237037-2423729292-1005\Software\Enhancer]

Ouvre le Bloc-Notes et copie le contenu du Presse-Papier.

Enregistre le fichier dans le répertoire de ZHPFix (en général C:\Program Files\ZHPDiag) sous le nom Krypton.reg


Copie dans le Presse-papier les lignes ci-dessous

Code:

C:\PROGRA~1\RIAMVI~1\Enhancer.exe
O42 - Logiciel: Search Settings 1.2.1
REG:Krypton.reg

(sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[invitef14a5704]

Bonjour Lyonnais, je ne crois pas que cela ait fonctionné en totalité car en faisant ZHPDIAG je ne trouve plus la ligne O42 - logiciel search settin 1.2.1 donc pour celui-ci c'est bon je pense par contre j'ai toujours Krypton en base de registre.

============================== =====
ZHPFix v1.12.24 by Nicolas Coolman - Rapport de suppression du 10/01/2010 10:49:17
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html


Processus mémoire :
C:\PROGRA~1\RIAMVI~1\Enhancer. exe => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
O42 - Logiciel: Search Settings 1.2.1 => Logiciel absent

Script Registre :
REG:Krypton.reg => Script de registre fusionné

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 1
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 1
Autre : 0
Script Registre : 1


End of the scan

[invitec04351b8]

Bonjour,

tous les rapports doivent être mis en pièces jointes (ou dans une balise Spoiler).

===

*Double clique sur SEAF.exe ( clic droit et "Exécuter en tant qu'administrateur" pour Vista).

*Une fenêtre Cmd va s'ouvrir.

*Tape Enhancer,Krypton dans cette fenêtre et "Entrée".

*Patiente pendant la recherche.

*Une fenêtre avec un log .txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

@+

[invitef14a5704]

Bien noté pour les rapports mais je comprenais copier/coller dans la réponse le rapport qu'il fallait réellement copier/coller.
Je transmettrai donc tous les rapports en PJ maintenant.

Merci Lyonnais et bravo pour la victoire en coupe de France

[invitec04351b8]

Re,

qui te trouve encore Krypton dans le registre et où ?

@+

[invitef14a5704]

moi directement en base de registre :

regedit puis [HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton\C:-ROGRA~1-RIAMVI~1-Enhancer.exe ]
"K-Key"= reg_binary 6b e7 75 18 88 49 1d ab

Je lance spybot et vous tiens informé.

Merci bien

[invitef14a5704]

je vous confirme positif sous spybot à win32.Rbot.

[invitec04351b8]

Re,

je crois que c'est ma faute

Windows Registry Editor Version 5.00


Copie dans le Presse-papier les lignes ci-dessous (sélectionne le avec la souris et fais simultanément Ctrl et C)) :

Code:

Windows Registry Editor Version 5.00

[-HKEY_CURRENT_USER\Software\Enhancer]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Krypton]
[-HKEY_USERS\S-1-5-21-2962734577-3578237037-2423729292-1005\Software\Enhancer]

Ouvre le Bloc-Notes et copie le contenu du Presse-Papier.

Enregistre le fichier dans le répertoire de ZHPFix (en général C:\Program Files\ZHPDiag) sous le nom Krypton.reg


Copie dans le Presse-papier les lignes ci-dessous

Code:

REG:Krypton.reg

(sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Tu trouves encore la clé ?

@+

[invitef14a5704]

Bonjour Lyonnais, désolé mais toujours présent en base de registre. Pour info, je suis sous XP. Ne pensez-vous pas que je pourrais supprimer directement la ligne en base de registre?
Pourquoi dites vous que c'est de votre faute?

========
Rapport ci-dessous

[invitec04351b8]

Bonsoir,

c'était de ma faute parce que ma syntaxe était fausse.

Tu te sens capable de la supprimer avec regedit ?

@+

[invitef14a5704]

Bonjour,

Si plus aucun des Softs ne peuvent le supprimer et dans la mesure où la seule trace que le l'on trouve est en base de registre je pense qu'il n'y a plus que ça. La suppression n'est pas difficile à faire avec Regedit mais par contre les conséquences peuvent être fâcheuses. Penses-tu que je peux y aller en toute confiance? Si t'as une autre solution je suis preneur sinon je vois plus que cette solution.
J'attends ta réponse avant de supprimer la clé directement en base de registre. Je pense à autre chose aussi, ne serait-ce pas Spybot qui empêcherait la suppression de cette clé? Ne pourrais-je pas essayer de désinstaller Spybot, faire un Ccleaner pour nettoyer les traces de Spybot puis le Script que tu m'as fait faire avec ZHPFIXE.exe?
@+

[invitec04351b8]

Bonsoir,

oui, Spybot S&D peut bloquer.

Fais ce que tu proposes.

Sinon, je te ferai un fichier spécial (moins risqué que l'intervention directe en base de registre).

@+

[invitef14a5704]

Bonsoir,

J'ai essayé mais sans aucun résultat concluant et j'ai même essayé en mode sans échec! Peux-tu me fournir ton fichier s'il te plaît?

Merci bien