Cheval de Troie Artemis

[invite961b3187]

Bonjour,

Il y a quelques mois j'ai installé Cacaoweb sur mon ordinateur, je l'ai supprimé quelques semaines à peine plus tard. Jusqu'ici aucun problème.
Il y a deux heures au cours d'un banal scan, McAfee découvre un cheval de Troie : Artemis!6EC9F0FE7ED5 ... Ok, et il serait présent dans un fichier dont on me donne le chemin mais qui n'existe pas quand je le cherche ....
Je suis sous Windows 7, si c'est utile ...

HEEEEEEEELP Je veux me débarrasser de ce truc ><

Un certain Lucifer22 a eu le même problème apparemment mais il n'a pas créé de topic ...

Merci d'avance
-----

[yoda1234]

Bonjour et bienvenue.

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.
Note: Ces rapports, s'ils n'apparaissent pas, se trouvent en C\RSIT.

[invite961b3187]

Merci !
Bon alors j'ai commencé à suivre la procédure et le lien menant au téléchargement d'ATF Cleaner m'ouvre une fenêtre dans laquelle il est écrit : "This ID does'nt exist !".

What the fuck ? J'ai la poisse ou bien ??

Désolée pour tous les emmerdements hein, mais je veux pas garder Artemis bien au chaud dans mon PC ...

[invite961b3187]

Et en allant directement sur le site d'Atribune, le lien est cassé aussi ...

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonsoir,

poste les rapports issus de RSIT.

@+

[invite961b3187]

Voilà voilà, je poste les rapports en question ... J'ai finalement réussi à trouver ATF Cleaner au fait ...
Merci bcp

[invitec04351b8]

Bonsoir,

cacaoweb est toujours là.


Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).[list]

• Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.
• Une fois le scan terminé, sélectionne tout ce qu'il a trouvé et clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).



Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

@+

[invite961b3187]

Bonsoir, voilà les rapports

Qu'en est-il, Grand Maître ? Avons-nous éradiqué Cacaoweb le Malin ?

[invitec04351b8]

Re,

on va voir si on a tout eu :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[invite961b3187]

Re,

Le rapport est prêt
Merci beaucoup de ton aide (je peux te tutoyer hein ? ), en plus, sachant que c'est bénévole et que tu prends sur ton temps pour nous les paumés de l'informatique, encore plus merci
J'ai regardé un peu le rapport histoire de voir si j'y comprenais un truc (et je comprends TRES peu de choses ...), mais j'ai remarqué que certains programmes que je pensais avoir supprimé sont restés (Spotify, Trend Micro, etc.) Y a-t-il un moyen de les supprimer VRAIMENT TOTALEMENT DEFINITIVEMENT ? Je sais bien que c'est un peu en dehors du sujet Malware et co et je voudrais pas abuser de ta gentillesse, mais tu aussi pourrais juste me dire si tu penses que mon ordi est bien sécurisé stp ?


Merci encore
Bonne nuit !

[invitec04351b8]

Bonsoir,

des restes.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified  
O2 - BHO: Hotspot Shield Class [64Bits] - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} . (...) -- C:\Program Files (x86)\Hotspot Shield\HssIE\HssIE_64.dll  
O87 - FAEL: "TCP Query User{09C302C4-CA0B-4EE5-9E51-131815B0B7AB}C:\users\sandrine\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\sandrine\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "UDP Query User{8DFEA5C2-D9C5-4D08-9167-7D45F951054C}C:\users\sandrine\appdata\roaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\sandrine\appdata\roaming\cacaoweb\cacaoweb.exe (.not file.) 
O87 - FAEL: "{1B753D9B-EA2D-4974-82A4-24EB4A542408}" |In - Private - P6 - TRUE | .(...) -- C:\Users\Sandrine\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.) 
O87 - FAEL: "{BB94DC84-B004-4899-817B-3E8CCB66BF7F}" |In - Private - P17 - TRUE | .(...) -- C:\Users\Sandrine\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Associations]:bak_Application  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}]
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline  
O4 - HKUS\S-1-5-21-215507240-1453790531-653816632-1000\..\Run: [AdobeBridge] Clé orpheline 
[MD5.00000000000000000000000000000000] [APT] [{8DEEC74E-7FBE-4D74-A527-3745C7F5AA8E}] (...) -- C:\Users\Sandrine\Downloads\jxpiinstall.exe (.not file.)
R3 - URLSearchHook: (no name) [64Bits] - {c95a4e8e-816d-4655-8c79-d736da1adb6d} . (...) (No version) -- (.not file.) 
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]   
O43 - CFD: 28/02/2012 - 16:54:16 - [0] ----D- C:\Users\Sandrine\AppData\Local\Conduit  
O69 - SBI: SearchScopes [HKCU] {987DB2EB-F5D5-4325-A847-DBE7EBAC3CFB} - (Hotspot Shield Customized Web Search) - http://search.conduit.com 
[MD5.2D2894581D355D5F44EAE38898A66846] [SPRF][01/01/2012] (.Conduit Ltd. - Conduit Toolbar.) -- C:\Users\Sandrine\AppData\Local\Temp\tbHots.dll   [4398888]
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] 
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes] 
C:\Users\Sandrine\AppData\Local\Conduit
EmptyTemp

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

Ton ordi me semble correctement protégé.

Il faut mettre à jour Adobe Reader.

@+

[invite961b3187]

Merci bcp !
Voilà le rapport x)

[invitec04351b8]

Re,

fais redémarrer l'ordi.

Encore des soucis ?

Relance ZHPDiag et poste le rapport.

@+

[invite961b3187]

Bonjour,

Ci-joint le rapport
Je n'avais rien remarqué quand le trojan était présent (à part un ralentissement du pc déjà lent par nature ), c'était juste Mcafee qui l'avait détecté. En tout cas Mcafee ne trouve plus rien ^^ Ca a l'air d'être clean tout ça

Merci encore !

Au fait, Adobe me dit qu'il est à jour ... ^^

Bonne journée

[invite961b3187]

Ah oui j'ai oublié de te demander mais il vaut mieux que je garde les logiciels que tu m'as fait télécharger ou bien je peux les supprimer pour faire de la place ? Merci !

[invitec04351b8]

Bonjour,

supprime les répertoires vides de la forme :

C:\Users\Sandrine\AppData\Loca l\{1125D2D4-F8F0-4872-8C7E-919290BDCEC2}

(il faudra que tu le fasses régulièrement).

===

Adobe Reader n'est pas à jour :

http://www.commentcamarche.net/downl...7-adobe-reader

===

Tu gardes MBAM et tu l'utilises de temps en temps après mise à jour.

Tu désinstalles AdwCleaner.

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

===

Quelques conseils pour minimiser les risques d'être infecté :

http://forum.malekal.com/securiser-s...urte-t381.html

@+

[invite961b3187]

Bonsoir,

Le chemin d'accès ne me mène nulle part vu que le dossier AppData n'existe pas ...
Sinon, Adobe est à jour, Adw Cleaner est bien désinstallé, ZHPFix a tout nettoyé, et j'ai lu (et retenu normalement ) les conseils vers lesquels tu m'as orientés.

Merci encore

Bon we de Pâques

[invite961b3187]

J'ai rien dit j'ai trouvé ^^
Merci encore hein

[invitec04351b8]

Re,

de rien pour l'aide, ce fut avec plaisir.

@+