malware a.bat avec trojans détectés par Avast

[invitee84db91d]

Bonjour, et merci par avance d'accorder quelques instants à mon problème.

Au lancement de windows XP , Mon antivirus m'a détecté la présence d'un fichier malveillant a.bat à la racine de mon disque système c:

Après l'avoir supprimé à ma demande, il m'a détecté ensuite un virus de type VBS : Malware-gen , que je lui ai également demandé de supprimer, puis ensuite un trojan de type Win 32 : trojan-gen (other), supprimé également.

Plus de détections ensuite, et rien d'anormal, jusqu'à un nouveau boot de mon micro 48 heures après, avec nouvelle détection de a.bat par Avast , revenu de nouveau à la racine de c: (alors que j'avais portant bien vérifié sa disparition), et la détection des deux trojans précités ensuite. J'ai mis ces fichiers infectés en quarantaine :

Qurantaine.jpg

Lancement ensuite de Spybot, qui ne détecte rien, puis Malwarebytes qui ne détecte rien d'anormal non plus... Plusieurs reboot m'ont permis de constater pourtant le retour systématique de ces malwares et leur détection par Avast.

J'ai donc suivi la procédure indiquée sur votre forum, avec nettoyage avec ATF Cleaner, puis analyse des points clef du système avec RSIT.

Vous trouverez en pièces jointes les deux fichiers txt générés par cette application.

Pouvez vous m'indiquez la marche à suivre pour éradiquer ces indésirables de mon micro?

Pour info, j'ai lancé un boot de mon micro sur le CDrom de l'utilitaire XP PC Builder, qui m'a permis de constater l'absence de a.bat et des fichiers infectés. Ils n'apparaissent seulement qu' au démarrage normal de mon windows XP et sont systématiquement détectés par Avast...
-----

[yoda1234]

Bonsoir et bienvenue!

J'ai placé ton image en pièce jointe, je te suggère de suivre ces http://forums.futura-sciences.com/in...ges-forum.html .
Je ne doute pas que notre équipe saura apporter toutes les solutions à ton problème.

[invitee84db91d]

Merci beaucoup d'accorder un peu de votre temps à la recherche d'une solution, qui, je l'espère, servira à d'autres victimes potentielles

J'ai lu attentivement vos recommandations sur les insertions d'image sur le forum, et j'en ai pris bonne note...

A+

[b marlow]

Bonjour,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme.

[A voir en vidéo sur Futura]

[b marlow]

tes rapports doivent être posté en pj comme indiqué plus haut par yoda1234
et dans la procédure préliminaire...

[invitee84db91d]

Désolé, voici le rapport en pièce jointe...

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
c:\windows\system32\nod143.exe
 
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]     
"Nod42 Service"=- 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]     
"GEST"=-
"Nod42 Service"=-

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.


tu peux aussi changer d'antivirus,>AntiVir< est bien meilleur qu'avast. Il est en français et
tout aussi gratuit.Si tu changes d'av ce qui est souhaitable,désinstalle avast avant l'installation
d'AntiVir. Configure-le comme sur le tuto puis fais un scan. Poste le rapport.


Regarde dans ton parefeu si tu vois un truc bizarre comme ceci

Code:

 "ø[’|€ø|"= ø[’|€ø|:Nod42 Service

si tu le vois supprime-le des exceptions.

[invitee84db91d]

Le contenu du rapport est en pièce jointe...

Rien de bizarre dans mon pare-feu, en tout cas qui ressemble au code de ton post...

Je vais de suite désinstaller proprement Avast et le remplacer par AntiVir...

[b marlow]

dis-moi ce que tu as dans les exceptions et je te dirais lequel supprimer.
poste le rapport antivir quand il aura fini le scan.

[invitee84db91d]

Les exceptions de mon pare-feu sont en pièce jointe , en attendant le rapport complet de AntiVir, qui lui ne m'a pas détecté a.bat ni les deux trojans que me détectait Avast au démarrage !

J'ai vérifié, après reboot, le fichier a.bat n'apparait plus dans C:, et pas de trace non plus des deux fichiers newkeyboard.exe et dasdase3ad.exe que détectait Avast dans c:/windows...

En revanche, AntiVir m'a trouvé déjà 2 trojans TRdropper.gen que ne m'avait pas détecté Avast... Et il n'a pas terminé le scan de tous mes disques !

[invitee84db91d]

Ci-joint le log complet de AntiVir sur mon système...17 fichiers infectés détectés !

Je comprend mieux maintenant pourquoi vous conseillez cet antivirus plutôt que celui d'Avast

Après boot de mon micro, tout à l'air normal, pas de nouvelles détections...

[b marlow]

AntiVir n'est pas configuré comme sur le tuto concernant
la recherche des >Rootkits...

Code:

Configuration pour la recherche actuelle :
Nom de la tâche..................: Contrôle intégral du système
Fichier de configuration.........: d:\program files\avira\antivir personaledition classic\sysscan.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, D:, E:, F:, H:, 
Recherche dans les programmes actifs: marche
Recherche en cours sur l'enregistrement: marche
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Sélection de fichiers intelligente
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen

dés que tu mets AntiVir en mode Expert tu as accès à la case à cocher.

Supprime ComboFix et télécharge une nouvelle copie ici:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
fais le scan puis poste le rapport.

[invitee84db91d]

Merci de m'avoir alerté sur la configuration insuffisante d'AntiVir.

Je l'ai désormais configuré tel que recommandé par le tuto, et je vais relancer un Scan complet...

Ci-joints les deux fichiers du rapport de la nouvelle version de Conbofix...

[b marlow]

rends toi à cette clé dans le registre :

[HKEY_LOCAL_MACHINE\SYSTEM\Curr entControlSet\Services\SharedA ccess\Parameters\FirewallPolic y\StandardProfile\AuthorizedAp plications\List]

et vois si tu as ceci:

Code:

"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"d:\program files\Microsoft ActiveSync\rapimgr.exe"= d:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"d:\program files\Microsoft ActiveSync\wcescomm.exe"= d:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"d:\program files\Microsoft ActiveSync\WCESMgr.exe"= d:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"d:\\Program Files\\Microsoft Games\\Microsoft Flight Simulator X\\fsx.exe"=
"e:\\Program Files\\Microsoft Games\\Flight Simulator 9\\fs9.exe"=
"c:\\WINDOWS\\system32\\dpnsvr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"d:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\GIGABYTE\\GBTUpd\\RunUpd.exe"=
"ø[’|€ø"= ø[’|€ø:Nod42 Service
"d:\\Program Files\\Jumi\\jumi.exe"=

si tu trouves cette valeur (en rouge ici) tu fais un clic-droit Supprimer.

[invitee84db91d]

Je l'ai effectivement trouvée et supprimée... De quoi s'agit-il ?

[b marlow]

c'était en quelque sorte une autorisation au malware de communiquer avec l'extérieur, en passant
à travers le parefeu.

rends-toi à C:\Qoobox, compresse le dossier Qoobox (zippe-le) puis
va à cette adresse pour uploader le fichier compressé (ca aidera dans
la lutte contre les nouvelles bestioles) merci.
http://uploads.malwarebytes.org/
tu cliques sur Parcourir jusqu'à trouver le fichier Qoobox.zip puis Upload.

Ensuite tu pourras nettoyer l'ordi des restants de fichiers/dossiers d'outils ayant
servi à la désinfection :

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

Pour finir un petit scan de contrôle pour verifier que tout est clean:

Fais un scan en ligne Bitdefender avec Internet Explorer
en cliquant sur ce bouton :

Poste le rapport final.

[invitee84db91d]

OK, je ferais cette manip ce soir en rentrant du boulot, et je te posterais le rapport de ToolsCleaner...

[invitee84db91d]

Bien, l'archive de c:/Qoobox est transmise, et les scans avec ToolsCleaner et Bitdefender (rapports joints) me laissent penser que mon micro est bien désinfecté...

Il ne ne reste plus qu'à remercier b marlow et ses petits camarades "chasseurs de Virus" pour leur excellent travail et les féliciter pour leur efficacité.

[b marlow]

Ok, tout à l'air d'être dans l'ordre.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi


Bon surf .