Infecté par Backdoor.HMCpol.Gen

salut poste ton rapport de malwarebytes stp

Voici le rapport,

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7508

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

19/08/2011 21:13:35
mbam-log-2011-08-19 (21-13-24).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 179972
Temps écoulé: 1 minute(s), 50 seconde(s)

Processus mémoire infecté(s): 1
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
c:\Users\Alexis\AppData\Roaming\system32\svhost.exe (Backdoor.HMCPol.Gen) -> 4340 -> No action taken.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{0RE027HV-YCQ5-4P86-G3M0-IS8VSW8B7M1U} (Backdoor.HMCPol.Gen) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0RE027HV-YCQ5-4P86-G3M0-IS8VSW8B7M1U} (Backdoor.HMCPol.Gen) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKLM (Backdoor.HMCPol.Gen) -> Value: HKLM -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Policies (Backdoor.HMCPol.Gen) -> Value: Policies -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\HKCU (Backdoor.HMCPol.Gen) -> Value: HKCU -> No action taken.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Alexis\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.
c:\Users\Alexis\AppData\Roaming\system32\svhost.exe (Backdoor.HMCPol.Gen) -> No action taken.

J'ai pas tenté de supprimer car c'est inutile , ça revient au reboot !!

oui je sais elle est chi$nte cette infection :)


▶ Télécharge ici : USBFIX sur ton bureau

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

▶ choisi l option Suppression

▶ UsbFix scannera ton pc , laisse travailler l outil.

▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

test

############################## | UsbFix 7.057 | [Suppression]

Utilisateur: Alexis (Administrateur) # ALEXIS-BUREAU [System manufacturer P5Q3 DELUXE]
Mis à jour le 17/08/2011 par El Desaparecido
Lancé à 22:10:41 | 19/08/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
CPU 2: Intel(R) Core(TM)2 Quad CPU Q9550 @ 2.83GHz
Microsoft Windows 7 Édition Intégrale (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421

Pare-feu Windows: Désactivé /!\
RAM -> 4095 Mo
C:\ (%systemdrive%) -> Disque fixe # 238 Go (64 Go libre(s) - 27%) [] # NTFS
D:\ -> Disque fixe # 1397 Go (614 Go libre(s) - 44%) [DATA WD GREEN] # NTFS
E:\ -> Disque fixe # 1397 Go (556 Go libre(s) - 40%) [DATA RAID 750Go x2] # NTFS
F:\ -> Disque fixe # 932 Go (78 Go libre(s) - 8%) [Films n°1] # NTFS
G:\ -> CD-ROM
H:\ -> Disque fixe # 932 Go (598 Go libre(s) - 64%) [Films n°3] # NTFS
I:\ -> CD-ROM

################## | Éléments infectieux |

Supprimé! C:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! D:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! E:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! F:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001
Supprimé! H:\$RECYCLE.BIN\S-1-5-21-3984174873-1176560813-3939401740-1001

################## | Registre |


################## | Mountpoints2 |


################## | Listing |

[19/08/2011 - 22:11:49 | SHD ] C:\$Recycle.Bin
[09/05/2011 - 00:25:31 | N | 315295] C:\832929783[1].jpg
[09/05/2011 - 00:49:04 | N | 202181] C:\8712626036395[1].jpg
[19/08/2011 - 20:00:05 | N | 4377] C:\Ad-Report-CLEAN[1].txt
[19/08/2011 - 19:57:29 | N | 6713] C:\Ad-Report-SCAN[1].txt
[19/08/2011 - 20:04:05 | N | 3424] C:\Ad-Report-SCAN[2].txt
[09/05/2011 - 00:36:51 | N | 83896] C:\alien_resurrection_ver3[1].jpg
[19/08/2011 - 21:35:55 | RASHD ] C:\Autorun.inf
[09/05/2011 - 00:50:49 | N | 20734] C:\A[1].jpg
[11/08/2011 - 14:58:53 | D ] C:\Config.Msi
[02/02/2011 - 16:24:05 | N | 13956] C:\CTSUFile.txt
[14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
[14/07/2011 - 21:27:59 | D ] C:\downloads
[18/01/2011 - 19:42:07 | D ] C:\drivers
[19/08/2011 - 22:08:09 | ASH | 3220451328] C:\hiberfil.sys
[23/06/2011 - 14:30:39 | D ] C:\Intel
[09/05/2011 - 00:29:50 | N | 35697] C:\Jason Bourne Trilogie[1].jpg
[27/12/2010 - 20:42:25 | | 53457] C:\Leffe.jpg
[26/12/2010 - 12:17:24 | RHD ] C:\MSOCache
[19/08/2011 - 22:08:10 | ASH | 4293939200] C:\pagefile.sys
[14/07/2009 - 05:20:08 | D ] C:\PerfLogs
[19/08/2011 - 21:05:11 | N | 512] C:\PhysicalDisk0_MBR.bin
[19/08/2011 - 20:22:41 | N | 512] C:\PhysicalMBR.bin
[20/06/2011 - 23:25:31 | D ] C:\Program Files
[19/08/2011 - 20:59:25 | D ] C:\Program Files (x86)
[30/07/2011 - 21:27:45 | HD ] C:\ProgramData
[22/12/2010 - 22:02:01 | SHD ] C:\Recovery
[19/08/2011 - 20:22:40 | SHD ] C:\System Volume Information
[01/08/2011 - 23:16:21 | D ] C:\temp
[18/08/2011 - 19:09:25 | D ] C:\Temp DéISO
[19/08/2011 - 22:11:49 | D ] C:\UsbFix
[19/08/2011 - 22:10:33 | A | 3221] C:\UsbFix.txt
[19/08/2011 - 21:38:40 | D ] C:\UsbFix_Upload_Me
[22/12/2010 - 22:02:07 | D ] C:\Users
[19/08/2011 - 22:08:21 | D ] C:\Windows
[24/05/2011 - 14:11:29 | D ] C:\XBMC_Extras
[19/08/2011 - 21:05:13 | D ] C:\ZHP
[19/08/2011 - 22:11:49 | SHD ] D:\$RECYCLE.BIN
[01/06/2011 - 12:53:33 | D ] D:\A TRIER
[19/08/2011 - 21:35:55 | RASHD ] D:\Autorun.inf
[25/12/2010 - 18:26:40 | D ] D:\BIBLIOTHEQUES
[18/08/2011 - 20:35:42 | D ] D:\Cache Niouzefire
[27/12/2010 - 21:18:28 | N | 32678] D:\leffe.bmp
[27/12/2010 - 21:17:12 | N | 42286] D:\leffe.jpg
[26/12/2010 - 11:43:59 | SHD ] D:\System Volume Information
[05/08/2011 - 21:53:21 | D ] D:\temp iso bluray
[19/08/2011 - 22:11:49 | SHD ] E:\$RECYCLE.BIN
[03/06/2011 - 16:10:09 | D ] E:\52000 Guitar Pro Tabs
[16/08/2011 - 22:50:13 | D ] E:\A CLASSER
[19/08/2011 - 21:35:55 | RASHD ] E:\Autorun.inf
[23/06/2011 - 14:32:10 | D ] E:\msdownld.tmp
[17/08/2011 - 00:37:54 | D ] E:\NiouzeFire
[01/06/2011 - 10:43:10 | D ] E:\OutputFolder
[26/12/2010 - 11:43:59 | SHD ] E:\System Volume Information
[05/06/2011 - 17:03:28 | D ] E:\TV Shows
[19/08/2011 - 22:11:49 | SHD ] F:\$RECYCLE.BIN
[04/02/2009 - 10:19:38 | N | 29018] F:\.VolumeIcon.icns
[04/02/2009 - 10:19:38 | N | 25214] F:\.VolumeIcon.ico
[19/08/2011 - 21:35:55 | RASHD ] F:\Autorun.inf
[17/08/2011 - 00:11:54 | D ] F:\Films 001
[07/02/2009 - 23:34:08 | SHD ] F:\System Volume Information
[19/08/2011 - 22:11:49 | SHD ] H:\$RECYCLE.BIN
[19/08/2009 - 11:03:12 | D ] H:\autorun
[19/08/2011 - 21:35:55 | RASHD ] H:\Autorun.inf
[18/08/2011 - 04:50:16 | D ] H:\Films 003
[01/02/2010 - 23:26:16 | SHD ] H:\System Volume Information

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
E:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
H:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | E.O.F |

tu as lancé usbfix combien de fois ?

3 fois car j'ai cru qu'il était planté ( il affichait 100% mais après 5 min il était tjs comme figé ).La troisième fois , je l'ai laissé plus longtemps pour voir et il a terminé après 10 bonne minutes.

salut ok

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com/link/a73760cf8976bc72cf25dc4ce63b4cf49704b75b.exe

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Copie ce lien dans ta réponse.

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Salut,
voici le lien du Pre_scan.txt

http://www.cijoint.fr/cjlink.php?file=cj201108/cijsluqrH6.txt

Alexis

peux-tu me dire ce que c'est ca ?

C:\ProgramData\xbne

fichier ou dossier ?

=================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois en le mettant en surbrillance :
___________________________________________________
processes::
datamngrUI.exe

Registry::
[-HKEY_CLASSES_ROOT\CLSID\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{D4027C7F-154A-4066-A1AD-4243D8127440}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{D4027C7F-154A-4066-A1AD-4243D8127440}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{0RE027HV-YCQ5-4P86-G3M0-IS8VSW8B7M1U}]
[-HKEY_LOCAL_MACHINE\Software\FileSubmit]

file::
C:\Windows\KMSEmulator.exe
C:\Windows\Tasks\AutoKMS.job

folder::
C:\Windows\AutoKMS

attrib::
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

C:\ProgramData\xbne un répertoire utilisé par éditeur de fichier .nfo pour XBMC. A priori il doit être clean et est normalement présent. Il contient juste un fichier de 2Ko contentant ( j'ai vérifié ) des données cohérantes pour cette apllication

voici le lien pour le Pre_Script.txt

http://www.cijoint.fr/cjlink.php?file=cj201108/cijYfOIuyD.txt

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ => Clique ici pour voir la Configuration

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

voici le OLT.txt http://www.cijoint.fr/cjlink.php?file=cj201108/cij5iQvPxB.txt

et son acolyte Extra.txt http://www.cijoint.fr/cjlink.php?file=cj201108/cijLKcPTdX.txt

Alexis

remets malwarebytes à jour et fais un scan complet ?

Voici le rapport du scan complet

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7525

Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421

21/08/2011 17:22:56
mbam-log-2011-08-21 (17-22-56).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 490036
Temps écoulé: 32 minute(s), 45 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Alexis\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.


Alexis

hello refais un scan OTL selon les consignes puis poste les deux rapports

salut,

voici le OTL.txt http://www.cijoint.fr/cjlink.php?file=cj201108/cijnFDpnHj.txt

et le EXTRA.txt http://www.cijoint.fr/cjlink.php?file=cj201108/cijg0eROPN.txt


Alexis

hello desinstalle Java update 24

==================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-3984174873-1176560813-3939401740-1001\..\URLSearchHook: {872b5b88-9db5-4310-bdd0-ac189557e5f5} - Reg Error: Key error. File not found => DVDVideoSoftTB Toolbar
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O4 - HKU\S-1-5-19\..\RunOnce: [mctadmin] File not found
O4 - HKU\S-1-5-20\..\RunOnce: [mctadmin] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) => Sun Java Runtime Environment 1.6.0
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) => ZHPHosts White List
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) => Sun Java Runtime
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.) => Adobe Platform getPlusPlus
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found

:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=0

:Files
C:\Users\Alexis\AppData\Local\{*}
C:\Windows\SysWow64\System32

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

Voici le log (passé en .txt pour pouvoir le déposer) http://www.cijoint.fr/cjlink.php?file=cj201108/cijairc7CM.txt

sinon pas de changement , ça "blink" toujours

++

Alexis

qu'entends-tu par "blink" ?