Cheval de troie GEneric 28.AUQHFermé

Question

Bonjour, 

Je viens d'avoir le même problème quand j'ai allumé mon pc, le nom du fichier infecté est : c:/WINDOWS/assembly/GAC/Desktop.ini, je n'ai pas ce fichier.
Quand je clique sur le lien OTL donné dans vos réponses , cela me met une erreur et je ne parviens pas au site pour le télécharger.
Avez vous une solution.
Merci de votre réponse.

Destrio5 · Answer

Bonjour,

--> Utilise ComboFix et poste le rapport :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

ninie9269 · Answer

ComboFix 12-07-08.01 - Seb 09/07/2012  12:19:38.2.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.2815.2185 [GMT 2:00]
Lancé depuis: c:\documents and settings\Seb\Mes documents\Téléchargements\ComboFix.exe
AV: AVG Internet Security *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2012-06-09 au 2012-07-09  ))))))))))))))))))))))))))))))))))))
.
.
2012-07-09 09:06 . 2012-07-09 09:06	--------	d-----r-	c:\documents and settings\NetworkService\Favoris
2012-06-13 06:27 . 2012-05-11 14:40	521728	-c----w-	c:\windows\system32\dllcache\jsdbgui.dll
2012-06-13 06:24 . 2012-06-13 06:24	--------	d-----w-	c:\documents and settings\Seb\Local Settings\Application Data\AVG Secure Search
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-06-08 15:06 . 2012-06-08 15:07	73728	----a-w-	c:\windows\system32\javacpl.cpl
2012-06-08 15:06 . 2012-06-08 15:07	472808	----a-w-	c:\windows\system32\deployJava1.dll
2012-06-02 13:19 . 2009-08-06 18:24	16408	----a-w-	c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2011-11-05 22:46	329240	----a-w-	c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2011-11-05 22:46	210968	----a-w-	c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2011-11-05 22:46	219160	----a-w-	c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2011-11-05 22:46	53784	----a-w-	c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2011-11-05 22:46	35864	----a-w-	c:\windows\system32\wups.dll
2012-06-02 13:19 . 2009-08-06 18:24	45080	----a-w-	c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2006-03-02 12:00	97304	----a-w-	c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2009-08-06 18:24	19480	----a-w-	c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2009-08-06 18:24	16408	----a-w-	c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2011-11-05 22:46	577048	----a-w-	c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2011-11-05 22:46	1933848	----a-w-	c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2009-08-06 18:23	25112	----a-w-	c:\windows\system32\wucltui.dll.mui
2012-06-02 13:18 . 2011-11-07 09:00	275696	----a-w-	c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2011-11-07 09:00	18672	----a-w-	c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2009-08-06 18:23	214256	----a-w-	c:\windows\system32\muweb.dll
2012-05-31 13:22 . 2006-03-02 12:00	606208	----a-w-	c:\windows\system32\crypt32.dll
2012-05-16 15:06 . 2006-03-02 12:00	916992	----a-w-	c:\windows\system32\wininet.dll
2012-05-15 13:55 . 2006-03-02 12:00	1863296	----a-w-	c:\windows\system32\win32k.sys
2012-05-11 14:40 . 2006-03-02 12:00	43520	------w-	c:\windows\system32\licmgr10.dll
2012-05-11 14:40 . 2006-03-02 12:00	1469440	------w-	c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2006-03-02 12:00	385024	------w-	c:\windows\system32\html.iec
2012-05-05 03:15 . 2006-03-02 12:00	2150400	----a-w-	c:\windows\system32
toskrnl.exe
2012-05-05 03:14 . 2004-08-19 16:04	2028544	----a-w-	c:\windows\system32
tkrnlpa.exe
2012-05-02 13:47 . 2011-11-05 22:44	139656	----a-w-	c:\windows\system32\driversdpwd.sys
2012-04-16 14:23 . 2012-04-16 14:23	122760	----a-w-	c:\windows\NFCHS.exe
2012-05-16 15:26 . 2011-11-06 10:12	97208	----a-w-	c:\program files\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}]
2012-06-12 19:38	2068536	----a-w-	c:\program files\AVG Secure Search\11.1.0.7\AVG Secure Search_toolbar.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{95B7759C-8C7F-4BF1-B163-73684A933233}"= "c:\program files\AVG Secure Search\11.1.0.7\AVG Secure Search_toolbar.dll" [2012-06-12 2068536]
.
[HKEY_CLASSES_ROOT\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj.1]
[HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj]
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Spotify"="c:\documents and settings\Seb\Application Data\Spotify\Spotify.exe" [2012-07-04 7609560]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2012-02-29 39408]
"Spotify Web Helper"="c:\documents and settings\Seb\Application Data\Spotify\Data\SpotifyWebHelper.exe" [2012-07-04 1192664]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"JMB36X Configure"="c:\windows\system32\JMRaidTool.exe" [2006-07-12 352256]
"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe" [2012-01-27 2077536]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2006-10-05 868352]
"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-09-27 59240]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-10-09 421736]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-10-12 98304]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"vProt"="c:\program files\AVG Secure Search\vprot.exe" [2012-06-12 1104440]
"ROC_roc_dec12"="c:\program files\AVG Secure Search\ROC_roc_dec12.exe" [2012-01-16 928096]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2012-01-18 254696]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Seb\Menu Démarrer\Programmes\Démarrage\
Outil de notification de cadeaux MSN.lnk - c:\documents and settings\Seb\Application Data\Microsoft\Outil de notification de cadeaux MSN\msnotif.exe [2012-2-15 183096]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\avgrsstarter]
2011-11-06 11:17	12536	----a-w-	c:\windows\system32\avgrsstx.dll
.
R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [06/11/2011 13:09 52872]
R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [06/11/2011 13:09 216400]
R1 AvgTdiX;AVG Network Redirector;c:\windows\system32\drivers\avgtdix.sys [06/11/2011 13:09 243152]
R2 avg9emc;AVG E-mail Scanner;c:\program files\AVG\AVG9\avgemc.exe [06/11/2011 13:15 921952]
R2 avg9wd;AVG WatchDog;c:\program files\AVG\AVG9\avgwdsvc.exe [06/11/2011 13:15 308136]
R2 vToolbarUpdater11.1.0;vToolbarUpdater11.1.0;c:\program files\Fichiers communs\AVG Secure Search\vToolbarUpdater\11.1.0\ToolbarUpdater.exe [12/06/2012 21:38 935480]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [29/02/2012 14:59 136176]
S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\AVG\AVG9\Toolbar\ToolbarBroker.exe [06/11/2011 13:17 167264]
S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [17/11/2011 13:41 223232]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [29/02/2012 14:59 136176]
S3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [16/05/2012 17:26 129976]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - WS2IFSL
.
Contenu du dossier 'Tâches planifiées'
.
2012-07-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2011-06-01 16:57]
.
2012-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-02-29 12:58]
.
2012-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-02-29 12:58]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
IE: {{725EC34E-943C-4df6-B0B2-FBDE7F242276} - c:\documents and settings\Seb\Bureau\PartyPoker.fr.lnk
TCP: DhcpNameServer = 89.2.0.1 89.2.0.2
Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files\Fichiers communs\AVG Secure Search\ViProtocolInstaller\11.1.0\ViProtocol.dll
FF - ProfilePath - c:\documents and settings\Seb\Application Data\Mozilla\Firefox\Profiles\5ygrkdm3.default\
FF - prefs.js: browser.search.selectedEngine - Bing
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL - hxxp://www.bing.com/search?mkt=fr-FR&form=&q=
FF - prefs.js: network.proxy.type - 0
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{A3BC75A2-1F87-4686-AA43-5347D756017C} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-07-09 12:24
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(680)
c:\windows\system32\Ati2evxx.dll
c:\windows\system32\atiadlxx.dll
.
Heure de fin: 2012-07-09  12:25:57
ComboFix-quarantined-files.txt  2012-07-09 10:25
.
Avant-CF: 15 708 151 808 octets libres
Après-CF: 16 058 314 752 octets libres
.
- - End Of File - - A48AC5D2F3658B8C814F3D07E20A5B78

Destrio5 · Answer

--> Fais analyser ce fichier : c:\windows\system32\dllcache\jsdbgui.dll 

--> Sur VirusTotal et poste le lien de l'analyse :
https://www.virustotal.com/gui/

ninie9269 · Answer

https://www.virustotal.com/file/426d434c643c47829218dd7e598f8b6b76164c884e8eb11a497dc14b462d3742/analysis/1341830280/

Destrio5 · Answer

AVG détecte toujours des infections ?

"AVG9_TRAY"="c:\progra~1\AVG\AVG9\avgtray.exe"

--> Installe la nouvelle version d'AVG :
https://www.avg.com/fr-fr/free-antivirus-download

ninie9269 · Answer

Merci bien, il ne détecte plus rien et je n'ai plus de fenêtres qui s'ouvrent à l'ouverture du pc.

Destrio5 · Answer

On va utiliser un outil de diagnostic (si tu le veux bien) pour vérifier que c'est OK :

--> Télécharge ZHPDiag (de Nicolas Coolman).

--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau").

--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)

--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.

--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau. 

--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long. Copie-colle le lien donné par le site ici.

ninie9269 · Answer

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120709_i5x66o5g11

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} . (...) -- C:\Program Files\AVG\AVG9\avgssie.dll (.not file.) 
M3 - MFPP: Plugins - [Seb] -- C:\Program Files\Mozilla FireFox\searchplugins\avg-secure-search.xml    
O4 - HKLM\..\Run: [ROC_roc_dec12] C:\Program Files\AVG Secure Search\ROC_roc_dec12.exe (.not file.)   
O43 - CFD: 06/11/2011 - 13:33:43 - [0,000] ----D C:\Documents and Settings\Seb\Application Data\AVG9 
C:\Program Files\AVG\AVG9
C:\Program Files\AVG Secure Search
O69 - SBI: SearchScopes [HKCU] {95B7759C-8C7F-4BF1-B163-73684A933233} [DefaultScope] - (AVG Secure Search) - https://isearch.avg.com/   
[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}] 
EmptyCLSID
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper). 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

ninie9269 · Answer

Rapport de ZHPFix 1.2.06 par Nicolas Coolman, Update du 17/05/2012
Fichier d'export Registre : 
Run by Seb at 12/07/2012 12:40:25
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key*: CLSID BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}
SUPPRIME Key*: SearchScopes :{95B7759C-8C7F-4BF1-B163-73684A933233}
SUPPRIME Key*: HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: ROC_roc_dec12

========== Dossier(s) ==========
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
ABSENT File: c:\program files\avg\avg9\avgssie.dll
SUPPRIME File: c:\program files\mozilla firefox\searchplugins\avg-secure-search.xml
ABSENT File: c:\program files\avg secure search\roc_roc_dec12.exe
ABSENT Folder/File: c:\program files\avg secure search
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Restauration Système ==========
Point de restauration non crée


========== Récapitulatif ==========
3 : Clé(s) du Registre
1 : Valeur(s) du Registre
2 : Dossier(s)
6 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 03s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 12/07/2012 12:40:25 [1403]

Destrio5 · Answer

Pour finir :


1/

---> Télécharge DelFix sur ton Bureau.
* Lance DelFix puis clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

* Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Désinstalle Java(TM) 6 Update 31.

Mets à jour Java :
https://www.java.com/fr/download/

Mets à jour Firefox :
https://www.mozilla.org/fr/firefox/features/

Un logiciel qui peut être utile en cas d'infection :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader) : Lien


Sois plus vigilant sur Internet ;)

Cheval de troie GEneric 28.AUQH

11 réponses

Discussions similaires

Newsletters