Se connecter / S'enregistrer
Votre question

Ordinateur infecté par le virus "Backdoor:Win32/Kelihos.F"

Tags :
  • Backdoor:Win32
  • Antivirus
  • Ordinateur
  • Win32
  • Virus
  • Microsoft
  • Sécurité
Dernière réponse : dans Sécurité et virus
16 Janvier 2013 17:16:10

Bonjour,

Je me permets de vous consulter car j'ai un problème avec mon ordinateur. En effet, tous les matins, l'antivirus de Microsoft m'indique qu'li a détecté un logiciel malveillant et si je consulte l'historique de l'antivirus, il le met en quarantaine à chaque démarrage. Voici le lien que Microsoft me propose (celui-ci concerne le virus "Backdoor:Win32/Kelihos.F") :

http://www.microsoft.com/security/portal/threat/encyclo...

Un autre problème que je constate également est que je n'arrive plus à accéder au site internet de google.

Pourriez-vous m'aider s'il-vous-plaît ?

D'avance merci.

Autres pages sur : ordinateur infecte virus backdoor win32 kelihos

a c 940 8 Sécurité
16 Janvier 2013 19:18:20

Bonjour,

Nous allons regarder ton souci ensemble.

OTL :

  • Télécharge OTL de OldTimer et enregistre le sur le Bureau
  • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Coche la case Tous les utilisateurs
  • Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
    netsvcs
    msconfig
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\Tasks\*.* /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique ensuite sur Analyse et patiente le temps du scan



  • A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
  • Les rapports étant trop longs pour le forum, héberge-les sur ce site d'hébergement de fichiers et indique les liens fournis dans ta réponse. Aide en images
    Les rapports sont sauvegardés sur le Bureau.


  • @+
    m
    0
    l
    Contenus similaires
    a c 940 8 Sécurité
    17 Janvier 2013 22:29:10

    Bonsoir,

    Peux-tu m'indiquer le chemin complet de cette détection signalée par Microsoft Security Essentials ?

    2 antivirus sont actifs sur ton système.
    C'est inutile, cela ne t'apportera aucune protection supplémentaire, et c'est une source de conflits.
    Il te faut donc choisir entre Microsoft Security Essentials et Trend Micro Client/Server Security Agent

    Désinstalle aussi Spybot - Search & Destroy, qui est obsolète et utilise une technologie dépassée.

    ----------------------------------------------------------------------------------------------

    OTL :

    • Ferme toutes les autres fenêtres et double-clique sur OTL.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Copie l'intégralité de ce script ci-dessous (y compris la 1ère ligne OTL) (Sélectionner -> Clic-droit -> Copier)
      :OTL
      MOD - [2005/12/16 05:06:46 | 000,172,099 | ---- | M] () -- C:\WINDOWS\Temp\JR1804.EXE
      DRV - File not found [Kernel | Auto | Stopped] -- C:\DOCUME~1\philippe\LOCALS~1\Temp\5689.sys -- (5689)
      IE - HKU\S-1-5-21-1358306144-3994402239-815097720-1121\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.01net.com/
      IE - HKU\S-1-5-21-1358306144-3994402239-815097720-1121\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Secondary_Page_URL = http://www.01net.com/telecharger/ [Binary data over 200 bytes]
      O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
      O3 - HKU\S-1-5-21-1358306144-3994402239-815097720-1121\..\Toolbar\ShellBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
      O3 - HKU\S-1-5-21-1358306144-3994402239-815097720-1121\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
      O4 - HKLM..\Run: [SonyAgent] C:\Program Files\Fichiers communs\InstallShield\UpdateService\defwatch.exe (6SXfm2)
      O16 - DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab (Reg Error: Key error.)
      O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
      O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Reg Error: Key error.)
      O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Reg Error: Key error.)
      O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)
      O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)
      O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)
      [5 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
      [2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
      [2012/12/05 22:33:00 | 000,000,492 | ---- | M] () -- C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
      @Alternate Data Stream - 214 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:F35A93AD

      :files
      ipconfig /flushdns /c

      :Commands
      [RESETHOSTS]
      [EMPTYTEMP]
      [CREATERESTOREPOINT]

    • Colle l'intégralité du script dans le cadre Personnalisation
    • Clique ensuite sur le bouton Correction



    • L'outil lance la suppression, ne pas l'interrompre
    • Si l'outil te demande de redémarrer le PC, tu acceptes
    • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
      les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ----------------------------------------------------------------------------------------------

    Malwarebyte's Anti-Malware :

    • Télécharge Malwarebytes Anti-Malware et enregistre le sur le Bureau
    • Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
    • Clique sur Terminer
    • Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
    • Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
    • Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
    • Sélectionne ton disque dur, puis clique sur Lancer l'examen
    • A la fin du scan, clique sur Afficher les résultats
    • Pour supprimer les éléments détectés, clique sur Supprimer la sélection
    • Si un redémarrage est demandé, clique sur Yes
    • Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse


  • ----------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • C:\_OTL\MovedFiles\********_******.log
    • mbam-log[date-heure].txt


  • @+
    m
    0
    l
    20 Janvier 2013 11:29:37

    Bonjour,

    Le rapport du virus mis en quarantaine par Microsoft Essentiel est le suivant :
    "Catégorie : Cheval de Troie

    Description : Ce programme est dangereux et il exécute des commandes émanant d'une personne malveillante.

    Action recommandée : N'autoriser cet élément détecté que si vous faites confiance au programme ou à l'éditeur du logiciel.

    Elements :
    file:C:\Program Files\Fichiers communs\InstallShield\UpdateService\defwatch.exe
    runkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\SonyAgent\
    regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\SonyAgent\"

    J'ai supprimé Microsoft Essentiel ainsi que Spybot Search and Destroy.

    J'ai bien lancé l'examen OTL dont voici le rapport :
    http://security-x.fr/up/file.php?h=Ra2c25fae23afc4a65ab...

    J'ai bien téléchargé Malwarebytes qui est en cours d'analyse. Je vous fait parvenir le rapport de celui-ci dès qu'il sera disponible.

    Merci beaucoup.
    m
    0
    l
    a c 940 8 Sécurité
    20 Janvier 2013 11:40:22

    Bonjour,

    Citation :
    Elements :
    file:C:\Program Files\Fichiers communs\InstallShield\UpdateService\defwatch.exe
    runkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\SonyAgent\
    regkey:HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\\SonyAgent\"


    OK, on va voir ce que cela donne, puisque ces éléments ont été traités dans le script OTL, mais ne semblent pas avoir été trouvés par l'outil :
    Citation :
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SonyAgent not found.
    File C:\Program Files\Fichiers communs\InstallShield\UpdateService\defwatch.exe not found.


    Dans l'attente du rapport Malwarebytes donc.

    @+
    m
    0
    l
    21 Janvier 2013 21:11:51

    Bonsoir

    Après plusieurs tentatives, je n'ai pas réussi à effectuer l'analyse de Malwarebytes. Il bloque au bout de 2 heures. De plus je constate un autre problème : ma boite de messagerie se remplit de mails non souhaités (400 mails par demi-journée). J'avais oublié d'en parler précédemment.

    Dans l'attente de votre réponse, je vous souhaite une bonne soirée.

    D'avance merci.
    m
    0
    l
    a c 940 8 Sécurité
    21 Janvier 2013 21:56:16

    Bonsoir,

    Citation :
    Après plusieurs tentatives, je n'ai pas réussi à effectuer l'analyse de Malwarebytes. Il bloque au bout de 2 heures.


    Retente l'analyse avec Malwarebytes en cochant Examiner un examen rapide et poste le rapport.

    ---------------------------------------------------------------------------------------------

    TDSSKiller :

    • Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau
    • Double-clique sur TDSSKiller.exe
      /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
      Il faut le valider en cliquant sur Reboot now.
    • Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
      L'outil TDSSKiller se relance.
    • Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
    • Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
    • En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
      - Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
      - Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
      - Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
      - Si Suspicious object est indiqué, l'option Skip soit cochée
    • Clique ensuite sur Continue, puis clique sur Reboot computer
    • Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
      Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt


  • Tutoriel d'utilisation TDSSKiller en images

    ---------------------------------------------------------------------------------------------

    Sont attendus les rapports :
    • mbam-log[date-heure].txt
    • TDSSKiller.Version_Date_Heure_log.txt


  • @+


    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS