Se connecter / S'enregistrer
Votre question
Résolu

Besoin d'aide pour comprendre les rapports et formuler une correction

Tags :
  • Virus
  • Trojan
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Février 2014 21:13:29

Bonjour à tous,

Suite à une infection trojan sefnit, j'ai vu sur d'autres sujets qu'il fallait télécharger OTL et Malwarebytes et faire des analyses. Mais ensuite, je ne sais pas analyser ces rapports ni formuler les corrections (notamment pour OTL) comme il est recommandé de ne pas copier/coller des corrections donner à d'autre personnes, je demande de l'aide.

rapport maleware :
http://cjoint.com/data/0BziAy3nLkR.htm

rapport OTL :
http://cjoint.com/data/0BziDTrD28P.htm


Merci d'avance

Autres pages sur : besoin aide comprendre rapports formuler correction

a c 548 8 Sécurité
25 Février 2014 14:29:51

Bonjour,

Citation :
Suite à une infection trojan sefnit,


Qui l'a détecté, et sur quel fichier (et son emplacement) ?

Malwarebyte's ne montre que des adwares (logiciels publicitaires)

Pour un premier diagnostic ensuite :

Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.

Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.

Clique ici pour la version 32 bits
Clique ici pour la version 64 bits


Info : comment savoir quelle version j'utilise ?

Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même

  • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
  • Clique sur le bouton Scan.
  • L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
  • A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    Contenus similaires
    a c 548 8 Sécurité
    25 Février 2014 18:54:16

    Re,

    Pas grave cijoint ou le site que je t'ai fournis, le tout est de les héberger pour éviter d'encombrer le sujet ;) 

    Par contre, peux-tu répondre à ma première question ?
    Citation :
    Qui l'a détecté, et sur quel fichier (et son emplacement) ?


    Autre chose, pourquoi avoir lancé en Mode sans échec ?
    Tu n'as plus accès à ta session en mode normal ?

    On aura quelques trucs à nettoyer ensuite.

    :jap: 
    m
    0
    l
    25 Février 2014 21:25:17

    Re,

    Je croyais avoir répondu à la première question en citant le chemin d'accès affiché par Malwarebyte's... Alors... Ce qui m'a alerté sur une éventuelle infection au départ c'était le "centre de maintenance" de Windows, qui s'est mis à signaler un problème, c'est ça que tu veux savoir ? Sinon je ne vois pas précisément ce que tu veux dire par "qui l'a détecté" ? Je ne sais pas ce qui l'a provoqué exactement, c'était pendant que j'étais sur le web, je ne me rappelle plus. Quant au fichier exact je ne sais pas... Attend, j'ai aussi mis en quarantaine un "Trojan.Downloader" qui été situé dans C:\Windows\System32\config\systemprofile\AppData\Local\Windows Internet Name Service\wins.exe (Trojan.Downloader.WI).
    Si ça ne répond pas à ta question, précise-là parce que j'essaye de faire de mon mieux pour y répondre.

    J'ai lancé le mode sans échec parce que j'ai lu sur un sujet qu'on demandait aux personnes qui avaient un virus de faire les analyses en mode sans échec et en exécutant en tant qu'administrateur (j'ai cru bien faire). Cela dit, je peux tout à fait accéder à ma session en mode normal.

    Ok pour "nettoyer quelques trucs", j'attends sagement les instructions.

    Merci.
    m
    0
    l
    a c 548 8 Sécurité
    25 Février 2014 22:29:50

    Re,

    En fait dans ton premier message tu parlais de :
    Citation :
    trojan sefnit

    Et comme dans les rapports de Malwarebyte's je ne voyais pas ce nom, je pensais que c'était ton antivirus Trend Micro qui avait détecté cela avant le passage de Malwarebyte's ;) 
    Pas grave.

    Citation :
    J'ai lancé le mode sans échec parce que j'ai lu sur un sujet qu'on demandait aux personnes qui avaient un virus de faire les analyses en mode sans échec et en exécutant en tant qu'administrateur (j'ai cru bien faire). Cela dit, je peux tout à fait accéder à ma session en mode normal.


    Cela dépend le type d'infection, et disons qu'on préfère choisir, donc suis juste nos procédure, et en cas de doutes, n'hésite pas à demander avant ;) 

    à suivre :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Bing Bar (barre d'outil, sauf réel intérêt)

    - WebPlayerV2 (adware : logiciel publicitaire)

    [Info]Suite Windows Live : Windows live messenger ayant été remplacé par Skype, il peut être intéressant dès à présent de supprimer les logiciels devenus inutile de la suite Windows Live.
    Pour cela, dans la liste des programmes, cliquer sur "Windows Live"/"Installation Windows Live" puis "Désinstaller" et choisir les logiciels à supprimer (ex : Windows Live Messenger, Complément Messenger, Windows Live Writer, Windows Live Mesh, etc ...)

    ~~~~~~~~~~~~~~~~~~~~~~~~~~

    2) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      Task: {50B9FACE-13E5-4F27-8179-E603DF5A2BB4} - \AdobeFlashPlayerUpdate 2 No Task File
      Task: {BB3CD8C3-D99C-47FD-B760-134678A4F7BD} - \AdobeFlashPlayerUpdate No Task File
      Task: {D1A2F906-0F56-4D91-9698-960CED48DB1E} - System32\Tasks\BitGuard => Sc.exe start BitGuard <==== ATTENTION
      AppInit_DLLs: c:\progra~3\bitguard\271769~1.27\{16cdf~1\loader.dll => c:\progra~3\bitguard\271769~1.27\{16cdf~1\loader.dll File Not Found
      SearchScopes: HKCU - {483830EE-A4CD-4b71-B0A3-3D82E62A6909} URL =
      S3 esgiguard; \??\C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys [X]
      C:\Program Files\Enigma Software Group
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~~~~~

    3) Si cela n'a pas été fait relance Malwarebyte's pour supprimer ses détection :

    Citation :
    Clé(s) du Registre détectée(s): 4
    HKCU\SOFTWARE\DataMngr_Toolbar (PUP.Optional.DataMngr.A) -> Aucune action effectuée.


    :jap: 
    m
    0
    l
    26 Février 2014 00:38:17

    Re,

    D'abord, j'ai appliqué la procédure sauf une chose : comme je suivais rigoureusement ligne par ligne les choses à faire j'ai oublié de fermer le navigateur où je lisais les indications...

    Ensuite il y a une chose qui explique une conclusion du Fixlog : il n'a pas pu supprimer le dossier "Enigma Software Group" parce qu'après avoir désinstaller Spyhunter à partir du panneau de configuration, j'ai mis le dossier dans la corbeille (où il est toujours, donc)

    J'ai refait un scan rapide avec Malwarebyte's mais il n'a pas détecté les 4 clés du registre... Il a seulement trouvé une clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer PUM.Hijack.StartMenu

    J'ai 1 question sur le début de la réponse précédente :
    Est-ce que Trend Micro peut poser problème ?

    Rapport fixlog :
    http://up.security-x.fr/file.php?h=Rfd53304cdd226f11884...

    Merci.
    m
    0
    l
    a c 548 8 Sécurité
    26 Février 2014 10:47:50

    Re,

    Citation :
    D'abord, j'ai appliqué la procédure sauf une chose : comme je suivais rigoureusement ligne par ligne les choses à faire j'ai oublié de fermer le navigateur où je lisais les indications...


    C'est passé quand même, pas de souci

    Citation :
    il n'a pas pu supprimer le dossier "Enigma Software Group" parce qu'après avoir désinstaller Spyhunter à partir du panneau de configuration, j'ai mis le dossier dans la corbeille (où il est toujours, donc)


    Pas de problème, c'était en complément, le tout est qu'il soit supprimé ;) 
    Spyhunter est inutile, c'est un pur produit commercial à tendance envahissante et inefficace

    Citation :
    J'ai refait un scan rapide avec Malwarebyte's mais il n'a pas détecté les 4 clés du registre... Il a seulement trouvé une clé HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowMyComputer PUM.Hijack.StartMenu


    Ok, laisse tomber, c'est juste un paramètre qui peux être involontaire, cela permet d'afficher l'explorateur dès le démarrage

    Citation :
    J'ai 1 question sur le début de la réponse précédente :
    Est-ce que Trend Micro peut poser problème ?


    Ce n'était pas le sens de ma réponse ;) 
    Je pensais juste que l'alerte initiale avait été lancé par l'antivirus Trend Micro, et non Malwarebyte's.
    Il vaut tout autre antivirus.

    ~~~~~~~~~~~~~~

    As-tu d'autres soucis sur le système à présent ?
    m
    0
    l
    26 Février 2014 21:52:21

    Re,

    Merci pour les explications, et également pour l'aide car je n'ai pas l'impression d'avoir d'autres soucis sur le système.

    Pour ce qui est de regarder bien à fond, j'ai regardé le "msconfig" hier après-midi (je n'ai touché à rien, je regardais juste parce que je me rappelais que ça a un lien avec le démarrage de windows) et à l'onglet service j'ai vu un truc qui m'a un peu intrigué : il y a une ligne "Tor Win32 Service" et dans la colonne fabriquant il est marqué "inconnu". Franchement, j'ai vu ça par hasard alors tant que j'y suis je le signale...

    Merci.
    m
    0
    l
    a c 548 8 Sécurité
    26 Février 2014 22:58:59

    Re,

    C'est ceci :
    Citation :
    S2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-08-31] ()


    Tu n'utilises pas le réseau Tor ?
    http://fr.wikipedia.org/wiki/Tor_(r%C3%A9seau)
    m
    0
    l
    27 Février 2014 16:44:33

    Re,

    Je suis désolé, je ne connais pas ce réseau, c'est inoffensif alors ?
    m
    0
    l
    a c 548 8 Sécurité
    27 Février 2014 18:49:41

    Re,

    C'est anormal qui soit installé sur ton pc je dirais ...

    On va le supprimer, en commençant par refaire deux rapports pour voir :

    Relance FRST :

    • Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
    • Coche l'option Addition.txt en bas de la fenêtre.
    • Clique sur le bouton Scan.
    • L'outil va créer les rapports nommés FRST.txt et Addition.txt, enregistré dans le même dossier que l'outil.


  • Poste les deux rapports générés.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    m
    0
    l
    a c 548 8 Sécurité
    27 Février 2014 23:57:56

    Re,

    à suivre :

    1) /!\ Crée un point de restauration manuel avant d'appliquer le correctif - Tutoriel en images /!\

    • Ouvre le Bloc-notes (Démarrer => Tous les programmes => Accessoires => Bloc-notes)
    • Copie/colle la totalité du contenu de la zone Code ci-dessous dans le Bloc-notes

      start
      () C:\Program Files (x86)\Tor\tor.exe
      R2 tor; C:\Program Files (x86)\Tor\tor.exe [3233806 2013-08-31] ()
      U3 a5omn8wl; C:\Windows\System32\Drivers\a5omn8wl.sys [0 ] (Microsoft Corporation)
      C:\Program Files (x86)\Tor
      end


    • Enregistre le fichier sur ton Bureau (au même endroit que FRST) sous le nom fixlist.txt
    • Ferme toutes les applications, y compris ton navigateur
    • Double-clique sur FRST.exe
      /!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
    • Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

    • L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.


  • /!\ Ce script a été établi pour cet utilisateur, il ne doit, en aucun cas, être appliqué sur un autre système, au risque de provoquer de graves dysfonctionnement et endommager Windows /!\

    ~~~~~~~~~~~~

    Si c n'est pas fait, redémarre le pc, puis dis-moi si tu as encore des problèmes sur le système ou pas.

    :jap: 
    m
    0
    l
    28 Février 2014 10:54:04

    Re,

    J'ai bien suivi le script, et visiblement Tor a bien été supprimé. Je ne vois pas d'autres problèmes sur le systèmes.
    Cela dit Malwarebyte's a mis 19 éléments en quarantaine, je peux les supprimer ?

    Voici le rapport Fixlog.txt :
    http://up.security-x.fr/file.php?h=Raeda01be096fc3b6b1b...

    Merci.
    m
    0
    l

    Meilleure solution

    a c 548 8 Sécurité
    28 Février 2014 12:04:18

    Re,

    Ok pour le rapport.

    Citation :
    Cela dit Malwarebyte's a mis 19 éléments en quarantaine, je peux les supprimer ?


    Si ce sont ceux dans le premier rapport posté ici, oui, pas de soucis ;) 

    pour conclure :

    Télécharge DelFix (de Xplode) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur DelFix.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Ne touche pas aux options cochées
  • Coche en plus "Purger la restauration système"
  • Clique sur le bouton "Exécuter"
  • Laisse travailler l'outil.
  • Le rapport est enregistré dans à la base de ton disque dur, (C:\DelFix.txt généralement) merci de copier-coller son contenu dans ta prochaine réponse.

    ~~~~~~~~~~~~

    Mise à jour de logiciel :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7/8 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ~~~~~~~~~~~~~~

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire ! et à lire

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
    Ou utiliser un outil comme SXCU pour vérifier occasionnellement.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en validant avec "Sélectionner comme meilleure solution" (en bas à gauche de ce message), ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    23 Mars 2014 22:07:07

    Bonjour,

    Du fait des vacances et de quelques partiels dès la rentrée, je n'ai pas pu répondre plus tôt, pardon pour le délai de réponse.

    Merci beaucoup hyunkel30 pour ton aide précieuse tout au long de cette discussion !

    Voici le rapport de Delfix :
    http://up.security-x.fr/file.php?h=Rec69b16f0e2d22b87d4...

    Merci.
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS