Menace : Win32:Evo-gen [Susp] (AVAST)

[robaragon]

Bonjour,
Depuis quelques temps, avast me fait ce type de de détection (cf infra)
J'ai passé un malwarebytes et un OTL sans que cela ne change rien (il n'ont pas détecté grand chose, mais j'ai pu corriger le pas grand chose)

Avast ne me propose aucune action (du type mise en quarantaine, etc.)
L'initulé de la menace est à chaque fois le même : "Menace : Win32:Evo-gen [Susp]
Est-ce grave?

[Malekal_morte]

Salut,

Tu es infecté par ZeroAccess qui bloque les téléchargements.
Tu peux suivre la manip suivante pour débloquer les téléchargements sur Firefox : https://www.malekal.com/2013/05/24/sire ... -explorer/

Si tu n'as pas Firefox, tu es alors obligé de télécharger RogueKiller depuis un autre PC et le transférer par clef USB sur le PC infecté.

[*] Télécharger sur le bureau http://forum.malekal.com/roguekiller-t29444.html (suivre le lien officiel)
[*] !!! ATTENTION !! Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
[*] Copie/colle le contenu du rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

[robaragon]

Merci de ce retour.

Voici le rapport :
RogueKiller V8.7.6 _x64_ [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Fv [Droits d'admin]
Mode : Suppression -- Date : 11/06/2013 09:03:45
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 6 ¤¤¤
[HJ POL][PUM] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ POL][PUM] HKLM\[...]\Wow6432Node\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] RunDAOD : C:\Windows\DAODx.exe [-] -> SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts



127.0.0.1 192.150.14.69
127.0.0.1 192.150.18.101
127.0.0.1 192.150.18.108
127.0.0.1 192.150.22.40
127.0.0.1 192.150.8.100
127.0.0.1 192.150.8.118
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD20EZRX-00DC0B0 ATA Device +++++
--- User ---
[MBR] f955708a2dc30862a1de231f78fc6120
[BSP] 159bb063446958c30be1f1015b9c2e0f : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1907727 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ IDE) SanDisk SDSSDHP256G ATA Device +++++
--- User ---
[MBR] 28adda6e4e9c33435f425d18ed88f18a
[BSP] e161bd8db03e0b79eca337878802e650 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 204799 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive2: (\\.\PHYSICALDRIVE2 @ IDE) Hitachi HDS723020BLA642 ATA Device +++++
--- User ---
[MBR] 64354844841848d8f4fb6b84fcf00357
[BSP] e8349afd6695c70d13a2c59ba222cc26 : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 1907727 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive3: (\\.\PHYSICALDRIVE3 @ IDE) ST2000DL004 HD204UI ATA Device +++++
--- User ---
[MBR] 0086f36f0b7bc8b257f89fc226376c3d
[BSP] 9e3b3c473b1db0daa516427cdae6e1cc : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] UNKNOWN (0x00) [VISIBLE] Offset (sectors): 1 | Size: 2097152 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive4: (\\.\PHYSICALDRIVE4 @ IDE) Hitachi HDS723020BLA642 ATA Device +++++
--- User ---
[MBR] 654182256c959d2bcf27526e12edf192
[BSP] e9c2b37100e7e91567ccd3e9b62ed26b : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 1907728 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_11062013_090345.txt >>
RKreport[0]_S_11062013_085055.txt

[Malekal_morte]

Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup http://www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[robaragon]

Et voici, sauf si je me suis planté...

* pour TDDSKiller
http://pjjoint.malekal.com/files.php?id ... l11q9f11n8
version complète (avec les options activées)
http://pjjoint.malekal.com/files.php?id ... 14q14f13e6

* pour OTL (scan normal, sans le script)
http://pjjoint.malekal.com/files.php?id ... 8d9z9v13k8
en revanche, je n'ai pas le "extras.txt"

* pour OTL (avec le script)
http://pjjoint.malekal.com/files.php?id ... 13y8c14m13

[robaragon]

ah si, j'ai trouvé le extra.txt
http://pjjoint.malekal.com/files.php?id ... z8h10g6l11

[robaragon]

et le 2ème extra.txt
http://pjjoint.malekal.com/files.php?id ... 13c13m1011

[Malekal_morte]

Désinstalle Dashlane.

[robaragon]

c'est fait; je relance le scan pour voir.

Malgré tout, si cette application en est la cause, penses-tu qu'elle soit à éviter (ou bien puis-je la réinstaller par la suite)?

[robaragon]

Ok, j'ai confirmation, le scan est ok...

Mais du coup, pour Dashlane, que dois-je faire : le garder-il risqué?

[Malekal_morte]

Tu peux le garder si tu t'en sers.
Tous tes rapports sont corrects.
Avast! fait encore des alertes?

[robaragon]

non!
je vais réinstaller et regarder s'il m'en fait à nouveau

[robaragon]

Suite à réinstall, j'ai de nouveau les alertes, mais j'en ai en plus de nouvelles :

avant, la menace était "Win32:Evo-gen[Susp]"
à présent, en plus, il y a : "Win32:Cycbot-KA [Trj]"

P.S. : je note par ailleurs que je n'avais pas eu le problème de téléchargement via Firefox lors de mon problème initial (ni maintenant)

[Malekal_morte]

Il faut que tu indiques les fichiers infectés.

[robaragon]

Voici ce que me donne avast