Virus Cryptorbit (Résolu)

[Danal-40]

Bonjour,
Nouveau sur ce forum, je ne sais pas si j'aurai du rejoindre un sujet déjà ouvert, car pascale83 et newton94 semblent être infecté par le même virus. Désolé si c'était le cas.
En ce qui me concerne, avant de rejoindre ce forum, j'avais déjà fait tourner Malwarebytes Anti-Malware (version essai), et il m'a trouvé plus d'une quarantaine d'éléments suspects.
Voulez-vous le rapport ?
Etant néophyte, je ne sais pas ce qui s'est passé (manip incorrecte ?), mais certains éléments ont été mis en quarantaine et supprimés, d'autres pas.
Maintenant, que dois-je faire ?
pour info : OS=vista version familiale, antivirus= Avira free antivirus.
A noter que Avira ne detecte rien. Pourquoi ?

Merci de votre aide,
Danal-40

[angelique]

Met le rapport MBAM

puis:

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
• Sous Registre: standard cochez Tous.
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  atapi.sys
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT

• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : https://www.malekal.com/tutorial_OTL.php

[Danal-40]

Voici le rapport MBAM :
Malwarebytes Anti-Malware (Essai) 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.01.28.04

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Admin2 :: EVELYNE [administrateur]

Protection: Activé

28/01/2014 12:03:18
mbam-log-2014-01-28 (12-03-18).txt

Type d'examen: Examen complet (C:\|E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 400049
Temps écoulé: 1 heure(s), 1 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 1
C:\Program Files\Wajam\Updater\WajamUpdater.exe (PUP.Optional.Wajam.A) -> 2136 -> Suppression au redémarrage.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 20
HKCR\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCR\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCR\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCR\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCR\wajam.WajamBHO.1 (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCR\wajam.WajamBHO (PUP.Optional.Wajam) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C} (PUP.Optional.Wajam) -> Aucune action effectuée.
HKCR\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634} (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCR\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17} (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCR\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5} (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCR\wajam.WajamDownloader.1 (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCR\wajam.WajamDownloader (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCR\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1} (PUP.Optional.Conduit) -> Aucune action effectuée.
HKCR\AppID\priam_bho.DLL (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKCU\SOFTWARE\WAJAM (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKLM\SOFTWARE\WAJAM (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam (PUP.Optional.Wajam.A) -> Aucune action effectuée.
HKLM\SYSTEM\CurrentControlSet\Services\WajamUpdater (PUP.Optional.Wajam.A) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 2
HKCU\Software\Wajam|affiliate_id (PUP.Optional.Wajam.A) -> Données: 6456 -> Aucune action effectuée.
HKLM\SOFTWARE\Wajam|red (PUP.Optional.Wajam.A) -> Données: 4 -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 5
C:\Program Files\Wajam (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Program Files\Wajam\IE (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Program Files\Wajam\Updater (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Users\Admin2\AppData\Local\Temp\CT3241952 (PUP.Optional.Conduit.A) -> Aucune action effectuée.
C:\Users\Admin2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam (PUP.Optional.Wajam.A) -> Aucune action effectuée.

Fichier(s) détecté(s): 29
C:\Program Files\Wajam\IE\priam_bho.dll (PUP.Optional.Wajam) -> Aucune action effectuée.
C:\Conduit\CT3241952\FileConverter_1.5AutoUpdateHelper.exe (PUP.Optional.Conduit.A) -> Aucune action effectuée.
C:\Program Files\Conduit\Community Alerts\Alert.dll (PUP.Optional.Conduit) -> Aucune action effectuée.
C:\Program Files\Wajam\Updater\update.exe (PUP.Optional.Wajam) -> Aucune action effectuée.
C:\Users\Admin2\AppData\Local\Temp\wajam_install.exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\01YMHINA\wajam_update[1].007 (PUP.Optional.Wajam) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\01YMHINA\wajam_update[6].exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6MMVETPX\wajam_updateCA5VVDEH.exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6MMVETPX\wajam_update[10].exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\6MMVETPX\wajam_update[11].exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UOGW3TI3\wajam_updateCA64F7CH.exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UOGW3TI3\wajam_updateCA7948OB.exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UOGW3TI3\wajam_updateCAOVZCDL.exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UOGW3TI3\wajam_updateCAWCPCMT.exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UOGW3TI3\wajam_update[10].exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UOGW3TI3\wajam_update[11].exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WL6748EC\wajam_update[1].004 (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\WL6748EC\wajam_update[2].004 (PUP.Optional.Wajam) -> Aucune action effectuée.
C:\Program Files\Wajam\uninstall.exe (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Program Files\Wajam\IE\favicon.ico (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Program Files\Wajam\IE\wajamLogo.bmp (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Users\Admin2\AppData\Local\Temp\CT3241952\ddt.csf (PUP.Optional.Conduit.A) -> Aucune action effectuée.
C:\Users\Admin2\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Wajam\uninstall.lnk (PUP.Optional.Wajam.A) -> Aucune action effectuée.
C:\Program Files\Wajam\Updater\WajamUpdater.exe (PUP.Optional.Wajam.A) -> Suppression au redémarrage.
C:\ProgramData\pdbdo\snqgjgg.exe (Trojan.Agent.ZT) -> Mis en quarantaine et supprimé avec succès.
C:\ProgramData\qeuk\kpiff.exe (Trojan.Agent.ZT) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Evelyne\AppData\Local\Temp\01390816866295.exe (Trojan.Dorkbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Evelyne\AppData\Local\Temp\vnvjovkm.exe (Trojan.Dorkbot.ED) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Evelyne\AppData\Local\{6BE5EE21-4166-2AAB-E68E-5A01C648940F}\syshost.exe (Trojan.Necurs) -> Mis en quarantaine et supprimé avec succès.

(fin)

A noter : seul le disque C: semble avoir été analysé. J'ai essayé avec une sélection lecteur E: seul(qui contient une sauvegarde de l'OS), mais l'analyse redémarre sur le lecteur C:

Je fais l'analyse avec OTL et je vous poste les rapports dès que prêts.
Merci encore de votre aide

[angelique]

Les détections sur Wajam n'ont pas été supprimés , desinstalle Wajam !! et supprime toute la selection trouvée par MBAM.

Met le rapport OTL.

[Danal-40]

Re-bonjour Angelique,
OTL tourne en ce moment sur l'ordinateur infecté.
Dès que fini, je vous poste les rapports.
Désinstaller Wajam : par ajout/ suppression de programmes dans le panneau de config ?
Supprimer la sélection trouvée par MBAM : faut-il repasser MBAM ou peut-on la récupérer?

Désolé, mais j'utilise MBAM pour la première fois.
Merci encore.

[Danal-40]

RE-bonjour Angelique,

Les rapports OTL.Txt et Extras.Txt vous ont été envoyés sur pjjoint.
Voici le lien : http://pjjoint.malekal.com/files.php?id ... 4r6x11b9b7.

Je vous remercie de votre réponse sur la suite à donner.

[angelique]

1. Tu desinstalles wajam via ajout/ suppression de programmes dans le panneau de config ainsi que FileConverter s'il y'a sinon continue.

2. Tu relances MBAM, fait un scan rapide, coche tous les éléments trouvées et clic supprimer la sélection


3 relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

Code : Tout sélectionner

:OTL
IE - HKU\S-1-5-21-521538007-639485450-2867327757-1001\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&CUI=UN33505828023017957&UM=1&ctid=CT3241952
IE - HKU\S-1-5-21-521538007-639485450-2867327757-1001\..\SearchScopes\{7229E317-A7E8-45B7-8FE4-F2CFB2DD3F50}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT3241952&CUI=UN33505828023017957&UM=1
O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll (Wajam)
O2 - BHO: (FileConverter 1.5 Toolbar) - {cfcb809c-3a22-4616-a916-6c007bd9d920} - C:\Program Files\FileConverter_1.5\prxtbFile.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (FileConverter 1.5 Toolbar) - {cfcb809c-3a22-4616-a916-6c007bd9d920} - C:\Program Files\FileConverter_1.5\prxtbFile.dll (Conduit Ltd.)
O3 - HKU\S-1-5-21-521538007-639485450-2867327757-1001\..\Toolbar\WebBrowser: (FileConverter 1.5 Toolbar) - {CFCB809C-3A22-4616-A916-6C007BD9D920} - C:\Program Files\FileConverter_1.5\prxtbFile.dll (Conduit Ltd.)
O4 - HKLM..\Run: [cfFncEnabler.exe] cfFncEnabler.exe File not found
O4 - HKLM..\Run: [jswtrayutil] "C:\Program Files\Jumpstart\jswtrayutil.exe" File not found
[2014/01/27 11:46:35 | 000,000,000 | ---D | C] -- C:\ProgramData\hdjrsl
[2014/01/27 11:46:29 | 000,000,000 | ---D | C] -- C:\ProgramData\xnfict
[2014/01/27 11:46:29 | 000,000,000 | ---D | C] -- C:\ProgramData\qeuk
[2014/01/27 11:46:29 | 000,000,000 | ---D | C] -- C:\ProgramData\pdbdo
[2014/01/27 11:46:28 | 000,000,000 | ---D | C] -- C:\ProgramData\nhbp
[2014/01/27 11:28:14 | 000,000,000 | ---D | C] -- C:\ProgramData\ghtmlxq
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc , à ce stade l'infection est supprimée ( c:\_OTL\... étant la quarantaine de OTL), et tu pourras supprimer la quarantaine de MBAM.


-----------------

Rend toi sur ce site https://www.virustotal.com/ et analyse ce fichier : C:\Windows\System32\drivers\cgglky.sys , tu donnes l'adresses du lien en fin d'analyse.

tuto > http://forum.malekal.com/virustotal-com ... t9828.html

[Danal-40]

Merci encore une fois Angelique.
MBAM tourne en ce moment.
Je relance OTL tout de suite après
Je suppose qu'il faut cocher les mêmes cases qu'avant ?
- Rapport minimal
- All users
- Registre standard : tous
- Recherche lop et Purity
ou bien certaines doivent être différentes ?

[angelique]

Pour OTL , ç'est par defaut les cases cochées quand tu le relances pour Correction avec le script au dessus, donc non.

[Danal-40]

Re Angelique,

La correction OTL est maintanant terminée.

1- En ce qui concerne cgglky.sys, je ne l'ai pas trouvé dans le répertoire C:\Windows\System32\Drivers, même avec "affichage dossiers et fichiers cachés". Est-ce normal ?
2- J'ai FileConverter1.5 Toolbar, mais c'est un composant Windows, et je ne peux pas le supprimer. Est-ce important ?
3- Comment supprimer la quarantaine de MBAM ?

Merci de vos réponses.

[angelique]

il est pourtant present sans attribut cachés: [2014/01/28 13:06:38 | 000,054,016 | ---- | M] () -- C:\Windows\System32\drivers\cgglky.sys

FileConverter1.5 Toolbar laisse tomber alors et fait la correction OTL.

Y'a un onglet quarantaine dans MBAM non ? > http://www.pcastuces.com/pratique/astuces/3050.htm

[Danal-40]

Re Angelique,
Pour la quarantaine MBAM, désolé d'avoir posé une question stupide, j'avais pas tilté.

En ce qui concerne cgglky.sys, je confirme, pas trouvé. J'ai même fait une recherche dans le répertoire Windows entier avec comme critère de recherche "cg*.sys", pas de résultat. Que faire ?

En tout cas, je te suis reconnaissant de ton aide précieuse, car je me sentais très mal pour traiter le problème. C'est super sympa ce forum, et je le recommande.

Encore merci

[angelique]

t'as bien coché afficher les fichiers cachés et decoché masquer les fichiers .... voir > http://forum.malekal.com/afficher-les-f ... 18239.html voir si C:\Windows\System32\drivers\cgglky.sys existe ?

Pour les fichiers, dossiers cryptés , tu as essayé la solution de newton94 ? restaurer une version précédente du dossier ? ton infection s'etant posé le 27/01 apparamment, donc avant le 27 > http://forum.malekal.com/restaurer-vers ... t8815.html

[Danal-40]

Bonjour Angelique,
Oui, j'ai bien coché "Afficher les fichiers et dossiers cachés" et décoché "Masquer les fichiers protégés du système d'exploitation", et j'ai aussi exécuté fix.reg comme indiqué dans le tutoriel de Malekal_Morte.
Je ne vois pas de cgglky.sys.
Que faire ?
l'Os de cet ordinareur est Vista version familiale, j'ai un autre ordi avec XP pro, et il semble que ce fichier n'y soit pas non plus.

Merci pour l'info pour récupérer les dossiers cryptés. Je vais l'essayer.

[angelique]

•Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
Download Mirror
Download Mirror #2

• Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7
• Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:
  

  Code : Tout sélectionner

  :dir
  C:\Windows\System32\drivers\ /md5
  

• Click le bouton Look pour commencer le scan.
• opie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt