Libellules.ch - forum d'informatique • [résolu] Demande de désinfection => 9 Trojans + 2 autres ! : Désinfections et demandes d'analyse

par **nanotek** » 15 Fév 2013 22:16

Bonsoir,
9 trojans d'un seul coup, qui dit mieux ?

ce jour, vendredi 15 février 2013, ma session de travail a été la suivante :
a - Analyse complète KIS => R.A.S
b - Analyse MBAM => R.A.S

c - puis je suis allé voir Windows Update où j'ai eu la surprise de me voir proposer l'installation de Zune.exe 4.8 de Microsoft, que je n'avais jamais réussi à installer jusqu'ici.
WU me notifie que le logiciel pèse 150 Mega environ. Mais au démarrage du téléchargement, ce n'est plus que 49 Méga qui m'est notifié. l'install s'est terminé évidemment par un échec.
Lors de ma dernière tentative d'install de Zune.exe (téléchargement manuel, puis install, il y a +1 mois) j'avais déjà eu un échec, mais aussi récolté des indésirables.
trojans-trouves-par-kaspersky-et-mbam-t40213.html

Suite à cette manip WU, j'ai refait à titre conservatoire les mêmes opérations que (a) et (b) ci-dessus :
d - Analyse complète KIS => R.A.S
e - Analyse MBAM => 9 Trojans !

Compte tenu de la chronologie de ma session et des petites bêtes déjà rencontrées, ces Trojans ne peuvent être imputés logiquement qu'à Zune.exe

Ci-dessous les résultats de MBAM :
Clé(s) du Registre détectée(s): 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\CodeStuff Starter (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\SpeedFan (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Unlocker (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 6
C:\Documents and Settings\pc\MaConfigSetupTemp.exe (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\pc\Application Data\Juniper Networks\setup\uninstall.exe (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.
E:\Program Files\CodeStuff\Starter\unStarter.exe (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.
E:\Program Files\SpeedFan\uninstall.exe (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.
E:\Program Files\Unlocker\uninst.exe (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.
E:\Program Files\VS Revo Group\Revo Uninstaller\uninst.exe (Trojan.Backdoor.MRX) -> Mis en quarantaine et supprimé avec succès.

Ces clès et ces fichiers ont disparu, mais est-ce que dois supprimer les logiciels cités (par ex. Unlocker ou Revo) ?

Je joins à ce post un rapport ZHPDiag au cas où vous estimeriez nécessaire de nettoyer plus à fond mon pc.
http://cjoint.com/?CBpwoTab4fP

Je vous remercie infiniment pour votre regard d'expert et les suggestions que vous pourriez me faire.
cordialement,

par **nardino** » 16 Fév 2013 11:04

Bonjour,
Il s’agit de faux-positifs.
Mets MBAM à jour et refais un scan.
@+

par **nanotek** » 16 Fév 2013 11:50

merci nardino,

MBAM => R.A.S
Tu n'as rien vu de spécial dans le rapport ZHPDiag.txt ? rien concernant l'imprimante ? ton avis me rassurerait.

Si je comprends bien, (voir mon 1er lien) une tentative d'install de Zune.exe, de Microsoft introduit des faux positifs...!
encore merci d'avoir jeté un oeil.

cordialement,

par **nardino** » 16 Fév 2013 13:23

Bonjour,
Ce n'est pas Microsoft qui introduit des faux-positifs, c'est MBAM qui trouvent des malfaisants là où il n'y en pas.
C'est tout à fait différent.
@+

par **nanotek** » 17 Fév 2013 13:50

@nardino,

MBAM vient encore de me découvrir : Trojan.FakeRP
dans le fichier suivant qui n'avait rien d'anormal auparavant : C:\Program Files\Free Hide Folder\fhide.exe
fhide.exe sert à cacher des dossiers, et avait été recommandé par plusieurs forums (dont PCAstuces).

rapport de MBAM :
Fichier(s) détecté(s): 1
C:\Program Files\Free Hide Folder\fhide.exe (Trojan.FakeRP) -> Mis en quarantaine et supprimé avec succès.

Le plus ennuyeux, c'est que j'avais utilisé ce fichier, et donc plusieurs de mes dossiers sont cachés.
La mise en quarantaine de MBAM a supprimé ce fichier, et je ne peux pas "dé-cacher" ces dossiers !

sur VirusTotal, voici ce que j'ai vu, et je le soumets à ton analyse
http://cjoint.com/?CBro0FWXgwi

Autre événement : KIS m'a trouvé : Packed.Win32.Krap.hc (supprimé)
http://cjoint.com/?CBrqaQXNyXl

Que dois-je faire, et que puis-je faire pour mes dossiers cachés ?

merci de bien vouloir te pencher là-dessus.

cordialement,

par **nardino** » 17 Fév 2013 16:06

Bonjour,
Il faut aller dans l'onglet Quarantaine et restaurer le fichier en cause.
@+

par **nanotek** » 17 Fév 2013 17:10

@nardino,

- Ok, c'est ce que j'ai fait. Puis j'ai "dé-caché" les dossiers.
Puis repassé MBAM pour mettre en quarantaine à nouveau, Trojan.FakeRP puis désinstallé totalement fhide.exe
Ce n'était pas un faux positif, d'après VirusTotal.

Est-ce que tu connaîtrais un équivalent freeware à fhide.exe ?

- Pour KIS, je suppose que tout est Ok, puisque qu'il a supprimé Packed.Win32.Krap.hc
qui n'était pas un faux positif non plus.
J'ai supprimé tous les points de restauration et j'en ai créé un neuf.

C'est propre, maintenant ?

merci pour ton intervention

cordialement,

[résolu] Demande de désinfection => 9 Trojans + 2 autres !

[résolu] Demande de désinfection => 9 Trojans + 2 autres !

Re: Demande de désinfection => 9 Trojans d'un coup !

Re: Demande de désinfection => 9 Trojans d'un coup !

Re: Demande de désinfection => 9 Trojans d'un coup !

Re: Demande de désinfection => 9 Trojans d'un coup !

Re: Demande de désinfection => 9 Trojans + 2 autres !

Re: Demande de désinfection => 9 Trojans + 2 autres !

Qui est en ligne