Auteur Sujet: trojan hellomoto  (Lu 4806 fois)

0 Membres et 1 Invité sur ce sujet

Hors ligne chauvesouris

  • Membres
  • Members
  • Messages: 7
trojan hellomoto
« le: octobre 25, 2012, 18:58:00 »
Bonjour à tous,

J'ai exactement le même problème (voir ci-dessous) que Hatton avec le trojan hellomoto.
J'ai déjà fait tourner OTL avec le script qui est donné dans la réponse et j'ai donc les 2 logs OTL.txt et Extras.txt que je peux envoyer.

Pouvez-vous m'aider à me débarasser de cette crasse?

D'avance merci bcp
« Modifié: octobre 25, 2012, 19:22:16 par hyunkel30 »

Security-X

trojan hellomoto
« le: octobre 25, 2012, 18:58:00 »

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : trojan hellomoto
« Réponse #1 le: octobre 25, 2012, 23:24:25 »
 :AAC Bonsoir chauvesouris,

Bienvenu sur Security-X,

On va regarder cela ensemble, envoi-moi les rapports de cette manière s'il te plait :


Hors ligne chauvesouris

  • Membres
  • Members
  • Messages: 7

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : trojan hellomoto
« Réponse #3 le: octobre 27, 2012, 16:59:20 »
Re,

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.


1) Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


:OTL
IE - HKU\S-1-5-21-484763869-1592454029-682003330-1006\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\S-1-5-21-484763869-1592454029-682003330-1006\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [trthbepctonwssx] C:\Documents and Settings\All Users\Application Data\trthbepc.exe File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2011/12/21 16:48:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\SweetIM

:Files
C:\Program Files\SweetIM

:Commands
[emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


A partir de c moment là, tu devrais pouvoir redémarrer normalement, sinon, dis-le moi, poursuis alors la procédure :


2) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- SweetIM Toolbar for Internet Explorer 4.2 (adware : logiciel publicitaire)



3) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.
  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"

Hors ligne chauvesouris

  • Membres
  • Members
  • Messages: 7
Re : trojan hellomoto
« Réponse #4 le: octobre 27, 2012, 19:59:29 »
Voilà le lien pour le rapport suite à l'étape 1 (OTL) :

http://security-x.fr/up/file.php?h=R6471ec79e33ffe412b6e0d43b21f488d

Le pc a bien redémaré normalement

Je continue la procédure...

Hors ligne chauvesouris

  • Membres
  • Members
  • Messages: 7
Re : trojan hellomoto
« Réponse #5 le: octobre 27, 2012, 20:03:31 »
Pas trouvé le "SweetIM Toolbar for Internet Explorer 4.2" dans ma liste de programmes, je passe à l'étape suivante...

Hors ligne chauvesouris

  • Membres
  • Members
  • Messages: 7
Re : trojan hellomoto
« Réponse #6 le: octobre 28, 2012, 18:49:09 »
Voilà le rapport de l'étape n°3 ( MalwareByte's Anti-Malware)...

http://security-x.fr/up/file.php?h=R7b7db870628750fecab125103129a584

Apparemment, ça a l'air bon... faut encore faire qqch???

Hors ligne chauvesouris

  • Membres
  • Members
  • Messages: 7
Re : trojan hellomoto
« Réponse #7 le: octobre 28, 2012, 19:21:57 »
Juste une petite précision, jusqu'à présent j'ai fait les manips en étant loggé comme administrateur... là ça se passe bien.
Par contre, je viens d'essayer de me logger avec mon compte habituel mais là j'ai tjs la fenêtre gendarmerie nationale qui s'ouvre directement au démarrge du PC  :AAJ
Cette crasse est tjs là....
j'attends donc les instructions suivantes...
Encore merci pour l'aide jusqu'à présent!!

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : trojan hellomoto
« Réponse #8 le: octobre 28, 2012, 19:27:35 »
Re,

Ok pour les rapports.

Oui, j'ai une question pour toi suite au rapport de malwarebyte's justement

As-tu toi, ou l'administrateur de ces pc, installé et configuré ces démarrages ?
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
c:\resources\tools\toggleql.exe

Connais-tu ces fichiers ?

Je pense que Malwarbyte's tique dessus, mais je ne suis pas certains que ce soit des fichiers légitimes, ils peuvent être crée pour la gestion de ce pc sur le réseau de l'entreprise.


Hors ligne chauvesouris

  • Membres
  • Members
  • Messages: 7
Re : trojan hellomoto
« Réponse #9 le: octobre 28, 2012, 21:38:17 »
Bonsoir hyunkel30,

A mon avis, ce sont bien des fichiers pour la gestion de ce pc sur le réseau de l'entreprise.
En fait, je retrouve ces fichiers sous plusieurs profils qui correspondent à des administrateurs réseau dans ma boîte...

J'espère que ça répond à ta question

Hors ligne hyunkel30

  • Admin Formation
  • Mega Power Members
  • ****
  • Messages: 21901
  • Le monde est devenu fou ...
Re : trojan hellomoto
« Réponse #10 le: octobre 28, 2012, 22:02:37 »
Re,

c’est bien là tout mon problème  :hi:

Cela ne ressemble pas aux variantes que je connais de ce ransomware, et pourtant, Malwarebyte's en a détecté comme étant :
Citer
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|QuickLaunch (Trojan.WinLock) -> Données: c:\resources\tools\toggleql.exe 0 -> Mis en quarantaine et supprimé avec succès.
C:\Resources\Tools\toggleql.exe (Trojan.WinLock) -> Mis en quarantaine et supprimé avec succès.

Winlock étant le nom donné par l'outil au ransomware de ce type ...

Or, comme je l'ai dis, cela me parait pas normal, sachant que ce sont "possiblement" des outils connu, et qu'il n'ont pas été crée récemment sur ce pc, tout en étant dans le dossier "normal" de l'application.

Pourtant, tu me dis que tu ne peux entrer sur ta session, alors, j'ai de gros doutes ...

On va donc tester de les supprimer, au pire, on les remettra si vraiment c'était des fichiers "utile" : (à faire sur une session accessible)


  Relance  OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.


:OTL
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
O4 - Startup: C:\Documents and Settings\admin-lefebvrc\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-lefebvrc\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-lefebvrc\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
O4 - Startup: C:\Documents and Settings\admin-wauthyg\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-wauthyg\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-wauthyg\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\Startup\UserScreenSaver.vbs ()


:files
C:\Documents and Settings\All Users\Application Data\trthbepc.exe

:Commands
[emptytemp]


  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


Dis-moi si tu peux redémarrer sur ta session après cela ou non.

Tags: adwcleaner adware pub