Security-X

Forum Security-X => Désinfections => Discussion démarrée par: chauvesouris le octobre 25, 2012, 18:58:00

Titre: trojan hellomoto
Posté par: chauvesouris le octobre 25, 2012, 18:58:00
Bonjour à tous,

J'ai exactement le même problème (voir ci-dessous) que Hatton avec le trojan hellomoto.
J'ai déjà fait tourner OTL avec le script qui est donné dans la réponse et j'ai donc les 2 logs OTL.txt et Extras.txt que je peux envoyer.

Pouvez-vous m'aider à me débarasser de cette crasse?

D'avance merci bcp
Titre: Re : trojan hellomoto
Posté par: hyunkel30 le octobre 25, 2012, 23:24:25
 :AAC Bonsoir chauvesouris,

Bienvenu sur Security-X,

On va regarder cela ensemble, envoi-moi les rapports de cette manière s'il te plait :

Titre: Re : trojan hellomoto
Posté par: chauvesouris le octobre 27, 2012, 14:26:59
Voilà les 2 liens pour les rapports :

http://security-x.fr/up/file.php?h=Rcc1070e89e94c5ae1bec1a73f85a0ff1
 
http://security-x.fr/up/file.php?h=R46205bf61735718e20b9e23ae733cb0e
Titre: Re : trojan hellomoto
Posté par: hyunkel30 le octobre 27, 2012, 16:59:20
Re,

Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.


1) Relance  OTL.exe


/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\



:OTL
IE - HKU\S-1-5-21-484763869-1592454029-682003330-1006\..\URLSearchHook: {EEE6C35D-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgHelper.dll (SweetIM Technologies Ltd.)
O2 - BHO: (SweetIM Toolbar Helper) - {EEE6C35C-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKLM\..\Toolbar: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O3 - HKU\S-1-5-21-484763869-1592454029-682003330-1006\..\Toolbar\WebBrowser: (SweetIM Toolbar for Internet Explorer) - {EEE6C35B-6118-11DC-9C72-001320C79847} - C:\Program Files\SweetIM\Toolbars\Internet Explorer\mgToolbarIE.dll (SweetIM Technologies Ltd.)
O4 - HKLM..\Run: [trthbepctonwssx] C:\Documents and Settings\All Users\Application Data\trthbepc.exe File not found
O8 - Extra context menu item: Search the Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\MenuExt.html ()
[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[1 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[2011/12/21 16:48:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\SweetIM

:Files
C:\Program Files\SweetIM

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


A partir de c moment là, tu devrais pouvoir redémarrer normalement, sinon, dis-le moi, poursuis alors la procédure :


2) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

- SweetIM Toolbar for Internet Explorer 4.2 (adware : logiciel publicitaire)



3) Télécharge MalwareByte's Anti-Malware (http://www.inforumatique.fr/site/download/download-82+malwarebytes-anti-malware.php) :

Titre: Re : trojan hellomoto
Posté par: chauvesouris le octobre 27, 2012, 19:59:29
Voilà le lien pour le rapport suite à l'étape 1 (OTL) :

http://security-x.fr/up/file.php?h=R6471ec79e33ffe412b6e0d43b21f488d

Le pc a bien redémaré normalement

Je continue la procédure...
Titre: Re : trojan hellomoto
Posté par: chauvesouris le octobre 27, 2012, 20:03:31
Pas trouvé le "SweetIM Toolbar for Internet Explorer 4.2" dans ma liste de programmes, je passe à l'étape suivante...
Titre: Re : trojan hellomoto
Posté par: chauvesouris le octobre 28, 2012, 18:49:09
Voilà le rapport de l'étape n°3 ( MalwareByte's Anti-Malware)...

http://security-x.fr/up/file.php?h=R7b7db870628750fecab125103129a584

Apparemment, ça a l'air bon... faut encore faire qqch???
Titre: Re : trojan hellomoto
Posté par: chauvesouris le octobre 28, 2012, 19:21:57
Juste une petite précision, jusqu'à présent j'ai fait les manips en étant loggé comme administrateur... là ça se passe bien.
Par contre, je viens d'essayer de me logger avec mon compte habituel mais là j'ai tjs la fenêtre gendarmerie nationale qui s'ouvre directement au démarrge du PC  :AAJ
Cette crasse est tjs là....
j'attends donc les instructions suivantes...
Encore merci pour l'aide jusqu'à présent!!
Titre: Re : trojan hellomoto
Posté par: hyunkel30 le octobre 28, 2012, 19:27:35
Re,

Ok pour les rapports.

Oui, j'ai une question pour toi suite au rapport de malwarebyte's justement

As-tu toi, ou l'administrateur de ces pc, installé et configuré ces démarrages ?
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
c:\resources\tools\toggleql.exe

Connais-tu ces fichiers ?

Je pense que Malwarbyte's tique dessus, mais je ne suis pas certains que ce soit des fichiers légitimes, ils peuvent être crée pour la gestion de ce pc sur le réseau de l'entreprise.

Titre: Re : trojan hellomoto
Posté par: chauvesouris le octobre 28, 2012, 21:38:17
Bonsoir hyunkel30,

A mon avis, ce sont bien des fichiers pour la gestion de ce pc sur le réseau de l'entreprise.
En fait, je retrouve ces fichiers sous plusieurs profils qui correspondent à des administrateurs réseau dans ma boîte...

J'espère que ça répond à ta question
Titre: Re : trojan hellomoto
Posté par: hyunkel30 le octobre 28, 2012, 22:02:37
Re,

c’est bien là tout mon problème  :hi:

Cela ne ressemble pas aux variantes que je connais de ce ransomware, et pourtant, Malwarebyte's en a détecté comme étant :
Citer
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce|QuickLaunch (Trojan.WinLock) -> Données: c:\resources\tools\toggleql.exe 0 -> Mis en quarantaine et supprimé avec succès.
C:\Resources\Tools\toggleql.exe (Trojan.WinLock) -> Mis en quarantaine et supprimé avec succès.

Winlock étant le nom donné par l'outil au ransomware de ce type ...

Or, comme je l'ai dis, cela me parait pas normal, sachant que ce sont "possiblement" des outils connu, et qu'il n'ont pas été crée récemment sur ce pc, tout en étant dans le dossier "normal" de l'application.

Pourtant, tu me dis que tu ne peux entrer sur ta session, alors, j'ai de gros doutes ...

On va donc tester de les supprimer, au pire, on les remettra si vraiment c'était des fichiers "utile" : (à faire sur une session accessible)


  Relance  OTL.exe

(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\



:OTL
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-kapeimpj\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
O4 - Startup: C:\Documents and Settings\admin-lefebvrc\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-lefebvrc\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-lefebvrc\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
O4 - Startup: C:\Documents and Settings\admin-wauthyg\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\admin-wauthyg\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\admin-wauthyg\Start Menu\Programs\Startup\UserScreenSaver.vbs ()
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\Startup\NethoodSC.vbs ()
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\Startup\QLToggle.lnk = C:\Resources\Tools\QlaunchToggle.cmd ()
O4 - Startup: C:\Documents and Settings\Default User\Start Menu\Programs\Startup\UserScreenSaver.vbs ()


:files
C:\Documents and Settings\All Users\Application Data\trthbepc.exe

:Commands
[emptytemp]



Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


Dis-moi si tu peux redémarrer sur ta session après cela ou non.