Bifrost [Résolu]

[Winner07]

Bonjour tout le monde,

J'ai été hacké il y a quelques semaines par le celèbre et dangereux trojan Bifrost.
J'ai essayé de supprimer le server de mon pc mais il est malheureusement toujours là, la seule solution qui me reste est de le formater.
Je voudrai tout d'abord copier mes fichiers sur un disque dur externe avant de le formater mais j'ai peur que mon disque chope le server une fois connecté sur le pc, et même chose pour mes clee usb. ??!
Besoin d'aide.

Merci.

[Del-crosseur]

Bonsoir ,

Sa serais dommage de formater votre pc , si nous pouvons le désinfecter...


Télécharge puis installe :

par Marcin Kleczynski

Tu peut , si tu le souhaite , consulter se superbe Tuto-Malwarebyte réalisé par Danakil

• Met-le à jour(très important ) , puis coche, "Exécuter un examen complet"
• Si une infection est trouvée, coche la case à coté et valide avec l’Onglet Supprimer la sélection
• Après la suppression , l'outil va surement te demander de redémarrer l'ordinateur -->accepte<--
• il est conseillé de désactivé Tea-Timer si tu as Spybot-S&D juste le temps du scan.

Voici comment faire: Lancez Spybot-S&D, passez en Mode avancé via le Menu Mode (en haut) ? cliquez sur Oui--> choisissez Outils dans la barre de navigation sur la gauche -->Résident et là vous pouvez décocher les cases situées devant les deux outils.

Poste le rapport final.

Ps:Au cas ou tu n'a pas le rapport suite à une erreur de manipulation ; relance Malwarebytes puis rends toi dans l'onglet "rapports/Logs" selectionne le dernier puis Copier/Coller dans ta réponse

Puis :::




Télécharge ZHPDiag par Nicolas Coolman et sauvegarde-le sur le Bureau.

• Laisse toi guider lors de l'installation, le programme se lancera automatiquement à la fin.
  
• /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag:
  « exécuter en tant qu'Administrateur »/!\
  
• Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
  Ne touche pas au pc lors du Scan ,celui-ci provoquerait un Gel du programme
  
• Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
  
• Va sur le site http://cjoint.com/
  
• Clique sur le bouton Parcourir et sélectionne le dernier rapport ZHPDiag.txt qui est sur ton bureau.
  
• Clique ensuite sur Créer le lien Cjoint pour déposer le fichier
  
• Patiente puis copie/colle dans ta réponse le lien qui apparait

Note: pour les utilisateurs d'Avast : Cet antivirus génère des alertes, il s'agit de faux positif (fausses alertes) délivrés par l'antivirus lorsqu'il rencontre une base de donnée PARADOX Delphi Borland.

[Winner07]

Bonjour,

Merci beaucoup pour ta réponse Del-crosseur, j'ai bien suivi ce que tu as écris, voilà donc le 1er rapport :


Malwarebytes Anti-Malware 1.60.0.1800
www.malwarebytes.org

Version de la base de données: v2012.01.03.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
hp :: PC-DE-HP [administrateur]

03/01/2012 04:53:00
mbam-log-2012-01-03 (04-53-00).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 320139
Temps écoulé: 1 heure(s), 52 minute(s), 52 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 3
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256A51-B582-467e-B8D4-7786EDA79AE0} (Trojan.Vundo) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{1D4DB7D2-6EC9-47a3-BD87-1E41684E07BB} (Adware.MyWebSearch) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{9FEC6A72-29B3-EAE5-0215-F3C47B4CEC13} (Backdoor.Bifrose) -> Données: C:\Users\hp\AppData\Roaming\server.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\hp\AppData\Roaming\Bifrost (Backdoor.Bifrose) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 7
C:\Users\hp\AppData\Roaming\server.exe (Backdoor.Bifrose) -> Mis en quarantaine et supprimé avec succès.
C:\Users\hp\AppData\Roaming\Bifrost\server.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\hp\Downloads\MediaPluginSetup.exe (Spyware.GamePlayLabs) -> Mis en quarantaine et supprimé avec succès.
C:\Users\hp\Downloads\WhiteSmokeInstaller_9147(1).exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Users\hp\Downloads\WhiteSmokeInstaller_9147.exe (Adware.Agent) -> Mis en quarantaine et supprimé avec succès.
D:\Tracing\D.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Users\hp\AppData\Roaming\addons.dat (Bifrose.Trace) -> Mis en quarantaine et supprimé avec succès.

(fin)

[Del-crosseur]

Bonsoir ,

Vous voyez , le Trojan a bien étais trouvé & supprimé par Malwarebytes ... Mais , nous n'avons pas terminé
il peut y rester des traces...Ainsi que d'autres traces d'infections... !

Pouvez-vous me transmettre le rapport ZHPDiag demandé si dessus svp ?

Bonne fin de journée !

[Winner07]

Re bonjour cher ami,

J'ai telechargé ZHPDiag mais quelques minutes après le démarrage du scan un message comme suit "le texte dépasse la capacité du mémo" s'affiche. et puis quand je clique sur ok, le logiciel bloque sur 1% et ne répond plus.
Un petit problème ?

Merci et joyeuse année.

[Del-crosseur]

Bonjour ,

Pour le lancez , faite Clique-droit et "Exécuté en tant qu'administrateur"
Sinon je contact le développeur afin de récolter plus d'informations sur cette erreur..

EDIT: Alors , pouvez vous me transmettre votre "Fichier Hosts" se trouvant: C:\WINDOWS\system32\drivers\etc\hosts

1-Compressé le avec Winrar
2-Upload le sur Mégaupload

Puis donne moi le lien de téléchargement !

Si vous ne savez pas... Comment compressé avec Winrar

Bonne soirée !

[Winner07]

Bonjour,

J'ai voulu le compresser mais un message surgit : ! Impossible de créer hosts.rar! Accès refusé.
LOL

[Del-crosseur]

Bonsoir

Va ton dossier de Winrar (C:\Program Files (x86)\WinRAR) :

Là clique droit sur WinRAR.exe
>Propriétés
>Compatibilité
>Cocher "Exécuter ce programme en tant qu'administrateur"

réessaye , sinon copie tout le contenue du Fichier Hosts puis colle dans un document texte
Puis fais les étape en le compressant ...

[Winner07]

Bonsoir,

C'est bon voici le lien : http://www.megaupload.com/?d=9J3D9VA9

[Del-crosseur]

Bonjour

Merci , je le transmet au développeur ... Je reviendrais vers toi dès que possible
Merci pour votre patience

@ +

[Del-crosseur]

Hello

Retente le Scan en Mode normale , si il bloque tente en Mode Sans Échec !

@ +

[Winner07]

Salut,

Merci pour ton aide je te remercie énormément !! J'ai réussi à me débarrasser de ce trojan

Je voudrai telecharger un anti-virus mais je ne sais lequel... pouvez vous me conseiller le meilleur ?

Merci encore une fois

[Del-crosseur]

Bonjour ,

Avira est très bien , vous le trouverais en version gratuite ici -> http://www.commentcamarche.net/download ... 55-antivir

@ +