Supprimer W32.Yahack.A : NTDETECT.EXE/UpDateWinc.exe

Trojan qui se propage par disques amovibles, il vole les identifiants Yahoo Messenger! et a des fonctionnalités de keyloggers.

Je vous conseille vivement de lire le contenu des liens suivants afin de mieux comprendre leur fonctionnement et donc de pouvoir les éviter:

Détection de W32.Yahack.A : NTDETECT.EXE/UpDateWinc.exe

L'infection ajoute les fichiers suivants :
%SystemDrive%\autorun.inf
%Windir%\system32\UpDateWinc.exe
%Windir%\system32\UpDateWind.exe
%Windir%\LogBoy.log
%SystemDrive%\a1.exe
%SystemDrive%\pass1.txt
%SystemDrive%\tem.exe
%SystemDrive%\temp1.bat
%SystemDrive%\NTDETECT.exe

L'infection ajoute la ligne suivante sur HijackThis :
F3 - REG:win.ini: run=C:\WINDOWS\System32\UpDateWinc.exe

Exempe de détection du dropper... :

Fichier NTDETECT.EXE reçu le 2008.05.04 17:48:23 (CET)
Situation actuelle: terminé
Résultat: 16/32 (50.00%)
Formaté Formaté
Impression des résultats Impression des résultats
Antivirus     Version     Dernière mise à jour     Résultat
AhnLab-V3     -     -     -
AntiVir     -     -     TR/Crypt.XPACK.Gen
Authentium     -     -     -
Avast     -     -     -
AVG     -     -     -
BitDefender     -     -     -
CAT-QuickHeal     -     -     Trojan.Pakes.ckr
ClamAV     -     -     Trojan.Pakes-1646
DrWeb     -     -     -
eSafe     -     -     Suspicious File
eTrust-Vet     -     -     -
Ewido     -     -     -
F-Prot     -     -     W32/Trojan2.ALGA
F-Secure     -     -     Trojan.Win32.Pakes.ckr
FileAdvisor     -     -     -
Fortinet     -     -     -
Ikarus     -     -     Trojan.Win32.Pakes.ckr
Kaspersky     -     -     Trojan.Win32.Pakes.ckr
McAfee     -     -     -
Microsoft     -     -     Trojan:Win32/Alureon.gen!H
NOD32v2     -     -     -
Norman     -     -     W32/Smalltroj.DTJL
Panda     -     -     -
Prevx1     -     -     Malicious Software
Rising     -     -     -
Sophos     -     -     Mal/Generic-A
Sunbelt     -     -     Trojan.Win32.Pakes.ckr
Symantec     -     -     -
TheHacker     -     -     Trojan/Pakes.ckr
VBA32     -     -     Trojan.Win32.Pakes.ckr
VirusBuster     -     -     -
Webwasher-Gateway     -     -     Trojan.Crypt.XPACK.Gen
Information additionnelle
MD5: 3ce72f1b2c456e3206b17d0dbd1649a4
SHA1: b4b6ba31dd2b56be63616ff91ea01888d7f91148

Scan 15 jours plus tard...

Fichier NTDETECT.EXE reçu le 2008.05.20 11:08:10 (CET)
Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE
Résultat: 18/32 (56.25%)


Antivirus     Version     Dernière mise à jour     Résultat
AhnLab-V3    2008.5.20.0    2008.05.20    -
AntiVir    7.8.0.19    2008.05.20    TR/Crypt.XPACK.Gen
Authentium    5.1.0.4    2008.05.19    W32/Trojan2.ALGA
Avast    4.8.1195.0    2008.05.19    -
AVG    7.5.0.516    2008.05.19    -
BitDefender    7.2    2008.05.20    -
CAT-QuickHeal    9.50    2008.05.19    Trojan.Pakes.ckr
ClamAV    0.92.1    2008.05.20    Trojan.Pakes-1646
DrWeb    4.44.0.09170    2008.05.20    -
eSafe    7.0.15.0    2008.05.19    Suspicious File
eTrust-Vet    31.4.5805    2008.05.20    -
Ewido    4.0    2008.05.19    -
F-Prot    4.4.2.54    2008.05.14    W32/Trojan2.ALGA
F-Secure    6.70.13260.0    2008.05.20    Trojan.Win32.Pakes.ckr
Fortinet    3.14.0.0    2008.05.20    -
GData    2.0.7306.1023    2008.05.20    Trojan.Win32.Pakes.ckr
Ikarus    T3.1.1.26.0    2008.05.20    Trojan.Win32.Pakes.ckr
Kaspersky    7.0.0.125    2008.05.20    Trojan.Win32.Pakes.ckr
McAfee    5298    2008.05.19    -
Microsoft    1.3520    2008.05.20    Trojan:Win32/Alureon.gen!H
NOD32v2    3113    2008.05.20    -
Norman    5.80.02    2008.05.19    W32/Smalltroj.DTJL
Panda    9.0.0.4    2008.05.20    -
Prevx1    V2    2008.05.20    Malicious Software
Rising    20.45.11.00    2008.05.20    -
Sophos    4.29.0    2008.05.20    Mal/Generic-A
Sunbelt    3.0.1123.1    2008.05.17    Trojan.Win32.Pakes.ckr
Symantec    10    2008.05.20    -
TheHacker    6.2.92.314    2008.05.20    Trojan/Pakes.ckr
VBA32    3.12.6.6    2008.05.19    Trojan.Win32.Pakes.ckr
VirusBuster    4.3.26:9    2008.05.19    -
Webwasher-Gateway    6.6.2    2008.05.20    Trojan.Crypt.XPACK.Gen
Information additionnelle
File size: 19968 bytes
MD5...: 3ce72f1b2c456e3206b17d0dbd1649a4
SHA1..: b4b6ba31dd2b56be63616ff91ea01888d7f91148

Suppression W32.Yahack.A : NTDETECT.EXE/UpDateWinc.exe

Téléchargez et lancez HijackThis
Cliquez sur Do a scan and save log file.
Cochez la ligne suivante :
- F3 - REG:win.ini: run=C:\WINDOWS\System32\UpDateWinc.exe
Cliquez en bas sur Fix Checked
Téléchargez OTMoveIt de OldTimer
- Sauvegardez le sur ton Bureau.
- Double-Cliquez sur OTMoveIt.exe pour le lancer.
- Copiez le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL+C (ou, après avoir sélectionner, clique-droit et choisis Copier) :
  - [kill explorer]
  - %SystemDrive%\autorun.inf
  - %Windir%\system32\UpDateWinc.exe
  - %Windir%\system32\UpDateWind.exe
  - %Windir%\LogBoy.log
  - %SystemDrive%\a1.exe
  - %SystemDrive%\pass1.txt
  - %SystemDrive%\tem.exe
  - %SystemDrive%\temp1.bat
  - %SystemDrive%\NTDETECT.exe
  - [start explorer]
- Retournez dans OTMoveit, fais un clique-droit dans la fenêtre Paste List of Files/Folders to be moved" et choisissez Coller.
- Cliquez sur le bouton rouge Moveit!.
- Fermez OTMoveIt.
- Note : Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis [b]Yes[/b][/i].

Téléchargez et scannez votre ordinateur avec Malwarebyte's Anti-Malware anti-malware
Redémarrez l'ordinateur

Nettoyez votre ordinateur avec USBFix : Voir le tutorial USBFix

Autres Liens

Pour plus d'informations, sur le fonctionnement des spywares et les conseils à suivre :
Fonctionnement et suppression des Vers/Spywares/Malwares sous Windows
Guide de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike, Winbound, etc..)