# Trojan:Win32/Opachki : redirections Google **forum.malekal.com/viewtopic.php** Malekal_morte November 11, 2009 [Malekal_morte](https://forum.malekal.com/memberlist.php?mode=viewprofile&u=2&sid=69561609c489b8e07da2bab6e6008e12) **Messages : 110339** **Inscription : 10 sept. 2005 13:57** **Contact :** [Site internet](http://www.malekal.com/) par **[Malekal_morte » 11 nov. 2009 12:31](https://forum.malekal.com/memberlist.php?mode=viewprofile&u=2&sid=69561609c489b8e07da2bab6e6008e12)** Trojan:Win32/Opachki est un malware actif depuis un an qui provoque des redirections lors des recherches Google A l'heure où sont écrites ces lignes, les redirections ont lieux vers l'adresse thefeedwater.com exemple : hxx://thefeedwater.com/?do=rphp&sub=246&b=902152157&q=Logiciel%20espion%20%20Wikip%E9dia&orig=http%3A//fr.wikipedia.org/wiki/Logiciel_espion [Trojan:Win32/Opachki est aussi associé à des infections avec des rogues, par exemple](https://forum.malekal.com/est-que-les-rogues-scareware-t589.html) [Security Tool,](https://forum.malekal.com/security-tool-t21189.html#p174197) [la famille Antivirus System Pro ou enfin seres.exe qui installe le rogueAntivirus Pro 2010](https://forum.malekal.com/est-que-les-rogues-scareware-t589.html#p161616) Trojan:Win32/Opachki se caractérise par des lignes avec des fichiers DLL qui sont chargées par le processus rundll32. [Exemple de lignes HiJackThis](https://www.malekal.com/tutorial_HijackThis.html) [O4 - HKLM\..\Run: [calc] rundll32.exe C:\WINDOWS\system32\calc.dll,[email protected]](https://forum.malekal.com/cdn-cgi/l/email-protection) [O4 - HKCU\..\Run: [calc] rundll32.exe C:\DOCUME~1\MALEKA~1\ntuser.dll,[email protected]](https://forum.malekal.com/cdn-cgi/l/email-protection) ----- On retrouve les fichiers calc.dll, ntuser.dll mais aussi autochk.dll et scandisk.dll NOTE : il est impossible de tuer le processus rundll32 et fixer les lignes HijackThis ne sert à rien! NOTE2 : il semblerait que SpyBot soit très fort pour imaginer des infections Trojan:Win32/Opachki imaginaire : [http://forum.malekal.com/cheval-troie-o ... 21803.html](https://forum.malekal.com/cheval-troie-opachki-t21803.html) [http://forum.malekal.com/probleme-avec- ... ml#p179403](https://forum.malekal.com/probleme-avec-spybot-opachki-t21718.html#p179403) Les fichiers sont cachés du disque comme le montre les captures suivantes avec GMER qui montre le fichier en rouge. ----- ----- Trojan:Win32/Opachki se charche aussi via deux fichiers dans le menu Démarrer / Programmes / Démarrages qui sont aussi invisibles ----- [GMER donne les lignes suivantes :](https://www.malekal.com/tutorial_GMER.php) GMER 1.0.15.15163 - [http://www.gmer.net](http://www.gmer.net/) Rootkit scan 2009-11-11 03:16:35 Windows 5.1.2600 Service Pack 2 Running: l0pjcpp9.exe; Driver: C:\DOCUME~1\MALEKA~1\LOCALS~1\Temp\fwrcyaog.sys ---- Kernel code sections - GMER 1.0.15 --- ? C:\WINDOWS\system32\Drivers\PROCEXP100.SYS The system cannot find the file specified. ! ---- Files - GMER 1.0.15 --- File C:\Documents and Settings\Malekal_morte\ntuser.dll 24064 bytes executable File C:\Documents and Settings\Malekal_morte\Start Menu\Programs\Startup\scandisk.dll 24064 bytes executable File C:\Documents and Settings\Malekal_morte\Start Menu\Programs\Startup\scandisk.lnk 655 bytes File C:\WINDOWS\system32\calc.dll 24064 bytes executable ---- EOF - GMER 1.0.15 --- ----- Exemple de détection VirusTotal même si dans l exemple ci-dessus, ce n est pas très parlant puisqu on a des détections de paker, une famille FakeAlert et lême SinoMBR.. Le fait est que Trojan:Win32/Opachki est embarqué avec le rogue ----- File .exe received on 2009.11.07 04:39:49 (UTC) Current status: finished Result: 26/40 (65.00%) Compact Print results Antivirus Version Last Update Result a-squared 4.5.0.41 2009.11.06 Packed.Win32.Krap!IK AhnLab-V3 5.0.0.2 2009.11.06 AntiVir 7.9.1.61 2009.11.06 TR/Agent.AH.335 Antiy-AVL 2.0.3.7 2009.11.05 Packed/Win32.Krap Authentium 5.2.0.5 2009.11.07 W32/Agent.IEZ Avast 4.8.1351.0 2009.11.06 Win32:SinoMBR AVG 8.5.0.423 2009.11.06 Generic15.AKJF BitDefender 7.2 2009.11.07 CAT-QuickHeal 10.00 2009.11.06 Trojan.Krap.ah ClamAV 0.94.1 2009.11.07 Comodo 2867 2009.11.07 UnclassifiedMalware DrWeb 5.0.0.12182 2009.11.07 Trojan.Fakealert.4703 eTrust-Vet 35.1.7108 2009.11.06 F-Prot 4.5.1.85 2009.11.06 W32/Agent.IEZ F-Secure 9.0.15370.0 2009.11.04 Fortinet 3.120.0.0 2009.11.06 W32/Krap.AH GData 19 2009.11.07 Win32:SinoMBR Ikarus T3.1.1.74.0 2009.11.06 Packed.Win32.Krap Jiangmin 11.0.800 2009.11.06 K7AntiVirus 7.10.890 2009.11.06 Trojan.Win32.Malware.1 Kaspersky 7.0.0.125 2009.11.07 Packed.Win32.Krap.ah McAfee 5794 2009.11.06 Generic.dx!gkv McAfee+Artemis 5794 2009.11.06 Generic.dx!gkv McAfee-GW-Edition 6.8.5 2009.11.06 Heuristic.LooksLike.Trojan.Agent.C Microsoft 1.5202 2009.11.06 VirTool:Win32/Obfuscator.HG NOD32 4580 2009.11.06 Win32/Adware.SpywareProtect2009 Norman 6.03.02 2009.11.06 nProtect 2009.1.8.0 2009.11.07 Trojan/W32.Krap.273920.B Panda 10.0.2.2 2009.11.06 Trj/Zlob.KH PCTools 7.0.3.5 2009.11.06 Prevx 3.0 2009.11.07 Medium Risk Malware Rising 21.54.50.00 2009.11.07 Sophos 4.47.0 2009.11.07 Mal/Generic-A Sunbelt 3.2.1858.2 2009.11.06 Trojan.Win32.Generic!BT Symantec 1.4.4.12 2009.11.07 TheHacker 6.5.0.2.063 2009.11.06 TrendMicro 9.0.0.1003 2009.11.06 VBA32 3.12.10.11 2009.11.06 ViRobot 2009.11.6.2025 2009.11.06 VirusBuster 4.6.5.0 2009.11.06 Trojan.Agent.PKBP Additional information ----- File size: 273920 bytes MD5 : ebbd61a0c8129b405807f15007a56c3d SHA1 : ad7003c711555e6af70073c2d64fa6631c2b6d37 SHA256: 77d507efbd7b691c3f5d25a970b23fddcca27cb8add487fabac7cbb44a60ba7c **Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les** fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas ! ➔ **[Comment protéger son PC des virus](https://www.malekal.com/proteger-pc-virus-pirates/)** ➔ **Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer** **Windows 11** **[Comment demander de l'aide sur le forum](https://www.malekal.com/demander-aide/)** **Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook** du site. [Malekal_morte](https://forum.malekal.com/memberlist.php?mode=viewprofile&u=2&sid=69561609c489b8e07da2bab6e6008e12) **Messages : 110339** **Inscription : 10 sept. 2005 13:57** **Contact :** [Site internet](http://www.malekal.com/) ## Re: Trojan:Win32/Opachki : redirections Google par **[Malekal_morte » 11 nov. 2009 12:46](https://forum.malekal.com/memberlist.php?mode=viewprofile&u=2&sid=69561609c489b8e07da2bab6e6008e12)** [Combofix supprime le malware Opachki.](https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix) [Malwarebyte Anti-Malware doit aussi parvenir à supprimer l'infection.](https://www.malekal.com/malwarebyte-anti-malware-supprimer-les-virus/) ----- ComboFix 09-11-09.02 - Malekal_morte 11/11/2009 3:40.1.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.33.1033.18.223.55 [GMT -8:00] Lancé depuis: c:\documents and settings\Malekal_morte\Desktop\ComboFix.exe AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Malekal_morte\ntuser.dll c:\documents and settings\Malekal_morte\Start Menu\Programs\Startup\scandisk.dll c:\documents and settings\Malekal_morte\Start Menu\Programs\Startup\scandisk.lnk c:\program files\fklwur c:\program files\fklwur\amdcsysguard.exe c:\program files\sjidsv c:\program files\sjidsv\bvfpsysguard.exe c:\windows\system32\calc.dll c:\windows\system32\ieHElper.dll . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_NDISRD -------\Service_NPF ((((((((((((((((((((((((((((( Fichiers créés du 2009-10-11 au 2009-11-11 )))))))))))))))))))))))))))))))))))) . 2009-11-11 11:10 . 2009-11-11 11:10 24064 ----a-w- C:\calc.dll 2009-10-31 15:19 . 2009-10-31 15:19 -------- d-----w- c:\program files\Common Files\Adobe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-11-11 11:13 . 2009-03-20 09:44 -------- d-----w- c:\program files\System Safety Monitor 2009-10-31 15:19 . 2007-08-13 01:06 -------- d-----w- c:\program files\InCtrl5 . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "VMware Tools"="c:\program files\VMware\VMware Tools\VMwareTray.exe" [2007-02-05 49152] "VMware User Process"="c:\program files\VMware\VMware Tools\VMwareUser exe" [2007-02-05 ----- 114688] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= R0 vmscsi;vmscsi;c:\windows\system32\drivers\vmscsi.sys [12/08/2007 17:19 10880] R2 VMTools;VMware Tools Service;c:\program files\VMware\VMware Tools\VMwareService.exe [04/02/2007 19:43 159744] R2 vnccom;vnccom;c:\windows\system32\drivers\vnccom.SYS [10/06/2008 09:05 6016] R3 vmmouse;VMware Pointing Device;c:\windows\system32\drivers\vmmouse.sys [12/08/2007 17:19 4608] R3 vmx_svga;vmx_svga;c:\windows\system32\drivers\vmx_svga.sys [12/08/2007 17:19 15744] R3 vmxnet;VMware Ethernet Adapter Driver;c:\windows\system32\drivers\vmxnet.sys [12/08/2007 17:19 22528] --- Autres Services/Pilotes en mémoire -- *NewlyCreated* - MBR *Deregistered* - mbr . . ------- Examen supplémentaire ------. [uStart Page = hxxp://www.google.fr/](https://www.google.fr/) TCP: {440F4843-E2E5-4F10-BF49-C40179F015B6} = 80.10.246.1 . - - - - ORPHELINS SUPPRIMES - - - HKLM-Run-WinVNC - c:\program files\UltraVNC\winvnc.exe ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} c:\progra~1\TALLEM~1\ONLINE~1\oaevent.dll AddRemove-HijackThis c:\docume~1\MALEKA~1\LOCALS~1\Temp\Rar$EX00.047\HijackThis.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [http://www.gmer.net](http://www.gmer.net/) Rootkit scan 2009-11-11 03:44 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... ----- Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** . ------------------------ Autres processus actifs -----------------------. c:\windows\system32\wscntfy.exe . ************************************************************************** . Heure de fin: 2009-11-11 3:45 - La machine a redémarré ComboFix-quarantined-files.txt 2009-11-11 11:45 Avant-CF: 119 257 088 bytes free Après-CF: 119 642 112 bytes free - - End Of File - - 245B6C0FE4E3D154B882E34DB73E3792 **Pièces jointes** Combofix supprime Opachki **Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les** fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas ! ➔ **[Comment protéger son PC des virus](https://www.malekal.com/proteger-pc-virus-pirates/)** ➔ **Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer** **Windows 11** **[Comment demander de l'aide sur le forum](https://www.malekal.com/demander-aide/)** **Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook** du site. [Répondre](https://forum.malekal.com/posting.php?mode=reply&t=21806&sid=69561609c489b8e07da2bab6e6008e12) [Aperçu avant impression](https://forum.malekal.com/viewtopic.php?t=21806&sid=69561609c489b8e07da2bab6e6008e12&view=print) 2 messages • Page 1 sur 1 [Revenir à « Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet »](https://forum.malekal.com/viewforum.php?f=33&sid=69561609c489b8e07da2bab6e6008e12) ----- Aller [Présentations et règles du forum](https://forum.malekal.com/viewforum.php?f=48&sid=69561609c489b8e07da2bab6e6008e12) [↳ Comment demander de l'aide sur le forum](https://forum.malekal.com/viewforum.php?f=105&sid=69561609c489b8e07da2bab6e6008e12) [↳ Présentation des membres](https://forum.malekal.com/viewforum.php?f=21&sid=69561609c489b8e07da2bab6e6008e12) [↳ Je suis infecté que faire ?](https://forum.malekal.com/viewforum.php?f=93&sid=69561609c489b8e07da2bab6e6008e12) [↳ Supprimer les virus gratuitement](https://forum.malekal.com/viewforum.php?f=95&sid=69561609c489b8e07da2bab6e6008e12) [↳ Les dossiers et tutoriels du site](https://forum.malekal.com/viewforum.php?f=100&sid=69561609c489b8e07da2bab6e6008e12) ↳ Windows 11 : Compatibilité, Configuration minimale requise, Télécharger ISO et installer Windows 11 [↳ Quel est le meilleur antivirus ?](https://forum.malekal.com/viewforum.php?f=101&sid=69561609c489b8e07da2bab6e6008e12) [Windows](https://forum.malekal.com/viewforum.php?f=51&sid=69561609c489b8e07da2bab6e6008e12) [↳ Windows : Résoudre les problèmes](https://forum.malekal.com/viewforum.php?f=2&sid=69561609c489b8e07da2bab6e6008e12) [↳ Tutoriels Windows](https://forum.malekal.com/viewforum.php?f=91&sid=69561609c489b8e07da2bab6e6008e12) [↳ Accélérer Windows et problème de lenteur PC](https://forum.malekal.com/viewforum.php?f=73&sid=69561609c489b8e07da2bab6e6008e12) [↳ Réseau](https://forum.malekal.com/viewforum.php?f=4&sid=69561609c489b8e07da2bab6e6008e12) [↳ Tutoriels Réseau](https://forum.malekal.com/viewforum.php?f=96&sid=69561609c489b8e07da2bab6e6008e12) [↳ Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares)](https://forum.malekal.com/viewforum.php?f=3&sid=69561609c489b8e07da2bab6e6008e12) [↳ Sécurité : Prévention, Désinfection autonome, virus & arnaques et dangers d'Internet](https://forum.malekal.com/viewforum.php?f=33&sid=69561609c489b8e07da2bab6e6008e12) [↳ Rogues/Scareware & Programmes douteux](https://forum.malekal.com/viewforum.php?f=56&sid=69561609c489b8e07da2bab6e6008e12) [↳ Trojan.Win32.Alureon/Trojan.TDSS/Trojan.FakeAlert/Trojan.Renos et faux codec](https://forum.malekal.com/viewforum.php?f=66&sid=69561609c489b8e07da2bab6e6008e12) [↳ Adwares et PUPs (programmes indésirables)](https://forum.malekal.com/viewforum.php?f=97&sid=69561609c489b8e07da2bab6e6008e12) [↳ Ransomware](https://forum.malekal.com/viewforum.php?f=98&sid=69561609c489b8e07da2bab6e6008e12) [↳ Discussions/Aides Antivirus](https://forum.malekal.com/viewforum.php?f=89&sid=69561609c489b8e07da2bab6e6008e12) [↳ Tutoriel Antivirus](https://forum.malekal.com/viewforum.php?f=90&sid=69561609c489b8e07da2bab6e6008e12) [GNU/Linux](https://forum.malekal.com/viewforum.php?f=52&sid=69561609c489b8e07da2bab6e6008e12) [↳ Tutoriels et annonces](https://forum.malekal.com/viewforum.php?f=71&sid=69561609c489b8e07da2bab6e6008e12) [↳ Utilisation de GNU/Linux](https://forum.malekal.com/viewforum.php?f=8&sid=69561609c489b8e07da2bab6e6008e12) [↳ Réseau sous GNU/Linux](https://forum.malekal.com/viewforum.php?f=6&sid=69561609c489b8e07da2bab6e6008e12) [↳ Configuration du matériel sous GNU/Linux](https://forum.malekal.com/viewforum.php?f=74&sid=69561609c489b8e07da2bab6e6008e12) [Graphisme](https://forum.malekal.com/viewforum.php?f=75&sid=69561609c489b8e07da2bab6e6008e12) [↳ Galeries (Réalisations)](https://forum.malekal.com/viewforum.php?f=77&sid=69561609c489b8e07da2bab6e6008e12) [↳ Aides & Support](https://forum.malekal.com/viewforum.php?f=78&sid=69561609c489b8e07da2bab6e6008e12) [↳ Tutoriels & Ressources](https://forum.malekal.com/viewforum.php?f=76&sid=69561609c489b8e07da2bab6e6008e12) [Hardware](https://forum.malekal.com/viewforum.php?f=104&sid=69561609c489b8e07da2bab6e6008e12) [Général Informatique / Ressources](https://forum.malekal.com/viewforum.php?f=49&sid=69561609c489b8e07da2bab6e6008e12) [↳ Actualité & News Informatique](https://forum.malekal.com/viewforum.php?f=11&sid=69561609c489b8e07da2bab6e6008e12) [↳ Programmes utiles](https://forum.malekal.com/viewforum.php?f=36&sid=69561609c489b8e07da2bab6e6008e12) [↳ Blockulicious](https://forum.malekal.com/viewforum.php?f=94&sid=69561609c489b8e07da2bab6e6008e12) [↳ Papiers / Articles](https://forum.malekal.com/viewforum.php?f=45&sid=69561609c489b8e07da2bab6e6008e12) [↳ Sites et liens utiles](https://forum.malekal.com/viewforum.php?f=37&sid=69561609c489b8e07da2bab6e6008e12) [↳ Securite informatique](https://forum.malekal.com/viewforum.php?f=46&sid=69561609c489b8e07da2bab6e6008e12) [↳ Tech, Tips & Tricks](https://forum.malekal.com/viewforum.php?f=92&sid=69561609c489b8e07da2bab6e6008e12) [↳ Vie privée, antipub sur internet](https://forum.malekal.com/viewforum.php?f=99&sid=69561609c489b8e07da2bab6e6008e12) [Général](https://forum.malekal.com/viewforum.php?f=63&sid=69561609c489b8e07da2bab6e6008e12) [↳ Questions/Commentaires sur le forum](https://forum.malekal.com/viewforum.php?f=30&sid=69561609c489b8e07da2bab6e6008e12) [↳ Discussions Générales (Autre qu'informatique).](https://forum.malekal.com/viewforum.php?f=20&sid=69561609c489b8e07da2bab6e6008e12) ----- [Développé par phpBB® Forum Software © phpBB Limited](https://www.phpbb.com/) [Traduction française officielle ©](https://www.phpbb.com/customise/db/translation/french/) [Miles Cellar](https://mastodon.social/@milescellar) [Confidentialité |](https://forum.malekal.com/ucp.php?mode=privacy&sid=69561609c489b8e07da2bab6e6008e12) [Conditions](https://forum.malekal.com/ucp.php?mode=terms&sid=69561609c489b8e07da2bab6e6008e12) -----