> Tous les forums > Forum Sécurité
 netbook bloqué: spyware alert
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
roubinchkaia
  Posté le 12/05/2010 @ 17:27 
Aller en bas de la page 
Nouvelle astucienne

Bonjour, mon netbook affiche x fois un message de security warning m'indiquant à chacune des applications que j'essaie d'ouvrir que celle-ci est infectée, il me propose d'activer antivirus software et m'oriente sur une page web non sécurisée pour acheter antispyware soft pro ou platinum. Aucune autre page web ne peut s'afficher mais g un autre ordi. J'ai déjà essayé via clé usb de scanner avec malwarebytes, ZHDiag, etc mais aucun programme ne peut être ouvert (meme avec rkill). Auriez-vous une solution pour moi autre que le formatage qui me semble hypercompliqué sur un netbook medion !!! Merci d'avance.

Publicité
pear
 Posté le 12/05/2010 à 18:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonsoir,

Recherche de Rootkit
Télécharger SysProtsur le bureau
Installez le et double cliquez sur "SysProt.exe"
Cliquez sur l'onglet "log" ;
Cochez toutes les cases présentes dans la fenêtre "Write to log" ;
Cochez Hidden Objects Only (au bas, à gauche)
Les "Objets cachés (Hidden)" sont en Rouge dans tous les modules
Cliquez sur Create log (au bas, à droite)
Une nouvelle fenêtre apparaîtra : cochez Scan root drive et cliquez sur Start ;
Un rapport sera sauvegardé dans le dossier SysProt.
Signalez les lignes rouges, car votre rapport ne montrera pas la couleur
Copiez/collez en le contenu dans votre réponse.

roubinchkaia
 Posté le 13/05/2010 à 11:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

Voici le rapport, merci à vous pour votre aide

apparait en rouge dans kernel modules :

\SystemRoot\System32\Drivers\dump_iaStor.sys

module 9A (les numéros et lettres qui suivent semblent variable à chaque redémarrage)

SysProt AntiRootkit v1.0.1.0
by swatkat

******************************************************************************************
******************************************************************************************

No Hidden Processes found

******************************************************************************************
******************************************************************************************
Kernel Modules:
Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys
Service Name: ---
Module Base: 9B43A000
Module End: 9B502000
Hidden: Yes

******************************************************************************************
******************************************************************************************
SSDT:
Function Name: ZwCreateKey
Address: 9B8659C6
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwCreateThread
Address: 9B8659BC
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwDeleteKey
Address: 9B8659CB
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwDeleteValueKey
Address: 9B8659D5
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwLoadKey
Address: 9B8659DA
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwOpenProcess
Address: 9B8659A8
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwOpenThread
Address: 9B8659AD
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwReplaceKey
Address: 9B8659E4
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwRestoreKey
Address: 9B8659DF
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwSetValueKey
Address: 9B8659D0
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

Function Name: ZwTerminateProcess
Address: 9B8659B7
Driver Base: 0
Driver End: 0
Driver Name: _unknown_

******************************************************************************************
******************************************************************************************
No Kernel Hooks found

******************************************************************************************
******************************************************************************************
No IRP Hooks found

******************************************************************************************
******************************************************************************************
Ports:
Local Address: COMPUTERNAME:5555
Remote Address: LOCALHOST:1031
Type: TCP
Process: [System Idle Process]
State: TIME_WAIT

Local Address: COMPUTERNAME:5555
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Documents and Settings\LN\Local Settings\Application Data\bqmypkhxn\kwsalaotssd.exe
State: LISTENING

Local Address: COMPUTERNAME:5152
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\Program Files\Java\jre6\bin\jqs.exe
State: LISTENING

Local Address: COMPUTERNAME:MICROSOFT-DS
Remote Address: 0.0.0.0:0
Type: TCP
Process: System
State: LISTENING

Local Address: COMPUTERNAME:EPMAP
Remote Address: 0.0.0.0:0
Type: TCP
Process: C:\WINDOWS\system32\svchost.exe
State: LISTENING

Local Address: COMPUTERNAME:1900
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\svchost.exe
State: NA

Local Address: COMPUTERNAME:1030
Remote Address: NA
Type: UDP
Process: C:\Documents and Settings\LN\Local Settings\Application Data\bqmypkhxn\kwsalaotssd.exe
State: NA

Local Address: COMPUTERNAME:1029
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\svchost.exe
State: NA

Local Address: COMPUTERNAME:123
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\svchost.exe
State: NA

Local Address: COMPUTERNAME:4500
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\lsass.exe
State: NA

Local Address: COMPUTERNAME:500
Remote Address: NA
Type: UDP
Process: C:\WINDOWS\system32\lsass.exe
State: NA

Local Address: COMPUTERNAME:MICROSOFT-DS
Remote Address: NA
Type: UDP
Process: System
State: NA

******************************************************************************************
******************************************************************************************
No hidden files/folders found

pear
 Posté le 13/05/2010 à 12:59 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Curieux qu'il apparaisse en rouge; c'est un fichier légitime, peut-être patché!

Poste de travail->Outils ->Options des dossiers ->Affichage
Cocher "Afficher les dossiers cachés"
Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"
--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:
Cliquez sur parcourir pour trouver ces fichiers
C:\Documents and Settings\LN\Local Settings\Application Data\bqmypkhxn\kwsalaotssd.exe
C:\windows\System32\Drivers\dump_iaStor.sys

et cliquez sur "envoyer le fichier"
Copiez /collez la réponse dans votre prochain message.
Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

et en attendant:

Téléchargez RootRepeal
Désactiver les modules résidents:l'antivirus,antispyware ,Parefeu

Vous devez avoir les droits Administrateur

Installez RootRepeal , cliquez sur *Settings->Options*
Onglet "Général Cochez->Only suspicious ..
. [Driver scan] ... [Files scan] ... [Processes scan] ... [SSDT scan] (v. 1.1.0)
aucune raison de changer les paramètres standards.

Dans le [ File Scan ] l'option [X] [ Check for file size differences ] est celle qui permet la détection des fichiers dont la taille a été modifiée comme le fait par exemple le rootkit "Rustock.C". Il est donc fortement conseillé de ne pas la désactiver.

Dans le [ SSDT scan ], l'option [X] [ Check for hooked SYSENTER/INT 2E ] permet le scan des appels au système par SYSENTER ou INT 2E.

Choix des scans (boutons de sélection en bas, à gauche).

Chaque option comporte deux boutons [ Scan ] pour lancer l'analyse et [ Save Report ]qui permet d'enregistrer le rapport au format « .txt » dans le répertoire choisi (éventuellement dans le répertoire de démarrage de RootRepeal).

[ Report ]permet d'enchaîner plusieurs ou toutes les fonctions précédentes.
Cliquez [Select scan]
image
Dans la fenêtre qui s'ouvre, sélectionner les options à exécuter(Cochez tout).

Un choix des partitions du disque est possible dans la fenêtre [Select drives].
Cliquez sur Save Report
Lancez le scan,

Si RootRepeal ne trouve rien , il affichera ceci:

ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2009/08/04 18:47
Program Version: Version 1.3.2.0
Windows Version: Windows XP SP3
==================================================

Drivers
-------------------
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xEB27E000 Size: 49152 File Visible: No Signed: -
Status: -
==EOF==

roubinchkaia
 Posté le 13/05/2010 à 14:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvelle astucienne

je n'ai plus accès à aucune page web, "internet explorer warning visiting this web site may harm your computer " on me propose alors de chercher la cause et je retombe sur le site antispyfortress.com (le seul accessible depuis mon netbook).

Y a-t-il moyen de faire cette analyse autrement ??? Merci!

pear
 Posté le 13/05/2010 à 14:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Oui, en utilisant Avenger qui travaille avant que Windows soit chargé.


Recherche de rootkit
Télécharger The Avenger par Swandog46 sur le Bureau.

Cliquez Enregistrer
Cliquer sur Bureau
Fermer la fenêtre:
Dézipper:par clic droit->Extraire ici:
Fermez toutes les fenêtres et toutes les applications en cours,
puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

The Avenger sait rechercher des rootkits cachés(par définition) .
Pour pour activer cette fonction:
Vérifiez que la case "Scan for rootkits[/b" est bien cochée.( Elle l'est par défaut).
image

Ne pas autoriser The Avenger à désactiver automatiquement tous les rootkits qu'il trouve.

Cliquez sur exécute.
la recherche de rootkits se fera au redémarrage , avant l'installation de Windows.
Un fichier log s'ouvrira que vous pourrez retrouver ici : C:\avenger.txt
Copiez /collez le résultat dans votre réponse.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
Spyware bloqué danger..??
spyware doctor bloque ma connexion internet
ANTIVIRUS SOFTWARE ALERT ORDI BLOQUE
Antivirus spyware alert
Me débarrasser de ce Spyware + PC bloqué !
Spyware terminator bloque
Spyware doctor bloque window mail
serie de spyware et autre qui bloque l'antivirus
spyware detection alert
sécurity alert : spyware foud
Plus de sujets relatifs à netbook bloqué: spyware alert
 > Tous les forums > Forum Sécurité