> Tous les forums > Forum Windows Vista
 Rootkit Zero access
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
HouinKyouma
  Posté le 18/08/2012 @ 23:58 
Aller en bas de la page 
Petit astucien

Toutes les "sous-rubrique" réunis donc.

Bien le bonsoir.

Donc voici mon problème, c'est l'Armageddon sur mon ordinateur.

Depuis hier soir, j'ai reçu plusieurs virus. Après avoir scanner avec Malware-Bytes Anti-Malware, j'en ai supprimé la pluspart. Cependant, deux revenaient incésemment, à chaque fois, toutes les
3 mins je dirais, c'était TR/ATRAPS.Gen et TR/ATRAPS.Gen2. Je me suis donc mis en mode "hors-ligne", sans Internet et avoir Malware, je me suis acharné à les supprimers, car avec mon AntiVirus,
AntiVir, ils revenaient. Enfin une bonne chose, ils semblaient ne plus se manifestés, même si apparement, j'en ai trouvé 1 sur 2. Même si je pense que le deuxième vient quand le premier est supprimé.


Donc de ce côté, ça semble être réglé, ou pas, lisez la suite :


Ce qui m'a poussé à faire ça, en plus des nombreux messages d'alertes par minutes, c'est autre de chose de très génant : Le centre de securité a complètement disparut.
C'est à dire que les Pare-Feu sont désactivés, youpi ! Windows Defenser est C-O-M-P-L-è-T-E-M-E-N-T HS. Bien sûr, impossible de ré-activier, vous verrez les messages d'erreurs dans les screens. Et là c'est le pompom, Windows Update ne marche plus non plus.

[youtube]http://www.youtube.com/watch?v=5c2Vb7CqTdc[/youtube]

J'ai tenté, pour le récupérer (le centre de securité) :

- Aller dans "Service" et mettre le démarrage en Automatique. Problème, il n'y est pas.
- Des tonnes de commandes dans éxécuter, aucun succès.
- Restauration à partir de quelques jours avant, voir de Juillet. Impossible, ça ne marche pas, il n'y arrive pas.


Depuis que j'ai ce virus, les fonctions ... disons ... vitales de mon ordi semblent bloqués, tout pour que je ne puisse pas me débarasser de ce que le(S?) virus m'ont (m'a ?) fait. Qu'il soit encore
là ou pas, ils m'ont fait de sacrés dégats.

J'ai tenté RogueKiller, il m'a trouvé des choses, sauf que dès que le scan était finit, devinez qui revient ? TR/ATRAPS.GEN, juste la fin du scan ! Cependant, je n'ai eu qu'une erreur par AntiVir,
et on dirait qu'il a, cette fois-ci, réussit à le supprimer.

Après avoir passé toute ma soirée à faire maintes et maintes recherches, il semble que je dois demander à des personnes qui s'y conaissent et faire des diagnostiques qui devront être étudiés.

Le truc c'est que j'ai jamais été aussi loin pour ça, et j'ai un peu peur de ces logiciels. Certains demandent des précautions, donc je demande à vous, qui êtes mon dernier espoir.

Quels logiciels utilisés ?
Une solution au préalable ?




J'ai également un autre problème, vraiment très génant, ma version de Windows ne semble pas ... authentique (WTF ?).
Depuis 6 mois maintenant je crois, on me demande d'activer Windows via une clef de produit. Bizzarement, j'ai mon ordinateur portable depuis 2008, j'étais en 5ème donc pas l'âme d'un hackeur.
J'ai acheté mon ordinateur à Géant (Ou Hyper U ? Je sais plus à quel année Hyper U à remplacer Géant dans ma ville).
J'ai donc acheté mon ordinateur d'une façon parfaitement légal et ce problème se manifeste en 2012, 4 ans plus tard. Je ne sais pas du tout d'où ça vient, surtout que voilà, je l'ai bien payée 500€.

Après, qu'ils vendent des ordis pas très net, m'enfin, qui sait ?



Voici les screens, et le rapport Malware (Il n'avait pas trouvé TR/ATRAPS.Gen, j'ai scan AppData/Local manuellement pour le trouver) et RogueKiller ^_^'



Rapport MALWARE :

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.07.05

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
*****
PC-DE-***** [administrateur]


13/08/2012 21:34:28
RapportMalware

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 491814
Temps écoulé: 2 heure(s), 48 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Users\Cronos\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\n. -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 4
C:\Users\*****\AppData\Roaming\eoRezo (Adware.EoRezo) -> Aucune action effectuée.
C:\Users\*****\AppData\Roaming\eoRezo\SoftwareUpdate (Adware.EoRezo) -> Aucune action effectuée.
C:\Users\*****\AppData\Roaming\eoRezo\SoftwareUpdate\Download (Adware.EoRezo) -> Aucune action effectuée.
C:\Users\*****\AppData\Roaming\eoRezo\SoftwareUpdate\Software (Adware.EoRezo) -> Aucune action effectuée.

Fichier(s) détecté(s): 3
C:\Users\*****\Documents\Downloads\SoftonicDownloader_pour_dial-a-fix.exe (PUP.ToolbarDownloader) -> Aucune action effectuée.
C:\Users\*****\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\800000cb.@ (Rootkit.0Access) -> Aucune action effectuée.
C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\800000cb.@ (Rootkit.0Access) -> Aucune action effectuée.

(fin)



Rapport RogueKiller :

RogueKiller V7.6.6 [10/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Cronos [Droits d'admin]
Mode: Suppression -- Date: 14/08/2012 03:16:14

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 8 ¤¤¤
[SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\ffxet.scr) -> REPLACED (c:\windows\system32\logon.scr)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\@ --> REMOVED
[Del.Parent][FILE] 80000000.@ : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\80000000.@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> REMOVED
[ZeroAccess][FILE] n : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\n --> REMOVED
[ZeroAccess][FILE] @ : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\@ --> REMOVED
[ZeroAccess][FOLDER] U : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> REMOVED
[ZeroAccess][FOLDER] L : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> REMOVED

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x8226EDE5 -> HOOKED (Unknown @ 0x8D5839C6)
SSDT[289] : NtSetContextThread @ 0x822D006F -> HOOKED (Unknown @ 0x8D5839CB)
SSDT[334] : NtTerminateProcess @ 0x8222E143 -> HOOKED (Unknown @ 0x8D583967)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8D5839D0)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8D5839D5)

¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost




SCREENS :

http://www.hapshack.com/images/4Yd8C.png
http://www.hapshack.com/images/fwYAp.png
http://www.hapshack.com/images/R314.png


J'ai vu, sur un forum Anglais, que la source viendrait peut-être de Flash Player. La dernière version étant trop puissant pour mon PC, j'ai downgarde, via le site officiel. Mais d'après le thread anglais,
il existe une version fake (Pishing ?) du site, pourtant, je ne me crois pas m'être trompés et je suis passé sur des sites fiable, bizzare toute cette histoire !



A première vu, toute la source du mal vient du fameux "AppData\Local\ff24043d-55f8 [...]". J'espère sincèrement que vous trouverez une solution, vous êtes mon dernier espoir, je suis assez désespéré, et ma seul solution est ainsi, de demander à vous,
les experts de la sécurité. Je vous remercies de votre lecture, et j'espère que vous trouverez une solution !

Bonne journée ! (Ou nuit.)


MAJ, une semaine plus tard :

Oui donc j'avais écrit ce message y'a une semaine, et y'a eu de l'évolution. J'ai réussit à supprimer encore pas mal de virus, j'ai un moteur de recherche, babylon, qui est en réalité une sorte de virus. J'ai réussit à supprimer l'Adware Eorozo qui n'arrêter pas de revenir avec AD-R.

Je me suis servit de plusieurs logiciels et quelques manips pour retrouver windows update et certaines services, dont le centre de securité, qui sont revenus ! J'ai utilisé : WinUpdate-Fix, AdwCleaner, pas mal de scan de mon Malware, RogueKiller.

Seul problème, Babylon est encore là. Mon PareFeu est toujours inactif, et impossible de le ré-activer via les services, car oui, il est revenu dans la liste. Et impossible de faire les MàJ avec Windows Update. Après une semaine de combat acharné, tout semble se porter vers vous, avec un diagnostique mais voilà, je veux demander à des experts !


Voici quelques screens, j'ai également des rapports si vous le souhaitez !

http://www.hapshack.com/images/QnYON.png

http://www.hapshack.com/images/KGaMs.png

http://www.hapshack.com/images/M3Zjk.png


Diagnostique WinUpdate-Fix :

WinUpdateFix v1.3 - Rapport créé le 18/08/2012 à 23:32
Mis à jour le 06/02/11 à 20h par Xplode
Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [version 6.0.6002] Service Pack 2
Nom d'utilisateur : Cronos - PC-DE-CRONOS (Administrateur)
Exécuté depuis : C:\Users\Cronos\Documents\Downloads\winupdatefix.exe

~~~~~ Windows Update ~~~~~

Paramètres du centre de sécurité : Les mises à jour automatiques sont activées et sont installées automatiquement.

Dernière recherche effectuée le : 2012-08-18 à 21:21:22
Dernier téléchargement effectué le :
Dernière installation effectuée le :

~~~~~ Services ~~~~~~

[Mises à jour automatiques]

Nom du service : Wuauserv
Etat : Démarré
Statut : Automatique

[Service de transfert intelligent en arrière-plan]

Nom du service : BITS
Etat :
Statut :

[Service de cryptographie]

Nom du service : CryptSvc
Etat : Démarré
Statut : Automatique

~~~~~ Proxy ~~~~~~

[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]

ProxyEnable = 0

... OK !

~~~~~ Hijack.NoWindowsUpdate ~~~~~

[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

... OK !

########## EOF - "C:\WinUpdateFix.txt" - [1287 octets] ##########


Rapport Ad-Remover :


http://fichiers.pcastuces.com/rapports/221649-20120819000114_Ad-Report-SCAN[1].txt.zip




Modifié par HouinKyouma le 25/08/2012 12:10
Publicité
HouinKyouma
 Posté le 19/08/2012 à 00:01 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Ad-Report-SCAN[1].txt

Fill
 Posté le 19/08/2012 à 09:28 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Bonjour,

  • Télécharger TDSSkiller de Kaspersky,
  • Extraire de l'archive téléchargée le fichier TDSSKiller.exe et le placer sur le Bureau,
  • Faire un double clic sur TDSSKiller.exe pour le lancer.

  • Cliquer sur Start scan pour lancer l'analyse,
  • Lorsque l'outil a terminé son travail d'inspection, si des nuisibles Image IPB ("Malicious objects") ont été trouvés, vérifier que l'option Image IPB (Cure) est sélectionnée,
  • Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
  • Puis cliquer sur le bouton Image IPB (Continue),
  • Attendre l'affichage du fichier rapport.
  • Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Image IPB (Reboot computer).
  • Envoyer en réponse : le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
    [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Fill

HouinKyouma
 Posté le 19/08/2012 à 13:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour !

Merci de votre réponse clair et précise, ainsi qu'imagé ! Je l'ai donc télecharger, j'ai lancer le scan sans rien toucher, et apparement, rien trouvé ! Je joins le rapport.

HouinKyouma
 Posté le 19/08/2012 à 13:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Rapport TDSS.txt

Fill
 Posté le 19/08/2012 à 14:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

Peux-tu relancer Roguekiller, option recherche et éditer le rapport ?

Fill

HouinKyouma
 Posté le 19/08/2012 à 14:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bien, pour garder une trace de l'ancien, je fais directement un nouveau post :

HouinKyouma
 Posté le 19/08/2012 à 14:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : RKreport[12].txt

Fill
 Posté le 19/08/2012 à 14:15 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

1/

  • Téléchargez Combofix depuis l'un des liens ci-dessous:

    Lien 1
    Lien 2

    * IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau

  • Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils

  • Faites un double clic sur combofix.exe & suivez les invites.

  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.

  • Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.



**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.


Réduction à 95% de la taille originale [ 536 x 154 ]




Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.

2/

  • Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
  • Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
  • Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :


Un rapport RKreport[13] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.

Fill



Modifié par Fill le 19/08/2012 14:15
HouinKyouma
 Posté le 19/08/2012 à 14:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bien, je fais ça à mon retour, je dois partir pour cette après-midi (c'est important).

Je reviendrai ce soir ! Merci de ton aide pour le moment.

HouinKyouma
 Posté le 19/08/2012 à 21:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voilà, les deux font faits.

HouinKyouma
 Posté le 19/08/2012 à 21:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ComboFix.txt

HouinKyouma
 Posté le 19/08/2012 à 21:06 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : RKreport[15].txt

Fill
 Posté le 19/08/2012 à 21:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

1/

  • Télécharge DeFogger de Jpshortstuff sur ton Bureau,
  • Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
  • La fenêtre de DeFogger apparait,
  • Clique sur Disable pour désactiver les drivers d'émulateurs CD,
  • Clique sur Yes pour continuer,
  • Un message "Finished" apparaîtra,
  • Clique sur OK,
  • DeFogger va demander de redémarrer le pc,
  • Ne réactive pas les drivers avant que te le demande.

2/

  • Télécharge OTL (de Old_Timer) sur ton bureau,
  • Double-clique sur son icône pour le démarrer. Si tu es sous Vista ou 7, démarre par clic droit, exécuter en tant qu'administrateur. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit.
  • Coche la case "Tous les utilisateurs",
  • Dans la fenêtre "Personnalisation", colle ces lignes :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
SAVEMBR:0
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
services.exe
winlogon.exe
wininit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT

  • Clique ensuite sur le bouton "Analyse" puis patiente pour que l'outil analyse le pc. Cela peut durer quelques minutes, selon l'état du système.
  • A la fin de l'analyse, la fenêtre du bloc-note s'ouvre. Elle s'appelle OTL.txt
  • Copie-colle ce texte dans ta prochaine réponse. Si un message d'erreur apparait, c'est parce que le rapport est trop long. Il faut alors l'éditer en plusieurs messages sans rien oublier.
  • Pour sélectionner le texte : CTRL+A
  • Pour copier le texte sélectionné : CTRL+C,
  • Pour coller le texte dans ta prochaine réponse : CRTL+V

Fill

HouinKyouma
 Posté le 20/08/2012 à 00:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : OTL.Txt

HouinKyouma
 Posté le 20/08/2012 à 00:56 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désoler du retard, voici le rapport.

Au passage, c'est quoi OTL s'il te plait ?

Fill
 Posté le 20/08/2012 à 12:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

OTL est un programme de diagnostic d'infection, comme pouvait l'être en son temps Hijackthis.

1/

  • Peux-tu tester ceci : C:\PhysicalMBR.bin
  • Clique sur ce lien.
  • Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
  • Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.
  • Tu peux t'aider de ce tuto pour cela.

2/

  • Relance OTL
  • Copie-colle ceci dans la fenêtre personnalisation :

Instructions :
:files
C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}


:reg
HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}

:commands
[EmptyTemp]
[EmptyFlash]

  • Clique ensuite sur Correction et laisse l'outil travailler.
  • Poste le contenu du nouveau rapport (il s'agit d'un fichier "LOG" contenant les dates et heures du pc, sauvegardé dans le dossier %racine%\_OTL\MovedFiles) qui doit s'ouvrir avec le bloc-notes. Comme précédemment, tu peux utiliser les raccourcis clavier (CTRL+A, CTRL+C et CTRL+V)

3/ Relance Roguekiller et édite le rapport RKreport[16]

4/ Suis cette procédure et édite les 3 rapports demandés.

Fill

HouinKyouma
 Posté le 21/08/2012 à 20:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Désoler de l'absence, normalement c'est bon.

Donc le scan de virus Total, aucun soucis ! [ https://www.virustotal.com/file/6e23e0fd2b0c6b0f32fc2e2d11158a55169b91ea9b02434cea842f231a9e9c20/analysis/1345572714/ ]

Le problème avec OTL, c'est que dès que je lance la correction, il ne répond pas. ("Le titre du logiciel - Ne répond pas")

Donc pas le choix, obliger de le fermer, il ferme même explorer (la tâche), donc je suis obligé de le réactiver dans le gestionnaire des tâches.

Par contre, j'ai trouvé quelque chose d'intéressant concernant le pare-feu en lui même, j'ai un nouveau message d'erreur quand je clique sur "Activer le pare-feu ou le désactiver" :

http://www.hapshack.com/images/LYxJa.png

Quand je clique sur "Activer", il ne démarre pas bien sûr. Je vais donc, par reflèxe, dans la liste des services, le service MpsSvc, il est alors en mode Manuel, je n'ose pas faire autre chose, je l'ai juste mit en mode "Automatique" [Mais il ne s'active pas.]

http://www.hapshack.com/images/KPlnS.png

Voilà.

Fill
 Posté le 21/08/2012 à 21:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Salut,

Si tu veux qu'on ait une petite chance de désinfecter ta machine, il faut répondre plus vite qu'une fois tous les 2 jours

Peux-tu joindre les autres rapports demandés ?

Fill

HouinKyouma
 Posté le 22/08/2012 à 00:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonsoir,

voici le rapport de Rogue Killer en premier.

J'ai suivit la procédure indiquée et les trois scans se sont parfaitement déroulés. Je met les rapports à la suite de cette réponse.


Je serai disponible toute la journée demain, encore désoler de l'absence, je sais que le diagnostique doit se faire rapidement.

(Concernant Msy.exe, c'est juste un ami qui l'a installé via TeamViewer pour tester quelque chose, il n'est pas en marche sur moi, du moins je crois)



Modifié par HouinKyouma le 22/08/2012 00:47
HouinKyouma
 Posté le 22/08/2012 à 00:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : RKreport[16].txt

HouinKyouma
 Posté le 22/08/2012 à 00:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
HouinKyouma
 Posté le 22/08/2012 à 00:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[R3].txt

HouinKyouma
 Posté le 22/08/2012 à 00:52 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : AdwCleaner[S3].txt

HouinKyouma
 Posté le 22/08/2012 à 01:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Apparament, impossible d'héberger via le site proposé, j'ai donc hébergé le rapport de ZHPdiag ici : http://pastebin.com/51RMkAPQ

Fill
 Posté le 22/08/2012 à 09:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Bonjour,

1/

  • Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici).
  • Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
  • Clique sur l'onglet "rootkit", puis vérifie que toutes les cases sont bien cochées,
  • Clique sur scan.
  • A la fin du scan, clique sur le bouton copy.
  • Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
  • Edite ce rapport dans ta prochaine réponse.

2/ Exécution de FRST :
Pour les systèmes x32 (x86) bit téléchargez Farbar Recovery Scan Tool et enregistrez-le sur une clé USB.
Pour les systèmes x64 bit téléchargez Farbar Recovery Scan Tool x64 et enregistrez-le sur une clé USB.

Branchez la clé USB dans le PC infecté.

Ouvrez les Options de récupération système.

Pour ouvrir les Options de récupération système depuis les Options de démarrage avancées:

  • Faites redémarrer le PC.
  • Dès que le BIOS est chargé, commencez à tapoter sur la touche F8 jusqu'à l'apparition des Options de démarrage avancées.
  • Utilisez les flèches du clavier pour sélectionner l'élément de menu Réparer l'ordinateur.
  • Choisissez vos paramètres de langue et de clavier, puis cliquez sur Suivant.
  • Sélectionnez le système d'exploitation à réparer, puis cliquez sur Suivant.
  • Sélectionnez votre compte d'utilisateur et cliquez sur Suivant.



Pour ouvrir les Options de récupération système en utilisant le disque d'installation Windows:

  • Insérez le disque d'installation.
  • Faites redémarrer le PC.
  • A l'invite, cliquez sur une touche pour faire démarrer WIndows depuis le disque d'installation. Si votre ordinateur n'est pas configuré pour démarrer depuis un CD/DVD, vérifiez les paramètres du BIOS.
  • Cliquez sur Réparer l'ordinateur.
  • Choisissez vos paramètres de langue et de clavier, puis cliquez sur Suivant.
  • Sélectionnez le système d'exploitation à réparer, puis cliquez sur Suivant.
  • Sélectionnez votre compte d'utilisateur et cliquez sur Suivant.



Dans le menu Options de récupération système vous verrez les options suivantes:Réparation du démarrage
Restaurer le système
Restauration de l'ordinateur Windows
Outil Diagnostics de la mémoire Windows
Invite de commandes

  • Sélectionnez Invite de commandes
  • Dans la fenêtre de commande, saisissez notepad puis appuyez sur Entrée.
  • Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez Ouvrir.
  • Cliquez sur "Poste de travail", cherchez la lettre associée à votre clé USB et fermez le Bloc-notes.
  • Dans la fenêtre de commande, saisissez e:\frst.exe (pour la version x64 bit, tapez e:\frst64) puis appuyez sur Entrée
    Note: Remplacez la lettre e par la lettre de lecteur associée à votre clé USB.
  • L'outil va commencer à s'exécuter.
  • Au démarrage de l'outil, à l'affichage du message "Disclaimer of warranty" cliquez sur Oui.
  • Cliquez sur le bouton Scan.
  • Ceci va créer un rapport d'analyse (FRST.txt) sur la clé USB. Copiez/collez ce rapport dans votre réponse.

Fill

HouinKyouma
 Posté le 22/08/2012 à 15:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Impossible de faire le premier scan il s'arrête brutalement lorsqu'il arrive à un certain "ShadowCopy". ça me met donc : "gmer.exe a casser de fonctionner". J'ai tout essayé pour pas qu'il crash mais impossible.

Je peux faire le deuxième sans avoir fait le premier ? Ou y'a une solution ?

Fill
 Posté le 22/08/2012 à 16:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

OK. Tu passes au second.

Fill

HouinKyouma
 Posté le 22/08/2012 à 17:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Re, je parle d'un autre ordinateur, le scan est un peu longuet, mais tout se passe bien.

HouinKyouma
 Posté le 22/08/2012 à 17:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : FRST.txt

HouinKyouma
 Posté le 22/08/2012 à 17:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voilà !

Fill
 Posté le 22/08/2012 à 19:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

Je ne parviens pas à ouvrir l'archive. Peux-tu héberger le rapport sur cjoint et me donner le lien ?

http://www.cjoint.com/

Fill



Modifié par Fill le 22/08/2012 19:09
HouinKyouma
 Posté le 22/08/2012 à 20:51 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
Fill
 Posté le 22/08/2012 à 21:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Re,

1/ Nous avons besoin de corriger certains éléments que FRST a trouvés.

Ouvrez le Bloc-notes. Copiez le contenu de la zone Code ci-dessous. Pour ce faire, sélectionnez le contenu de la zone, faites un clic droit et choisissez Copier. Dans le Bloc-notes, faites un clic droit et choisissez Coller. Enregistrez le fichier sur la clé USb sous le nom fixlist.txt

HKU\Cronos\...\Run: [S64Kernel_sys] C:\Msy\Msy.exe atr [x]
C:\Msy\Msy.exe
HKU\Public.PC-de-Cronos\...\Run: [Winlogon] C:\Users\Public.PC-de-Cronos\AppData\Roaming\svchost.exe [x]
C:\Users\Public.PC-de-Cronos\AppData\Roaming\svchost.exe
3 BFE; . [x]

NOTE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation.

Sur Vista ou Windows 7: Ouvrez le menu des Options de récupération système.
Lancez FRST, cliquez une seule fois sur le bouton Fix et attendez.
L'outil va créer un rapport de correction (Fixlog.txt) sur la clé USB. Copiez/collez ce rapport dans votre réponse

2/

  • Télécharge OTM (de Old_Timer) sur ton bureau,
  • Double-clique sur OTM.exe pour lancer le programme,
  • Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :

Begin copying here:
:files
C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}


:reg
[-HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}]


:Commands
[Reboot]

  • Clique sur MoveIt! pour lancer la suppression,
  • Le résultat appraraîtra dans le cadre Results.
  • Clique sur Exit pour fermer le programme.
  • Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
  • Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.

3/

  • Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :


O4 - HKCU\..\Run: [S64Kernel_sys] C:\Msy\Msy.exe (.not file.)
O4 - HKUS\S-1-5-21-2739327528-3202617791-3659413016-1000\..\Run: [S64Kernel_sys] C:\Msy\Msy.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{138A7BB0-CE36-4C63-9DC4-1181A225162C}] (...) -- F:\start.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{1E6D605A-5284-4CED-A852-D1652A593687}] (...) -- C:\Users\Cronos\Downloads\sa-mp-0.3b-R3-install.exe (.not file.)
[MD5.D40BA1505F091E5210C9E0513D6CC757] [APT] [{4165E773-E0D1-41CA-A554-9C2785B68D0C}] (...) -- C:\Users\Cronos\Documents\Downloads\UrbanTerror411.exe
[MD5.00000000000000000000000000000000] [APT] [{C94AD5C9-09CA-435B-A66E-8E8FB7D4BC49}] (...) -- C:\Users\Cronos\Downloads\LOCO_Downloader.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{FF704FE2-DC6C-41C4-A2EA-6DBC81803B95}] (...) -- C:\Users\Cronos\Downloads\shaiya_fr_downloader.exe (.not file.)
[HKCU\Software\MSOLoad] =>Trojan.Agent
C:\Program Files\rkfree =>Keylogger.Logixoft
C:\ProgramData\rkfree =>Keylogger.Logixoft
EmptyCLSID
EmptyFlash
EmptyTemp

  • Lance ZHPFix de Nicolas Coolman qui se trouve dans C:\Program Files\ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
  • Le logiciel s'ouvre,
  • Clique sur le bouton H pour importer dans l'outil lesl ignes que tu as sélectionnées.
  • Clique sur OK comme indiqué ci-dessous :

  • Les lignes du rapport apparaissent alors avec des cases à cocher.
  • Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Go" comme ceci :

  • Ceci va avoir pour effet de réaliser un correctif.
  • Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
  • Si un redémarrage est demandé, effectue-le.
  • Copie-colle le contenu du rapport situé dans le dossier C:\ZHP et qui se nomme ZHPFixreport.txt

4/

  • Télécharge Ccleaner Slim sur le Bureau,
  • Installe-le,
  • Ouvre ccleaner et clique sur "Lancer le nettoyage".

5/ Utilise malwarebyte's comme indiqué ici et édite le rapport.

6/ Fais une analyse en lignre avec Eset comme indiqué ici et édite le rapport.

Fill

HouinKyouma
 Posté le 23/08/2012 à 12:50 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Fixlog.txt

HouinKyouma
 Posté le 23/08/2012 à 13:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Log.txt

HouinKyouma
 Posté le 23/08/2012 à 13:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPFix[R1].txt

HouinKyouma
 Posté le 23/08/2012 à 13:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : Malwarerapport.txt

Fill
 Posté le 23/08/2012 à 13:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Bonjour,

Il va falloir mettre malwarebyte's à jour. On en est à la v2012.08.23.04.

Tu recommences ensuite une analyse et tu joins le rapport.

Si tu as commencé Eset, tu referas l'analyse avec malwarebyte's plus tard.

Fill

HouinKyouma
 Posté le 23/08/2012 à 16:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Le scan ESET a duré toute l'après midi ^^

RAPPORT ESET

ESETSmartInstaller@High as downloader log:
all ok
# version=7
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6583
# api_version=3.0.2
# EOSSerial=5abb5ec4893c4e4b83b292b1e02b400d
# end=finished
# remove_checked=false
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=false
# antistealth_checked=true
# utc_time=2012-08-23 02:39:08
# local_time=2012-08-23 04:39:08 )
# country="France"
# lang=1033
# osver=6.0.6002 NT Service Pack 2
# compatibility_mode=1797 16775165 100 94 838448 79878414 502238 0
# compatibility_mode=5892 16776574 100 100 69727 183255339 0 0
# compatibility_mode=8192 67108863 100 0 559 559 0 0
# scanned=295084
# found=3
# cleaned=0
# scan_time=10181
C:\Users\Cronos\Documents\Downloads\01net_SpyBot_-_Search___Destroy.exe Win32/Amonetize application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Cronos\Documents\Downloads\installer_uxtheme_multi-patcher_4_0_French.exe Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I
C:\Users\Cronos\Documents\Downloads\install_emp.exe probably unknown NewHeur_PE virus (unable to clean) 00000000000000000000000000000000 I

Fill
 Posté le 23/08/2012 à 17:46 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Grand Maître astucien

Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
Batterie externe OUKITEL BP2000 2048 Wh (extensible jusqu'à 16 Kw), 2200W, LifePOE4 à 899 €
899 € 1500 € -40%
@Geekbuying
PC portable 13 pouces Lenovo Ideapad Slim 5 (FHD+, Ryzen 5 7535HS, 16 Go RAM, SSD 512 Go, Radeon 660M, Windows 11) à 583,20 €
583,20 € 729 € -20%
@Lenovo
Portable 15,6 pouces HP (FHD, Ryzen 5 7520U, 16 Go DDR5, SSD 512 Go, Windows 11) à 459,99 €
459,99 € 559,99 € -18%
@Cdiscount
Batterie externe TALLPOWER V2400 2160Wh, 2400W, LifePOE4 à 719,99 €
719,99 € 899 € -20%
@Geekbuying
Chauffe-matelas double XXL Beurer TS 26 (150x140 cm) à 49,99 €
49,99 € 94,49 € -47%
@Amazon
Carte TP-Link Archer TBE552E BE9300 PCIe WIFI 7 + Bluetooth 5.4 avec dissipateur à 79,99 €
79,99 € 99 € -19%
@Amazon

Sujets relatifs
Rootkit trouvé par avast
System restore impossible / Access Denied (C:)
>C: access is denied
disque dur access denied
Mémoire Vive - Win32/ rootkit . Agent ODG
Désinstaller Access sur office 2007
"Access Denied" Vista DD
web access et vista
 > Tous les forums > Forum Windows Vista