|
Posté le 18/08/2012 @ 23:58 |
Petit astucien
| Toutes les "sous-rubrique" réunis donc.
Bien le bonsoir.
Donc voici mon problème, c'est l'Armageddon sur mon ordinateur.
Depuis hier soir, j'ai reçu plusieurs virus. Après avoir scanner avec Malware-Bytes Anti-Malware, j'en ai supprimé la pluspart. Cependant, deux revenaient incésemment, à chaque fois, toutes les 3 mins je dirais, c'était TR/ATRAPS.Gen et TR/ATRAPS.Gen2. Je me suis donc mis en mode "hors-ligne", sans Internet et avoir Malware, je me suis acharné à les supprimers, car avec mon AntiVirus, AntiVir, ils revenaient. Enfin une bonne chose, ils semblaient ne plus se manifestés, même si apparement, j'en ai trouvé 1 sur 2. Même si je pense que le deuxième vient quand le premier est supprimé.
Donc de ce côté, ça semble être réglé, ou pas, lisez la suite :
Ce qui m'a poussé à faire ça, en plus des nombreux messages d'alertes par minutes, c'est autre de chose de très génant : Le centre de securité a complètement disparut. C'est à dire que les Pare-Feu sont désactivés, youpi ! Windows Defenser est C-O-M-P-L-è-T-E-M-E-N-T HS. Bien sûr, impossible de ré-activier, vous verrez les messages d'erreurs dans les screens. Et là c'est le pompom, Windows Update ne marche plus non plus.
[youtube]http://www.youtube.com/watch?v=5c2Vb7CqTdc[/youtube]
J'ai tenté, pour le récupérer (le centre de securité) :
- Aller dans "Service" et mettre le démarrage en Automatique. Problème, il n'y est pas. - Des tonnes de commandes dans éxécuter, aucun succès. - Restauration à partir de quelques jours avant, voir de Juillet. Impossible, ça ne marche pas, il n'y arrive pas.
Depuis que j'ai ce virus, les fonctions ... disons ... vitales de mon ordi semblent bloqués, tout pour que je ne puisse pas me débarasser de ce que le(S?) virus m'ont (m'a ?) fait. Qu'il soit encore là ou pas, ils m'ont fait de sacrés dégats.
J'ai tenté RogueKiller, il m'a trouvé des choses, sauf que dès que le scan était finit, devinez qui revient ? TR/ATRAPS.GEN, juste la fin du scan ! Cependant, je n'ai eu qu'une erreur par AntiVir, et on dirait qu'il a, cette fois-ci, réussit à le supprimer.
Après avoir passé toute ma soirée à faire maintes et maintes recherches, il semble que je dois demander à des personnes qui s'y conaissent et faire des diagnostiques qui devront être étudiés.
Le truc c'est que j'ai jamais été aussi loin pour ça, et j'ai un peu peur de ces logiciels. Certains demandent des précautions, donc je demande à vous, qui êtes mon dernier espoir.
Quels logiciels utilisés ? Une solution au préalable ?
J'ai également un autre problème, vraiment très génant, ma version de Windows ne semble pas ... authentique (WTF ?). Depuis 6 mois maintenant je crois, on me demande d'activer Windows via une clef de produit. Bizzarement, j'ai mon ordinateur portable depuis 2008, j'étais en 5ème donc pas l'âme d'un hackeur. J'ai acheté mon ordinateur à Géant (Ou Hyper U ? Je sais plus à quel année Hyper U à remplacer Géant dans ma ville). J'ai donc acheté mon ordinateur d'une façon parfaitement légal et ce problème se manifeste en 2012, 4 ans plus tard. Je ne sais pas du tout d'où ça vient, surtout que voilà, je l'ai bien payée 500€.
Après, qu'ils vendent des ordis pas très net, m'enfin, qui sait ?
Voici les screens, et le rapport Malware (Il n'avait pas trouvé TR/ATRAPS.Gen, j'ai scan AppData/Local manuellement pour le trouver) et RogueKiller ^_^'
Rapport MALWARE :
Malwarebytes Anti-Malware 1.62.0.1300 www.malwarebytes.org
Version de la base de données: v2012.08.07.05
Windows Vista Service Pack 2 x86 NTFS Internet Explorer 9.0.8112.16421 ***** PC-DE-***** [administrateur]
13/08/2012 21:34:28 RapportMalware
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|) Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM Options d'examen désactivées: P2P Elément(s) analysé(s): 491814 Temps écoulé: 2 heure(s), 48 minute(s), 30 seconde(s)
Processus mémoire détecté(s): 0 (Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0 (Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 1 HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}\INPROCSERVER32 (Trojan.Zaccess) -> Aucune action effectuée.
Valeur(s) du Registre détectée(s): 1 HKCU\SOFTWARE\CLASSES\CLSID\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InprocServer32| (Trojan.Zaccess) -> Données: C:\Users\Cronos\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\n. -> Aucune action effectuée.
Elément(s) de données du Registre détecté(s): 0 (Aucun élément nuisible détecté)
Dossier(s) détecté(s): 4 C:\Users\*****\AppData\Roaming\eoRezo (Adware.EoRezo) -> Aucune action effectuée. C:\Users\*****\AppData\Roaming\eoRezo\SoftwareUpdate (Adware.EoRezo) -> Aucune action effectuée. C:\Users\*****\AppData\Roaming\eoRezo\SoftwareUpdate\Download (Adware.EoRezo) -> Aucune action effectuée. C:\Users\*****\AppData\Roaming\eoRezo\SoftwareUpdate\Software (Adware.EoRezo) -> Aucune action effectuée.
Fichier(s) détecté(s): 3 C:\Users\*****\Documents\Downloads\SoftonicDownloader_pour_dial-a-fix.exe (PUP.ToolbarDownloader) -> Aucune action effectuée. C:\Users\*****\AppData\Local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\800000cb.@ (Rootkit.0Access) -> Aucune action effectuée. C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\800000cb.@ (Rootkit.0Access) -> Aucune action effectuée.
(fin)
Rapport RogueKiller :
RogueKiller V7.6.6 [10/08/2012] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Cronos [Droits d'admin] Mode: Suppression -- Date: 14/08/2012 03:16:14
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 8 ¤¤¤ [SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\ffxet.scr) -> REPLACED (c:\windows\system32\logon.scr) [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] n : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\n --> REMOVED [ZeroAccess][FILE] @ : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\@ --> REMOVED [Del.Parent][FILE] 80000000.@ : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U\80000000.@ --> REMOVED [ZeroAccess][FOLDER] U : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\windows\installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> REMOVED [ZeroAccess][FILE] n : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\n --> REMOVED [ZeroAccess][FILE] @ : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\@ --> REMOVED [ZeroAccess][FOLDER] U : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\U --> REMOVED [ZeroAccess][FOLDER] L : c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}\L --> REMOVED
¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x8226EDE5 -> HOOKED (Unknown @ 0x8D5839C6) SSDT[289] : NtSetContextThread @ 0x822D006F -> HOOKED (Unknown @ 0x8D5839CB) SSDT[334] : NtTerminateProcess @ 0x8222E143 -> HOOKED (Unknown @ 0x8D583967) S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8D5839D0) S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8D5839D5)
¤¤¤ Infection : ZeroAccess|Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost
SCREENS :
http://www.hapshack.com/images/4Yd8C.png http://www.hapshack.com/images/fwYAp.png http://www.hapshack.com/images/R314.png
J'ai vu, sur un forum Anglais, que la source viendrait peut-être de Flash Player. La dernière version étant trop puissant pour mon PC, j'ai downgarde, via le site officiel. Mais d'après le thread anglais, il existe une version fake (Pishing ?) du site, pourtant, je ne me crois pas m'être trompés et je suis passé sur des sites fiable, bizzare toute cette histoire !
A première vu, toute la source du mal vient du fameux "AppData\Local\ff24043d-55f8 [...]". J'espère sincèrement que vous trouverez une solution, vous êtes mon dernier espoir, je suis assez désespéré, et ma seul solution est ainsi, de demander à vous, les experts de la sécurité. Je vous remercies de votre lecture, et j'espère que vous trouverez une solution !
Bonne journée ! (Ou nuit.)
MAJ, une semaine plus tard :
Oui donc j'avais écrit ce message y'a une semaine, et y'a eu de l'évolution. J'ai réussit à supprimer encore pas mal de virus, j'ai un moteur de recherche, babylon, qui est en réalité une sorte de virus. J'ai réussit à supprimer l'Adware Eorozo qui n'arrêter pas de revenir avec AD-R.
Je me suis servit de plusieurs logiciels et quelques manips pour retrouver windows update et certaines services, dont le centre de securité, qui sont revenus ! J'ai utilisé : WinUpdate-Fix, AdwCleaner, pas mal de scan de mon Malware, RogueKiller.
Seul problème, Babylon est encore là. Mon PareFeu est toujours inactif, et impossible de le ré-activer via les services, car oui, il est revenu dans la liste. Et impossible de faire les MàJ avec Windows Update. Après une semaine de combat acharné, tout semble se porter vers vous, avec un diagnostique mais voilà, je veux demander à des experts !
Voici quelques screens, j'ai également des rapports si vous le souhaitez !
http://www.hapshack.com/images/QnYON.png
http://www.hapshack.com/images/KGaMs.png
http://www.hapshack.com/images/M3Zjk.png
Diagnostique WinUpdate-Fix :
WinUpdateFix v1.3 - Rapport créé le 18/08/2012 à 23:32 Mis à jour le 06/02/11 à 20h par Xplode Système d'exploitation : Windows Vista (TM) Home Basic (32 bits) [version 6.0.6002] Service Pack 2 Nom d'utilisateur : Cronos - PC-DE-CRONOS (Administrateur) Exécuté depuis : C:\Users\Cronos\Documents\Downloads\winupdatefix.exe
~~~~~ Windows Update ~~~~~
Paramètres du centre de sécurité : Les mises à jour automatiques sont activées et sont installées automatiquement.
Dernière recherche effectuée le : 2012-08-18 à 21:21:22 Dernier téléchargement effectué le : Dernière installation effectuée le :
~~~~~ Services ~~~~~~
[Mises à jour automatiques]
Nom du service : Wuauserv Etat : Démarré Statut : Automatique
[Service de transfert intelligent en arrière-plan]
Nom du service : BITS Etat : Statut :
[Service de cryptographie]
Nom du service : CryptSvc Etat : Démarré Statut : Automatique
~~~~~ Proxy ~~~~~~
[HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings]
ProxyEnable = 0
... OK !
~~~~~ Hijack.NoWindowsUpdate ~~~~~
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
... OK !
########## EOF - "C:\WinUpdateFix.txt" - [1287 octets] ##########
Rapport Ad-Remover :
http://fichiers.pcastuces.com/rapports/221649-20120819000114_Ad-Report-SCAN[1].txt.zip
Modifié par HouinKyouma le 25/08/2012 12:10
|
|
|
|
|
|
Posté le 19/08/2012 à 00:01 |
Petit astucien
| |
|
Posté le 19/08/2012 à 09:28 |
| Bonjour,
- Télécharger TDSSkiller de Kaspersky,
- Extraire de l'archive téléchargée le fichier TDSSKiller.exe et le placer sur le Bureau,
- Faire un double clic sur TDSSKiller.exe pour le lancer.
- Cliquer sur Start scan pour lancer l'analyse,
- Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
- Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
- Puis cliquer sur le bouton (Continue),
- Attendre l'affichage du fichier rapport.
- Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton (Reboot computer).
- Envoyer en réponse : le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
Fill |
|
Posté le 19/08/2012 à 13:44 |
Petit astucien
| Bonjour !
Merci de votre réponse clair et précise, ainsi qu'imagé ! Je l'ai donc télecharger, j'ai lancer le scan sans rien toucher, et apparement, rien trouvé ! Je joins le rapport.
|
|
Posté le 19/08/2012 à 13:46 |
Petit astucien
| |
|
Posté le 19/08/2012 à 14:03 |
| Re,
Peux-tu relancer Roguekiller, option recherche et éditer le rapport ?
Fill |
|
Posté le 19/08/2012 à 14:13 |
Petit astucien
| Bien, pour garder une trace de l'ancien, je fais directement un nouveau post : |
|
Posté le 19/08/2012 à 14:13 |
Petit astucien
| |
|
Posté le 19/08/2012 à 14:15 |
| Re,
1/
- Téléchargez Combofix depuis l'un des liens ci-dessous:
Lien 1 Lien 2
* IMPORTANT !!! Enregistrez ComboFix.exe sur votre Bureau
- Désactivez vos applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
- Faites un double clic sur combofix.exe & suivez les invites.
- Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle vous permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais votre ordinateur rencontre un problème après une tentative de nettoyage.
- Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
**Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.
Réduction à 95% de la taille originale [ 536 x 154 ]
Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant:
Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.
Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse.
2/
- Exécute le programme Roguekiller de Tigzy (par double-clic ou clic droit>Exécuter en tant qu'administrateur pour les versions pls récente que XP),
- Une pré-analyse se lance et cette fenêtre s'ouvre (Si ton antivirus se manifeste, autorise la modification).
- Clique sur le bouton "Suppression" comme indiqué ici pour que le programme corrige les éléments trouvés :
Un rapport RKreport[13] créé sur ton Bureau. Copie/colle son contenu dans ta prochaine réponse.
Fill Modifié par Fill le 19/08/2012 14:15 |
|
Posté le 19/08/2012 à 14:20 |
Petit astucien
| Bien, je fais ça à mon retour, je dois partir pour cette après-midi (c'est important).
Je reviendrai ce soir ! Merci de ton aide pour le moment. |
|
Posté le 19/08/2012 à 21:04 |
Petit astucien
| Voilà, les deux font faits. |
|
Posté le 19/08/2012 à 21:06 |
Petit astucien
| |
|
Posté le 19/08/2012 à 21:06 |
Petit astucien
| |
|
Posté le 19/08/2012 à 21:31 |
| Re,
1/
- Télécharge DeFogger de Jpshortstuff sur ton Bureau,
- Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
- La fenêtre de DeFogger apparait,
- Clique sur Disable pour désactiver les drivers d'émulateurs CD,
- Clique sur Yes pour continuer,
- Un message "Finished" apparaîtra,
- Clique sur OK,
- DeFogger va demander de redémarrer le pc,
- Ne réactive pas les drivers avant que te le demande.
2/
- Télécharge OTL (de Old_Timer) sur ton bureau,
- Double-clique sur son icône pour le démarrer. Si tu es sous Vista ou 7, démarre par clic droit, exécuter en tant qu'administrateur. Assure toi d'avoir fermé le maximum de fenêtres ouvertes, avant ce qui suit.
- Coche la case "Tous les utilisateurs",
- Dans la fenêtre "Personnalisation", colle ces lignes :
netsvcs msconfig safebootminimal safebootnetwork activex drivers32 SAVEMBR:0 %ALLUSERSPROFILE\%Application Data\*. %ALLUSERSPROFILE%\Application Data\*.exe /s %APPDATA%\*. %APPDATA%\*.exe /s %temp%\.exe /s %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles %systemroot%\System32\config\*.sav /md5start explorer.exe services.exe winlogon.exe wininit.exe eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys nvrd32.sys /md5stop hklm\software\clients\startmenuinternet|command /rs hklm\software\clients\startmenuinternet|command /64 /rs CREATERESTOREPOINT
- Clique ensuite sur le bouton "Analyse" puis patiente pour que l'outil analyse le pc. Cela peut durer quelques minutes, selon l'état du système.
- A la fin de l'analyse, la fenêtre du bloc-note s'ouvre. Elle s'appelle OTL.txt
- Copie-colle ce texte dans ta prochaine réponse. Si un message d'erreur apparait, c'est parce que le rapport est trop long. Il faut alors l'éditer en plusieurs messages sans rien oublier.
- Pour sélectionner le texte : CTRL+A
- Pour copier le texte sélectionné : CTRL+C,
- Pour coller le texte dans ta prochaine réponse : CRTL+V
Fill |
|
Posté le 20/08/2012 à 00:55 |
Petit astucien
| |
|
Posté le 20/08/2012 à 00:56 |
Petit astucien
| Désoler du retard, voici le rapport.
Au passage, c'est quoi OTL s'il te plait ? |
|
|
Posté le 20/08/2012 à 12:19 |
| Re,
OTL est un programme de diagnostic d'infection, comme pouvait l'être en son temps Hijackthis.
1/
- Peux-tu tester ceci : C:\PhysicalMBR.bin
- Clique sur ce lien.
- Clique sur parcourir et indique le chemin du fichier que j’ai désigné.
- Clique sur send. Au bout de quelques minutes, un rapport est généré. Poste-le dans ta prochaine réponse.
- Tu peux t'aider de ce tuto pour cela.
2/
- Relance OTL
- Copie-colle ceci dans la fenêtre personnalisation :
Instructions : :files C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
:reg HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}
:commands [EmptyTemp] [EmptyFlash]
- Clique ensuite sur Correction et laisse l'outil travailler.
- Poste le contenu du nouveau rapport (il s'agit d'un fichier "LOG" contenant les dates et heures du pc, sauvegardé dans le dossier %racine%\_OTL\MovedFiles) qui doit s'ouvrir avec le bloc-notes. Comme précédemment, tu peux utiliser les raccourcis clavier (CTRL+A, CTRL+C et CTRL+V)
3/ Relance Roguekiller et édite le rapport RKreport[16]
4/ Suis cette procédure et édite les 3 rapports demandés.
Fill |
|
Posté le 21/08/2012 à 20:42 |
Petit astucien
| Désoler de l'absence, normalement c'est bon.
Donc le scan de virus Total, aucun soucis ! [ https://www.virustotal.com/file/6e23e0fd2b0c6b0f32fc2e2d11158a55169b91ea9b02434cea842f231a9e9c20/analysis/1345572714/ ]
Le problème avec OTL, c'est que dès que je lance la correction, il ne répond pas. ("Le titre du logiciel - Ne répond pas")
Donc pas le choix, obliger de le fermer, il ferme même explorer (la tâche), donc je suis obligé de le réactiver dans le gestionnaire des tâches.
Par contre, j'ai trouvé quelque chose d'intéressant concernant le pare-feu en lui même, j'ai un nouveau message d'erreur quand je clique sur "Activer le pare-feu ou le désactiver" :
http://www.hapshack.com/images/LYxJa.png
Quand je clique sur "Activer", il ne démarre pas bien sûr. Je vais donc, par reflèxe, dans la liste des services, le service MpsSvc, il est alors en mode Manuel, je n'ose pas faire autre chose, je l'ai juste mit en mode "Automatique" [Mais il ne s'active pas.]
http://www.hapshack.com/images/KPlnS.png
Voilà. |
|
Posté le 21/08/2012 à 21:52 |
| Salut,
Si tu veux qu'on ait une petite chance de désinfecter ta machine, il faut répondre plus vite qu'une fois tous les 2 jours
Peux-tu joindre les autres rapports demandés ?
Fill |
|
Posté le 22/08/2012 à 00:45 |
Petit astucien
| Bonsoir,
voici le rapport de Rogue Killer en premier.
J'ai suivit la procédure indiquée et les trois scans se sont parfaitement déroulés. Je met les rapports à la suite de cette réponse.
Je serai disponible toute la journée demain, encore désoler de l'absence, je sais que le diagnostique doit se faire rapidement.
(Concernant Msy.exe, c'est juste un ami qui l'a installé via TeamViewer pour tester quelque chose, il n'est pas en marche sur moi, du moins je crois) Modifié par HouinKyouma le 22/08/2012 00:47 |
|
Posté le 22/08/2012 à 00:47 |
Petit astucien
| |
|
Posté le 22/08/2012 à 00:49 |
Petit astucien
| |
|
Posté le 22/08/2012 à 00:49 |
Petit astucien
| |
|
Posté le 22/08/2012 à 00:52 |
Petit astucien
| |
|
Posté le 22/08/2012 à 01:16 |
Petit astucien
| |
|
Posté le 22/08/2012 à 09:42 |
| Bonjour,
1/
- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici).
- Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
- Clique sur l'onglet "rootkit", puis vérifie que toutes les cases sont bien cochées,
- Clique sur scan.
- A la fin du scan, clique sur le bouton copy.
- Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.
- Edite ce rapport dans ta prochaine réponse.
2/ Exécution de FRST : Pour les systèmes x32 (x86) bit téléchargez Farbar Recovery Scan Tool et enregistrez-le sur une clé USB. Pour les systèmes x64 bit téléchargez Farbar Recovery Scan Tool x64 et enregistrez-le sur une clé USB. Branchez la clé USB dans le PC infecté. Ouvrez les Options de récupération système. Pour ouvrir les Options de récupération système depuis les Options de démarrage avancées:
- Faites redémarrer le PC.
- Dès que le BIOS est chargé, commencez à tapoter sur la touche F8 jusqu'à l'apparition des Options de démarrage avancées.
- Utilisez les flèches du clavier pour sélectionner l'élément de menu Réparer l'ordinateur.
- Choisissez vos paramètres de langue et de clavier, puis cliquez sur Suivant.
- Sélectionnez le système d'exploitation à réparer, puis cliquez sur Suivant.
- Sélectionnez votre compte d'utilisateur et cliquez sur Suivant.
Pour ouvrir les Options de récupération système en utilisant le disque d'installation Windows:
- Insérez le disque d'installation.
- Faites redémarrer le PC.
- A l'invite, cliquez sur une touche pour faire démarrer WIndows depuis le disque d'installation. Si votre ordinateur n'est pas configuré pour démarrer depuis un CD/DVD, vérifiez les paramètres du BIOS.
- Cliquez sur Réparer l'ordinateur.
- Choisissez vos paramètres de langue et de clavier, puis cliquez sur Suivant.
- Sélectionnez le système d'exploitation à réparer, puis cliquez sur Suivant.
- Sélectionnez votre compte d'utilisateur et cliquez sur Suivant.
Dans le menu Options de récupération système vous verrez les options suivantes:Réparation du démarrage Restaurer le système Restauration de l'ordinateur Windows Outil Diagnostics de la mémoire Windows Invite de commandes
- Sélectionnez Invite de commandes
- Dans la fenêtre de commande, saisissez notepad puis appuyez sur Entrée.
- Le Bloc-notes s'ouvre. Dans le menu Fichier, sélectionnez Ouvrir.
- Cliquez sur "Poste de travail", cherchez la lettre associée à votre clé USB et fermez le Bloc-notes.
- Dans la fenêtre de commande, saisissez e:\frst.exe (pour la version x64 bit, tapez e:\frst64) puis appuyez sur Entrée
Note: Remplacez la lettre e par la lettre de lecteur associée à votre clé USB.
- L'outil va commencer à s'exécuter.
- Au démarrage de l'outil, à l'affichage du message "Disclaimer of warranty" cliquez sur Oui.
- Cliquez sur le bouton Scan.
- Ceci va créer un rapport d'analyse (FRST.txt) sur la clé USB. Copiez/collez ce rapport dans votre réponse.
Fill |
|
Posté le 22/08/2012 à 15:35 |
Petit astucien
| Impossible de faire le premier scan il s'arrête brutalement lorsqu'il arrive à un certain "ShadowCopy". ça me met donc : "gmer.exe a casser de fonctionner". J'ai tout essayé pour pas qu'il crash mais impossible.
Je peux faire le deuxième sans avoir fait le premier ? Ou y'a une solution ? |
|
Posté le 22/08/2012 à 16:23 |
| Re,
OK. Tu passes au second.
Fill |
|
Posté le 22/08/2012 à 17:11 |
Petit astucien
| Re, je parle d'un autre ordinateur, le scan est un peu longuet, mais tout se passe bien. |
|
Posté le 22/08/2012 à 17:20 |
Petit astucien
| |
|
Posté le 22/08/2012 à 17:20 |
Petit astucien
| |
|
Posté le 22/08/2012 à 19:09 |
| Re,
Je ne parviens pas à ouvrir l'archive. Peux-tu héberger le rapport sur cjoint et me donner le lien ?
http://www.cjoint.com/
Fill Modifié par Fill le 22/08/2012 19:09 |
|
Posté le 22/08/2012 à 20:51 |
Petit astucien
| |
|
Posté le 22/08/2012 à 21:39 |
| Re,
1/ Nous avons besoin de corriger certains éléments que FRST a trouvés. Ouvrez le Bloc-notes. Copiez le contenu de la zone Code ci-dessous. Pour ce faire, sélectionnez le contenu de la zone, faites un clic droit et choisissez Copier. Dans le Bloc-notes, faites un clic droit et choisissez Coller. Enregistrez le fichier sur la clé USb sous le nom fixlist.txt
HKU\Cronos\...\Run: [S64Kernel_sys] C:\Msy\Msy.exe atr [x] C:\Msy\Msy.exe HKU\Public.PC-de-Cronos\...\Run: [Winlogon] C:\Users\Public.PC-de-Cronos\AppData\Roaming\svchost.exe [x] C:\Users\Public.PC-de-Cronos\AppData\Roaming\svchost.exe 3 BFE; . [x]
NOTE: Ces lignes ont été écrites spécialement pour cet utilisateur, pour être utilisées exclusivement sur ce PC. Exécuter ces instructions sur une autre machine pourrait endommager le système d'exploitation. Sur Vista ou Windows 7: Ouvrez le menu des Options de récupération système. Lancez FRST, cliquez une seule fois sur le bouton Fix et attendez. L'outil va créer un rapport de correction (Fixlog.txt) sur la clé USB. Copiez/collez ce rapport dans votre réponse
2/
- Télécharge OTM (de Old_Timer) sur ton bureau,
- Double-clique sur OTM.exe pour lancer le programme,
- Copie la liste de fichiers ou de dossiers ci-dessous et colle-la dans la fenêtre du programme "Paste Instructions for Items to be Moved" :
Begin copying here: :files C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} c:\users\cronos\appdata\local\{ff24043d-55f8-5ce9-a20a-8337d9b4b888}
:reg [-HKCU\SOFTWARE\CLASSES\CLSID\{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}]
:Commands [Reboot]
- Clique sur MoveIt! pour lancer la suppression,
- Le résultat appraraîtra dans le cadre Results.
- Clique sur Exit pour fermer le programme.
- Poste le rapport qui est situé ici : C:\\\_OTM\MovedFiles
- Il te sera peut-être demandé de redémarrer ton PC. Dans ce cas, clique sur Yes.
3/
- Sélectionne et copie ces lignes. Pour les copier, tu cliques sur CTRL+C après les avoir sélectionnées. Elles sont présentées entre quotes comme ceci :
O4 - HKCU\..\Run: [S64Kernel_sys] C:\Msy\Msy.exe (.not file.) O4 - HKUS\S-1-5-21-2739327528-3202617791-3659413016-1000\..\Run: [S64Kernel_sys] C:\Msy\Msy.exe (.not file.) [MD5.00000000000000000000000000000000] [APT] [{138A7BB0-CE36-4C63-9DC4-1181A225162C}] (...) -- F:\start.exe (.not file.) [MD5.00000000000000000000000000000000] [APT] [{1E6D605A-5284-4CED-A852-D1652A593687}] (...) -- C:\Users\Cronos\Downloads\sa-mp-0.3b-R3-install.exe (.not file.) [MD5.D40BA1505F091E5210C9E0513D6CC757] [APT] [{4165E773-E0D1-41CA-A554-9C2785B68D0C}] (...) -- C:\Users\Cronos\Documents\Downloads\UrbanTerror411.exe [MD5.00000000000000000000000000000000] [APT] [{C94AD5C9-09CA-435B-A66E-8E8FB7D4BC49}] (...) -- C:\Users\Cronos\Downloads\LOCO_Downloader.exe (.not file.) [MD5.00000000000000000000000000000000] [APT] [{FF704FE2-DC6C-41C4-A2EA-6DBC81803B95}] (...) -- C:\Users\Cronos\Downloads\shaiya_fr_downloader.exe (.not file.) [HKCU\Software\MSOLoad] =>Trojan.Agent C:\Program Files\rkfree =>Keylogger.Logixoft C:\ProgramData\rkfree =>Keylogger.Logixoft EmptyCLSID EmptyFlash EmptyTemp
- Lance ZHPFix de Nicolas Coolman qui se trouve dans C:\Program Files\ZHPDiag. Pour XP, double-clique sur ZHPFix ; pour Vista, fais un clic droit sur l'icône et exécute en tant qu'administrateur.
- Le logiciel s'ouvre,
- Clique sur le bouton H pour importer dans l'outil lesl ignes que tu as sélectionnées.
- Clique sur OK comme indiqué ci-dessous :
- Les lignes du rapport apparaissent alors avec des cases à cocher.
- Clique sur le bouton "Tous" après avoir vérifié une dernière fois que ces lignes sont conformes à celles sélectionnées au-dessus puis clique sur "Go" comme ceci :
- Ceci va avoir pour effet de réaliser un correctif.
- Dans la fenêtre du programme, celui-ci t'indique que le script a été effectué.
- Si un redémarrage est demandé, effectue-le.
- Copie-colle le contenu du rapport situé dans le dossier C:\ZHP et qui se nomme ZHPFixreport.txt
4/
- Télécharge Ccleaner Slim sur le Bureau,
- Installe-le,
- Ouvre ccleaner et clique sur "Lancer le nettoyage".
5/ Utilise malwarebyte's comme indiqué ici et édite le rapport.
6/ Fais une analyse en lignre avec Eset comme indiqué ici et édite le rapport.
Fill |
|
Posté le 23/08/2012 à 12:50 |
Petit astucien
| |
|
Posté le 23/08/2012 à 13:02 |
Petit astucien
| |
|
Posté le 23/08/2012 à 13:12 |
Petit astucien
| |
|
Posté le 23/08/2012 à 13:33 |
Petit astucien
| |
|
Posté le 23/08/2012 à 13:40 |
| Bonjour,
Il va falloir mettre malwarebyte's à jour. On en est à la v2012.08.23.04.
Tu recommences ensuite une analyse et tu joins le rapport.
Si tu as commencé Eset, tu referas l'analyse avec malwarebyte's plus tard.
Fill |
|
Posté le 23/08/2012 à 16:42 |
Petit astucien
| Le scan ESET a duré toute l'après midi ^^
RAPPORT ESET
ESETSmartInstaller@High as downloader log: all ok # version=7 # OnlineScannerApp.exe=1.0.0.1 # OnlineScanner.ocx=1.0.0.6583 # api_version=3.0.2 # EOSSerial=5abb5ec4893c4e4b83b292b1e02b400d # end=finished # remove_checked=false # archives_checked=true # unwanted_checked=true # unsafe_checked=false # antistealth_checked=true # utc_time=2012-08-23 02:39:08 # local_time=2012-08-23 04:39:08 ) # country="France" # lang=1033 # osver=6.0.6002 NT Service Pack 2 # compatibility_mode=1797 16775165 100 94 838448 79878414 502238 0 # compatibility_mode=5892 16776574 100 100 69727 183255339 0 0 # compatibility_mode=8192 67108863 100 0 559 559 0 0 # scanned=295084 # found=3 # cleaned=0 # scan_time=10181 C:\Users\Cronos\Documents\Downloads\01net_SpyBot_-_Search___Destroy.exe Win32/Amonetize application (unable to clean) 00000000000000000000000000000000 I C:\Users\Cronos\Documents\Downloads\installer_uxtheme_multi-patcher_4_0_French.exe Win32/Toolbar.Babylon application (unable to clean) 00000000000000000000000000000000 I C:\Users\Cronos\Documents\Downloads\install_emp.exe probably unknown NewHeur_PE virus (unable to clean) 00000000000000000000000000000000 I
|
|
Posté le 23/08/2012 à 17:46 |
| |
|