bonjour à tous,

depuis qques jours "Trojan.Heur.Rootkit" infeste mon pc sous win 7

croyant dans un premier temps qu'il s'agissait d'un pb de connexion j'ai réussi, avec l'aide de fgondard et cubitus95, à me débarrasser de 140 menaces mais ce virus vérrouille encore le port 80 et bloque l'accès au net par http

cubitus95 m'a recommandé de venir interroger les pro de la sécurité pour connaitre le moyen d'éradiquer cette vilaine bête

merci d'avance de m'aider

cordialement

jeff

Bonjour,

effectue cette procédure et poste les 3 rapports demandés, un helper te prendra en charge.

https://forum.pcastuces.com/aide_au_diagnostic_un_pc_infecte_pcastuces-f25s17490.htm

Bonsoir

... depuis qques jours "Trojan.Heur.Rootkit" infeste mon pc sous win 7 ...

Qui te détecte ce RootKit ?

Sinon, fait la procédure demandée Aide au diag d'un PC infecté

@ +

c'est bitdefender internet security 2013

je suis en train de faire la procédure mais, d'ore et déjà je ne peux pas exécuter zhpdial (erreur de chargement de bibliothèque) que ce soit en mode normal ou sans échec

Re

Poste déjà les deux premiers rapports, MBAM & AdwCleaner

depuis 2 semaines mes programmes ne peuvent plus accéder au net, en revanche pas de pb pour les updates de windows et bitdefender

je pensais que le firewall de bd me jouait un sale tour, j'ai désinstallé bd et j'ai posté sur le forum pour "problème de connexion"

ce matin, j'ai réinstallé bd qui a trouvé 140 menaces et les a supprimé

sauf que le port 80 est tjs bloqué par un élément du système (je suppose le vers): en lançant "netstat /abno" depuis le panneau de cde je vois que le port 80 est utilisé par un élément du système non renseigné et qui n'a rien à faire là

voici le rapport de malwarebytes (impossible accéder au serveur de maj, la bese date du 11/7/13):

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.11.02

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16521
Utilisateur
CLIOR3 [administrateur]

12/08/2013 19:08:14
mbam-log-2013-08-12 (19-08-14).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUM
Options d'examen désactivées: PUP | P2P
Elément(s) analysé(s): 235340
Temps écoulé: 1 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

et celui de adwcleaner

# AdwCleaner v2.006 - Rapport créé le 04/11/2012 à 09:01:40
# Mis à jour le 30/10/2012 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Utilisateur - CLIOR3
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Utilisateur\Favorites\Desktop\adwcleaner.exe
# Option [Suppression]

***** [Services] *****

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\ProgramData\Tarma Installer
Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\pdfforge
Fichier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\8lzu00nb.default\searchplugins\web-search.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\Software\Freeze.com
Clé Supprimée : HKLM\Software\Software
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BCFF5F55-6F44-11D2-86F8-00104B265ED5}
Clé Supprimée : HKLM\SOFTWARE\Tarma Installer

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v16.0.2 (fr)

Nom du profil : default
Fichier : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\8lzu00nb.default\prefs.js

C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\8lzu00nb.default\user.js ... Supprimé !

Supprimée : user_pref("browser.search.defaultenginename", "Web Search...");
Supprimée : user_pref("browser.startup.homepage", "hxxps://accounts.google.com/ServiceLogin?service=mail&passive[...]
Supprimée : user_pref("extensions.illimitux.ilx_pref_pt_veoh", true);
Supprimée : user_pref("extensions.vshare@toolbar.update.enabled", false);
Supprimée : user_pref("keyword.URL", "hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=");
Supprimée : user_pref("vshare.install.date", "1297468800000");
Supprimée : user_pref("vshare.install.dumpFileCount", 0);
Supprimée : user_pref("vshare.install.dumpFileDisabled", false);
Supprimée : user_pref("vshare.install.finished", "1.0.0");
Supprimée : user_pref("vshare.install.guardCount", 2);
Supprimée : user_pref("vshare.install.guardPopupCount", 1);
Supprimée : user_pref("vshare.install.guid", "{15e80c35-8c66-4bf0-9ae1-8e3b584a4a2c}");
Supprimée : user_pref("vshare.install.isDisabled", true);
Supprimée : user_pref("vshare.install.istoolbarhp", true);
Supprimée : user_pref("vshare.install.istoolbarsearch", true);
Supprimée : user_pref("vshare.install.laststatreq", "1297468800000");
Supprimée : user_pref("vshare.install.newtab", true);
Supprimée : user_pref("vshare.install.overlayVersion", 1);
Supprimée : user_pref("vshare.install.userHPSettings", "");
Supprimée : user_pref("vshare.install.userSPSettings", "Google");

*************************

AdwCleaner[S1].txt - [3110 octets] - [04/11/2012 09:01:40]

########## EOF - C:\AdwCleaner[S1].txt - [3170 octets] ##########

et pour zhpdial le lien pour le détail de la fenêtre qui apparait: http://cjoint.com/?0HmtDNhQOzT que ce soit en mode normal ou sans échec

jeff

Re

Ok, avec les deux rapports

Désinstalle ZHPDiag, via le panneau de configuration

Réinstalle le sur le bureau
Configure le en "Full Options" // (tournevis + tous)
Lance le en mode sans échec
Hébérge son rapport si il passe !

/!\ Si cela rebloque, lance le avec sa configuration d'origine, sans passer donc par la configuration

A te lire

re...

rien à faire, même en mode sans échec zhpdiac ne démarre pas et j'ai tjs la même fenêtre

j'ai tout essayé de ce que je connais

que faire d'autre?

a+

jeff

Bonsoir

courte et unique incruste.

A l'attention d'Evasion60

j'ai récupéré le rapport de BitDefender de notre ami.

http://cjoint.com/data/0HmqlJZa5Or.htm

le rootkit s'est logé dans Windows Installer (entre autres) et dans c:\recovery...c'est vraiment une sale

Bonne continuation à vous deux.

Australien

Re

Donne moi le chemin complet du fichier que BitDenfender détecte comme un RootKit ?
Je souhaite le soumettre à VirusTotal

Ensuite,

1/
Télécharger => RogueKiller de Tigzy sur le bureau

/!\ Prendre la version qui correspond à la machine
x86 pour une machine en 32bits ===> http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
x64 pour une machine en 64bits ===> http://www.sur-la-toile.com/RogueKiller/RogueKillerX64.exe

Comment savoir si mon pc est 32 ou 64 bits =>
Touches clavier Windows + Pause
Dans la fenêtre qui s'ouvre =>
Type de l'OS + Système d'exploitation 32 bits

(A partir d'une clé USB et d'un autre pc si le Rogue empêche l'accès au net ou en mode sans échec avec prise en charge réseau)

Quitte tous les programmes en cours
Lance RogueKiller.exe en cliquant sur l'icône.



Un pre-scan va s'effectuer rapidement.
Quand il sera terminé, clique sur le bouton Scan



Clique sur le bouton Suppression



Clique sur le bouton Rapport quand le nettoyage sera terminé.



Envoie une copie du rapport RKreport[1].txt qui va s'afficher.
Il sera enregistré sur le bureau.



/!\ Si l'affichage des icônes du bureau, seulement dans ce cas, ne se fait pas correctement, clique sur le bouton Racc. RAZ

Remarque.
Il est possible de faire un don au créateur de l'outil par le bouton PayPal - Donate.

2/

Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller.zip depuis le lien ci-dessous:
http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip

Extrayez de l'archive téléchargée le fichier TDSSKiller.exe et placez-le sur le Bureau.


Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche:


Cochez la case située devant Loaded modules

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".


Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche.
Cochez toutes les cases, comme ceci:


puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:


Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:


Ensuite cliquez sur le bouton Continue

Un redémarrage est nécessaire:


Cliquez sur Reboot computer


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:

Info : http://support.kaspersky.com/fr/faq/?qid=208280685

/!\ Tu drevras héberger son rapport sur Cjoint (coche 21 jours en lecture)

Reviens dans ta réponse avec, le chemin du fichier, les deux rapports de RogueKiller et celui de TDSSKiller (le lien de l'hébergement)

re,re...

je serai absent demain et comme le process risque d'être long je ferai ça mercredi calmement

veux tu les résultats d'analyses de bitdefender après désinfection et après redémarrage?

à te lire

jeff

jeffdelyon a écrit :

... veux tu les résultats d'analyses de bitdefender après désinfection et après redémarrage? ...

Re
Patrick, merci (tu l'as eu ou ?)

Oui, je veux bien, avant que tu partes

@+

re...

voilà les liens sur les 2 rapports d'analyse de bitdefander

http://cjoint.com/?0HmwqTxa2bv

http://cjoint.com/?0Hmwr0f4Hou

bonne lecture

jeff

Re

/!\ J'ai survolé le lien d'Australien, le RootKit est implanté partout dans la machine

Tu passes les deux "Outils" le plus vite possible, et évite toute connexion Web !

Edité =>
BitDefender en a shooté pas mal, dans sa suppression

@ +

Evasion60 a écrit :

jeffdelyon a écrit :

... veux tu les résultats d'analyses de bitdefender après désinfection et après redémarrage? ...

Re
Patrick, merci (tu l'as eu ou ?)

Oui, je veux bien, avant que tu partes

@+

Hello Michel

sur le premier sujet du demandeur

windows 7 pas de connexion internet des applications

Tu as un trés gros costaud sur les bras, la machine est bien entamée...

Pour suivre.

Re Patrick

... Tu as un trés gros costaud sur les bras, la machine est bien entamée ...

Oui, j'ai vu les entrées du RootKit, et effectivement, c'est pas gagné !
C'est même très éclaté dans le système

bonjour à tous,

rentré plus tôt que prévu, j'ai exécuté les killers et voici leurs rapports

ceux de rk:

http://cjoint.com/?0HnrfMDbkOT

http://cjoint.com/?0HnrgKMD98e

et celui de tdssk:

http://cjoint.com/?0HnribkmYzn

ont-ils fait la totalité du nettoyage?

à vous lire

cordialement

jeff

Bonjour

J'ai pas le rapport de Suppression avec RogueKiller
Poste le STP !

re...

escuses moi j'ai posté 2 fois le même rapport

voici de 2éme:

http://cjoint.com/?0HnrRMnO8AD

a+

jeff

Re

/!\ Bien c'est du lourd effectivemet

/!\ Avant toute utilisation de Gmer, veuillez désactiver votre antivirus, antispyware sous peine de crash.

Ferme toutes tes applications en cours
Sous Vista /Win7 / Win8 => clic droit, et exécuter en tant qu'administrateur.
Sous XP => double clic

Clique sur l'onglet "rootkit"
/!\ Vérifie que toutes les cases sont bien cochées, comme sur l'écran
Clique sur "Scan"




A la fin du scan, clique sur le bouton "Copy"

Ouvre le bloc-notes et clique sur CTRL+V afin de copier le rapport dans ce même bloc-notes
Edite ce rapport dans ta prochaine réponse

re; re...

rapport g (une) mer (de)... le bien nommé!

http://cjoint.com/?0Hns1bh7qtJ

mais je reste zen!

a+

jeff

désolé mais comme le pc principal sous win 7 pro n'a pas accès au net j'ai tétéchargé gmer.zip avec le pc virtuel sous xp pro et je l'ai passé dans un dossier du pc principal car du pc virtuel je n'ai pas accés au bureau du pc principal

j'ai donc recommencé en mettant gmer.zip sur le bureau et en extrayant gmer.exe

il a eu du mal à s'installer

voici le rapport:

http://cjoint.com/?0HnuRJN3DMp

j'ai l'impression qu'il ne s'est pas directement exécuté depuis le bureau

Re

Nous allons essayer comme cela =>

/!\ La suppression avec RogueKiller n'as pas fonctionnée
Redémarre en mode sans échec avec prise en charge du réseau

1/
Relance RogueKiller en mode Suppression
Poste son nouveau rapport

2/

• Téléchargez UsbFix et enregistrez-le sur votre bureau :

Lien page de téléchargement: http://sosvirus.net/tools/UsbFix.exe

• Une fois téléchargé sur votre bureau, double-cliquez sur son icone.
• Puis cliquez sur Exécuter pour lancer l'installation qui se fera automatiquement.
  
  

• Laisse travailler l'outil.
• À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix [Scan ?] Nom de l'ordinateur.txt ).
• Tutoriel en images

Recherche des infections

Clique sur le bouton " Recherche "
Poste son rapport

Suppression des infections

/!\ Si blocage, désactiver temporairement l'antivirus
ou
Redémarre en mode sans échec avec prise en charge du réseau

Clique sur le bouton " Suppression "
Poste son rapport

Veuillez faire un copié/collé de ce rapport sur le forum où vous demandez de l'aide.
Ctrl A pour sélectionner tout, Ctrl C pour copier puis Ctrl V pour coller le rapport sur le forum.

A te lire avec les rapports demandés =>
- RogueKiller (deux)
- USBFix (deux)

bonjour tout le monde,

voici les rapports de rk en mode sans échec:

http://cjoint.com/?0HolWCNAsvZ

http://cjoint.com/?0HolXu5lWIA

pour usbfix impossible de le faire exécuter en mode normal sans av ou sans échec

est-il possible, sans risque, de l'exécuter sur un autre pc pour traiter les disques externes ayant été en contact avec ce pc?

le seul point commun à mes 4 pc sont le disque dur de la freebox: une contamination est-elle possble par ce point?

Bonjour

/!\ C'est la merdouille, et il y en a partout !
RogueKiller mode suppression => Accès interdit !

... le seul point commun à mes 4 pc sont le disque dur de la freebox: une contamination est-elle possble par ce point? ...

A quoi sert ce disque dur, sur la FreeBox ?

Edité =>
As tu tenté une restauration ?

J'attends tes réponses

re...

il stocke les enregistrements tv, les téléchargements avec free et j'ai créé un dossier transfert qui sert à passer les fichiers d'un pc à l'autre

c'est un dique réseau pour tous les pc connectés sur la freebox via éthernet, freeplug ou wifi

pas de restauration possible, j'ai viré tous les pts, ils étaient tous postérieurs au début de l'infection

a+

jeff

Re

... c'est un dique réseau pour tous les pc connectés sur la freebox via éthernet, freeplug ou wifi ...

Alors effectivement, tous les PC peuvent être contaminés
Il ne fallait pas supprimer tes points de restaurations // J'ai plus de billes maintenant
C'est pas la joie donc !

Attention à ci dessous // Lis bien

/!\ Désactiver votre antivirus et protections résidentes anti-malwares




Double clic, sur l'icone ComboFix.exe
Sous Vista/Win7/Win8 => Clic droit et exécuter en tant qu'administrateur

A cette fenetre

,

Clique sur Exécuter

Puis à cette fenetre

,

Clique sur J'accepte

Suivez les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows

Réduction à 95% de la taille originale [ 536 x 154 ]

Une fois que la Console de récupération Microsoft Windows est installée via ComboFix, vous devriez voir le message suivant =>





Cliquez sur Oui/Yes, pour poursuivre avec la recherche de nuisibles

Lorsque l'outil aura terminé, il vous affichera un rapport. Veuillez copier le contenu de C:\ComboFix.txt dans votre prochaine réponse


A ce moment là, Combofix va effectuer une multitude de taches ( sauvegarde du système , scan, ...)

Ensuite , combofix va probablement redémarrer puis se relancer pour créer le rapport des oppérations qu'il a effectué ( il faut continuer à ne pas toucher au pc jusqu'a ce que le rapport Combofix s'ouvre sauf pour taper son mot de passe d'ouverture de session)

Une fois le rapport apparu , poste le dans ta réponse

et re!

je peux le télécharger sur le pc virtuel sous xp pro et le passer sous le pc principal sous win 7?

hello!

ça va mal

combofix téléchargé sur un autre pc

passé sur le bureau du pc malade

lancé depuis le bureau en tant qu'admin après avoir désactivé bd

ouverture de la même fenêtre que pour usbfix:

nsts error

error writing temporary file

make sure your temp folder is valid

jeffdelyon a écrit :

je peux le télécharger sur le pc virtuel sous xp pro et le passer sous le pc principal sous win 7?

Salut

/!\ C'est pas ce que je demande !
Déjà hier tu m'as plombé avec ta VM
Et de plus, tu as supprimé tous tes points de restauration // C'était une très mauvaise idée, car je ne peux plus aller chercher un point popre, juste avant ton grave problème
J'aurais pu utiliser FRST de Fabar, pour aller le chercher ce point de restauration

Tu mets Combo sur C:\ comme demandé et sur le bureau // A la limite en mode sans échec pour le passer

Edité =>
Démarrer // Exécuter => combofix.exe /uninstall valide par Ok

désolé mais avec le pc principal je ne peux pas accéder au net car le port 80 est bloqué par l'intru malveillant

pour aller lire tes mails sur gmail et télécharger les logiciels de nettoyage je dois utiliser la vm ou un autre pc

si j'avais cliqué sur l'icone de combofix.exe que tu as eu la gentillesse d'insérer à ton mail, j'aurais lancé cet exe sur une machine qui n'est pas la bonne!

et comme tous les softs que tu m'as fait passer jusqu'à maintenant s'exécutaient du bureau j'ai bêtement pensé qu'il en était de même avec combofix

la prochaine fois en cas de doute je te demanderai de préciser

av désactivé pas d'anti mw résident

mode sans échec avec réseaux

combofix sous c:\

panneau de cde combofix.exe /uninstall même fenêtre nsts error

panneau de cde combofix.exe même fenêtre nsts error

sous c:\ clic droit sur combofix.exe exécuter en tant qu'admin même fenêtre nsts error

Re

/!\ Est que la machine en panne, boot sur un CD/DVD, après avoir mis, via le Bios => First boot sur CD/DVD ?

Si la réponse est oui, je peux tenter de te faire graver un CDLive de boot d'un autre environnement que Windows, qui contient des outils !

A te lire

re...

ça vaut le coup d'essayer mais je pense qu'il vaut mieux ne pas faire un essai avant

on verra bien sur le moment

qu'en pensez vous?

ça vaut le coup d'essayer mais je pense qu'il vaut mieux ne pas faire un essai avant

Re

Bien, fait un essai de booter sur un CD ou DVD que tu possèdes, même si cela plante après avec Windows !
C'est juste pour voir si ça boot

Edité =>
Si tu n'en possèdes pas, je te donnerais un lien pour graver un CDLive de Boot

Re

Le CD Win7PE =>


Avec la recrudescence des ransomwares, on a parfois besoin d’un CD Live pour récupérer la main (lorsque le mode sans échec et la restauration du système n’est pas possible).
Il existe OTLPE comme Live CD, ce dernier est basé sur Windows XP et n’est pas mis à jour (pilotes LAN / WLAN).
Du coup j’ai décide de faire un Live CD et de le maintenir afin d’avoir des pilotes LAN / WLAN relativement récent afin que le réseau puisse fonctionner dans la majaure partie des cas.
Le Live CD est basé sur du Win7PE, comme son nom l’indique il est en Windows Seven.

Présentation Rapide



Le Live CD embarque les programmes suivants :
RogueKiller
Malwarebyte’s Anti-Malware
OTL afin d’effectuer un diagnostique



Installation

Le lien de téléchargement : CD Live Malekal => http://www.malekal.com/CD_Live/download.php
Mirroir UploadHero : http://uploadhero.co/dl/rJuJ5Okq


Le Live CD peux fonctionner sur CD-Rom ou sur une clef USB.
Pour l’installation du CD Live sur un CD, ce n’est pas très compliqué, il suffit de télécharger le fichier ISO et de graver l’ISO.
Par exemple avec IMBurn =>
http://www.malekal.com/2010/11/12/grave ... c-imgburn/ (ou plus bas aussi avec ISO2Disc).

Si vous désirez le mettre sur Clef USB, vous pouvez utiliser le programme ISO2Disc. =>
http://www.top-password.com/download/ISO2DiscSetup.exe

Dans le champs ISO Image : indiquez le chemin du fichier ISO à l’aide du bouton Browse.
Cochez Burn to USB Flash Drive et indiquez la lettre de votre clef USB.
Cliquez sur Start Burn pour copier le CD Live sur la clef USB.




Enfin pour « booter » sur le Live CD, redémarrez l’ordinateur et changez la séquence de démarrage =>
http://forum.malekal.com/booter-sur-dvd-t9447.html
pour faire démarrer sur le CD ou clef USB.

Voici une capture d’écran des disques – les lettres peuvent changer selon l’agencement de vos partitions mais vous pouvez vous fier au nom des disques pour vous y retrouver, dans mon cas :

Disque C: c’est la partition système de mon Windows, celui qui est normalement infecté.
Disque X (Boot) : Partition Ramdisk créé par le CD Live pour le fonctionnement du Windows Seven – Cette partition contient donc un dossier Windows et Programs.
Disque Y (Lecteur CD) : Clef USB / Lecteur CD-Rom où se trouve l’image du CD Live.
Il ne sert donc à rien de scanner le disque X et Y avec un anti-malware puisque ce sont les données du disque.



Mise en place du réseau

Notez qu’en cas d’infection d’un Ransomware, vous pouvez utiliser RogueKiller qui devrait vous en débarrasser. RogueKiller n’a pas besoin d’une connexion internet pour fonctionner.

Le live CD embarque une base de données de drivers.
Néanmoins si le réseau ne fonctionne pas, vous pouvez suivre cette procédure pour installer des pilotes supplémentaires.

Dans le menu Démarrer ouvez le dossier Computer Managment puis Drivers.
Cliquez sur Driver Packs Install



Laissez-vous guider en cliquant sur le bouton afin de lancer l’installation des pilotes.



Une fois les pilotes installés, cliquez sur Terminer



Si le programme vous propose de redémarrer l’ordinateur : REFUSER



Pour activer le Wifi, Lancez PE Network.
Cliquez sur l’onglet WIFI.
Cochez l’option Forcer la déteciton de nouveaux périphériques sur la liste des adaptateurs



Cliquez sur le bouton Démarrer pour activer le WIFI.
Si tout va bien, le WIFI devrait se lancer et la liste des réseaux disponibles apparaitrent.



Le live CD embarque deux navigateurs WEB : Opéra et Internet Explorer



RogueKiller

RogueKiller est disponible, ce dernier fonctionne comme d’habitude.
A noter qu’il n’y a pas besoin qu’internet soit fonctionnel pour utiliser RogueKiller.

Dans le cas d’une attaque Ransomware, RogueKiller devrait parvenir à nettoyer sans trop de soucis.

Le rapport RogueKiller est créé sur le bureau.

Si RogueKiller plante pendant le PreScan : cela est généralement dû au scan des drivers. Il est possible de lancer RogueKiller sans le scan via le menu Démarrer / RogueKiller / RogueKiller sans driver scan.



Malwarebyte’s Anti-Malware

Malwarebyte est disponible aussi sur le CD Live.
La connexion internet doit être fonctionnelle pour pouvoir utiliser Malwarebyte étant donné que ce dernier va aller chercher les dernières définitions virales.

Au premier lancement, cliquez sur le Menu Démarrer / Malwarebytes et lancer Malwarebytes (No Runscanner).



Ce dernier vous indique que les définitions virales sont manquantes ou corrompues.
Cliquez sur Oui pour lancer leurs téléchargements.




Une fois les définitions virales mises à jour.
Fermez Malwarebyte’s Anti-Malwares.
Relancez Malwarebytes mais en prenant l’icone avec (Scan) – Cela va charger les ruches du registre Windows et permettre de nettoyer le registre Windows.

Faites « Perform Full Scan » et décocher le disque X:





OTL / OTLPE

OTL permet d’effectuer un scan et de générer un rapport de diagnostic afin d’y déceler des malwares.
OTL permet aussi via un script de supprimer des éléments malicieux.

Pour fonctionner, il faut qu’OTL puisse avoir accès au registre Windows infecté.
Voici la procédure à suivre pour charger OTL.

Double-cliquez sur l’icône OTL.
Ce dernier va vous demander d’indiquer le dossier Windows, probablement C:Windows



OTL vous demande ensuite si vous désirez charger les profils utilisateurs.
Acceptez en cliquant sur Oui.



La liste des profils utilisateurs s’affichent.
Sélectionnez le profil dont la session est infectée.
Cliquez sur Oui.



OTL s’ouvre.
Dans le cas où un script vous a été fourni, copier/coller ce dernier dans le champs Custom Scan/Fixes.



Puis lancez le Scan.
Comme vous pouvez le constater ci-dessous, le rapport de diagnostic indique une version XP de Windows qui correspond bien à la version de Windows infecté et non à celui du Live CD (Windows Seven).

NOTE : si le rapport OTLPE ne s’ouvre pas, allez le chercher manuellement à la racine du disque où se trouve Windows C:OTL.txt D:OTL.txt etc.



Quelques autres outils

Quelques autres programmes présents sur le Live CD : MbrFix (notez que RogueKiller se charge des bootkits), Remote Regedit qui permet de charger des ruches, mmc et des outils de réparation de Windows Seven.




Les outils de réparation/récupération ne sont utiles que si Windows est sur Seven.
Il est notamment possible de lancer une restauration du système => http://www.malekal.com/2010/11/14/resta ... istaseven/






Si votre version de Windows est autre que Windows Seven, le message suivant apparaît :



Je vous rappelle qu’il est possible d’effectuer une restauration en invites de commande en mode sans échec =>
http://forum.malekal.com/windows-recupe ... 20428.html
Notez aussi qu’il est tout à fait possible d’effecuter une restauration du système manuelle en recopiant les ruches du registre.
Le tutorial suivant décrit cette procédure =>
http://www.malekal.com/2012/06/12/resta ... tauration/

Quand cela est fait, tu attaques avec RogueKiller en mode Suppression

Bonjour

Tu en es ou ?
Merci de répondre

bonjour evasion 60

excuse mon silence j'avais pas mal de job et heuruesement j'ai un autre pc pour bosser

j'ai fait toutes les manips de ton dernier post mais la bête est toujours là

elle est maligne car elle bloque les maj des softs de désinfection du cd bootble

j'ai même essayé un cd bootable sous linux avec kaspersky mais l'analyse est bloquée à 27%

j'ai récupéré tous mes docs via un disque usb que j'ai scanné et vacciné avec usbfix

si tu es d'accord, je pense que le mieux serait de réinstaller win7 mais auparavent, je voudrais faire un hard nettoyage ou être certain que la bête ne survivra pas à la réinstall

a+

jeff

Bonjour Jeff

... je voudrais faire un hard nettoyage ...

Qu'appelles-tu un "Hard Nettoyage" ?

/!\ Avant de réinstaller Seven, il serait judicieux de tester physiquement ton disque dur !

Télécharge =>

HD Tune, 3eme onglet "Health", fais une copie d'écran stp

Poste la dans ta prochaine réponse

HD Tune, 1er onglet "benchmark" => start,

c'est terminé quand les 3 cases "acces time" "burst rate" et "cpu usage" se remplissent, fais les 3 copies des écrans stp
Poste les dans ta prochaine réponse

Si il ne plante pas, et après avoir envoyé les 3 copies d'écran :

Dernier onglet "error scan" (ne pas cocher "quick scan") => start (cela peut durer un moment)

/!\ Dis-nous s'il tient sans planter même en Mode Sans Echec (MSE)
C'est à dire de refaire le dernier test en mode sans échec

Bien tu as du boulot et des copies d'écran à me fournir
Bon dimanche

re...

seven est installé sur un ssd de 120 go et les docs sont stockés sur un hdd de 500 go

le test est il supporté par le ssd ou faut il faire appel au soft du constructeur pour le réinitialiser et en conséquence ne tester que le hdd?

à te lire

jeff

Bonsoir

Tu as bien fait de poser cette question =>

... le test est il supporté par le ssd ou faut il faire appel au soft du constructeur pour le réinitialiser ... Oui, il faut que tu prennes l'outil/soft du contructeur du SSD (pas du tout la même technologie)

... et en conséquence ne tester que le hdd? ... Bien sûr, aucun problème, mais je ne pense pas qu'il soit en cause celui là