Nettir32 /Pc très lent Fermé

Question

Bonjour,  

j'ai le même soucis que le monsieur plus haut ! Mon Pc est super lent et j'ai aussi nettir32 dans le msconfig !qui revient à chaque fois ! 
 j'ai passé OTL voilà les fichiers , si quelqu'un peu me venir en aide ,j'ai passé pleins d'anti virus , antimalware etc...rien à faire ça revient toujours ! je sais plus quoi faire ! merci d'avancecar la je suis dépassé ! 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijASN8CbB.txt 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijZGbHqMz.txt 
Configuration: Windows XP / Safari 533.4

verni29 · Answer

Bonsoir, 

je regarde les rapports.

J'aimerais vérifier deux choses :

1/ Télécharge gmer  sur ton bureau ( IMPORTANT )
http://www.gmer.net/#files

Précautions d'usage :
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT.
- Ferme également toutes les applications actives dont ton navigateur.

# Double-clique sur l'exécutable téléchargé .
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur. 
# Le scan va se lancer de lui-même.

Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien.

# A la fin de l'analyse, clique sur save pour enregistrer le rapport
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

2/ Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Clique sur parcourir pour sélectionner le fichier suivant  :

Chemin : C:\WINDOWS\System32\mklogin.exe

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )


A+

Guylaine · Answer

Bonjour,
j'ai eu le même problème hier soir et j'ai suivi ce qui est indiqué ici :
https://support.avg.com/answers#!/feedtype=RECENT_REPLY&dc=All&criteria=ALLQUESTIONS

j'ai suspendu le processus scvhost qui prenait 100% du temps cpu avec Processus Hacker
et ensuite j'ai lancé Sophos Anti-Rootkit et j'ai pu enlever le fichier caché nettir32.exe

epinardz · Answer

voila le rapport de gmer (super long comme analyse !) ensuite j'ai eu un gros écran bleu pas longtemps après que gmer m'ai indique un  arrêt du a un rootkits  a la fin de l'analyse !
http://www.cijoint.fr/cjlink.php?file=cj201006/cijaVuXAbg.txt
Pour virus total c'est en cour d'analyse !!!!

epinardz · Answer

Antivirus	Version	Dernière mise à jour	Résultat
a-squared	5.0.0.26	2010.06.01	-
AhnLab-V3	2010.06.01.01	2010.06.01	-
AVG	9.0.0.787	2010.06.01	-
BitDefender	7.2	2010.06.01	-
ClamAV	0.96.0.3-git	2010.06.01	-
DrWeb	5.0.2.03300	2010.06.01	-
eSafe	7.0.17.0	2010.06.01	-
F-Secure	9.0.15370.0	2010.06.01	-
Fortinet	4.1.133.0	2010.06.01	-
GData	21	2010.06.01	-
Kaspersky	7.0.0.125	2010.06.01	-
McAfee	5.400.0.1158	2010.06.01	-
McAfee-GW-Edition	2010.1	2010.06.01	-
Microsoft	1.5802	2010.06.01	-
NOD32	5164	2010.06.01	-
nProtect	2010-06-01.02	2010.06.01	-
PCTools	7.0.3.5	2010.06.01	-
Sophos	4.53.0	2010.06.01	-
Sunbelt	6387	2010.06.01	-
Symantec	20101.1.0.89	2010.06.01	-
TheHacker	6.5.2.0.291	2010.06.01	-
VBA32	3.12.12.5	2010.06.01	-
VirusBuster	5.0.27.0	2010.06.01	-
Information additionnelle
File size: 694272 bytes
MD5...: d2ecd8f13e93fef6e1e817ed2830659a
SHA1..: f82f8ea8cd9342a0c8b6797be43b556ce691da7d
SHA256: a9d93494ae0de554f59173910a416085607618f7dea92c66258963805f8dcd79
ssdeep: 12288:7pI+dKssoqV8/trpntUsFfBEQ5++yspmLHT25gYFyePhhqrPDpzk2+bn:7
W/rIMkr
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xae8b
timedatestamp.....: 0x3b7d838b (Fri Aug 17 20:50:19 2001)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2484a 0x24a00 6.51 76c7990dfb03e393d74d4f8d9dc22be8
.data 0x26000 0x16308 0x5800 1.79 5094b2d5f53310616bd4270255b39d39
.rsrc 0x3d000 0x7f01c 0x7f200 6.32 59f9aba1d04c4bfdc4aa3afb889de024

( 15 imports ) 
> msvcrt.dll: _controlfp, __3@YAXPAX@Z, swprintf, _wcsicmp, _purecall, wcscpy, qsort, _c_exit, _exit, _iob, fwrite, strtol, _wtoi, _itow, _ftol, memmove, _snwprintf, wcsncpy, wcscmp, wcslen, _except_handler3, atoi, _onexit, __dllonexit, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, exit, _cexit, _XcptFilter
> ADVAPI32.dll: RegOpenKeyExA, LookupPrivilegeValueW, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, ConvertSidToStringSidW, RegLoadKeyW, RegUnLoadKeyW, GetUserNameW, RegQueryValueExA, RegOpenKeyExW, RegCloseKey, RegQueryValueExW, LookupAccountNameW, GetSidSubAuthorityCount, GetSidSubAuthority
> KERNEL32.dll: GetStartupInfoA, GetModuleHandleA, LoadLibraryA, InterlockedCompareExchange, DeleteAtom, AddAtomW, lstrcatW, TlsGetValue, HeapFree, HeapReAlloc, HeapAlloc, MulDiv, GetProcAddress, LoadLibraryW, InterlockedDecrement, InterlockedIncrement, HeapCreate, TlsAlloc, TlsFree, HeapDestroy, TlsSetValue, DeleteCriticalSection, InitializeCriticalSection, FreeLibrary, GetLocaleInfoW, GetModuleHandleW, lstrlenW, lstrcpynW, lstrcmpiW, SetUnhandledExceptionFilter, ExitProcess, LocalAlloc, lstrcpyW, LocalFree, DelayLoadFailureHook, GetLastError, GetComputerNameW, LocalSize, SetLastError, ExpandEnvironmentStringsW, IsBadWritePtr, IsBadStringPtrW, GetCurrentProcess, GetCurrentThread, CloseHandle, InterlockedExchange, GetVersionExA, GetAtomNameW, SetProcessWorkingSetSize, GetUserDefaultUILanguage, MultiByteToWideChar, FindAtomW, EnterCriticalSection, LeaveCriticalSection, OutputDebugStringW, SizeofResource, LockResource, LoadResource, FindResourceW
> GDI32.dll: GetDeviceCaps, CreateSolidBrush, GdiFlush, CreateFontIndirectW, CreateCompatibleDC, CreateCompatibleBitmap, CreateRectRgn, OffsetRgn, ExtTextOutA, LPtoDP, StretchDIBits, GetLayout, SetLayout, CreateDIBPatternBrushPt, CreateDIBSection, GetDIBits, GetBrushOrgEx, SetBrushOrgEx, CreateHalftonePalette, SelectPalette, RealizePalette, PlayEnhMetaFile, SetStretchBltMode, CreatePatternBrush, BitBlt, SetBkMode, SetTextAlign, GetTextExtentPoint32W, DeleteEnhMetaFile, GetObjectA, StretchBlt, GetObjectW, GetPixel, CreateBitmap, SelectObject, SetBkColor, SetTextColor, ExtTextOutW, PatBlt, DeleteObject, DeleteDC, GetStockObject
> USER32.dll: CreateWindowExW, ShowWindow, SetForegroundWindow, EnableWindow, DestroyWindow, UnregisterClassW, GetSystemMetrics, SetWindowLongW, MonitorFromPoint, GetMonitorInfoW, SetWindowPos, wsprintfW, LoadStringW, PostMessageW, CopyIcon, GetClientRect, MessageBoxW, FindWindowW, GetKeyboardLayout, DestroyIcon, GetKeyboardLayoutList, SystemParametersInfoW, GetDC, ReleaseDC, GetSysColor, DrawTextW, GetProcessDefaultLayout, CreateIconIndirect, GetWindowRect, SendMessageW, KillTimer, SetTimer, LoadCursorW, RegisterClassExW, GetWindowLongW, DefWindowProcW, BeginPaint, FillRect, EndPaint, CharNextA, CharNextW, GetWindowLongA, SetRect, GetIconInfo, LoadImageW, EqualRect, DrawIconEx, DrawFocusRect, IntersectRect, DrawFrameControl, CopyRect, SetRectEmpty, AdjustWindowRectEx, GetParent, SetCursor, ScreenToClient, GetMessagePos, InvalidateRect, DefWindowProcA, GetClassInfoExW, GetSysColorBrush, SendMessageA, GetWindowTextW, GetWindowTextLengthW, DispatchMessageW, TranslateMessage, GetMessageW, PostQuitMessage, SetWindowLongA, SetFocus, SystemParametersInfoA, NotifyWinEvent, SetParent, CallWindowProcW, UpdateWindow, SetWindowRgn, SetWindowTextW, MapWindowPoints, GetFocus
> COMCTL32.dll: -, -, InitCommonControlsEx, -, -, -
> SHELL32.dll: -
> ntdll.dll: NtQuerySystemInformation, RtlUnhandledExceptionFilter
> NETAPI32.dll: NetApiBufferFree, DsGetDcNameW, NetQueryDisplayInformation
> ole32.dll: CoUninitialize, CoInitialize, CoDisconnectObject, CoInitializeEx, CoCreateInstance
> OLEAUT32.dll: -, -, -, -
> RPCRT4.dll: RpcBindingFromStringBindingW, NdrClientCall2, RpcBindingFree, RpcStringFreeW, RpcEpResolveBinding, RpcStringBindingComposeW
> DUSER.dll: UtilDrawBlendRect, DUserRegisterStub, DeleteHandle, FindGadgetFromPoint, LookupGadgetTicket, SetGadgetRootInfo, GetStdColorBrushI, GetStdColorI, FindStdColor, GetMessageExW, InitGadgets, SetGadgetBufferInfo, GetGadgetTicket, MapGadgetPoints, CreateAction, GetGadgetRgn, GetGadgetAnimation, BuildInterpolation, BuildAnimation, GetGadgetSize, GetGadgetRect, CreateGadget, DUserPostEvent, ForwardGadgetMessage, AttachWndProcW, InvalidateGadget, SetGadgetRect, SetGadgetParent, SetGadgetFocus, GetGadgetFocus, SetGadgetMessageFilter, SetGadgetStyle, DUserSendEvent
> MSIMG32.dll: GradientFill, AlphaBlend, TransparentBlt
> OLEACC.dll: LresultFromObject, AccessibleObjectFromWindow, CreateStdAccessibleObject

( 0 exports ) 
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

verni29 · Answer

OK, 

merci pour le rapport gmer.
cela montre bien l'infection.

J'attends le rapport de virustotal pour la suite.

A+

epinardz · Answer

voila l'analyse
http://www.virustotal.com/fr/analisis/a9d93494ae0de554f59173910a416085607618f7dea92c66258963805f8dcd79-1275422925

verni29 · Answer

pat ou epiznard , ;-)

désolé, je n'avais pas vu le rapport en postant ma réponse.

On va essayer comme cela.
On va voir si le rootkit est viré ou pas.

1/ Relance OTL.  

* Sous l'onglet Personnalisation en bas de la fenêtre, copie-colle le texte suivant :  

:OTL

O4 - Startup: C:\Documents and Settings\utilisateur\Menu Démarrer\Programmes\Démarrage
ettir32.exe ()
[2010/06/01 20:33:39 | 000,000,000 | ---D | C] -- C:\Documents and Settings\utilisateur\Local Settings\Application Data\Conduit
[2010/06/01 20:33:38 | 000,000,000 | ---D | C] -- C:\Program Files\Conduit
[2010/06/01 21:58:24 | 000,772,096 | ---- | M] () -- C:\WINDOWS\System32\drivers\syevgq.sys
[2010/06/01 08:49:29 | 000,000,012 | ---- | M] () -- C:\Documents and Settings\utilisateur\Application Data\vqdlkr.dat
[2010/06/01 11:29:04 | 000,000,012 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Data\vqdlkr.dat

:Services
syevgq

:Commands
[emptytemp]
[emptyflash] 

*  Puis clique sur le bouton Correction en haut de la fenêtre.  
 * Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi).   
sauvegarde-le sur ton Bureau et poste-le après redémarrage.  

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles  
Regarde suivant la date : mmjjaaaa_xxxxxxxx.log  


2/ Relance OTL et clique sur analyse rapide.
poste le rapport.

3/ Relance également gmer et poste le rapport.

A+

epinardz · Answer

voila le rapport après le fix 
http://www.cijoint.fr/cjlink.php?file=cj201006/cijq0vQlgk.txt
je relance otl et gmer et je poste ensuite et merci pour ton aide !

verni29 · Answer

Ok, 

File move failed. C:\WINDOWS\system32\drivers\syevgq.sys scheduled to be moved on reboot.
Le rootkit doit encore être la.

Gmer nous le confirmera.

A+

epinardz · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijk7UCiRt.txt
j'ai repassé OTL
j'ai commencé gmer et il m'a mis la même chose que la premier fois , donc je crois qu'il est encore la !
mais la je suis vraiment KO , je passe gmer demain et je poste le rapport , si ça se confirme , que faire?

verni29 · Answer

Re, 

On utilisera un autre outil pour le rootkit.

A demain;

epinardz · Answer

ok merci à demain Verni29 :-) encore merci pour ton aide !

batrat44 · Answer

télécharge combofix meileur outils contre les rootkit

epinardz · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijqlz3CEX.txt
voilà le dernier log gmer

verni29 · Answer

epinardz,

1/ Télécharge The Avenger  sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe

2/ Copie le texte ci-dessous :

Drivers to disable:
syevgq

Drivers to delete:
syevgq

Files to delete:
C:\WINDOWS\System32\Drivers\syevgq.sys

Registry keys to delete: 
HKLM\SYSTEM\ControlSet002\Services\syevgq

Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.

3/ Maintenant, lancer The Avenger en double-cliquant sur Avenger.exe.

    *  Clique sur OK au message qui va s'ouvrir
    *  Dans le rectangle blanc, sous "Input script here", colle-le texte . 
    * Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg

    * Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.

4/ The Avenger va automatiquement faire ce qui suit:

    * Il va Re-démarrer le système. 
      Dans les cas où le script contient un/des "Drivers to disable", The Avenger re-démarrera votre système 2 fois
    * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse

A+

epinardz · Answer

voilà le résultat
http://www.cijoint.fr/cjlink.php?file=cj201006/cijlMzd4IP.txt
il faut que je précise que depuis ton intervention hier avec le premier script dans OTL , mon pc est beaucoup moins lent , il m'a fait quelques écrans bleus (apparemment la mémoire de ma carte vidéo était saturée) 
Avant de passer Avenger , j'avais regardé dans ms config et nettir32 n'était plus activé même après reboot , j'ai aussi passer sophos avant Avenger.
La ça a l'air d'aller..
Petite question , comment on attrape ce genre de bébête?
la seul difference par rapport à d'habitude  c'est que j'ai utilisé msn cette semaine !
En tout cas merci pour ton aide précieuse ! heureusement qu'il y a encore des gens sympas comme toi !

verni29 · Answer

epinardz, 

Quelques remarques sur ta config.

1/ désinstalle Adobe Reader 6.0.1 . Ce logiciel n'est aps à jour.
Tu laisses ainsi une faille de sécurité dans ta machine.
Télécharge la dernière version :
https://get2.adobe.com/fr/reader/otherversions/

2/ des restes de spywares ( détournements de pages ) :

Relance OTL et copie/colle le texte suivant dans personnalisation.

:OTL

PRC - [2008/04/13 19:34:04 | 001,037,824 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\explorer.exe
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=66028
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=66028

:Commands
[start explorer]

* Puis clique sur le bouton Correction en haut de la fenêtre.  
* Laisse le programme travailler, le PC va redémarrer.  

Tu verras un log s'ouvrir après le fix. Poste-le.

3/ Je vois que tu as Malwarebytes sur le PC. 
Tu le lanceras pour faire un vérification.
Si tu trouves quelque chose, poste le rapport.

4/ Une dernière vérification : un scan en ligne.
Tuto : https://forum.pcastuces.com/eset_online_scanner___nouvelle_version___tutoriel-f31s56.htm
Poste le rapport si tu trouves quelque chose.

On termine ensuite.

A+

pat · Answer

Tout est clair :-)
Merci Docteur Verni29, vraiment !
C'est fou ce que ça peu engendrer comme stress ces bébêtes :-) 
PaT

verni29 · Answer

Re, 

C'est fou ce que ça peu engendrer comme stress ces bébêtes :-) 
Oui, 

Tu me demandais comment tu as attrapé cette infection.
sans doute en surfant sur le net.
Il y a de plus en plus de risques actuellement ( javascipt sur des sites web, pdf infectés, exploits sur sites webs piégés , .... ).
C'est pour cela qu'il faut avoir son PC bien protégé et pas seulement avec un AV et un parefeu.

On termine.

1/ Enlève les outils utilisés.
Pour cela :

lance OTL et clique sur purge outils.

2/ Utilise CCleaner pour faire un peu de nettoyage.

3/ Fais un point de restauration propre.

--------------------------------------------------------------------------------------------

Un peu de lecture pour s'informer sur les risques 
projet antimalwares : https://www.malekal.com/projet-antimalware-2/



---------------------------------------------------------------------------------------------

Peux-tu mettre le sujet en résolu ? Merci.

En te souhaitant bonne lecture et bon surf.

Salut.