Sujet Précédent Sujet Suivant

Faux centre de securité

Résolu/Fermé
gloupigirl - 16 juin 2010 à 22:26
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 - 23 juin 2010 à 23:54
Bonjour,


Sur mon deuxieme ordi, j'ai eu le meme probleme avec un faux centre de sécurité en anglais, des icones porno pointant vers des raccourcis explorer ainsi que asentutl64.exe qui fait du forcing, pouvez vous m'aider? j'avais Mc afee comme anti-virus et la je suis passée à Norman qui ne detecte rien du tout. J'execute actuellement Sophos anti-rookit et j'attend de voir. Quelqu'un pourrai me donner des infos ou m'aider à interpreter les rapports d'erreur? merci d'avance (je suis sur vista)

20 réponses

Réponse 1 / 20
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
16 juin 2010 à 22:33
Salut

D'après ce que tu décris, cela s'apparente à un rogue c'est à dire un faux logiciel de sécurité qui a un seul but : te faire acheter une version bidon qui pourra soit disant supprimer les pseudos infections trouvés sur ton ordinateur.

Fait ceci :

▶ Télécharge Rkill.com de Grinler

▶ Double-cliquez dessus pour le lancer, le logiciel peut prendre du temps !
Note : Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.

=====================

▶ Télécharge malwarebyte's anti-malware

▶ Un tutoriel sera à ta disposition pour l'installer et l'utiliser correctement.

Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

▶ Lance une analyse complète en cliquant sur "<gras>Exécuter un examen complet"

▶ Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"

▶ L'analyse peut durer un bon moment.....

▶ Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"

▶ Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"

▶ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum


* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée

A++
1
Réponse 2 / 20
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 13:23
'Tain y'a une recrudescence de rootkit TDSS en ce moment ou quoi ^^

Lis bien ce qui suit :

* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC

▶ Télécharge Combofix de sUBs

▶ et enregistre le sur le Bureau.

désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)

Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Je te conseille d'installer la console de récupération !!

ensuite envois le rapport stp
1
Réponse 3 / 20
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 20:17
Vu,

---> Supprime c:\users\Alexis\AppData\Roaming\Defense Center

---> Refait un ZHPdiag

A+
1
Réponse 4 / 20
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 21:50
Salut

-> Lance ZHPfix soit par le raccourci présent sur ton bureau ou via ZHPdiag ( dans ce cas clique sur le bouclier vert ) en faisant clic doirt -> Exécuter en tant qu'administrateur

-> Clique sur le H bleu ( "coller les lignes Helper" )

-> Copie ceci

[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM]
O42 - Logiciel: Search Settings 1.2 - (.Pas de propri?taire.) [HKLM]
[HKCU\Software\AskBarDis]
[HKLM\Software\Search Settings]
O43 - CFD:Common File Directory ----D- C:\Program Files\AskBarDis
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM]
O42 - Logiciel: Search Settings 1.2 - (.Pas de propri?taire.) [HKLM]

-> Colle le dans ZHPfix

-> Clique sur [ OK ] puis sur [ TOUS ] et enfin sur [ NETTOYER ]

-> copie et colle le rapport de ZHPfix

======================================

Téléchargez Gmer.zip (Przemyslaw Gmerek) sur votre bureau.

* Dézippez-le dans un dossier dédié ou sur votre Bureau.
* Déconnectez vous d'Internet puis fermez tous les programmes.
* Double-cliquez sur Gmer.exe (ou clic droit > "Exécuter en tant qu'administrateur" pour Vista).
* Cliquez sur l'onglet "Rootkit".
* A droite, cochez seulement Files, Services & Registry.
* Cliquez maintenant sur "Scan".
* Lorsque le scan est terminé, cliquez sur "Copy".
* Ouvrez le Bloc-notes puis cliquez sur le Menu Édition / Coller.
* Le rapport doit alors apparaitre.

=> Colle le dans ta prochaine réponse.

++
1

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 20
gloupigirl
16 juin 2010 à 23:40
bonsoir,
Merci pour votre attention.
J'avais lancé Sophos anti-rookit, avant la fin du scan, l'ordi a planté et s'est relancé. Du coup, je suis passé à l'installation de Rkill.com de Grinler. Voici le rapport:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Alexis on 16/06/2010 at 23:24:58.


Processes terminated by Rkill or while it was running:


C:\Users\Alexis\AppData\Local\Temp\esentutl64.exe
C:\Users\Alexis\AppData\Local\Temp\wscsvc32.exe
C:\Users\Alexis\Desktop\rkill.com


Rkill completed on 16/06/2010 at 23:25:22.

Pour suivre, j'ai installé malwarebyte's anti-malware.
Au moment de me connecter à internet afin de faire la MAJ du logiciel, l'ordi s'est bloqué et s'est littéralement mis a gueuler avec un sonnerie de fou...j'avais jamais vu ça! j'ai du le couper à la barbare...
Je vais donc relancer l'ordi et voir ce que cela donne. Je vous tiens au courant. Merci encore (je suis pas près d'être couchée...)
0
Réponse 6 / 20
gloupigirl
16 juin 2010 à 23:50
Bon, rebelotte, dès que j'essaye de lancer mon wifi pour aller sur le net, il se bloque completement. Du coup, ça risque d'etre compliquer pour faire la MAJ de malwarebyte's. Je vais essayer de la faire via mon autre ordi, mais rien que ça, ça commence deja à me prendre la tête.
a+
0
Réponse 7 / 20
gloupigirl
17 juin 2010 à 06:53
Salut,
J'ai reussi à faire tourner les logiciel anti-malwares. Mon ordi a pas planté de la nuit, et apres suppression, il semble pas trop mal tourner. Voici le rapport:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4207

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

17/06/2010 06:41:45
mbam-log-2010-06-17 (06-41-45).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 289703
Temps écoulé: 2 heure(s), 38 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 2
Clé(s) du Registre infectée(s): 20
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 4
Fichier(s) infecté(s): 51

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
C:\Users\Alexis\AppData\Local\tasprt.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
C:\Users\Alexis\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\AppID\{84c3c236-f588-4c93-84f4-147b2abbe67b} (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\AppID\{38061edc-40bb-4618-a8da-e56353347e6d} (Adware.EZlife) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\{5222008a-dd62-49c7-a735-7bd18ecc7350} (Rogue.VirusRemover) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6fd31ed6-7c94-4bbc-8e95-f927f4d3a949} (Adware.180Solutions) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pkfwbbbuift (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\$NtUninstallWTF1012$ (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Sky-Banners (Adware.Adrotator) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\V71IQL7HI7 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\M5T8QL3YW3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\victim (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ntiyiruxe (Trojan.Hiloti.Gen) -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\halo2 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\m5t8ql3yw3 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
C:\Program Files\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\AntiSpywareExpert (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Program Files\$NtUninstallWTF1012$ (Adware.EZLife) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
C:\Users\Alexis\AppData\Local\tasprt.dll (Trojan.Hiloti.Gen) -> Delete on reboot.
C:\Users\Alexis\AppData\Local\Temp\mschrt20ex.dll (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\DAfjHFrYeC.exe (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\TMP41106.tmp (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\tmpA16C.tmp.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\topwesitjh (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\gmfrxpgv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\Izp.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\Izq.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\Izr.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\wgvyd.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\cDaitZrtfj.exe (Trojan.Alureon) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\esentutl64.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\fFxuVXUVvp.exe (Trojan.Hiloti.Gen) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Defense Center\Uninstall.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.
C:\Windows\System32\cooper.mine (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\pkfwbbbuift.exe (Adware.Adrotator) -> Quarantined and deleted successfully.
C:\Windows\Temp\TMP0000000C94AD0397C358611E (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Windows\Temp\cvnj.tmp\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareExpert\BL.dat (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\Program Files\AntiSpywareExpert\WL.dat (Rogue.AntiSpywareExpert) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\About.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\Activate.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\Buy.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\Defense Center Support.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\Defense Center.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\Scan.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\Settings.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Defense Center\Update.lnk (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Program Files\$NtUninstallWTF1012$\elUninstall.exe (Adware.EZLife) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Defense Center.LNK (Rogue.DefenseCenter) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully.
C:\Users\Alexis\Desktop\nudetube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Alexis\Desktop\pornotube.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Alexis\Desktop\spam001.exe (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Alexis\Desktop\spam003.exe (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Alexis\Desktop\troj000.exe (Malware.Trave) -> Quarantined and deleted successfully.
C:\Users\Alexis\Desktop\youporn.com.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Users\Alexis\Favorites\_favdata.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.
C:\Windows\System32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\0.4978780527432105.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\e.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\MSN.abc (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Alexis\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.
C:\Users\Alexis\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Quarantined and deleted successfully.s
C:\Users\Alexis\AppData\Local\Temp\xxxyyyzzz.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{8C3FDD81-7AE0-4605-A46A-2488B179F2A3}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

voila, j'attends vos impressions sur cette belle analyse (on peut dire qu'il à pas tourné pour rien...). Merci encore
A++
0
Réponse 8 / 20
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 10:49
Salut

En effet on peux pas dire qu'il a tourné pour rien ^^

On va faire un diagnostique de la situation :

▶ Télécharge ZHPDiag

▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

▶ Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)

▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

▶ Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

A++
0
Réponse 9 / 20
gloupigirl
17 juin 2010 à 13:14
salut,

Je vous envoi le lien du rapport ZHPDiag:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijFp4Vk3f.txt

merci encore
0
Réponse 10 / 20
gloupigirl
17 juin 2010 à 13:41
salut,

Peut tu être plus clair quand tu parles "d'installer la console de récuperation".
Je dois faire un point de sauvegarde pour une restauration eventuelle AVANT l'utilsation de combofix au cas ou il y aurai plantage?
Merci
0
gloupigirl
17 juin 2010 à 13:52
-au final, j'ai fais un point de restauration, je pense que c'est ce que tu voulais dire^^, je lance combofix et je te tiens au courant- a+
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 13:55
Si tu avais lu le tutorial, tu aurais su ce que je voulais dire ^^

Combofix va te proposer d'installer la console de récupération ( c'est différents d'un point de restauration système ! ), il faut que tu accepte, si il ne te le propose pas c'est quelle est déjà installée.

++
0
Réponse 11 / 20
gloupigirl
17 juin 2010 à 13:58
trop fort, au moment ou je lisais le tuto qui parle justement de ça, je reçois ton message...suis-je trop prévisible ??? ^^
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 14:13
^^ oublie pas de poster le rapport combofix

++
0
gloupigirl
17 juin 2010 à 14:17
Bon, il a commencé a creer la sauvegarde de registre mais ne m'a pas proposé la console de récuperation. Il a commencé sa recherche puis s'est stoppé: une fenetre windows apparu m'indiquant que "combofix à détecté la présence d'une activité de rootik et a besoin de faire redemarrer la machine". C'est deja la deuxieme fois qu'il redemarre et du coup l'analyseur ( a ecran bleu) a pour fond mon "bureau" en ecran noir ne me permettant pas si besoin de me connecter à internet (pour la console de recupération par exemple). C'est normal ? (ou je suis neu-neu...^^)
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 14:21
Laisse le faire, il te dira quand il aura fini et fera apparaitre le rapport. Copie le dans ta prochaine réponse.
0
Réponse 12 / 20
gloupigirl
17 juin 2010 à 15:26
Je crois qu'il y a un blem: ça fait 1h que windows est en phase d'arrêt suite au message précedent (rootkit detecté, redemarrage necessaire). Ca fait un peu long...il a planté ou c'est normal? je suis tentée de le redemarrer à la barbarre: tu me conseilles quoi?
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 15:54
Redémarre " a la barbare " comme tu dirais, puis rends toi dans C:\ et poste le log ComboFix.txt si il est présent.

A+
0
Réponse 13 / 20
gloupigirl
17 juin 2010 à 16:46
me revoila,

Finallement, j'ai du utiliser ComboFix en mode sans echec vu que ça arretait pas de planter. J'espere que cela n'aura pas d'incidence. Voici le rapport sur ce lien:


http://www.cijoint.fr/cjlink.php?file=cj201006/cijn0W4RVZ.txt

Merci encore
0
Réponse 14 / 20
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
17 juin 2010 à 16:57
Salut

Il y a certains fichiers douteux. Pour s'assurer le leur légitimité ou non :

> Rends toi sur Virscan

-> Affiche les fichiers et dossiers cachés

-> Upload ces fichiers

c:\windows\system32\drivers\ale_nf64.sys
c:\windows\system32\drivers\nnetsecl.sys
c:\windows\system32\drivers\nnetsecl64.sys
c:\windows\system32\drivers\nnetsec.sys
c:\windows\system32\drivers\nvcv32mf.sys
c:\windows\system32\drivers\ndis_rd.sys


-> Copie et colle les liens des rapports dans ta prochaine réponse.

Je sais sa fait pas mal, mais il y a juste sa qui me chagrine.

++
0
Réponse 15 / 20
gloupigirl
17 juin 2010 à 18:51
salut,

J'ai scanné tout les dossiers sur le site de VirScan.
N'ayant pas de rapports, j'ai directement mis les liens pour chaque page de scan.
J'espere que cela conviendra.


ale_nf64.sys
TOUS LES MOTEURS ONT DIT NE PAS AVOIR TROUVE DE MALWARE
https://r.virscan.org/44215e693cefe379c6be2bb968ef2e77

nnetsecl.sys
TOUS LES MOTEURS ONT DIT NE PAS AVOIR TROUVE DE MALWARE
https://r.virscan.org/2817c9a15b23fd7896203b5cf7fd0df5

nnetsecl64.sys
TOUS LES MOTEURS ONT DIT NE PAS AVOIR TROUVE DE MALWARE
https://r.virscan.org/ac72181f4800f95980d5dc9e1cb88670

nnetsec.sys
TOUS LES MOTEURS ONT DIT NE PAS AVOIR TROUVE DE MALWARE
https://r.virscan.org/d26a29361677686e5bae5de34f62b1cc

nvcv32mf.sys
TOUS LES MOTEURS ONT DIT NE PAS AVOIR TROUVE DE MALWARE
https://r.virscan.org/f10d29440b845679068afa3d053b53fe

ndis_rd.sys
TOUS LES MOTEURS ONT DIT NE PAS AVOIR TROUVE DE MALWARE
https://r.virscan.org/a529b8bd0406d6be3536be2efff357e2

Voila, merci
0
Réponse 16 / 20
gloupigirl
17 juin 2010 à 21:29
bonsoir,

Je n'ai pas trouvé le fichier defense center, il a probablement été supprimé.
Voici le lien du dernier rapport de ZHPdiag:

http://www.cijoint.fr/cjlink.php?file=cj201006/cijgVQY8g5.txt

encore merci pour l'aide.
a+
0
Réponse 17 / 20
gloupigirl
17 juin 2010 à 23:21
Re-bonsoir

Voici le rapport de ZHPfix:


ZHPFix v1.12.3108 by Nicolas Coolman - Rapport de suppression du 17/06/2010 22:03:00
Fichier d'export Registre : C:\ZHPExportRegistry-17-06-2010-22-03-00.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\AskBarDis => Clé absente
HKLM\Software\Search Settings => Clé absente

Valeur du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center\Svc] FirewallOverride: Modified => Valeur absente

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
C:\Program Files\AskBarDis => Dossier absent

Fichier :
(Néant)

Logiciel :
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM] => Logiciel absent
O42 - Logiciel: Search Settings 1.2 - (.Pas de propri?taire.) [HKLM] => Logiciel supprimé avec succès
O42 - Logiciel: Search Settings 1.2 - (.Pas de propri?taire.) [HKLM] => Logiciel absent

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 1
Elément de données du Registre : 0
Dossier : 1
Fichier : 0
Logiciel : 3
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

----------------------------------------------------

Au moment de lancer GMER, l'ordi à planté avec BlueScreen et tout le tra-la-la...évidemment, j'ai pas eu le temps de dégainer mon appareil photo pour avoir une trace du code erreur.
Du coup, j'ai lancé GMER en mode sans échec, voici le rapport:

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-17 23:14:08
Windows 6.0.6002 Service Pack 2
Running: gmer.exe; Driver: C:\Users\Alexis\AppData\Local\Temp\uxdyapod.sys


---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a94021660
Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a94021660@0016db870492 0xA7 0xC0 0xC2 0xA9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x9C 0x74 0xDB 0xFA ...
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000a94021660 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000a94021660@0016db870492 0xA7 0xC0 0xC2 0xA9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x9C 0x74 0xDB 0xFA ...

---- EOF - GMER 1.0.15 ----

Voila, je vais relancer malwarebytes' pour la nuit, on verra ce que cela donne demain. Merci encore et bonne soirée.^^
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
18 juin 2010 à 13:39
Ok, poste le rapport MBAM ( j'espère que tu l'a mis à jour avant ^^ )

++
0
Réponse 18 / 20
gloupigirl
18 juin 2010 à 16:56
Salut,
J'ai un soucis, je ne parviens pas à activer ma connexion internet wi-fi. Pour l'allumer je dois faire une combinaison de touches sur mon clavier pour mettre le wifi sur ON mais quelques secondes après, mon curseur se bloque et je suis obligéé de rebooter à l'arrache. J'ai fait la manip' 3 fois et c'est toujours pareil. J'ai refait un scan de MBAM (en utilisant la MAJ d'hier) qui n'a rien detecté. Que faire? Merci d'avance.
0
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
21 juin 2010 à 09:49
En effet c'est bizarre. Essaye de regarder ici => http://www.canardwifi.com/2007/06/19/reparer-sa-connexion-wi-fi-en-toute-simplicite/

++
0
Réponse 19 / 20
gloupigirl
23 juin 2010 à 23:14
Salut,
Visiblement, l'ordi semble fonctionner correctement; la connexion internet/wi-fi s'est rétablie. Je n'ai plus de problemes.
Je tiens à te remercier, NicoVA, pour le temps que tu as consacré à la résolution de mon problème. je te felicite pour ton "diagnostic" très complet et ton sens du détail.
J'espère que ce sujet aidera d'autres personnes dans le meme cas.
Encore merci et bonne continuation! ^^
0
Réponse 20 / 20
NicoVA Messages postés 1058 Date d'inscription dimanche 6 décembre 2009 Statut Contributeur sécurité Dernière intervention 16 novembre 2011 71
23 juin 2010 à 23:54
Salut !

Si tu n'est pas déjà partie suis ceci pour finaliser sinon tu risque de revenir ;)


--> Tu a BitTorrent, si tu veux pas revenir avec d'autres malwares désinstalle le illico presto

Pour prouver que c'est dangereux

Ensuite :

1: Supress'tools

Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

▶ Télécharge Supressstools de NicoVA sur ton Bureau

Sous XP : Double-clique sur Supressstools .exe
Sous Vista : Fais un clic droit sur Supressstools .exe et sélectionne "Exécuter en tant qu'administrateur"

♠ Clique sur Recherche.

♠ Clique sur Suppression pour finaliser.

♠Copie et colle le rapport qui apparaitra

♠ Clique sur Désinstaller.

Note: Le rapport (Report.txt) se trouve à la racine de votre disque dur (C:\)

------------------------------------------------------------------------

2: Ccleaner

▶ Télécharge Ccleaner

▶ Tutorial ICI

------------------------------------------------------------------------

3: Purger la restauration système

♠ Sous XP

→ Désactiver la restauration du système

♦ Clic droit sur le Poste de travailPropriétésOnglet Restauration du système ⇒ coche la case Désactiver la Restauration du système sur tous les lecteursAppliquerOk

→ Ré-activer la restauration du système

Suis le même chemin ⇒ décoche la case Désactiver la Restauration du système sur tous les lecteursAppliquer


♠ Sous Vista/Seven

→ Désactiver la restauration du système

♦ Clique droit sur OrdinateurPropriétésParamètres système avancés ⇒ onglet Protection du Système
Décoche tes partitions, un message de confirmation va apparaître clique sur Désactiver la protection du systèmeAppliquerOK.

→ Ré-activer la restauration du système

♦ Suis le même chemin , décoche Désactiver la protection du système
Appliquer
OK.

Redémarre le PC

------------------------------------------------------------------------

4: Créer un point de restauration

Sous XP et VISTA

------------------------------------------------------------------------

6: Mises à Jour importantes

♠ Pour Windows

♦ Rends toi ICI

♦ Ferme toutes les applications en cours

♠ Télécharge Update Checker

♠ Voici un tutorial pour t'aider
0

Discussions similaires

Sécurité de l'URL
ghaouar -
fiddy -

2 réponses
Que signifie arrivé au centre de transport de départ ?
AlphaFurryWolf -
baladur13 -

3 réponses
La nouvelle messagerie du Boncoin....
Utilisateur anonyme -
Madabatro -

69 réponses
comment lire un message masqué????
linx33 -
linx33 -

6 réponses
Comment cacher ou masquer une URL
Jean-Pierre G -
Ahahaaa -

33 réponses