Exploit Rogue Scanner, Exploit NeoSploit Kit,
Résolu
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
-
9 oct. 2010 à 13:12
Lebabouin Messages postés 8 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 9 octobre 2010 -
Lebabouin Messages postés 8 Date d'inscription samedi 9 octobre 2010 Statut Membre Dernière intervention 9 octobre 2010 -
Bonjour,
Depuis queques jours, peut-être depuis que j'ai installé le SP3 de Windows XP, quand je fais une recherche Google, les 3/4 des liens de la page de résultat m'emmènent sur des sites ressemblant à des moteurs de recherches ou bien commencent à afficher la bonne page et d'un seul coup chargent cette page d'erreur (flash player est à jour, bien sûr):
http://tof.canardpc.com/view/4ba17515-49f6-4535-a58a-bae66e4790d5.jpg
J'ai donc passé un coup de CCleaner (pas de changement) et installé AVG free qui me donne maintenant le nom des fichiers, mais ce n'est pas le même à chaque fois
http://tof.canardpc.com/view/a905bf94-7f35-435c-81fb-9457c7a2deca.jpg
http://tof.canardpc.com/view/e96eb5d4-800f-4e83-94f7-61c67250d253.jpg
Je n'ai rien dans le fichier "hosts", ni rien d'anormal dans l'onglet démarrage de msconfig, j'en déduis naîvement que ça se cache dans le registre, mais je ne sais pas sur quel critère chercher.
Si un expert en désinfection passe par là, il m'évitera peut-être de formater mon pc :(
Depuis queques jours, peut-être depuis que j'ai installé le SP3 de Windows XP, quand je fais une recherche Google, les 3/4 des liens de la page de résultat m'emmènent sur des sites ressemblant à des moteurs de recherches ou bien commencent à afficher la bonne page et d'un seul coup chargent cette page d'erreur (flash player est à jour, bien sûr):
http://tof.canardpc.com/view/4ba17515-49f6-4535-a58a-bae66e4790d5.jpg
J'ai donc passé un coup de CCleaner (pas de changement) et installé AVG free qui me donne maintenant le nom des fichiers, mais ce n'est pas le même à chaque fois
http://tof.canardpc.com/view/a905bf94-7f35-435c-81fb-9457c7a2deca.jpg
http://tof.canardpc.com/view/e96eb5d4-800f-4e83-94f7-61c67250d253.jpg
Je n'ai rien dans le fichier "hosts", ni rien d'anormal dans l'onglet démarrage de msconfig, j'en déduis naîvement que ça se cache dans le registre, mais je ne sais pas sur quel critère chercher.
Si un expert en désinfection passe par là, il m'évitera peut-être de formater mon pc :(
A voir également:
- Exploit Rogue Scanner, Exploit NeoSploit Kit,
- Rogue killer - Télécharger - Antivirus & Antimalwares
- Passware kit - Télécharger - Chiffrement
- Scanner qr code pc - Guide
- Emsisoft emergency kit - Télécharger - Antivirus & Antimalwares
- Angry ip scanner - Télécharger - Divers Réseau & Wi-Fi
12 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 687
9 oct. 2010 à 13:14
9 oct. 2010 à 13:14
Salut,
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
Ensuite :
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
Ensuite :
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 687
9 oct. 2010 à 13:55
9 oct. 2010 à 13:55
oula :)
2010/10/09 13:45:44.0640 \HardDisk1\MBR - detected Rootkit.Win32.BackBoot.gen (1)
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
2010/10/09 13:45:44.0640 \HardDisk1\MBR - detected Rootkit.Win32.BackBoot.gen (1)
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
9 oct. 2010 à 13:36
9 oct. 2010 à 13:36
Ah cool, merci...
OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij6p8oRuE.txt
Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij9wkyjie.txt
OTL.txt:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij6p8oRuE.txt
Extras.txt:
http://www.cijoint.fr/cjlink.php?file=cj201010/cij9wkyjie.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 687
9 oct. 2010 à 13:40
9 oct. 2010 à 13:40
Manque TDSSKiller.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
9 oct. 2010 à 13:49
9 oct. 2010 à 13:49
Il a trouvé un rootkit :( Je le mets en quarantaine ?
http://www.cijoint.fr/cjlink.php?file=cj201010/cij9wkyjie.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cij9wkyjie.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 687
9 oct. 2010 à 13:50
9 oct. 2010 à 13:50
ouaip tu fais cure comme c'est expliqué et poste le bon rapport.
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
9 oct. 2010 à 13:54
9 oct. 2010 à 13:54
Oups pardon !
http://www.cijoint.fr/cjlink.php?file=cj201010/cijqTVFcyS.txt
J'ai pas "cure" seulement skip, quarantine, restore.
http://www.cijoint.fr/cjlink.php?file=cj201010/cijqTVFcyS.txt
J'ai pas "cure" seulement skip, quarantine, restore.
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
9 oct. 2010 à 14:33
9 oct. 2010 à 14:33
impressionnant!
http://www.cijoint.fr/cjlink.php?file=cj201010/cijtKCxLsy.txt
http://www.cijoint.fr/cjlink.php?file=cj201010/cijtKCxLsy.txt
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
9 oct. 2010 à 14:56
9 oct. 2010 à 14:56
Euh, bon ben j'en crois pas mes yeux, je n'ai plus aucun problème. J'attendais ta réponse pour savoir s'il y avait d'autres opérations a effectuer, mais on dirait que le rootkit a été viré O_o TDSSKiller ne trouve plus rien ! Ce ComboFix est vraiment époustouflant !
Ya qu'une chose qui m'emmer.. me gêne, c'est que je ne peux pas te remercier concrètement alors que tu viens de me sauver le weekend, voire la semaine ou le mois que j'aurais mis à tout réinstaller si j'avais pris l'option de formater ! Et en plus je pensais qu'un RootKit ne pouvait pas être enlevé.
Alors Malekal_morte-, merci infi, infi, infiniment !
Ya qu'une chose qui m'emmer.. me gêne, c'est que je ne peux pas te remercier concrètement alors que tu viens de me sauver le weekend, voire la semaine ou le mois que j'aurais mis à tout réinstaller si j'avais pris l'option de formater ! Et en plus je pensais qu'un RootKit ne pouvait pas être enlevé.
Alors Malekal_morte-, merci infi, infi, infiniment !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 687
9 oct. 2010 à 15:20
9 oct. 2010 à 15:20
cool mais je voudrais juste m'assurer d'un truc.
Tu peux scanner c:\Windows\system32\wininit.exe sur https://www.virustotal.com/gui/ et filer le lien ici.
--
Les hommes réunissent toutes les erreurs de leur vie et créent un monstre qu'ils appellent destin.
Tu peux scanner c:\Windows\system32\wininit.exe sur https://www.virustotal.com/gui/ et filer le lien ici.
--
Les hommes réunissent toutes les erreurs de leur vie et créent un monstre qu'ils appellent destin.
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
9 oct. 2010 à 16:05
9 oct. 2010 à 16:05
Gaspation, pas de wininit.exe sur le PC :(
Lebabouin
Messages postés
8
Date d'inscription
samedi 9 octobre 2010
Statut
Membre
Dernière intervention
9 octobre 2010
9 oct. 2010 à 16:18
9 oct. 2010 à 16:18
C'est le lien sur mon services.exe au cas où...
http://www.virustotal.com/file-scan/report.html?id=d0d2a569572f36d0b95580ae9f3b48307c9b5c16dfe99a49ad68b7db84dc0ff6-1286633689
http://www.virustotal.com/file-scan/report.html?id=d0d2a569572f36d0b95580ae9f3b48307c9b5c16dfe99a49ad68b7db84dc0ff6-1286633689