Cheval de Troie Backdoor.Win32.Hupigon.kzad Résolu/Fermé

Question

Bonjour,   

Mon antivirus Kaspersky m'indique une menace de cheval de troie (http://www.netimago.com/images/CfxhK3H8vu4jc7g.jpg)"Backdoor.Win32.Hupigon.kzad" mais il ne fait rien et ne veut pas la traiter.  



Je me fais très régulierement "spammer", je ne sais pas si c'est le bon terme : pages internet qui s'ouvrent régulièrement quand je navigue (mais leur contenu est bloqué, par Adblock je suppose), voir redirection de l'onglet demandé vers une page de pub à la place du lien de google voulu.
Par ailleurs, en fouillant sur le net je me suis rendu compte d'autres symptômes :  

- impossible de me connecter à Windows update ou de télécharger quoi que ce soit des sites microsoft ou autres concernant la sécurité  
- impossible d'effectuer des analyses en ligne comme celle de F-secure (erreur avant la fin de l'analyse)  
- impossible de synchroniser mon horloge avec Windows  
- impossible de mettre a jour microsoft security essential (et donc de l'activer vu que je viens de l'installer, avec zéro maj pour le moment)  




Croyant avoir affaire à quelque chose du style Conficker / Downadup / Kido, j'ai suivi les méthodes indiquées ici :https://www.commentcamarche.net/faq/16710-comment-supprimer-le-virus-conficker-downadup-kido  

J'ai téléchargé et installé la mise à jour Windows, scanné mes lecteurs avec Flash Desinfector et UsbFix, mais rien ne se passe et je ne peux toujours pas mettre a jour microsoft security essential ou synchroniser mon horloge.  




Voilà le rapport de UsbFix qui vous donnera également ma config :  

############################## | UsbFix 7.035 | [Recherche]  

Utilisateur: Tom (Administrateur) # PC-DE-TOM [Dell Inc. Inspiron 530s]  
Mis à jour le 11/11/10 par El Desaparecido / C_XX  
Lancé à 21:21:26 | 15/11/2010  
Site Web: http://www.teamxscript.org  
Contact: eldesaparecido@teamxscript.org  

CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz  
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz  
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-Bit) # Service Pack 1  
Internet Explorer 8.0.6001.18943  

Pare-feu Windows: Activé  
RAM -> 3069 Mo   
C:\ (%systemdrive%) -> Disque fixe # 466 Go (199 Go libre(s) - 43%) [] # NTFS  
D:\ -> CD-ROM  
F:\ -> Disque amovible # 4 Go (3 Go libre(s) - 82%) [SD CARD TL] # FAT32  
I:\ -> Disque fixe # 466 Go (20 Go libre(s) - 4%) [Save] # NTFS  
K:\ -> CD-ROM  

################## | Éléments infectieux |  



################## | Registre |  

Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr  
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind  
Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions  
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions  
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun  

################## | Mountpoints2 |  


################## | Vaccin |  

C:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)  
I:\autorun.inf -> Dossier créé par Flash_Disinfector (sUBs)  

################## | E.O.F |  




Pourriez-vous m'aider afin de me débarrasser de toutes ces saletés SVP ??  
En plus apparemment Kaspersky et UsbFix ne détectent pas les même choses aux mêmes endroits, je suis un peu inquiet.. :(  
J'ai vu qu'on pouvait utiliser Combofix également sous les conseils de personnes avisées...  


Merci par avance à la communauté,  


Tom  

Configuration: Windows Vista / Firefox 3.5.15

Tom · Answer

Je viens de faire une analyse par ZHPFix (en suivant la méthode proposée ici https://forums.commentcamarche.net/forum/affich-19838893-ordinateur-tres-lent-surement-infecte
Le rapport de ZHPFix est disponible ici :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijecoGrer.txt

Merci de votre aide,

Tom

Utilisateur anonyme · Answer

Bonsoir
J'ai regardé le rapport de ZHPDiag, il y a un détournement DNS déjà
Je regarde la suite, et je donnerai les procédures à faire

Tom · Answer

Merci beaucoup si tu peux m'aider, j'attends tes recommandations :)
Tom

Utilisateur anonyme · Answer

Il faudrai déjà éviter de télécharger des cracks, car c'est une grosse source
d'infection

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

O17 - HKLM\System\CS1\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108     
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108     
O17 - HKLM\System\CS2\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108     
O17 - HKLM\System\CS3\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108     
O17 - HKLM\System\CS3\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108     
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108     
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108     
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108     
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108     
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108     


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu 
as mis en mémoire  
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse


Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

Tom · Answer

Déjà MERCI de me répondre, alors pour ZHPFix c'est fait voilà le rapport, je continue avec malwarebyte



Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : C:\ZHPExportRegistry-15-11-2010-22-37-25.txt
Run by Tom at 15/11/2010 22:37:25
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Elément(s) de donnée du Registre ==========
O17 - HKLM\System\CS1\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O17 - HKLM\System\CS2\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{4A98B9DC-CD2D-49E3-9A73-D10F70D72E48}: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O17 - HKLM\System\CS3\Services\Tcpip\..\{6A18C556-F36A-4906-97D3-55E3629733AE}: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O60 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O60 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O60 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès
O60 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 93.188.163.73,93.188.166.108  => Donnée supprimée avec succès


========== Récapitulatif ==========
10 : Elément(s) de donnée du Registre


End of the scan

Utilisateur anonyme · Answer

D'accord
Tes problèmes que tu as décrit proviennent de ces détournements DNS que
provoque le Trojan DNS Changer
Un conseil, tu ne devrais pas garder des logiciels crackés, car tu as plus de risques à attraper des cochonneries, voir même des virus informatiques assez
dangereux qui pourraient t'obliger à formater ton PC
Il existe des faux cracks qui sont en fait un ver informatique appelé bagle qui
peut corrompre des logiciels
Il faut aussi bannir les logiciels P2P qui sont une vraie source de danger
Si tu télécharges par le P2P tu peux attraper Virut, ou Sality, ou Vitro/Virtob,
virus informatiques très dangereux qui endommagent les fichiers vitaux du
système, et infectent les fichiers exécutables assez rapidement

Tom · Answer

Merci pour tes solutions, j'ai déjà une partie du problème en moins : j'ai pu mettre à jour windows etc... : c'est top !

Pour les logiciels crackés... je vais virer les quelques inutiles mais j'ai pas les moyens de me payer photoshop ou solidworks alors...

Enfin, pour Malwarebytes j'avais essayé tout a l'heure pendant ta premiere réponse (en naviguant sur les posts de la soirée sur les virus etc..) et après installation, malwarebytes ne se lance pas !

Que je double clique ou que j'ouvre en administrateur, rien ni change cela ne s'ouvre pas.... tu aurai une idée ?

Tom

Utilisateur anonyme · Answer

Essaye en mode sans échec 
Redémarre ton PC, et lorsque le BIOS démarre, et avant que Windows se charge 
presse la touche f8, ensuite, tu sélectionnes mode sans échec avec prise en 
charge de réseau, et presse la touche entrée 
Met à jour Malwarebytes 
Puis essaye de lancer Malwarebytes 
O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Tom · Answer

C'est la même chose, rien ne se passe en mode sans échec, avec la dernière version issue de leur site...

Utilisateur anonyme · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified

* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
* Clique sur l'icône représentant la lettre H, cela collera les lignes que tu 
as mis en mémoire
* Clique sur le bouton MBRFix  
* Clique sur OK, sur Tous, puis sur Nettoyer
* Copie/colle la totalité du rapport dans ta prochaine réponse

Ensuite
# Clic droit sur UsbFix présent sur ton bureau, et clique sur  
exécuter en tant qu'administrateur

# Clique sur Suppression

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK

# La suppression est lancée. Le bureau va disparaitre, c'est normal

# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me

# Clique sur Parcourir pour aller chercher le fichier 
compressé qui se trouve à la racine du disque

# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Tom · Answer

Je te remercie beaucoup pour ton soutien en tout cas ! Je fais dès que possible, je viens de lancer un diagnostic ZHPDiag donc je commence dès qu'il est fini.

Tom · Answer

Voilà le rapport ZHPFix : Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010 Fichier d'export Registre : Run by Tom at 15/11/2010 23:38:56 Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr ========== Master Boot Record ========== Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.1 by Gmer, http://www.gmer.net Windows 6.0.6001 Disk: ST3500320AS rev.SD15 -> \Device\Ide\IdePort0 device: opened successfully user: MBR read successfully Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x85E20EC5]<< 1 ntkrnlpa!IofCallDriver[0x8250D05F] -> \Device\Harddisk0\DR0[0x85F647C8] 3 CLASSPNP[0x8AD9F745] -> ntkrnlpa!IofCallDriver[0x8250D05F] -> [0x85D85228] 5 acpi[0x82BB56A0] -> ntkrnlpa!IofCallDriver[0x8250D05F] -> [0x85DA99C0] [0x8621E660] -> IRP_MJ_CREATE -> 0x85E20EC5 kernel: MBR read successfully detected hooks: \Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskST3500320AS_____________________________SD15____#5&163e592b&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found \Driver\atapi DriverStartIo -> 0x85E20AEA \Driver\atapi -> 0x853901e8 user & kernel MBR OK sectors 976773166 (+255): user != kernel Warning: possible TDL3 rootkit infection ! Resultat après le fix : Master Boot Record non infecté ========== Récapitulatif ========== 1 : Master Boot Record End of the scan Je continue.

Tom · Answer

Voilà le rapport de UsbFix :

############################## | UsbFix 7.035 | [Suppression]

Utilisateur: Tom (Administrateur) # PC-DE-TOM [Dell Inc. Inspiron 530s]
Mis à jour le 11/11/10 par El Desaparecido / C_XX
Lancé à 23:40:56 | 15/11/2010
Site Web: http://www.teamxscript.org
Contact: eldesaparecido@teamxscript.org

CPU: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
CPU 2: Intel(R) Core(TM)2 Duo CPU E8400 @ 3.00GHz
Microsoft® Windows Vista(TM) Édition Familiale Premium  (6.0.6001 32-Bit) # Service Pack 1
Internet Explorer 8.0.6001.18943

Pare-feu Windows: Activé
RAM -> 3069 Mo 
C:\ (%systemdrive%) -> Disque fixe # 466 Go (202 Go libre(s) - 43%) [] # NTFS
D:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (3 Go libre(s) - 82%) [SD CARD TL] # FAT32
I:\ -> Disque fixe # 466 Go (20 Go libre(s) - 4%) [Save] # NTFS
K:\ -> CD-ROM

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-54700829-2094487613-126614958-1000
Supprimé! C:\Recycler\S-1-5-21-4855241671-0066449629-782549517-4732
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-2913509547-2207933144-4024826561-1000
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-298941653-824622453-3325850243-1000
Supprimé! I:\$RECYCLE.BIN\S-1-5-21-54700829-2094487613-126614958-1000

################## | Registre |

Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFind
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoFolderOptions
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoRun

################## | Mountpoints2 |


################## | Listing |

[15/11/2010 - 23:41:19 | SHD ] 	C:\$Recycle.Bin
[27/06/2010 - 18:50:30 | D ] 	C:\ATI
[18/09/2006 - 22:43:36 | N | 24] 	C:\autoexec.bat
[15/11/2010 - 21:14:13 | AD ] 	C:\autorun.inf
[28/06/2010 - 00:32:40 | D ] 	C:\Boot
[21/01/2008 - 03:24:42 | RASH | 333203] 	C:\bootmgr
[28/06/2010 - 00:32:41 | N | 8192] 	C:\BOOTSECT.BAK
[15/11/2010 - 22:42:47 | D ] 	C:\Config.Msi
[18/09/2006 - 22:43:37 | N | 10] 	C:\config.sys
[02/11/2006 - 14:02:03 | SHD ] 	C:\Documents and Settings
[01/08/2010 - 00:11:41 | D ] 	C:\f58a8bb2cd4113d481a44a6805d5
[28/07/2010 - 02:32:51 | D ] 	C:\Fraps
[22/09/2010 - 14:24:47 | D ] 	C:\GTR2
[27/06/2010 - 18:54:43 | D ] 	C:\Intel
[14/09/2010 - 16:26:57 | D ] 	C:\IntelEmbedded6.0
[28/07/2010 - 03:42:45 | N | 0] 	C:\IO.SYS
[28/07/2010 - 03:42:45 | N | 0] 	C:\MSDOS.SYS
[27/06/2010 - 16:01:49 | RHD ] 	C:\MSOCache
[15/11/2010 - 23:06:13 | ASH | 3533127680] 	C:\pagefile.sys
[21/01/2008 - 03:32:31 | D ] 	C:\PerfLogs
[15/11/2010 - 22:24:39 | D ] 	C:\Program Files
[15/11/2010 - 22:47:15 | HD ] 	C:\ProgramData
[12/10/2010 - 13:16:11 | RSHD ] 	C:\RECYCLER
[05/07/2010 - 14:53:17 | D ] 	C:\SolidWorks Data
[10/11/2010 - 18:13:09 | SHD ] 	C:\System Volume Information
[15/11/2010 - 23:41:19 | D ] 	C:\UsbFix
[15/11/2010 - 23:40:57 | A | 867] 	C:\UsbFix.txt
[27/06/2010 - 15:50:32 | D ] 	C:\Users
[15/11/2010 - 21:16:11 | N | 290] 	C:\Win32.Worm.Downladup.Gen.log
[15/11/2010 - 23:06:16 | D ] 	C:\Windows
[15/11/2010 - 22:37:25 | N | 41698] 	C:\ZHPExportRegistry-15-11-2010-22-37-25.txt
[15/11/2010 - 23:38:31 | N | 2446] 	C:\ZHPRegY0.zhp
[11/11/2010 - 19:01:16 | D ] 	F:\MISC
[17/10/2010 - 13:21:50 | D ] 	F:\var
[11/11/2010 - 19:01:16 | D ] 	F:\DCIM
[18/10/2010 - 14:15:10 | N | 145546] 	F:\bookmarksportable.html
[12/10/2010 - 23:30:06 | N | 290558] 	F:\T.LECLERE CV v1.pdf
[12/10/2010 - 18:34:00 | N | 219472] 	F:\bbbb.jpg
[05/11/2010 - 18:46:56 | N | 24673] 	F:\English CV test 1.docx
[10/11/2010 - 14:18:46 | N | 1444357] 	F:\Cambridge Exam.pdf
[03/07/2008 - 09:56:50 | N | 728670208] 	F:\99 F..avi
[15/11/2010 - 23:41:19 | SHD ] 	I:\$RECYCLE.BIN
[15/11/2010 - 21:14:14 | AD ] 	I:\autorun.inf
[07/11/2007 - 07:00:40 | N | 17734] 	I:\eula.1028.txt
[07/11/2007 - 07:00:40 | N | 17734] 	I:\eula.1031.txt
[07/11/2007 - 07:00:40 | N | 10134] 	I:\eula.1033.txt
[07/11/2007 - 07:00:40 | N | 17734] 	I:\eula.1036.txt
[07/11/2007 - 07:00:40 | N | 17734] 	I:\eula.1040.txt
[07/11/2007 - 07:00:40 | N | 118] 	I:\eula.1041.txt
[07/11/2007 - 07:00:40 | N | 17734] 	I:\eula.1042.txt
[07/11/2007 - 07:00:40 | N | 17734] 	I:\eula.2052.txt
[07/11/2007 - 07:00:40 | N | 17734] 	I:\eula.3082.txt
[07/11/2007 - 07:00:40 | N | 1110] 	I:\globdata.ini
[07/11/2007 - 07:03:18 | N | 562688] 	I:\install.exe
[07/11/2007 - 07:00:40 | N | 843] 	I:\install.ini
[07/11/2007 - 07:03:18 | N | 76304] 	I:\install.res.1028.dll
[07/11/2007 - 07:03:18 | N | 96272] 	I:\install.res.1031.dll
[07/11/2007 - 07:03:18 | N | 91152] 	I:\install.res.1033.dll
[07/11/2007 - 07:03:18 | N | 97296] 	I:\install.res.1036.dll
[07/11/2007 - 07:03:18 | N | 95248] 	I:\install.res.1040.dll
[07/11/2007 - 07:03:18 | N | 81424] 	I:\install.res.1041.dll
[07/11/2007 - 07:03:18 | N | 79888] 	I:\install.res.1042.dll
[07/11/2007 - 07:03:18 | N | 75792] 	I:\install.res.2052.dll
[07/11/2007 - 07:03:18 | N | 96272] 	I:\install.res.3082.dll
[07/04/2010 - 12:08:23 | D ] 	I:\Mes docs
[19/03/2009 - 18:55:17 | SHD ] 	I:\System Volume Information
[24/10/2010 - 10:53:30 | D ] 	I:\var
[07/11/2007 - 07:00:40 | N | 5686] 	I:\vcredist.bmp
[07/11/2007 - 07:09:22 | N | 1442522] 	I:\VC_RED.cab
[07/11/2007 - 07:12:28 | N | 232960] 	I:\VC_RED.MSI
[06/11/2010 - 18:58:44 | D ] 	I:\Vidéos

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
F:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
I:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-TOM.zip
http://www.teamxscript.org/Sample/Upload.php
Merci de votre contribution.

################## | E.O.F |

Utilisateur anonyme · Answer

Essaye de lancer Malwarebytes pour voir si cela marche maintenant

Tu n'as pas collé cette ligne dans ZHPFix ?
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified

Tom · Answer

Malwarebytes ne marche toujour pas malheureusement.

Pour ZHPFix, je l'ai bien collée, mais en cliquant sur MBRFix, il me demande "veuillez consulter la documentation avant d'utiliser cette commande. Quitter ? Oui / Non". Du coup j'ai cliqué sur "Non" et le rapport que j'ai collé au dessus est apparu.

Si je fait "H" puis "ok", "tous", "nettoyer" (donc sans toucher a MBRFix) j'obtiens ceci (dsl si j'ai pas fait la bonne manip du premier coup...) :


Rapport de ZHPFix 1.12.3217 par Nicolas Coolman, Update du 12/11/2010
Fichier d'export Registre : 
Run by Tom at 15/11/2010 23:59:20
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr


========== Récapitulatif ==========


End of the scan




Après ça, malwarebytes ne marche toujours pas. :(

Utilisateur anonyme · Answer

Désinstalle le, et réinstalle le, il est peut-être HS

Tom · Answer

Ca marche, la quatrième fois sera peut être la bonne !

Utilisateur anonyme · Answer

Je regarderai le résultat demain si cela a marché

Tom · Answer

Et non...ça n'a pas marché, Malwarebytes ne veut décidément rien entendre...
Merci beaucoup pour ton aide ce soir,
Si je peux avoir la chance de profiter de ton savoir demain ca serait très très sympa !

Tom

Utilisateur anonyme · Answer

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1  et valide
* Si le programme demande pour supprimer le proxy, tape 1 si tu es sûr que ce n'est pas toi qui l'a mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.


Ensuite essaye de relancer Malwatebytes
Si cela ne marche pas, il faudra peut-être aborder la solution du formatage,
mais nous en sommes pas encore là

Tom · Answer

Voilà le rapport de RogueKiller

RogueKiller V3.0.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows Vista (6.0.6001 Service Pack 1) version 32 bits
Mode: Scan -- Time : 16/11/2010 00:25:29

Bad processes:

Found:

Finished

il me demande pas pour le proxy, me met "image file execution option : access denied ! run in administrator mode" alors que je suis en administrateur pour le coup... et j'ai fait une dizaine d'essai.

Je vais me remettre en mode sans echec pour voir...

Tom · Answer

Encore dix essais en mode sans échec, sans autre résultat.

Tom · Answer

En regardant alleurs (ici : https://forums.commentcamarche.net/forum/affich-9775303-probleme-demarrage-malwarebytes j'ai trouvé qu'en renomant le fichier .exe de Malwarebytes il n'est plus bloqué par le virus et peux s'ouvrir : ca marche ! Encore un peu de progrès :)

Je suis tes indications du début sur malwarebyte

Tom · Answer

Malwarebyte a détecté un fichier contaminé. A la fin de l'analyse, j'ai cliqué sur supprimer et là.."malwarebyte a cessé de fonctionner"

Je le relance, et en allant trop vite, je suis allé dans quarantaine et ait supprimé le fichier qui y était (donc qui avait bien été copié par malwarebyte dans la quarantaine malgré le plantage) ! Bon c'était dans un logiciel cracké qui m'est inutile et aussitôt supprimé..
Le seul problème c'est que je n'ai pas de rapport a coller du coup...

Je retenterai une analyse demain matin..esperons que le problème soit résolu

Tom

Tom · Answer

Après une analyse complète du système par Kaspersky, plusieurs programmes malveillants ont été détectés. Voilà le rapport de Kaspersky :

http://www.netimago.com/images/TDqflQkU67y8aLh.jpg

Les trojan downloader sont localisés dans C:\Documents and Settings \ Tom \ AppData \ LocalLow \ Sun \ Java

J'ai demandé a kaspersky de les traiter, ce qu'il a fait...en les supprimant !



Depuis qu'ils sont supprimés, un message d'erreur windows apparaît régulierement :

"processus hôte pour les services windows a cessé de fonctionner"

Voici les détails :

Signature du problème :
  Nom d'événement de problème:	APPCRASH
  Nom de l'application:	svchost.exe
  Version de l'application:	6.0.6001.18000
  Horodatage de l'application:	47918b89
  Nom du module par défaut:	StackHash_336b
  Version du module par défaut:	0.0.0.0
  Horodateur du module par défaut:	00000000
  Code de l'exception:	c0000005
  Décalage de l'exception:	0001624b
  Version du système:	6.0.6001.2.1.0.768.3
  Identificateur de paramètres régionaux:	1036
  Information supplémentaire n° 1:	336b
  Information supplémentaire n° 2:	27eb358fe674a6f15dafe56d42bb9bf3
  Information supplémentaire n° 3:	2e58
  Information supplémentaire n° 4:	2f06c18113e6d7c00e6b91fa1fde84b6




J'ai ensuite refait une analyse avec ZHPDiag, donc voici le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijK2DyY3b.txt

Puis j'ai fait une analyse complète avec Malwarebytes, dont voici le rapport :

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 5122

Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18975

16/11/2010 13:28:11
mbam-log-2010-11-16 (13-28-11).txt

Type d'examen: Examen complet (C:\|I:\|)
Elément(s) analysé(s): 367882
Temps écoulé: 1 heure(s), 10 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)




Voilà les dernières màj, maintenant je ne sais plus trop quoi faire..., je peux à nouveau télécharger sur windows update, mettre à jour kaspersky et l'utiliser, mais trois problèmes restent :

-  je me fait toujours rediriger quand je navigue sur le net (même si je n'ai plus de fenêtres supplémentaires qui s'ouvrent)

-  j'ai ce message windows, qui a l'air plutôt serieux d'après mes premières (rapides) recherches sur le net

-  mozilla firefox a une sale tronche, ou en tout cas pas l'apparence d'avant...


Merci d'avance pour votre aide !

Tom

Tom · Answer

Je viens de faire mes màj Windows avec Windows update. Je ne sais pas du tout si ça peut être utile mais je rpéfère donner toutes les infos que j'ai, donc voici l'historique des màj :
http://www.netimago.com/images/Ae3hELwCRUBDgta.jpg

Une d'entre elle à foirée, voici laquelle :
http://www.netimago.com/images/UTi4j6cBSyeCOqf.jpg

Utilisateur anonyme · Answer

Bonjour
Je regarde ce que tu as mis

Tom · Answer

Merci !
Depuis j'ai fait pas mal de màj windows dont le pack 2.
Mozilla va mieux
Je n'ai plus de message windows

Mais je me fait toujours rediriger...

Utilisateur anonyme · Answer

pourrai tu refaire ZHPDiag

Tom · Answer

Je fait ça tout de suite.

Tom · Answer

Voilà le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201011/cijMddLwyH.txt

Tom · Answer

J'ai l'impression que je ne me fait plus rediriger suite a des clics sur des liens de google par exemple. Par contre, je me fait systématiquement rediriger lorsque je vais sur certaines vidéos, comme celles du site de l'equipe (c'est automatique je me fait éjecter). Autre exemple je ne peux plus du tout accéder à cette vidéo sur vimeo (https://vimeo.com/16442800 après l'avoir vu 3 ou 4 fois. Par opposition, je peux naviguer sur youtube sans problème.

Les effets sont toujours les mêmes: la page voulue s'affiche mais ne reste que très très peu de temps, puis rien ne s'ouvre dans l'onglet désespérément blanc, et en bas à gauche : "Transfert des données depuis google analytics"

Si cela peut aider..

Utilisateur anonyme · Answer

J'essaye d'aller sur ci joint pour consulter ton rapport, mais mon navigateur
rame à mort, et j'arrive pas à y aller, c'est un peu embêtant

Utilisateur anonyme · Answer

Bonjour
Pourrai tu héberger ce fichier
C:\Program Files\ZHPDiag\MBRDump_11-16-10_22-14-17_PhysicalDrive0.bin
Après, tu me donnes le lien

Ensuite, pourrais tu me poster ici le rapport entier de MBRCheck, qui
se trouve dans C:\Program Files\ZHPDiag\MBRCheck.txt
Merci d'avance

Utilisateur anonyme · Answer

Bonjour
Désactive l'UAC: contrôle de compte d'utilisateur

Clique sur le menu Démarrer puis sur Panneau de configuration , Comptes d'utilisateurs
Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs:
Une nouvelle fenêtre s'ouvre,décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur puis OK:
Une demande s'affiche si vous voulez redémarrer votre ordinateur, clique sur redémarrer maintenant


https://forums.cnetfrance.fr


Avant de commencer, fait une sauvegarde de tous tes documents
Attention, cet outil n'est pas à utiliser à la légère, et doit
être recommandé que par une personne formée à cet outil
Imprime la procédure


Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

tutoriel pour bien utiliser l'outil
http://www.bleepingcomputer.com/combofix/fr/comment-utiliser­-combofix

/!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\

---> Clic droit sur ComboFix.exe, et sur exécuter en tant qu'administrateur
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie...Clique sur oui pour accepter 
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

 Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

byMrTom · Answer

ok :) merci alors je vais faire de la grosse sauvegarde avant de commencer tout ça, je reviens quand c'est prêt (peut être pas tout de suite tout de suite!)

Utilisateur anonyme · Answer

D'accord
Je pense que tu as un rootkit qui infecte le MBR et qui provoque ces redirections

Cheval de Troie Backdoor.Win32.Hupigon.kzad

37 réponses

Discussions similaires