PC infecté par spyware tenace

Résolu
marcdgt -  
 gen-hackman -
Bonjour,

je me bats depuis hier avec un spyware ou rogue (enfin un truc qui bloque pon pc) et je n'arrive à rien. j'ai le même phénomène que certains :
écran bleu avec message de Warning, ouverture de fenètre "system tool" faisant croire à uin scan, etc...
j'utilise windows xp, et ce truc bloque toutes les applis. je n'arrive meme pas à lancer un scan avec malwarebytes, pourtant déja installé sur mon ordi.
connexion internet bloquée également
impossible d'accéder à l'invite de commande
pouvez-vous m'aider ? d'avance merci

43 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème rencontré : un spyware/rogue sur Windows XP bloque les applications et l'accès Internet, affiche un écran bleu et une fenêtre 'system tool' simulant un scan, empêchant l'exécution d'un antivirus comme Malwarebytes. Des indices évoquent un proxy réseau professionnel bloquant l'accès internet, mais d'autres éléments suggèrent une infection nécessitant des outils de sécurité comme RogueKiller en mode DNSFIX et des scripts de nettoyage. Des procédures de désinfection ont été évoquées, notamment l'emploi d'OTL et de Delfix pour injecter les listes et lancer les nettoyages, suivies d'un redémarrage et d'un contrôle des résultats. En dernier élément, certains rapports évoquent des messages d'erreur sur des exécutables non valides et des chemins corrompus, suggérant des composants résiduels à nettoyer après redémarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. marcdgt
     
    merci pour roguekiller, je viens d'essayer... mais le rogue en question ferme l'appli avant même que roguekiller ait eu le temps de finir le scan....
    0
  2. gen-hackman
     
    renomme-le winlogon.exe

    et regarde si tu n as pas le rapport sur ton bureau
    0
  3. marcdgt
     
    ok j'essaye ça et je te tiens au courant...
    merci
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. marcdgt
     
    ça semble avoir fonctionné
    j'ai un fichier exe.vir en quarantaine et le rapport sur le bureau indique 1 bad process qui semble avoir été détruit.

    les icones malveillantes de la barre des taches ont également disparu

    y a t-il d'autres actions à mener ou suis-je définitiveùent débarrasé à ce stade ?

    merci de ton aide préciseuse Gen !
    0
  6. gen-hackman
     
    non l est juste neutralisé pas supprimé

    tu peux poster le rapport ici ?
    0
  7. marcdgt
     
    voici le rapport

    RogueKiller V4.0.1 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User: marc.deginther [Admin rights]
    Mode: Remove -- Time : 03/03/2011 10:35:06

    Bad processes: 1
    [APPDT/TMP/DESKTOP] jJpOgFg06511.exe -- c:\documents and settings\all users\application data\jjpogfg06511\jjpogfg06511.exe -> KILLED

    Registry Entries: 2
    [PROXY IE] HKLM\[...]\Internet Settings : ProxyServer (proxy.lfqq.aviation:3128) -> NOT REMOVED, USE PROXYFIX
    [DNS] HKLM\[...]\ControlSet003\Parameters\Interfaces\{EB9BD608-DC98-4B35-A5CB-BCDEC6213BA9} : NameServer (172.16.89.25,172.16.128.1) -> NOT REMOVED, USE DNSFIX

    HOSTS File:

    Finished

    RogueKiller V4.0.1 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User: marc.deginther [Admin rights]
    Mode: ProxyFix -- Time : 03/03/2011 10:35:38

    Bad processes: 0

    Registry Entries: 1
    [PROXY IE] HKLM\[...]\Internet Settings : ProxyServer (proxy.lfqq.aviation:3128) -> DELETED

    Finished

    RogueKiller V4.0.1 by Tigzy
    contact at https://www.luanagames.com/index.fr.html
    mail: tigzyRK<at>gmail<dot>com
    Feedback: https://www.luanagames.com/index.fr.html

    Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Started in : Normal mode
    User: marc.deginther [Admin rights]
    Mode: HOSTSFix -- Time : 03/03/2011 10:35:52

    Bad processes: 0

    HOSTS File:

    Resetted HOSTS:
    127.0.0.1 localhost

    Finished
    0
  8. gen-hackman
     
    DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Killem

    mirroirs :

    List_Kill'em
    List_Kill'em

    et enregistre le sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur le raccourci sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Executer List_Kill'em

    une fois terminée , clic sur "terminer"

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

    Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95% à l'affichage "2nd Check", relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

    ▶ Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

    ▶▶▶ NE LES POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau
    0
  9. marcdgt
     
    le scan vient de s'arreter brutalement à 95% avec le message windows suivant :

    C:\program files\list_kill'em\forfiles.exe n'est pas une application Win32 valide

    ???
    0
  10. gen-hackman
     
    ok laisse continuer xp le prend pas en charge
    0
  11. marcdgt
     
    j'ai tout de meme récupéré deux fichiers txt :

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijWXQ5lzO.txt

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijo0a6dyP.txt
    0
  12. gen-hackman
     
    ▶ Relance List&Kill'em , avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Tools puis Kill Proxy

    laisse travailler l'outil.

    en fin de scan un rapport s'ouvre

    ▶ colle le contenu dans ta reponse

    ====================================

    ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

    ▶ Relance List&Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'option Tools puis Script

    une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

    un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


    REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
    REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "swg"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Adobe Reader Speed Launcher"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "QuickTime Task"
    REM:"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "iTunesHelper "
    KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{E54A439F-A4B0-4526-A16B-B4E2ECE95B3D}"
    KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{2A3320D6-C805-4280-B423-B665BDE33D8F}"
    KLOOK:"HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F4B2380F-9F83-482B-B51F-FD18C7EDD923}"
    KLOOK:HKEY_LOCAL_MACHINE\software\tdbg_trace
    PORT:1900:UDP
    PORT:2869:TCP
    SIGN:C:\WINDOWS\system32\ncc.exe
    SIGN:C:\WINDOWS\system32\P0620Srv.exe

    ▶ enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

    laisse travailler l'outil

    poste le resultat

    ▶ Ferme List_Kill'em

    Note : le rapport est sur ton bureau : Script_(4 chiffres).txt
    0
  13. marcdgt
     
    problème dans la première étape :
    je lance list_killem, menu Outils, puis "réinitialiser le proxy" :

    ça m'affiche " values changed successfully" et ça ferme kill'em, mais ça ne génère pas de rapport...
    0
  14. marcdgt
     
    voici le fichier txt :

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijHnR29C1.txt
    0
  15. gen-hackman
     
    tes protections ne sont pas desactivées....
    0
  16. marcdgt
     
    zut... j'avais remis le parefeu pour accéder à internet (ci-joint)....

    je recommence la procédure...dsl
    0
  17. marcdgt
     
    voici les fichiers list et more

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijOMvaunT.txt

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijpx3EDD0.txt
    0
    1. marcdgt
       
      dois continuer la procédure : kill proxy et scrit en collant les lignes de codes précédemment envoyées ?
      0
  18. gen-hackman
     
    non je voulais juste que tu refasses script sans perafeu et protections ensuite remets-les , je vais m absenter je repasserai plus tard
    0
  19. marcdgt
     
    ok
    voici le nouveau fichier script :

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijBWdF3SL.txt

    encore merci et à plus tard
    0
  • 1
  • 2
  • 3