2 rogues Fermé

Question

Bonjour, 



Suite à un scan spyboot, j'ai un pc infecté par ces 2 rogues.  J'ai vu différents posts déjà mais ne sais pas si la procédure d'analyse est valable pour tous les cas.

Merci pour votre aide.

Stéphane.


Win xp

jlpjlp · Answer

bonjour quels rogues?

puis



Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

vector369 · Answer

Re,


Microsoft.windowsredirectedhosts et fraud.windowsprotectionsuite.....

J'ai installé mais il plante le pc et reboot automatique.... arghhhh

jlpjlp · Answer

telécharge roguekiller et colle un rapport option 1

vector369 · Answer

Salut, voilà.

http://www.cijoint.fr/cjlink.php?file=cj201103/cijNmHzkml.txt

jlpjlp · Answer

ok

relance roguekiller, choisi l'option 3 et colle nous le rapport (option 3 =  HOSTSFIX )

puis télécharge malwarebyte , mets le à jour et colle un rapport d'analyse rapide avec


puis


Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.fr/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

vector369 · Answer

roguekiller hostsfix

http://www.cijoint.fr/cjlink.php?file=cj201103/cijYhZTQsn.txt


malwarebyte

http://www.cijoint.fr/cjlink.php?file=cj201103/cijOUhXLKf.txt



et zhpdiag plante tjs le pc....


merci

jlpjlp · Answer

pour malwarebyte il faut le mettre à jour avant l'analyse...

vector369 · Answer

voici,

http://www.cijoint.fr/cjlink.php?file=cj201103/cijuLrkNV6.txt

vector369 · Answer

Je me suis permis de mettre le coco en quarantaine après le log de malwarebyte et le soucis qui se posait à la base, çad l'accès à google en page d'accueil est fonctionnel maintenant....

Est il utile de pousser plus en avant les investigations?

Merci

afideg · Answer

Re, 

En attendant jlpjlp 

Supprimer l'élément trouvé par MBAM 
Vider la quarantaine de MBAM 

Ensuite: 

Télécharger "load_tdsskiller" (de Loup Blanc) sur le bureau; à partir de ce lien http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe .  

NOTE:   
Désactiver la protection en temps réel de l'antivirus. 


Ensuite:  
Lancer "load_tdsskiller.exe".   
- L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan.  
- Une page noire en DOS s'affiche, superposée par une page couleur TDSSKiller 2.4.8.0 s'affiche; laisser les 2 cases cochées.  

Enfoncer le bouton radio [Start scan] pour lancer l'outil.  

* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,  
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),  
Note : "Cure" est sélectionné par défaut si TDSS est trouvé, et le PC va redémarrer.  


A la fin du scan, appuyer sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande.  

Le rapport s'affichera automatiquement; faire un copier/coller son contenu dans la prochaine réponse.   
Le fichier est enregistré ici : C:	dsskillereport.txt  

Si l'outil "load_tdsskiller.exe" n'a pas redémarré le PC, il faut le redémarrer soi-même impérativement. 

Réactiver la protection de l'antivirus

Ne rien faire avec le PC sans l'avis de jlpjlp. 

Al 

Patience-Vigilance-Amour.

afideg · Answer

Re,   

Ce n'est pas courant.   
Quel est l'antivirus actif de ce PC ?
As-tu essayé en renommant ZHPDiag ?

Relancer une analyse complète de malwarebyte    
Attention, il faut à nouveau le mettre à jour.   
Cette analyse prendra du temps ( > 1 heure ) ==> patienter.   
Si des éléments infectieux sont trouvés, les supprimer.   
Poster le rapport final.   

Al.   

Jlpjlp va bientôt revenir.   
Patience-Vigilance-Amour.

vector369 · Answer

re, 


c est antivir d'avira

je peux renommer zyp diag mais par quoi?

Je lance mbyte complet

MMMMMerci

vector369 · Answer

Voilà


http://www.cijoint.fr/cjlink.php?file=cj201103/cijqQqrW4B.txt

jlpjlp · Answer

slt je suis dispo ce jour  



slt Albert si tu veux finir vu que tu as tout fais?

jlpjlp · Answer

remets un rapport zhpdiag

si il passe pas


Téléchargez OTL.exe
http://www.itxassociates.com/OT-Tools/OTL.exe
    * Enregistrez le sur votre Bureau.
          o Si vous avez XP => double cliquez
          o Si vous avez Vista ou windows 7 => clic droit "exécuter en tant que administrateur" 



sur OTL.exe pour le lancer.

    * Cochez les 2 cases Lop et Purity
    * Cochez la case devant tous les utilisateurs
    * Réglage du fichier sur "60 jours"
    * Dans la moitié gauche, mettez tout sur "Tous", ne modifiez pas ceci : 


- "Fichiers créés"
et
- "Fichiers Modifiés"

    * Cliquez sur "Analyse".



A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur votre Bureau (en général C:\Documents and settings\le_nom_de_ta_session\Bureau\OTL.txt)

    * NE LE POSTEZ PAS SUR LE FORUM car il est trop volumineux pour passer facilement dans un message, et ne le postez pas en plusieurs morceaux, ce n'est pas facile à analyser pour la personne qui vous viendra en aide.
    * Pour le transmettre, rendez-vous sur le site de Cijoint.
    * Cliquez sur Parcourir et cherchez le fichier ci-dessus.
    * Cliquez sur Ouvrir.
    * Cliquez sur "Cliquez ici pour déposer le fichier".
    * Juste au niveau du bouton, en fin de chargement du fichier, un lien de cette forme apparaitra : 


http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    * Copiez ce lien dans votre réponse.
    * Vous ferez la même chose avec le "Extra.txt" qui logiquement sera aussi sur le bureau. 



Remarque : Si le site Cijoint ne fonctionne pas, essayer un autre site comme indiqué dans cette astuce

vector369 · Answer

voici

http://www.cijoint.fr/cjlink.php?file=cj201103/cij3KUqgVd.txt

jlpjlp · Answer

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer. 


?Copie la liste qui se trouve en gras ci-dessous, 

? colle-la dans la zone sous "Personnalisation" : 


:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
:services 
xzyurkm 
:Files 
C:\WINDOWS\System32\drivers\xzyurkm.sys 
C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat 
C:\Documents and Settings\All Users\Application Data\5ab0723 
:commands 
[emptytemp] 
[start explorer] 
[reboot] 


? Clique sur "Correction" pour lancer la suppression. 


? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

vector369 · Answer

Bonjour JL, voici,

http://www.cijoint.fr/cjlink.php?file=cj201103/cijiH7zTtq.txt

jlpjlp · Answer

ok

remets un rapport OTL tout neuf et explique tes problèmes actuels

vector369 · Answer

Jour, j'espère avoir fait la bonne manip


http://www.cijoint.fr/cjlink.php?file=cj201104/cijOxVRplv.txt


Concernant les problèmes actuels, il y a du mieux déjà mais la vérole travaille en secret.... dans l'ensemble, le pc fonctionne déjà bcp mieux....


merci

jlpjlp · Answer

telecharge combofix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Sauvegarde le sur ton bureau et pas ailleurs !

_________________

Ferme tous tes navigateurs (donc copie ou imprime les instructions avant)

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :





Driver::
xzyurkm
File::
C:\WINDOWS\System32\drivers\xzyurkm.sys



Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscrïpt sur le fichier ComboFix.exe

Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.


Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

vector369 · Answer

Bonjour,

Soit j'ai merdé dans la procédure soit y a anguille sous roches... après la mise en route du scan, j'ai un rapport d erreur win qui stoppe le scan et qui parle de dumphive.cfxxe.

merci

jlpjlp · Answer

recommence la procédure

vector369 · Answer

voilà, pareil

Je glisse mon fichier texte sur le exe combo, là, apparait une limitation de garantie du logiciel 11-04-03.03 et je clique ok, le fichier dos apparait avec le lancement d une tentative de création d'un fichier de sauvegarde par combo qui échoue en rapport d erreur windows (a rencontré un problème blablabla)..

vector369 · Answer

avant ça, il me demande aussi de désactiver l antivir..

2 rogues

25 réponses

Discussions similaires