2 rogues

vector369 -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Suite à un scan spyboot, j'ai un pc infecté par ces 2 rogues. J'ai vu différents posts déjà mais ne sais pas si la procédure d'analyse est valable pour tous les cas.

Merci pour votre aide.

Stéphane.

Win xp

25 réponses

  • 1
  • 2
  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    bonjour quels rogues?

    puis

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  2. vector369 Messages postés 1 Date d'inscription   Statut Membre Dernière intervention  
     
    Re,

    Microsoft.windowsredirectedhosts et fraud.windowsprotectionsuite.....

    J'ai installé mais il plante le pc et reboot automatique.... arghhhh
    0
  3. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    telécharge roguekiller et colle un rapport option 1
    0
  4. vector369
     
    Salut, voilà.

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijNmHzkml.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    relance roguekiller, choisi l'option 3 et colle nous le rapport (option 3 = HOSTSFIX )

    puis télécharge malwarebyte , mets le à jour et colle un rapport d'analyse rapide avec

    puis

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.fr/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
    0
  7. vector369
     
    roguekiller hostsfix

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijYhZTQsn.txt

    malwarebyte

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijOUhXLKf.txt

    et zhpdiag plante tjs le pc....

    merci
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    pour malwarebyte il faut le mettre à jour avant l'analyse...
    0
  9. vector369
     
    voici,

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijuLrkNV6.txt
    0
  10. vector369
     
    Je me suis permis de mettre le coco en quarantaine après le log de malwarebyte et le soucis qui se posait à la base, çad l'accès à google en page d'accueil est fonctionnel maintenant....

    Est il utile de pousser plus en avant les investigations?

    Merci
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut Steph,

      Patienter un peu
      jlpjlp va revenir.


      c:\WINDOWS\system32\drivers\xzyurkm.sys (Rootkit.Agent) -> No action taken.
      Il faut supprimer cet élément trouvé par MBAM !
      Vider aussi la quarantaine de MBAM

      Pour ceci: « ... et zhpdiag plante tjs le pc.... » ; être plus précis.
      Si c'est un "blocage" à 44%, il faut patienter quelques minutes; ou suspendre la protection de l'antivirus la durée de l'analyse.


      Hello jlpjlp ;)
      Al.
      0
    2. vector369
       
      je teste à nouveau et reviens
      0
    3. vector369
       
      C'est pas un blocage, le pc plante et reboot vers peut être 44 % de l'analyse, ceci avec l antivirus off et la connexion réseau off...
      0
  11. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    En attendant jlpjlp

    Supprimer l'élément trouvé par MBAM
    Vider la quarantaine de MBAM

    Ensuite:

    Télécharger "load_tdsskiller" (de Loup Blanc) sur le bureau; à partir de ce lien http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe .

    NOTE:
    Désactiver la protection en temps réel de l'antivirus.

    Ensuite:
    Lancer "load_tdsskiller.exe".
    - L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan.
    - Une page noire en DOS s'affiche, superposée par une page couleur TDSSKiller 2.4.8.0 s'affiche; laisser les 2 cases cochées.

    Enfoncer le bouton radio [Start scan] pour lancer l'outil.

    * Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
    * Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
    Note : "Cure" est sélectionné par défaut si TDSS est trouvé, et le PC va redémarrer.

    A la fin du scan, appuyer sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande.

    Le rapport s'affichera automatiquement; faire un copier/coller son contenu dans la prochaine réponse.
    Le fichier est enregistré ici : C:\tdsskiller\report.txt

    Si l'outil "load_tdsskiller.exe" n'a pas redémarré le PC, il faut le redémarrer soi-même impérativement.

    Réactiver la protection de l'antivirus

    Ne rien faire avec le PC sans l'avis de jlpjlp.

    Al

    Patience-Vigilance-Amour.
    0
    1. vector369
       
      Voilà,

      http://www.cijoint.fr/cjlink.php?file=cj201103/cijU3SRaGR.txt
      0
    2. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Re,

      1)- Ceci avait-il été exécuté préalablement à "load_tdsskiller.exe" :
      Supprimer l'élément trouvé par MBAM
      Vider la quarantaine de MBAM
      ?

      2)- Supprimer "load_tdsskiller" et ses composants.

      3)- Tenter de lancer ZHPDiag.

      Al.
      0
    3. vector369
       
      re,

      Quarantaine vidée et suppression load_tdsskiller ok et zhp diag plante encore le pc....
      0
  12. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Re,

    Ce n'est pas courant.
    Quel est l'antivirus actif de ce PC ?
    As-tu essayé en renommant ZHPDiag ?

    Relancer une analyse complète de malwarebyte
    Attention, il faut à nouveau le mettre à jour.
    Cette analyse prendra du temps ( > 1 heure ) ==> patienter.
    Si des éléments infectieux sont trouvés, les supprimer.
    Poster le rapport final.

    Al.

    Jlpjlp va bientôt revenir.
    Patience-Vigilance-Amour.
    0
  13. vector369
     
    re,

    c est antivir d'avira

    je peux renommer zyp diag mais par quoi?

    Je lance mbyte complet

    MMMMMerci
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      (Pour la suite)

      A)- Spybot - Search & Destroy

      ==> ce logiciel n'est pas notre ami, il entrave les désinfections par nos outils.
      1)- Je recommande donc de supprimer Spybot !
      2)- Mais avant la désinstallation de Spybot il est recommandé de vérifier si la protection en temps réel Tea-Timer est bien désactivée (cela ne coûte rien); comme ce qui suit:

      Dans la fenêtre "Mode Avancé" dans Spybot
      1 - Options "Avancées"
      2 - menu "Mode" --> "Mode Avancé"
      3 - Dans le menu (partie gauche) de Spybot
      4 - Cliquer dans "Outils"
      5 - Cliquer dans "Résident"
      6 - Désactiver "Résident TeaTimer", en le décochant

      3)- Je peux proposer également de remplacer le fichier hosts implanté par Spybot, http://support.kaspersky.com/fr/faq/?qid=193238615


      B)- Renommer ZHPDiag.exe

      Dans "Program Files", chercher le dossier zhpdiag, et l'ouvrir > clic-droit sur le fichier zhpdiag.exe > le renommer en zhpdiag.com
      Maintenant faire clic-droit sur zhpdiag.com, choisir "Envoyer vers" > choisir "Bureau (Créer un raccourci)" .
      Lancer zhpdiag.com indiqué plus haut.

      Bonne chance
      Al.
      0
  14. vector369
     
    Voilà

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijqQqrW4B.txt
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Re,

      Il fallait supprimer les éléments trouvés par MBAM; comme ceci:

      A la fin de l'analyse, un message s'affiche
      ==> Citation : L'examen s'est terminé normalement.
      ==> Cliquer sur "Ok" pour poursuivre.
      Si des malwares ont été détectés, cliquer sur "Afficher les résultats".
      Sélectionner tout (ou laisser coché) et cliquer sur "Supprimer la sélection" > MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.

      5°- MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
      Copier-coller ce rapport et le poster dans la prochaine réponse sur le topic en cours.

      NB : Si MBAM demande à redémarrer, il faut le faire, mais seulement après avoir posté le rapport.

      Une aide précieuse dans ce Tutoriel [ https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ ]

      Dommage que ce ne soit pas fait dès l'issue de l'analyse.
      Il faut le faire.


      Al.
      0
  15. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt je suis dispo ce jour

    slt Albert si tu veux finir vu que tu as tout fais?
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Salut J.
      Je veux bien, mais j'peux point !
      N'aurais-tu pas vu passer un vector369 furtif ? ;)
      Bonne nuit à toi.
      Albert
      0
    2. vector369
       
      Jour messieurs, le pc est au boulot et je suis en week end... je reprends ceci en main dès le début de semaine, vous remercie déjà
      0
    3. vector369
       
      Bonjour, je passe furtivement pour déposer ceci :-)

      spyboot désinstallé!

      rapport analyse http://www.cijoint.fr/cjlink.php?file=cj201103/cijK1vMu5V.txt

      Et mon raccourci.com plante le pc vers 48%

      merkiii
      0
    4. vector369
       
      up :-)
      0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    remets un rapport zhpdiag

    si il passe pas

    Téléchargez OTL.exe
    http://www.itxassociates.com/OT-Tools/OTL.exe
    * Enregistrez le sur votre Bureau.
    o Si vous avez XP => double cliquez
    o Si vous avez Vista ou windows 7 => clic droit "exécuter en tant que administrateur"

    sur OTL.exe pour le lancer.

    * Cochez les 2 cases Lop et Purity
    * Cochez la case devant tous les utilisateurs
    * Réglage du fichier sur "60 jours"
    * Dans la moitié gauche, mettez tout sur "Tous", ne modifiez pas ceci :

    - "Fichiers créés"
    et
    - "Fichiers Modifiés"

    * Cliquez sur "Analyse".

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur votre Bureau (en général C:\Documents and settings\le_nom_de_ta_session\Bureau\OTL.txt)

    * NE LE POSTEZ PAS SUR LE FORUM car il est trop volumineux pour passer facilement dans un message, et ne le postez pas en plusieurs morceaux, ce n'est pas facile à analyser pour la personne qui vous viendra en aide.
    * Pour le transmettre, rendez-vous sur le site de Cijoint.
    * Cliquez sur Parcourir et cherchez le fichier ci-dessus.
    * Cliquez sur Ouvrir.
    * Cliquez sur "Cliquez ici pour déposer le fichier".
    * Juste au niveau du bouton, en fin de chargement du fichier, un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    * Copiez ce lien dans votre réponse.
    * Vous ferez la même chose avec le "Extra.txt" qui logiquement sera aussi sur le bureau.

    Remarque : Si le site Cijoint ne fonctionne pas, essayer un autre site comme indiqué dans cette astuce
    0
  17. vector369
     
    voici

    http://www.cijoint.fr/cjlink.php?file=cj201103/cij3KUqgVd.txt
    0
  18. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur OTL.exe pour le lancer.

    ?Copie la liste qui se trouve en gras ci-dessous,

    ? colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    :services
    xzyurkm
    :Files
    C:\WINDOWS\System32\drivers\xzyurkm.sys
    C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat
    C:\Documents and Settings\All Users\Application Data\5ab0723
    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ? Clique sur "Correction" pour lancer la suppression.

    ? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  19. vector369
     
    Bonjour JL, voici,

    http://www.cijoint.fr/cjlink.php?file=cj201103/cijiH7zTtq.txt
    0
  20. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    remets un rapport OTL tout neuf et explique tes problèmes actuels
    0
  21. vector369
     
    Jour, j'espère avoir fait la bonne manip

    http://www.cijoint.fr/cjlink.php?file=cj201104/cijOxVRplv.txt

    Concernant les problèmes actuels, il y a du mieux déjà mais la vérole travaille en secret.... dans l'ensemble, le pc fonctionne déjà bcp mieux....

    merci
    0
  • 1
  • 2