2 rogues
vector369
-
afideg Messages postés 10466 Date d'inscription Statut Contributeur sécurité Dernière intervention -
afideg Messages postés 10466 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Suite à un scan spyboot, j'ai un pc infecté par ces 2 rogues. J'ai vu différents posts déjà mais ne sais pas si la procédure d'analyse est valable pour tous les cas.
Merci pour votre aide.
Stéphane.
Win xp
Suite à un scan spyboot, j'ai un pc infecté par ces 2 rogues. J'ai vu différents posts déjà mais ne sais pas si la procédure d'analyse est valable pour tous les cas.
Merci pour votre aide.
Stéphane.
Win xp
25 réponses
- 1
- 2
Suivant
-
bonjour quels rogues?
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message -
Re,
Microsoft.windowsredirectedhosts et fraud.windowsprotectionsuite.....
J'ai installé mais il plante le pc et reboot automatique.... arghhhh -
telécharge roguekiller et colle un rapport option 1
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
ok
relance roguekiller, choisi l'option 3 et colle nous le rapport (option 3 = HOSTSFIX )
puis télécharge malwarebyte , mets le à jour et colle un rapport d'analyse rapide avec
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message -
roguekiller hostsfix
http://www.cijoint.fr/cjlink.php?file=cj201103/cijYhZTQsn.txt
malwarebyte
http://www.cijoint.fr/cjlink.php?file=cj201103/cijOUhXLKf.txt
et zhpdiag plante tjs le pc....
merci -
pour malwarebyte il faut le mettre à jour avant l'analyse...
-
-
Je me suis permis de mettre le coco en quarantaine après le log de malwarebyte et le soucis qui se posait à la base, çad l'accès à google en page d'accueil est fonctionnel maintenant....
Est il utile de pousser plus en avant les investigations?
Merci-
Salut Steph,
Patienter un peu
jlpjlp va revenir.
c:\WINDOWS\system32\drivers\xzyurkm.sys (Rootkit.Agent) -> No action taken.
Il faut supprimer cet élément trouvé par MBAM !
Vider aussi la quarantaine de MBAM
Pour ceci: « ... et zhpdiag plante tjs le pc.... » ; être plus précis.
Si c'est un "blocage" à 44%, il faut patienter quelques minutes; ou suspendre la protection de l'antivirus la durée de l'analyse.
Hello jlpjlp ;)
Al. -
-
-
-
Re,
En attendant jlpjlp
Supprimer l'élément trouvé par MBAM
Vider la quarantaine de MBAM
Ensuite:
Télécharger "load_tdsskiller" (de Loup Blanc) sur le bureau; à partir de ce lien http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe .
NOTE:
Désactiver la protection en temps réel de l'antivirus.
Ensuite:
Lancer "load_tdsskiller.exe".
- L'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan.
- Une page noire en DOS s'affiche, superposée par une page couleur TDSSKiller 2.4.8.0 s'affiche; laisser les 2 cases cochées.
Enfoncer le bouton radio [Start scan] pour lancer l'outil.
* Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée,
* Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
Note : "Cure" est sélectionné par défaut si TDSS est trouvé, et le PC va redémarrer.
A la fin du scan, appuyer sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande.
Le rapport s'affichera automatiquement; faire un copier/coller son contenu dans la prochaine réponse.
Le fichier est enregistré ici : C:\tdsskiller\report.txt
Si l'outil "load_tdsskiller.exe" n'a pas redémarré le PC, il faut le redémarrer soi-même impérativement.
Réactiver la protection de l'antivirus
Ne rien faire avec le PC sans l'avis de jlpjlp.
Al
Patience-Vigilance-Amour. -
Re,
Ce n'est pas courant.
Quel est l'antivirus actif de ce PC ?
As-tu essayé en renommant ZHPDiag ?
Relancer une analyse complète de malwarebyte
Attention, il faut à nouveau le mettre à jour.
Cette analyse prendra du temps ( > 1 heure ) ==> patienter.
Si des éléments infectieux sont trouvés, les supprimer.
Poster le rapport final.
Al.
Jlpjlp va bientôt revenir.
Patience-Vigilance-Amour. -
re,
c est antivir d'avira
je peux renommer zyp diag mais par quoi?
Je lance mbyte complet
MMMMMerci-
(Pour la suite)
A)- Spybot - Search & Destroy
==> ce logiciel n'est pas notre ami, il entrave les désinfections par nos outils.
1)- Je recommande donc de supprimer Spybot !
2)- Mais avant la désinstallation de Spybot il est recommandé de vérifier si la protection en temps réel Tea-Timer est bien désactivée (cela ne coûte rien); comme ce qui suit:
Dans la fenêtre "Mode Avancé" dans Spybot
1 - Options "Avancées"
2 - menu "Mode" --> "Mode Avancé"
3 - Dans le menu (partie gauche) de Spybot
4 - Cliquer dans "Outils"
5 - Cliquer dans "Résident"
6 - Désactiver "Résident TeaTimer", en le décochant
3)- Je peux proposer également de remplacer le fichier hosts implanté par Spybot, http://support.kaspersky.com/fr/faq/?qid=193238615
B)- Renommer ZHPDiag.exe
Dans "Program Files", chercher le dossier zhpdiag, et l'ouvrir > clic-droit sur le fichier zhpdiag.exe > le renommer en zhpdiag.com
Maintenant faire clic-droit sur zhpdiag.com, choisir "Envoyer vers" > choisir "Bureau (Créer un raccourci)" .
Lancer zhpdiag.com indiqué plus haut.
Bonne chance
Al.
-
-
-
Re,
Il fallait supprimer les éléments trouvés par MBAM; comme ceci:
A la fin de l'analyse, un message s'affiche
==> Citation : L'examen s'est terminé normalement.
==> Cliquer sur "Ok" pour poursuivre.
Si des malwares ont été détectés, cliquer sur "Afficher les résultats".
Sélectionner tout (ou laisser coché) et cliquer sur "Supprimer la sélection" > MBAM va détruire les fichiers et clés de registre, et en mettre une copie dans la quarantaine.
5°- MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.
Copier-coller ce rapport et le poster dans la prochaine réponse sur le topic en cours.
NB : Si MBAM demande à redémarrer, il faut le faire, mais seulement après avoir posté le rapport.
Une aide précieuse dans ce Tutoriel [ https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ ]
Dommage que ce ne soit pas fait dès l'issue de l'analyse.
Il faut le faire.
Al.
-
-
slt je suis dispo ce jour
slt Albert si tu veux finir vu que tu as tout fais? -
remets un rapport zhpdiag
si il passe pas
Téléchargez OTL.exe
http://www.itxassociates.com/OT-Tools/OTL.exe
* Enregistrez le sur votre Bureau.
o Si vous avez XP => double cliquez
o Si vous avez Vista ou windows 7 => clic droit "exécuter en tant que administrateur"
sur OTL.exe pour le lancer.
* Cochez les 2 cases Lop et Purity
* Cochez la case devant tous les utilisateurs
* Réglage du fichier sur "60 jours"
* Dans la moitié gauche, mettez tout sur "Tous", ne modifiez pas ceci :
- "Fichiers créés"
et
- "Fichiers Modifiés"
* Cliquez sur "Analyse".
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur votre Bureau (en général C:\Documents and settings\le_nom_de_ta_session\Bureau\OTL.txt)
* NE LE POSTEZ PAS SUR LE FORUM car il est trop volumineux pour passer facilement dans un message, et ne le postez pas en plusieurs morceaux, ce n'est pas facile à analyser pour la personne qui vous viendra en aide.
* Pour le transmettre, rendez-vous sur le site de Cijoint.
* Cliquez sur Parcourir et cherchez le fichier ci-dessus.
* Cliquez sur Ouvrir.
* Cliquez sur "Cliquez ici pour déposer le fichier".
* Juste au niveau du bouton, en fin de chargement du fichier, un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
* Copiez ce lien dans votre réponse.
* Vous ferez la même chose avec le "Extra.txt" qui logiquement sera aussi sur le bureau.
Remarque : Si le site Cijoint ne fonctionne pas, essayer un autre site comme indiqué dans cette astuce -
-
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
?Copie la liste qui se trouve en gras ci-dessous,
? colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
:services
xzyurkm
:Files
C:\WINDOWS\System32\drivers\xzyurkm.sys
C:\Documents and Settings\NetworkService\Application Data\rbuwzv.dat
C:\Documents and Settings\All Users\Application Data\5ab0723
:commands
[emptytemp]
[start explorer]
[reboot]
? Clique sur "Correction" pour lancer la suppression.
? Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. -
-
ok
remets un rapport OTL tout neuf et explique tes problèmes actuels -
Jour, j'espère avoir fait la bonne manip
http://www.cijoint.fr/cjlink.php?file=cj201104/cijOxVRplv.txt
Concernant les problèmes actuels, il y a du mieux déjà mais la vérole travaille en secret.... dans l'ensemble, le pc fonctionne déjà bcp mieux....
merci
- 1
- 2
Suivant