Warning: possible TDL3 rootkit infection !

Résolu
cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   -  
cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   -
Bonsoir,

Tout est dans le titre.
Merci pour votre aide.
Voici le rapport ZHPdiag.

http://www.cijoint.fr/cjlink.php?file=cj201105/cijPe2BbOa.txt

47 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Problème exposé: un rapport ZHPdiag suggère une infection et plusieurs outils de nettoyage comme ZHPFix, nécessitant des actions de suppression et de sécurisation sur Windows 7. Parmi les solutions proposées, l’essentiel consiste à lancer ZHPFix en tant qu’administrateur, nettoyer les outils via l’option Nettoyeur de Tools, vider la zone de confiance d’Internet Explorer, et redémarrer pour achever le nettoyage. Certaines discussions recommandent également de vérifier PresentationFontCache.exe via ZHPSearch pour confirmer la présence d’éléments suspects, et d’utiliser ZHPSearch pour obtenir un rapport sans lien externe, afin d’établir un diagnostic plus précis.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    ouvre ce lien :

    https://support.kaspersky.com/fr/14421

    fais ce qui est indiqué sous "La désinfection du système infecté"

    Poste le rapport dans ta réponse.

    Mets à jour MBAM, fais un scan rapide et poste le rapport dans ta réponse.
    0
  2. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    Merci pour cette rapide réponse. Voici les rapports:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijiWWq2HG.txt

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijwaNYfZq.txt
    0
  3. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pour être bien sûr qu'il n'y a rien :

    On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    * Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

    Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
    0
  4. gen-hackman
     
    bonsoir à vous

    alors cactus encore des soucis ? :)
    0
    1. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
       
      oui, c'est de pire en pire, bonsoir, Gen.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonsoir Gen,

    probablement rien (possible TDSS infection).

    Mais autant vérifier.

    Si CF ne trouve pas de fichier patché, on nettoie les outils et on s'en va.
    0
    1. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
       
      http://www.cijoint.fr/cjlink.php?file=cj201105/cij0qncX4e.txt

      Avira me bloque sans arrêt l'accès à:
      C:\Autorun.inf
      0
  7. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    pas de fichier patché.

    Par contre, vide la zone de confiance de Internet Explorer

    Outils, Options Internet, Sécurité, Sites de confiance, sites.

    Tu supprimes toute la liste.

    ===

    Laisse antivir bloquer les autorun, cela améliore ta sécurité.

    ===

    Pour nettoyer les outils :

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique sur le A rouge (Nettoyeur de Tools).

    Clique sur Nettoyer.

    Fais redémarrer l'ordi pour terminer le nettoyage.
    0
    1. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
       
      je n'ai rien dans IE, que google. Je ne me sers jamais de IE, je passe par Mozilla.
      0
    2. gen-hackman
       
      perso ceci m'interpelle :

      yksvc;Marvell Yukon Service;c:\windows\System32\svchost.exe [2009-07-14 20992]
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      yksvcs REG_MULTI_SZ yksvc
      0
    3. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
       
      voici le dernier rapport:
      http://www.cijoint.fr/cjlink.php?file=cj201105/cijcrsF9Ta.txt

      Par contre dans Mozilla, j'ai tout une série de marque-pages. Je me pose quand même la question à savoir, pourquoi, quand je suis avec OpenOffice en traitement de texte, la bécane bloque quand même. Le pointeur de la flêche se met à tourner et plus rien ne marche.
      Par le gestionnaire des tâches, j'ai remarqué que plusieurs processus se mettent en marche.
      Dans ce cas, seule la barre des tâches est accessible.
      Par contre, il démarre beaucoup mieux depuis l'intervention de Gen.
      0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    ton problème, c'est le blocage de OpenOffice ?

    Quels sont les processus qui se lancent à ce moment là ?
    0
    1. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
       
      Non, pas que Open, cela peut être de la retouche de photo, jeu de Majong, bref tout ce que j'ai dans l'ordi. ce qui me fait penser, peut-être, à un conflit d'"exe"?
      Ce que j'ai pu observer comme fichier en mouvement dans le cas de blocage:
      dwm.exe
      svshost.exe (local et system)
      HPQToaster.exe
      WmiPrvSE.exe
      HPHCservice.exe
      Excuses, Bonjour!
      0
  9. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    Bonsoir,
    les mises à jour, oui les dernières datent de hier.
    Je vais vérifier les drivers pour le cas où et je vous tiens au courant..
    Merci
    0
  10. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    Voici le résultat. Lesquels dois-je modifier? Certains ont plusieurs propositions.
    http://www.cijoint.fr/cjlink.php?file=cj201105/cijwe4gfgP.txt
    0
  11. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    tu ne changes que pour un driver de même origine mais de version plus récente.
    0
  12. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    Voilà, les drivers sont installés, les fenêtres s'ouvrent plus vite.
    Voir ce que cela va donner. Je fais comme d'habitude ce soir et je te dis tout à l'heure si c'est mieux.
    Merci pour l'instant.
    0
    1. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
       
      Nette amélioration, mais pas encore le "top"! Encore quelques blocages, mais nettement moins.
      On verra demain ce que cela donne.
      Merci.
      0
  13. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    Bonjour,
    j'ai remarqué que depuis ces mises à jours j'ai:
    PresentationFontCache.exe
    qui "bouffe "mon UC par moments (98%) ! Le ventilateur de mon ordi s'affole.....!
    0
  14. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    tu te sers de WPF (Windows Presentation Foundation) ?
    0
  15. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    Bonsoir,
    non, je ne sais même pas à quoi cela sert! En plus c'est nouveau, on dirait. J'ai mis 20 minutes pour arriver à me connecter. Quand j'ai pu ouvrir le gestionnaire de taches, je l'ai arrêté. Il me bloquait tout!
    0
  16. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    est ce que tu peux désinstaller WPF (Windows Presentation Foundation) par le panneau de configuration ?

    Si oui, fais le.
    0
  17. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    je regarde...
    0
    1. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
       
      http://www.cijoint.fr/cjlink.php?file=cj201105/cijlH6QcpL.png
      je ne le trouve pas!
      0
  18. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Télécharge la dernière version de ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

    pour vista et Seven : fais un clic droit sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur Cijoint

    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse
    0
  19. cactus83 Messages postés 853 Date d'inscription   Statut Membre Dernière intervention   146
     
    Merci, voici:

    http://www.cijoint.fr/cjlink.php?file=cj201105/cijKm5vy0m.txt
    0
  20. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    il y est pas, logique, c'est du Windows légitime.

    Fais ça :

    relance ZHPDiag, clique sur les jumelles pour lancer ZHPSearch.

    Dans la fenêtre, copie

    PresentationFontCache.exe

    vérifie que les 4 cases de la colonne Mode de recherche sont cochées

    clique sur la loupe.

    Poste le rapport dans ta réponse (pas de lien Cijoint).
    0
  • 1
  • 2
  • 3