Navigateurs neutralisés (Firefox/IE), Avast
DavyJones
Messages postés
23
Statut
Membre
-
DavyJones Messages postés 23 Statut Membre -
DavyJones Messages postés 23 Statut Membre -
Bonjour,
j'ai un problème depuis hier soir par rapport à mes navigateurs internet qui ne s'ouvrent pas suite à une alerte de sécurité d'Avast que voici:
http://img863.imageshack.us/img863/2396/alerte.png
Autant Firefox qu'Internet Explorer ne s'ouvre pas.
Pour allez sur internet je suis donc obligé de désactiver Avast. Je remarque qu'une fois que je clique sur un lien (et qu'Avast est désactivé) j'arrive sur une toute autre page que celle demandée..
Mis à part que la navigation est ralentie je n'ai rien remarqué d'autre...
Merci de me venir en aide!
D.J.
j'ai un problème depuis hier soir par rapport à mes navigateurs internet qui ne s'ouvrent pas suite à une alerte de sécurité d'Avast que voici:
http://img863.imageshack.us/img863/2396/alerte.png
Autant Firefox qu'Internet Explorer ne s'ouvre pas.
Pour allez sur internet je suis donc obligé de désactiver Avast. Je remarque qu'une fois que je clique sur un lien (et qu'Avast est désactivé) j'arrive sur une toute autre page que celle demandée..
Mis à part que la navigation est ralentie je n'ai rien remarqué d'autre...
Merci de me venir en aide!
D.J.
A voir également:
- Navigateurs neutralisés (Firefox/IE), Avast
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
- Downloadhelper firefox - Télécharger - Outils pour navigateurs
- Exporter favoris firefox - Guide
- Ie tab - Télécharger - Outils pour navigateurs
- Mozilla firefox - Télécharger - Navigateurs
26 réponses
⇒ Téléchargez Dr.Web CureIt! sur ton Bureau :
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
⇒ Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
⇒ Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
⇒ Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
⇒ Choisissez l'onglet Scanner, et décochez Analyse heuristique.
⇒ De retour à la fenêtre principale : choisissez Analyse complète.
⇒ Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
⇒ Cliquez Oui pour Tout si un fichier est détecté.
⇒ A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
⇒ Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
⇒ Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
⇒ Fermez Dr.Web CureIt!
⇒ Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
⇒ Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
⇒ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
⇒ Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
⇒ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
⇒ Double-cliquez sur drweb-cureit.exe et cliquez sur Commencer le scan.
⇒ Ce scan rapide permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, cliquez sur le bouton Oui pour Tout à l'invite.
⇒ Lorsque le scan rapide est terminé, cliquez sur Options > Changer la configuration.
⇒ Choisissez l'onglet Scanner, et décochez Analyse heuristique.
⇒ De retour à la fenêtre principale : choisissez Analyse complète.
⇒ Cliquez la flèche verte sur la droite et le scan débutera. Une publicité apparaît quelquefois, fermez-la.
⇒ Cliquez Oui pour Tout si un fichier est détecté.
⇒ A la fin du scan, si des infections sont trouvées, cliquez sur Tout sélectionner, puis sur Désinfecter. Si la désinfection est impossible, cliquez sur Quarantaine.
⇒ Au menu principal de l'outil, en haut à gauche, cliquez sur le menu Fichier et choisissez Enregistrer le rapport.
⇒ Sauvegardez le rapport sur votre Bureau. Ce dernier se nommera DrWeb.csv.
⇒ Fermez Dr.Web CureIt!
⇒ Redémarrez votre ordinateur (très important) car certains fichiers peuvent être déplacés/réparés au redémarrage.
⇒ Postez (Copiez/Collez) le contenu du rapport de l'outil Dr.Web dans un bloc note
Ensuite :
⇒ Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/
⇒ Cliquez sur parcourir, chercher rapport DrWeb.txt puis sur cliquez ici pour déposer le fichier
⇒ Une fois le lien crée, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse
bonjour
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi surhttp://www.cijoint.fr/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi surhttp://www.cijoint.fr/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Le diagnostic s'est bien déroulé, en voici le fichier .txt:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijM715DIU.txt
Merci pour l'aide :)
http://www.cijoint.fr/cjlink.php?file=cj201105/cijM715DIU.txt
Merci pour l'aide :)
System drive C: has 0 GB (1%) free of 33 GB
le disque est plein !!
________
fais ceci stp
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
____________
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
____________
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
le disque est plein !!
________
fais ceci stp
1)
* Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Déconnecte-toi d'internet et ferme toutes applications en cours /!\
Désactive provisoirement et seulement le temps de l'utilisation de ADremover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « NETTOYER »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)
(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
____________
2)
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
____________
3)
Fais un nouveau rapport ZHPdiag stp
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila les rapports comme demandé:
1) AD-Remover:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijbXTEz09.txt
2) MalwareByte's Anti-Malware:
3) ZHPdiag:
https://pjjoint.malekal.com/files.php?id=bb1554a79e11813
_________________________________________
Pour information, j'ai à nouveau testé d'ouvrir Firefox après la suppression des fichiers infectés mais j'ai toujours le même signal d'alerte (voir mon premier post) de la part d'Avast.
Bien à vous,
D.J.
1) AD-Remover:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijbXTEz09.txt
2) MalwareByte's Anti-Malware:
Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Version de la base de données: 6665 Windows 6.0.6002 Service Pack 2 Internet Explorer 8.0.6001.19048 24/05/2011 23:47:22 mbam-log-2011-05-24 (23-47-22).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 328566 Temps écoulé: 1 heure(s), 40 minute(s), 1 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\users\damien\appdata\roaming\ruayap.exe (Trojan.IRCBrute) -> Quarantined and deleted successfully. c:\Users\Damien\CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully. c:\Users\Damien\downloads\loic-1.0.4-binary\LOIC.exe (PUP.HackTool.LOIC) -> Quarantined and deleted successfully. d:\CORE\CORE10k.EXE (Dont.Steal.Our.Software) -> Quarantined and deleted successfully.
3) ZHPdiag:
https://pjjoint.malekal.com/files.php?id=bb1554a79e11813
_________________________________________
Pour information, j'ai à nouveau testé d'ouvrir Firefox après la suppression des fichiers infectés mais j'ai toujours le même signal d'alerte (voir mon premier post) de la part d'Avast.
Bien à vous,
D.J.
Oui c'est vrai que dans le doute il vaut mieux, je viens de mettre à jour et l'alerte Avast se déclenche encore et toujours :( "une menace a été détectée", le navigateur ne s'ouvre pas. Le seul moyen est de tuer le processus fantôme dans gestionnaire des tâches, de désactiver Avast et seulement là Firefox veut bien s'ouvrir.
je ne serai pas surpris qu'il reste du rootkit
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes DAVY.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes DAVY.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Re!
J'ai lancé une première fois ComboFix le pc a planté.
La deuxième fois il a été jusqu'au bout mais il a facilement mit 3 heures.
Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijZDscWKR.txt
Les changements que j'ai remarqué suite à ComboFix:
- L'alerte au démarrage de FireFox n'apparait plus.
- Une nouvelle alerte sonne toute les 5 secondes, j'ai print screen ce "Rootkit" bloqué:
http://img534.imageshack.us/img534/6943/newalerte.png
Bien à vous
J'ai lancé une première fois ComboFix le pc a planté.
La deuxième fois il a été jusqu'au bout mais il a facilement mit 3 heures.
Voici le rapport:
http://www.cijoint.fr/cjlink.php?file=cj201105/cijZDscWKR.txt
Les changements que j'ai remarqué suite à ComboFix:
- L'alerte au démarrage de FireFox n'apparait plus.
- Une nouvelle alerte sonne toute les 5 secondes, j'ai print screen ce "Rootkit" bloqué:
http://img534.imageshack.us/img534/6943/newalerte.png
Bien à vous
> Télécharge aswMBR.exe sur ton Bureau.
http://public.avast.com/~gmerek/aswMBR.exe
> Double clique sur aswMBR.exe pour l'exécuter (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Clique sur le bouton Scan
> Clique sur le bouton Fix si il n'est pas grisé.
> Clique sur save log. Enregistre le rapport sur ton bureau.
> Héberge le rapport sur https://www.cjoint.com/
> Poste le lien fourni dans ta prochaine réponse.
http://public.avast.com/~gmerek/aswMBR.exe
> Double clique sur aswMBR.exe pour l'exécuter (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
> Clique sur le bouton Scan
> Clique sur le bouton Fix si il n'est pas grisé.
> Clique sur save log. Enregistre le rapport sur ton bureau.
> Héberge le rapport sur https://www.cjoint.com/
> Poste le lien fourni dans ta prochaine réponse.
* Télécharge Defogger
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
puis
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
? Télécharge : Gmer (by Przemyslaw Gmerek)
http://www.gmer.net/
? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
http://www.jpshortstuff.247fixes.com/Defogger.exe
=> lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé
puis
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
? Télécharge : Gmer (by Przemyslaw Gmerek)
http://www.gmer.net/
? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.
? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)
Je n'ai pas vu de lignes rouges mais voici le rapport de gmer:
https://www.cjoint.com/?AEzsx5MjmhV
Remarque: Avast continue ses alertes à propos d'autres Rootkit en plus des deux déjà cité précédemment.
https://www.cjoint.com/?AEzsx5MjmhV
Remarque: Avast continue ses alertes à propos d'autres Rootkit en plus des deux déjà cité précédemment.
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau.
* Merci à Malekal pour le tutoriel
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
* Double clique sur mbr.exe
* Un rapport sera généré : mbr.log
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras:
=> Sous XP : "%userprofile%\Bureau\mbr" -f
=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f
* (veuillez à bien respecter les guillemets)
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
* Réactive tes protections .Poste ce rapport et supprime le ensuite.
o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
o Relance mbr.exe
o Réactive tes protections.
o Le nouveau mbr.log devrait être celui-ci :
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
o device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
J'ai eu ceci dès le premier scan:
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 6.0.6002 Disk: Hitachi_ rev.SB2O -> Harddisk0\DR0 -> \Device\Scsi\SI31121 device: opened successfully user: MBR read successfully kernel: MBR read successfully detected disk devices: \Device\Scsi\SI31121Port2Path0Target0Lun0 -> \??\SCSI#Disk&Ven_Hitachi&Prod_HTS541680J9SA00&Rev_SB2O#4&398ac340&0&000000#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found detected hooks: user & kernel MBR OK
ou y a du rootkit ou avast pête un plomb !!!
supprimle combofix et refais le en mode sans echec
https://forums.commentcamarche.net/forum/affich-22186343-navigateurs-neutralises-firefox-ie-avast#12
supprimle combofix et refais le en mode sans echec
https://forums.commentcamarche.net/forum/affich-22186343-navigateurs-neutralises-firefox-ie-avast#12
Re!
Je comprend pas non plus, j'ai refais ComboFix après l'avoir supprimé et en respectant mot à mot les consignes (voici le nouveau rapport: https://www.cjoint.com/?AEAa3de4RBP et pas de changement:
- Encore les alertes de rootkit toutes les 5 secondes. Si je ne met pas Avast en silencieux il y a moyen de devenir fou!
Je comprend pas non plus, j'ai refais ComboFix après l'avoir supprimé et en respectant mot à mot les consignes (voici le nouveau rapport: https://www.cjoint.com/?AEAa3de4RBP et pas de changement:
- Encore les alertes de rootkit toutes les 5 secondes. Si je ne met pas Avast en silencieux il y a moyen de devenir fou!
Le lien ne fonctionne pas à cause de la parenthèse, il faut enlever celle-ci: https://www.cjoint.com/?AEAa3de4RBP
* Téléchargez FindyKill sur le Bureau.
http://www.teamxscript.org/findykillTelechargement.html
ou
http://teamxscript.changelog.fr/FindyKill.html
* Double-cliquez sur FindyKill présent sur le Bureau.
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil.
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).
(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
http://www.teamxscript.org/findykillTelechargement.html
ou
http://teamxscript.changelog.fr/FindyKill.html
* Double-cliquez sur FindyKill présent sur le Bureau.
* Choisissez l'option 1 (Recherche).
* Laissez travailler l'outil.
* Ensuite postez le rapport FindyKill.txt qui apparaîtra (si vous avez créé un sujet sur un forum pour vous faire aider).
* Note : Le rapport FindyKill.txt est sauvegardé à la racine du disque (C:\FindyKill.txt).
(CTRL+A pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller)
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
J'ai bien l'impression qu'il n'a rien trouvé non plus :'(
############################## | FindyKill V5.052 | # User : Damien (Administrateurs) # PC-DE-DAMIEN # Update on 23/10/2010 by El Desaparecido # Start at: 11:40:01 | 26/05/2011 # Website : http://www.teamxscript.org/ # Contact : eldesaparecido@teamxscript.org # Mobile AMD Sempron(tm) Processor 3500+ # Microsoft® Windows Vista(TM) Édition Familiale Premium (6.0.6002 32-bit) # Service Pack 2 # Internet Explorer 8.0.6001.19048 # Windows Firewall Status : Disabled # C:\ # Disque fixe local # 32,52 Go (3,23 Go free) [ACER] # NTFS # D:\ # Disque fixe local # 32,25 Go (19,69 Go free) [DATA] # NTFS # F:\ # Disque amovible # 959,72 Mo (761,83 Mo free) [DAM] # FAT ################## | Eléments infectieux | ################## | Registre | [HKCU\Software\Classes\ed2k] [HKCR\ed2k] ################## | Etat | # Affichage des fichiers cachés : OK # Mode sans echec : OK # (!) Uac = 0x0 # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 ) # EapHost -> Start = 2 ( Good = 2 | Bad = 4 ) # Wlansvc -> Start = 2 ( Good = 2 | Bad = 4 ) # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 ) # windefend -> Start = 2 ( Good = 2 | Bad = 4 ) # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 ) # wscsvc -> Start = 2 ( Good = 2 | Bad = 4 ) ################## | ! Fin du rapport # FindyKill V5.052 ! |
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
Copie ce lien dans ta réponse.
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction courte du bureau --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus(Pre_Scan.txt).
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
Copie ce lien dans ta réponse.
Re! avant de voir ta réponse j'ai refais un examen rapide via Malwarebytes, il a trouvé 2868 fichiers infectés! Ensuite j'ai fais supprimé la sélection. Par contre une fois que la mise en quarantaine était finie le programme a planté donc j'ai pas de rapport apparemment.
Changements à noter:
Je n'ai plus l'alerte Rootkit d'Avast toutes les 5 secondes mais je sais pas si c'est mieux retour à la case départ, j'ai à nouveau l'alerte au lancement de FireFox: http://img863.imageshack.us/img863/2396/alerte.png
Bon je vais lancer Pre-Scan...
Changements à noter:
Je n'ai plus l'alerte Rootkit d'Avast toutes les 5 secondes mais je sais pas si c'est mieux retour à la case départ, j'ai à nouveau l'alerte au lancement de FireFox: http://img863.imageshack.us/img863/2396/alerte.png
Bon je vais lancer Pre-Scan...
