'TR/Rootkit.Gen' [trojan] a été détectéRésolu/Fermé

Question

Bonjour, 

Je suis infecté. Malwarebytes ne trouve rien. J'ai déjà installé CBFix sur mon ordi.
voici l'info d'Avira:
Dans le fichier 'C:\WINDOWS\Temp\clfoexid.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Autoriser l'accès

Aussi, ma licence d'Avira a expiré, avez-vous une suggestion d'antivirus gratuit.

Merci !

Configuration: Windows XP / Firefox 3.6.23

sherred · Answer

salut mat
avira EST un antivirus gratuit


pour l'infection fait nous ce rapport

* Télécharge ZHPDiag (de Nicolas Coolman).  https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
Rend toi sur Cijoint  http://www.cijoint.fr/
 et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier" 
Un lien sera généré, copie et colle-le dans ta prochaine réponse.

si les outils de désinfections que je te recommande ne fonctionnent pas 
sur vista   Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) : 
Aller dans démarrer puis panneau de configuration 
Double Cliquer sur l'icône "Comptes d'utilisateurs" 
Cliquer ensuite sur désactiver et valider. 
puis
 clic droit sur le raccourci du programme d'analyse ou de desinfection  et choisir démarrer en tant qu'administrateur

mat · Answer

Voilà !

http://www.cijoint.fr/cjlink.php?file=cj201110/cijpUIrSUs.txt

sherred · Answer

Télécharge combofix.exe   sur ton bureau
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


 double clique combofix.exe. 
 touche 1 (Yes) pour démarrer le scan. 
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 
Le rapport se trouve également ici : C:\Combofix.txt 

 Déconnecte toi d'internet  ferme les fenêtres de tous les programmes en cours.

arrête provisoirement les anti virus et autres protections pendant l'analyse

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. 
La simple désactivation du résident n'est pas suffisante. 
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover 
Choisis la version adéquate (32 ou 64 bits)/!\



durant la durée de l'analyse ne te sert pas de ton pc 


une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares

mat · Answer

Voilà !

http://www.cijoint.fr/cjlink.php?file=cj201110/cijMFLWGX8.txt

sherred · Answer

tu a  Malwarebyte's ?

redémarre ton pc en mode sans echec  

ensuite démarre Malwarebyte  

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".  

Puis click sur "rechercher".  

Laisse le scanner le pc...  

Si des éléments on été trouvés > click sur supprimer la sélection.  

si il t'es demandé de redémarrer > click sur "yes".  

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.  

redemarre en mode normal  

Copie et colle le rapport stp.  

PS : les rapport sont aussi rangé dans l onglet rapport/log 
Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

mat · Answer

Impossible de redémarrer en mode sans échec. 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4733

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

2011-10-15 16:00:44
mbam-log-2011-10-15 (16-00-44).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 151384
Temps écoulé: 10 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

sherred · Answer

passes adw-cleaner mode SUPPRESSION  

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.  
http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner  
Lance le, clique sur [Suppression] puis patiente le temps du scan.  
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.  

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  

puis
Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau : 
 http://www.teamxscript.org/too/AD-R.exe
/!\ Déconnectes toi et fermes toutes applications en cours 

? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files ) 
? Double clique sur l'icône Ad-remover située sur ton bureau 


au menu principal choisi l'option "nettoyage" . 


--> le programme va travailler ... 

* Postes le rapport qui apparait à la fin 
( le rapport est sauvegardé aussi sous C:\Ad-report.log )  adreport(clean)

/!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\ 











si les outils de désinfections que je te recommande ne fonctionnent pas  
sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) 
Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

g3n-h@ckm@n · Answer

ok il me faudrait l'autre du meme nom et pas au meme endroit

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape pcouffin.sys

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

mat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijmjH82cZ.txt

g3n-h@ckm@n · Answer

tu peux m'envoyer celui-ci comme le precedent zippé via cijoint ? 

C:\Documents and Settings\Mathieu\Application Data\pcouffin.sys 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

mat · Answer

Quand je tappe la commande j'arrive à sendspace wizard Auto-update. Il me demande si je veux mettre à jour sendspace et ensuite ouvre le programme.

g3n-h@ckm@n · Answer

j'ai pas compris....

mat · Answer

Quand je tappe la commande j'arrive à sendspace wizard Auto-update. 
Il est écrit A new version of sendspace wizard is available. Click Yes to perform (strongly recommended) or No to continue loading your older version.

Alors je click No et puis le programme sendspace wizard ouvre.

g3n-h@ckm@n · Answer

non

Quand je tappe la commande j'arrive 

tu parles de quelle commande ?

mat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijNmQOFB9.zip

g3n-h@ckm@n · Answer

j'étudie ca , je te remercie grandement pour ta cooperation , je vous laisse continuer :)

sherred · Answer

je vois que g3n-h@ckm@n t'a pris en main

bon boulot ;)


tu peu refaire un rapport zhpdiag en attendant ses resultats , que je vois l'etat de ton pc

mat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cijVsxpiN4.txt

sherred · Answer

je ne comprend pas ce lancement internet ?
Userinit.exe,,C:\Program Files\mtputbda\uaehebmq.exe
avec en plus 
MigrateProxy = 1  
Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107   
Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107   

il va falloir voir ca

g3n-h@ckm@n · Answer

pre_scan alors....

sherred · Answer

refait ' en mode normale '  un Anti-Malware
fait la mise a jour avant

et cette fois fait un scan mode complet  "pas rapide"

ATTENTION cela peut etre TRES long , voire 2 ou 3 heures dans le pire des cas

supprime tous ce qu'il trouve , sans exception

mat · Answer

Toujours rien sur MBAM, mais Avira a trouvé 14 virus ce matin et ce soir seulement qu'un.

MBAM
http://www.cijoint.fr/cjlink.php?file=cj201110/cijsqiho5J.txt

Avira
http://www.cijoint.fr/cjlink.php?file=cj201110/cijy5ON1Lh.txt

g3n-h@ckm@n · Answer

salut normal malwarebytes n'est pas à jour

sherred · Answer

tu a MBAM Version de la base de données: 4733 s de virus

tu devrait en avoir pret de 8000

il en manque  , fait la mise a jour

mat · Answer

http://www.cijoint.fr/cjlink.php?file=cj201110/cija7spoLN.txt

J'ai supprimé les deux éléments, mais au démarrage Avira m'a signalé une infection alors ils sont tenaces.

sherred · Answer

uaehebmq.exe  ???  je ne vois pas ce que c'est

essaie de le retirer , sans le supprimer , tu le deplace sur ton bureau

donc , tu va dans le menu demarrer puis dans Programmes et Démarrage

tu le prend avec la souris "avec le bouton droit" et tu le glisse sur ton bureau, et tu clic sur deplacer

redemarre ton pc

sherred · Answer

tu fait la compression du fichier comme le demande gen

puis , essais ca:

je voudrai voir un truc

Télécharge a-squared Free

https://www.clubic.com/telecharger-fiche20274-a-squared-free.html
Double-cliquez sur l'éxecutable A-squared Free pour commencer l'installation.
Sélectionnez la langue de votre choix, ici le français, puis cliquez sur Ok.
Pendant l'installation tu verra des cases a cochées , dont celle-ci:

Organiser des scannes par l'intermédiaire du menu contextuel : coche cette case, qui te permettra d'analyser un fichier en effectuant un clic droit sur celui-ci.

Dès la fin de l'installation, coche la case Démarrer a-squared free,

Une petite fenêtre va s'afficher, pour la mise a jour  clique sur Non
une fois à l'écran d'accueil, tu pourra régler les paramètres du logiciel, faire la mise à jour de la base virale,
Clique sur Paramètres présent dans la colonne de gauche. Laisse l'onglet Général comme il est configuré. Sélectionne l'onglet Mise à jour et décoche les cases Installer l'aide et Installer les modules de langues additionnels. 
Ne touche pas aux autres onglets.
En haut du logiciel, cliquez sur Mise à jour en ligne
enfin clic dans la colonne de gauche sur Balayer le PC

g3n-h@ckm@n · Answer

clic droit / actualiser sur ton bureau ?

g3n-h@ckm@n · Answer

et t'as pas une archive qui s'est créée sur ton bureau ?

Mat · Answer

Ouin, j'ai réessayé, mais toujours rien. Je pourrais l'enregistrer sous, mais je crois que c'est pas la chose à faire.

Mat · Answer

Bon je commence à être un peu tanné de ce virus, est-ce que vous connaissez une façon de le détruire ou je dois formater l'ordi ?

sherred · Answer

refait un zhpdiag  ,   on va essayer de nettoyer de facon cavalière

Mat · Answer

Voilà

http://www.cijoint.fr/cjlink.php?file=cj201110/cijf5Aq2ic.txt

sherred · Answer

attention tu a toujours Search & Destroy\TeaTimer.exe 
qui gene ,  
on avait pas dit de le supprimer ??? 
il est desuet et empeche de désinfecter correctement 
arrête le process 
Pour désactiver le TeaTimer :  
=> Ouvrir Spybot S&D  
=> Dans le menu "Mode", séléctionner le mode avancé.  
=> Une fenêtre demande confirmation cliquer sur "oui".  
=> Une fois le mode avancé actif, ouvrir l'onglet "Outils".  
=> Cliquer sur Résident.  
=> La partie Résident comporte deux lignes qui sont normalement cochées :  
*Résident "SDHelper" (bloqueur de téléchargements nuisibles pour Internet Explorer) actif.  

* Résident "TeaTimer" (Protection des réglages système fondamentaux) actif.  

=> Décocher la ligne TeaTimer.  
=> Redémarrer Spybot (le fermer et le réouvrir)  
=> Retourner dans le menu Résident et vérifier qu'il soit bien désactivé. 

----------------------------------------------------- 


ensuite 




1) 
* Copie le tout le texte présent en gras ci-dessous ( tu le sélectionne avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )  

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,C:\Program Files\mtputbda\uaehebmq.exe 





2) 
Lance ZHPFix depuis le raccourci du bureau .  

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

Vérifie :  
- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  
- que les lignes soient disposées les unes en dessous des autres .  

* Puis clique sur le bouton [ OK ] .  
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide .  

Ne touche plus à rien !  

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!  


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .  

* Enfin clique sur le bouton [ Nettoyer ] .  


-> laisse travailler l'outil et ne touche à rien ...  


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le ( redémarre en mode normal ) !  

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...  

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt ) 

-------------------------------------------------

merci à g3n-h@ckm@n

desactive ton antivirus 
 Windows defender ,Search & Destroy,  pare-feu 
 tous les programmes en cour

telecharge et enregistre Pre_Scan sur ton bureau  :

 http://dl.dropbox.com/u/21363431/Pre_scan.exe  


s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.


si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 
 
 
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

de préférence sur cijoint.fr










------------------------------------------------- 




Quand les bornes sont franchies, il n'y a plus de limite 
Ce que j'ai écrit, je l'ai écrit

Mat · Answer

Je ne suis pas capable de l'ouvrir et je ne le trouve pas dans mes programme pour le supprimer, mais je l'ai dans programme file.

Qu'est-ce que je fais ?

g3n-h@ckm@n · Answer

salut pour avancer :

passe à zhpfix

Mat · Answer

Qu'est-ce que je fais avec ZHPfix ?

mat · Answer

Je n'arrive plus à avoir accès à la seconde page des discussions. 

C'est bien ça le pre_scan

http://www.cijoint.fr/cjlink.php?file=cj201110/cijcEw5aIy.txt

Mat · Answer

Voilà !

http://www.cijoint.fr/cjlink.php?file=cj201111/cijTH5ZyCD.txt

g3n-h@ckm@n · Answer

salut de passage pour avancer Sherred :

desinstalle Daemon Tools Toolbar
desinstalle spybot si present
 
==============================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SpybotSD TeaTimer]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{0E5CBF21-D15F-11D0-8301-00AA005B4383}"=-
"{32099AAC-C132-4136-9E9A-4E364A424E17}"=-
[-HKCU\Software\Microsoft Windows]      
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"=-
"1900:UDP"=-
"2869:TCP"=-

file::
C:\Documents and Settings\Mathieu\Application Data\pcouffin.zip                     
C:\Program Files\install.exe      

folder::
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy    
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy    
C:\Program Files\DAEMON Tools Toolbar    
C:\Program Files\mtputbda      
C:\Program Files\Spybot - Search & Destroy    

Driver::
MICORSOFT_WINDOWS_SERVICE    
  
attrib::                      

clean::              
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

Mat · Answer

Je ne trouve ni Spybot ni Daemon Tools Toolbar 

http://www.cijoint.fr/cjlink.php?file=cj201111/cijHHIdyBL.txt

sherred · Answer

bon on va verifier quelques chose

Télécharge UsbFix (de Chiquitine29) sur ton bureau 

http://eldesaparecido.com/tools/UsbFix.exe
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir 

--> Double clic sur UsbFix 

clic sur le bouton Recherche


et  ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan  est proposé... appuie sur une touche pour ouvrir ce rapport.
 copier/coller ce rapport  dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque

Mat · Answer

Ça ne fonctionne pas. Le processus bloque à 48 %, je l'ai laissé toute la nuit...

sherred · Answer

Télécharge combofix.exe   sur ton bureau
 http://download.bleepingcomputer.com/sUBs/ComboFix.exe 


 double clique combofix.exe. 
 touche 1 (Yes) pour démarrer le scan. 
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse. 
Le rapport se trouve également ici : C:\Combofix.txt 

 Déconnecte toi d'internet  ferme les fenêtres de tous les programmes en cours.

arrête provisoirement les anti virus et autres protections pendant l'analyse



durant la durée de l'analyse ne te sert pas de ton pc 


une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares

'TR/Rootkit.Gen' [trojan] a été détecté

44 réponses

Discussions similaires

Newsletters