Virus détecté TR/Rootkit gen2
Sunshyne
-
juju666 Messages postés 38404 Statut Contributeur sécurité -
juju666 Messages postés 38404 Statut Contributeur sécurité -
Bonjour,
Hier soir j'ai apparemment été attaquée par un virus nommé Rootkit gen2 ce dernier a été detecté par mon antivirus Avira.
Double problème : mon écran est tout noir avec plusieurs messages d'alerte et d'erreur venant de Windows ainsi que d'Avira.
Tout mes dossiers/fichiers sont introuvables, et mon menu démarrer est vide ! Du jamais vu :(
Du coup je ne n'ai plus aucune ressource, et surtout plus d'accès à internet . Du moins, ne m'y connaissant pas, je ne sais pas comment retrouver l'intégralité de mes applications/dossiers/fichiers pour accéder à Internet.
J'ai besoin urgemment de mon PC qui est mon outil de travail quotidien, alors si une aimable personne pourrait me venir en aide, je lui serais très reconnaissante :)
Je suis disponible pour tout complément d'information
Bien à vous
Melle S.
Hier soir j'ai apparemment été attaquée par un virus nommé Rootkit gen2 ce dernier a été detecté par mon antivirus Avira.
Double problème : mon écran est tout noir avec plusieurs messages d'alerte et d'erreur venant de Windows ainsi que d'Avira.
Tout mes dossiers/fichiers sont introuvables, et mon menu démarrer est vide ! Du jamais vu :(
Du coup je ne n'ai plus aucune ressource, et surtout plus d'accès à internet . Du moins, ne m'y connaissant pas, je ne sais pas comment retrouver l'intégralité de mes applications/dossiers/fichiers pour accéder à Internet.
J'ai besoin urgemment de mon PC qui est mon outil de travail quotidien, alors si une aimable personne pourrait me venir en aide, je lui serais très reconnaissante :)
Je suis disponible pour tout complément d'information
Bien à vous
Melle S.
A voir également:
- Virus détecté TR/Rootkit gen2
- Clé usb non detecté - Guide
- Virus mcafee - Accueil - Piratage
- Tr signification - Forum Mail
- Le logiciel amd a détecté un dépassement de délai du pilote ✓ - Forum Carte graphique
- Virus facebook demande d'amis - Accueil - Facebook
101 réponses
C'est du chinois pour moi :(
un problème ?
MODE 6 Bis :
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: hp [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 24/11/2011 17:13:19
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : System Fix] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
[SUSP PATH] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
¤¤¤ Driver: [LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 2 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 172
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[1].txt >>
RKreport[1].txt
un problème ?
MODE 6 Bis :
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: hp [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 24/11/2011 17:13:19
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : System Fix] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
[SUSP PATH] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
¤¤¤ Driver: [LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 2 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 172
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[1].txt >>
RKreport[1].txt
boh ...
▶ Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
▶ Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10
▶ Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
▶ Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ahah, voyons ! il y a déja 7 éléments infecté c'est naze ! ça prend combien de temps à peu près l'analyse ?!
il es est toujours à 7 éléments infectés ! et System fix de window avais analysé mon système hier et en avais également détecté 7 ! je peux suspendre l'examen ? ou dois-je me montrer plus patiente ?! ^
Salut
Il se passe un truc zarb avec les rapports là
Ya des trucs qui disparaissent
Je serait d'avis de voir un ZHPDiag
Il se passe un truc zarb avec les rapports là
Ya des trucs qui disparaissent
Je serait d'avis de voir un ZHPDiag
Mouais, stoppe l'examen, supprime tout.
Puis :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"
▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)
▶ Durant le scan, accepte l'installation de SigCheck
▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.
Voici comment procéder
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015
▶ Copie le lien dans ta prochaine réponse.
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13
A bientôt.
(merci Tigzy :))
Puis :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"
▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)
▶ Durant le scan, accepte l'installation de SigCheck
▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.
Voici comment procéder
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015
▶ Copie le lien dans ta prochaine réponse.
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13
A bientôt.
(merci Tigzy :))
Au passage
Sauvegarde: [FOUND] Success 0 / Fail 172
=> ça veut dire que les 172 trouvés sont déjà en place dans leurs dossiers respectifs.
Ce qui m'inquiète le plus c'est que l'infection s'est relancée entre temps.
Soit il / elle a rebooté sur une autre session, soit il l'a relancé en cliquant dessus
Sauvegarde: [FOUND] Success 0 / Fail 172
=> ça veut dire que les 172 trouvés sont déjà en place dans leurs dossiers respectifs.
Ce qui m'inquiète le plus c'est que l'infection s'est relancée entre temps.
Soit il / elle a rebooté sur une autre session, soit il l'a relancé en cliquant dessus
Juju jai du rentrer chez moi donc plus de connexion,ce qui est bizzare, c'est que quand je branche ma clef 3G elle me dit que je suis connecté à internet ms quand jouvre une page ça ne marche pas ! De quoi me rendre folle, donc si ca ne tz derange pas et si tu es dispo, je te renverrais un message samedi ou meme vendredi soir, je serais chez de la famille donc connectée tout le week, la je peux rien faire ça me gave, tu acceptes ?
Salut, jsuis désolée j'ai pas pu me connecter hier, je suis la j'ai lancé le ZHPDiag, dis moi quand tu es la
Voici premièrement le rapport de Malwarebytes :
http://pjjoint.malekal.com/files.php?id=20111127_r15l7r79g13
http://pjjoint.malekal.com/files.php?id=20111127_r15l7r79g13
Ainsi que le rapport ZHPDiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111127_w6j11h7v7k11
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111127_w6j11h7v7k11
Bonjour :)
Bah voilà on l'a trouvé ton system fix ! :)
Le but est de récolter des malwares et les envoyer aux éditeurs antivirus.
Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :
C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe
C:\ProgramData\TDztf0xsLri6Mv.exe
et tu cliques sur Upload en bas
~~
Une fois cela fait.
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12
Bah voilà on l'a trouvé ton system fix ! :)
Le but est de récolter des malwares et les envoyer aux éditeurs antivirus.
Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :
C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe
C:\ProgramData\TDztf0xsLri6Mv.exe
et tu cliques sur Upload en bas
~~
Une fois cela fait.
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - HKCU\..\Run: [{B5F58669-F65D-1F07-2D85-7263640C6B4D}] . (...) -- C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe =>
O4 - HKUS\S-1-5-21-2582735423-2095097854-2310600505-1003\..\Run: [{B5F58669-F65D-1F07-2D85-7263640C6B4D}] . (...) -- C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe =>
O4 - Global Startup: C:\Users\hp\Desktop\System Fix.lnk . (...) -- C:\ProgramData\TDztf0xsLri6Mv.exe =>
O4 - Global Startup: C:\Users\hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk . (...) -- C:\ProgramData\TDztf0xsLri6Mv.exe =>
[HKCU\Software\AppDataLow\Software\ShoppingReport2] => Infection BT (Adware.ShoppingReports)
O43 - CFD: 16/01/2011 - 18:39:10 - [0] ----D- C:\Users\hp\AppData\Roaming\iWin => Infection BT (Adware.BHO)
[HKLM\Software\Classes\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c}] => Infection BT (Adware.SmartShopper)
C:\Users\hp\AppData\Roaming\iWin => Infection BT (Adware.BHO)
C:\Users\hp\AppData\LocalLow\ShoppingReport2 => Infection BT (Adware.ShoppingReports)
[HKLM\Software\SweetIM] => Toolbar.SweetIM
EMPTYTEMP
EMPTYFLASH
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12
