Virus détecté TR/Rootkit gen2

Fermé
Sunshyne - 23 nov. 2011 à 17:21
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 2 déc. 2011 à 15:08
Bonjour,

Hier soir j'ai apparemment été attaquée par un virus nommé Rootkit gen2 ce dernier a été detecté par mon antivirus Avira.
Double problème : mon écran est tout noir avec plusieurs messages d'alerte et d'erreur venant de Windows ainsi que d'Avira.
Tout mes dossiers/fichiers sont introuvables, et mon menu démarrer est vide ! Du jamais vu :(
Du coup je ne n'ai plus aucune ressource, et surtout plus d'accès à internet . Du moins, ne m'y connaissant pas, je ne sais pas comment retrouver l'intégralité de mes applications/dossiers/fichiers pour accéder à Internet.

J'ai besoin urgemment de mon PC qui est mon outil de travail quotidien, alors si une aimable personne pourrait me venir en aide, je lui serais très reconnaissante :)

Je suis disponible pour tout complément d'information
Bien à vous
Melle S.

101 réponses

C'est du chinois pour moi :(
un problème ?

MODE 6 Bis :

RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: hp [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 24/11/2011 17:13:19

¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : System Fix] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
[SUSP PATH] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]

¤¤¤ Driver: [LOADED] ¤¤¤

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 2 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 172

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2011 à 17:15
boh ...

▶ Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware

▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

▶ Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10
0
Ok, l'annalyse est en cours , je reviens vers toi
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2011 à 17:24
Pas trop près hein ! MDR !
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
ahah, voyons ! il y a déja 7 éléments infecté c'est naze ! ça prend combien de temps à peu près l'analyse ?!
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2011 à 17:26
ça dépend de trop de paramètres :s
0
bin j'espère que se sera terminé avant 18h ! sinon heures sup' ! ^^
0
il es est toujours à 7 éléments infectés ! et System fix de window avais analysé mon système hier et en avais également détecté 7 ! je peux suspendre l'examen ? ou dois-je me montrer plus patiente ?! ^
0
Tigzy Messages postés 7496 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 580
24 nov. 2011 à 18:36
Salut

Il se passe un truc zarb avec les rapports là
Ya des trucs qui disparaissent

Je serait d'avis de voir un ZHPDiag
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2011 à 18:39
Mouais, stoppe l'examen, supprime tout.

Puis :

Télécharge ZHPDiag

▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)

▶ Durant le scan, accepte l'installation de SigCheck

▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

Voici comment procéder

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

▶ Copie le lien dans ta prochaine réponse.

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13

A bientôt.

(merci Tigzy :))
0
Tigzy Messages postés 7496 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 580
Modifié par Tigzy le 24/11/2011 à 18:42
Au passage

Sauvegarde: [FOUND] Success 0 / Fail 172

=> ça veut dire que les 172 trouvés sont déjà en place dans leurs dossiers respectifs.

Ce qui m'inquiète le plus c'est que l'infection s'est relancée entre temps.
Soit il / elle a rebooté sur une autre session, soit il l'a relancé en cliquant dessus
0
Juju jai du rentrer chez moi donc plus de connexion,ce qui est bizzare, c'est que quand je branche ma clef 3G elle me dit que je suis connecté à internet ms quand jouvre une page ça ne marche pas ! De quoi me rendre folle, donc si ca ne tz derange pas et si tu es dispo, je te renverrais un message samedi ou meme vendredi soir, je serais chez de la famille donc connectée tout le week, la je peux rien faire ça me gave, tu acceptes ?
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2011 à 19:37
oui oui je serais là t'inquiète.

0
Eh bien merci beaucoup C'est trrs gentil à toi! Passes une bonne soirée ;)
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
24 nov. 2011 à 19:42
de rien ;-)

Bonne soirée, kisses ;)
0
Bises !
0
Salut, jsuis désolée j'ai pas pu me connecter hier, je suis la j'ai lancé le ZHPDiag, dis moi quand tu es la
0
Voici premièrement le rapport de Malwarebytes :

http://pjjoint.malekal.com/files.php?id=20111127_r15l7r79g13
0
Ainsi que le rapport ZHPDiag :

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111127_w6j11h7v7k11
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
27 nov. 2011 à 12:18
Bonjour :)

Bah voilà on l'a trouvé ton system fix ! :)

Le but est de récolter des malwares et les envoyer aux éditeurs antivirus.
Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :

C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe
C:\ProgramData\TDztf0xsLri6Mv.exe

et tu cliques sur Upload en bas

~~

Une fois cela fait.

▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )

O4 - HKCU\..\Run: [{B5F58669-F65D-1F07-2D85-7263640C6B4D}] . (...) -- C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe    => 
O4 - HKUS\S-1-5-21-2582735423-2095097854-2310600505-1003\..\Run: [{B5F58669-F65D-1F07-2D85-7263640C6B4D}] . (...) -- C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe    => 
O4 - Global Startup: C:\Users\hp\Desktop\System Fix.lnk . (...)  -- C:\ProgramData\TDztf0xsLri6Mv.exe    => 
O4 - Global Startup: C:\Users\hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk . (...)  -- C:\ProgramData\TDztf0xsLri6Mv.exe    => 
[HKCU\Software\AppDataLow\Software\ShoppingReport2]    => Infection BT (Adware.ShoppingReports)
O43 - CFD: 16/01/2011 - 18:39:10 - [0] ----D- C:\Users\hp\AppData\Roaming\iWin    => Infection BT (Adware.BHO)
[HKLM\Software\Classes\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c}]    => Infection BT (Adware.SmartShopper)
C:\Users\hp\AppData\Roaming\iWin    => Infection BT (Adware.BHO)
C:\Users\hp\AppData\LocalLow\ShoppingReport2    => Infection BT (Adware.ShoppingReports)
[HKLM\Software\SweetIM]    => Toolbar.SweetIM
EMPTYTEMP
EMPTYFLASH


▶ Puis Lance ZHPFix depuis le raccourci du bureau .

▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).

▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.

▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.

▶ Clique sur le bouton « GO » pour lancer le nettoyage

▶ Copie/Colle le rapport à l''écran dans ton prochain message

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12
0
:)

Ce programme à besoin d'une connexion à Internet, il ne veut plus se connecter .. je tente je tente !
0