Virus détecté TR/Rootkit gen2
Fermé
Sunshyne
-
23 nov. 2011 à 17:21
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 2 déc. 2011 à 15:08
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 2 déc. 2011 à 15:08
A voir également:
- Virus détecté TR/Rootkit gen2
- Reseau orange non détecté ✓ - Forum Livebox
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Tlauncher virus ✓ - Forum Jeux vidéo
- Tr mail - Forum Messagerie
101 réponses
C'est du chinois pour moi :(
un problème ?
MODE 6 Bis :
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: hp [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 24/11/2011 17:13:19
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : System Fix] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
[SUSP PATH] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
¤¤¤ Driver: [LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 2 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 172
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[1].txt >>
RKreport[1].txt
un problème ?
MODE 6 Bis :
RogueKiller V6.1.10 [18/11/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: hp [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 24/11/2011 17:13:19
¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : System Fix] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
[SUSP PATH] TDztf0xsLri6Mv.exe -- C:\ProgramData\TDztf0xsLri6Mv.exe -> KILLED [TermProc]
¤¤¤ Driver: [LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 0 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 2 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 1 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 172
Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\HarddiskVolume4 -- 0x3 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[1].txt >>
RKreport[1].txt
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
24 nov. 2011 à 17:15
24 nov. 2011 à 17:15
boh ...
▶ Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
▶ Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10
▶ Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le
▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
▶ Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression
Quelque soit le résultat, copie/colle le rapport dans le prochain message
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=10
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
24 nov. 2011 à 17:24
24 nov. 2011 à 17:24
Pas trop près hein ! MDR !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ahah, voyons ! il y a déja 7 éléments infecté c'est naze ! ça prend combien de temps à peu près l'analyse ?!
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
24 nov. 2011 à 17:26
24 nov. 2011 à 17:26
ça dépend de trop de paramètres :s
il es est toujours à 7 éléments infectés ! et System fix de window avais analysé mon système hier et en avais également détecté 7 ! je peux suspendre l'examen ? ou dois-je me montrer plus patiente ?! ^
Tigzy
Messages postés
7496
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
580
24 nov. 2011 à 18:36
24 nov. 2011 à 18:36
Salut
Il se passe un truc zarb avec les rapports là
Ya des trucs qui disparaissent
Je serait d'avis de voir un ZHPDiag
Il se passe un truc zarb avec les rapports là
Ya des trucs qui disparaissent
Je serait d'avis de voir un ZHPDiag
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
24 nov. 2011 à 18:39
24 nov. 2011 à 18:39
Mouais, stoppe l'examen, supprime tout.
Puis :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"
▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)
▶ Durant le scan, accepte l'installation de SigCheck
▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.
Voici comment procéder
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015
▶ Copie le lien dans ta prochaine réponse.
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13
A bientôt.
(merci Tigzy :))
Puis :
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"
▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)
▶ Durant le scan, accepte l'installation de SigCheck
▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.
Voici comment procéder
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015
▶ Copie le lien dans ta prochaine réponse.
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13
A bientôt.
(merci Tigzy :))
Tigzy
Messages postés
7496
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
15 septembre 2021
580
Modifié par Tigzy le 24/11/2011 à 18:42
Modifié par Tigzy le 24/11/2011 à 18:42
Au passage
Sauvegarde: [FOUND] Success 0 / Fail 172
=> ça veut dire que les 172 trouvés sont déjà en place dans leurs dossiers respectifs.
Ce qui m'inquiète le plus c'est que l'infection s'est relancée entre temps.
Soit il / elle a rebooté sur une autre session, soit il l'a relancé en cliquant dessus
Sauvegarde: [FOUND] Success 0 / Fail 172
=> ça veut dire que les 172 trouvés sont déjà en place dans leurs dossiers respectifs.
Ce qui m'inquiète le plus c'est que l'infection s'est relancée entre temps.
Soit il / elle a rebooté sur une autre session, soit il l'a relancé en cliquant dessus
Juju jai du rentrer chez moi donc plus de connexion,ce qui est bizzare, c'est que quand je branche ma clef 3G elle me dit que je suis connecté à internet ms quand jouvre une page ça ne marche pas ! De quoi me rendre folle, donc si ca ne tz derange pas et si tu es dispo, je te renverrais un message samedi ou meme vendredi soir, je serais chez de la famille donc connectée tout le week, la je peux rien faire ça me gave, tu acceptes ?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
24 nov. 2011 à 19:37
24 nov. 2011 à 19:37
oui oui je serais là t'inquiète.
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
24 nov. 2011 à 19:42
24 nov. 2011 à 19:42
de rien ;-)
Bonne soirée, kisses ;)
Bonne soirée, kisses ;)
Salut, jsuis désolée j'ai pas pu me connecter hier, je suis la j'ai lancé le ZHPDiag, dis moi quand tu es la
Voici premièrement le rapport de Malwarebytes :
http://pjjoint.malekal.com/files.php?id=20111127_r15l7r79g13
http://pjjoint.malekal.com/files.php?id=20111127_r15l7r79g13
Ainsi que le rapport ZHPDiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111127_w6j11h7v7k11
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111127_w6j11h7v7k11
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
27 nov. 2011 à 12:18
27 nov. 2011 à 12:18
Bonjour :)
Bah voilà on l'a trouvé ton system fix ! :)
Le but est de récolter des malwares et les envoyer aux éditeurs antivirus.
Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :
C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe
C:\ProgramData\TDztf0xsLri6Mv.exe
et tu cliques sur Upload en bas
~~
Une fois cela fait.
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12
Bah voilà on l'a trouvé ton system fix ! :)
Le but est de récolter des malwares et les envoyer aux éditeurs antivirus.
Télécharge ce tool : http://batchdhelus.open-web.fr/programme/MalwaresUploader.exe
Puis tu coches Malekal à gauche
Dans le cadre en bas, copie/colle les chemins des fichiers suivants :
C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe
C:\ProgramData\TDztf0xsLri6Mv.exe
et tu cliques sur Upload en bas
~~
Une fois cela fait.
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O4 - HKCU\..\Run: [{B5F58669-F65D-1F07-2D85-7263640C6B4D}] . (...) -- C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe =>
O4 - HKUS\S-1-5-21-2582735423-2095097854-2310600505-1003\..\Run: [{B5F58669-F65D-1F07-2D85-7263640C6B4D}] . (...) -- C:\Users\hp\AppData\Roaming\Fyopcy\ewapwud.exe =>
O4 - Global Startup: C:\Users\hp\Desktop\System Fix.lnk . (...) -- C:\ProgramData\TDztf0xsLri6Mv.exe =>
O4 - Global Startup: C:\Users\hp\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Fix.lnk . (...) -- C:\ProgramData\TDztf0xsLri6Mv.exe =>
[HKCU\Software\AppDataLow\Software\ShoppingReport2] => Infection BT (Adware.ShoppingReports)
O43 - CFD: 16/01/2011 - 18:39:10 - [0] ----D- C:\Users\hp\AppData\Roaming\iWin => Infection BT (Adware.BHO)
[HKLM\Software\Classes\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c}] => Infection BT (Adware.SmartShopper)
C:\Users\hp\AppData\Roaming\iWin => Infection BT (Adware.BHO)
C:\Users\hp\AppData\LocalLow\ShoppingReport2 => Infection BT (Adware.ShoppingReports)
[HKLM\Software\SweetIM] => Toolbar.SweetIM
EMPTYTEMP
EMPTYFLASH
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12