Rootkit + autres virus

kingofperse57 Messages postés 146 Statut Membre -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour à tous

Bon en fait voilà un pote a moi m'a conseillée de venir sur ce forum pour désinfecter mon pc car il m'a dit que j'avais des rootkit et d'autres infections .
J'ai fait un diagnostic avec ZHPdiag voici le résultat :
http://dl.free.fr/getfile.pl?file=/WOSz6FxK

Merci d'avance

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Bienvenue.
    Voici la procédure à suivre.
    Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
    Bien poster les rapports comme demandés afin de pouvoir les analyser.

    Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.

    ETAPE 1 :
    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Poste le rapport ici.

    S'il détecte des choses règles bien comme c'est expliqué sur la page

    ETAPE 2 :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    ETAPE 3 :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    * Lance OTL
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    consrv.dll
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs

    * Clique sur le bouton Analyse.
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    1
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction, un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    ActiveX: {DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D} - C:\Documents and Settings\HP_Administrateur\Application Data\ssp.exe
    [2008/06/12 22:36:49 | 001,659,648 | ---- | C] () -- C:\WINDOWS\System32\aorfxzis.dat
    [2008/06/12 22:36:49 | 000,633,600 | ---- | C] () -- C:\WINDOWS\System32\slvseess.dat
    [2008/06/12 22:36:49 | 000,152,320 | ---- | C] () -- C:\WINDOWS\System32\unnmtjsc.dat
    [2008/06/12 22:36:49 | 000,151,296 | ---- | C] () -- C:\WINDOWS\System32\recfrjmp.dat
    [2008/06/12 22:36:49 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\ipmerkfj.dat
    [2008/06/12 22:36:49 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\yfhwgfxc.dat
    [2008/06/12 22:36:49 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\yfjfmezo.dat
    [2008/06/12 22:36:49 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\tqnnocef.dat


    * redemarre le pc sous windows et poste le rapport ici

    ~~

    Malwarebyte a viré plein de malwares qui sont pour la majorité des RATs.
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été récupérés.

    Faire attention à ce que vous téléchargez
    SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
    1
  3. kingofperse57 Messages postés 146 Statut Membre
     
    Merci je m'occuperais de sa Demain
    0
  4. kingofperse57 Messages postés 146 Statut Membre
     
    https://pjjoint.malekal.com/files.php?id=20111201_l11j12d8x13n6
    (Pour le rapport OTL)

    http://dl.free.fr/getfile.pl?file=/JM30s04n
    (Pour le rapport TDSSKILLER)
    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8283

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    01/12/2011 14:05:48
    mbam-log-2011-12-01 (14-05-48).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 185168
    Temps écoulé: 8 minute(s), 10 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\skxkuorx (Rootkit.Agent.BO) -> Delete on reboot.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\system32\drivers\skxkuorx.sys (Rootkit.Agent.BO) -> Delete on reboot.
    c:\WINDOWS\system32\javacpl.cpl (Trojan.Dropper.pws) -> Quarantined and deleted successfully.
    c:\WINDOWS\Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.

    Et voila pour MALWAREBYTES cependant il n'a pas pu tout supprimer ...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kingofperse57 Messages postés 146 Statut Membre
     
    Error: Unable to interpret <ActiveX: {DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D} - C:\Documents and Settings\HP_Administrateur\Application Data\ssp.exe> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 001,659,648 | ---- | C] () -- C:\WINDOWS\System32\aorfxzis.dat> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 000,633,600 | ---- | C] () -- C:\WINDOWS\System32\slvseess.dat> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 000,152,320 | ---- | C] () -- C:\WINDOWS\System32\unnmtjsc.dat> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 000,151,296 | ---- | C] () -- C:\WINDOWS\System32\recfrjmp.dat> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\ipmerkfj.dat> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\yfhwgfxc.dat> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\yfjfmezo.dat> in the current context!
    Error: Unable to interpret <[2008/06/12 22:36:49 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\tqnnocef.dat > in the current context!

    OTL by OldTimer - Version 3.2.31.0 log created on 12012011_170631

    Je redémarre
    0
  7. kingofperse57 Messages postés 146 Statut Membre
     
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ not found.
    C:\WINDOWS\system32\aorfxzis.dat moved successfully.
    C:\WINDOWS\system32\slvseess.dat moved successfully.
    C:\WINDOWS\system32\unnmtjsc.dat moved successfully.
    C:\WINDOWS\system32\recfrjmp.dat moved successfully.
    C:\WINDOWS\system32\ipmerkfj.dat moved successfully.
    C:\WINDOWS\system32\yfhwgfxc.dat moved successfully.
    C:\WINDOWS\system32\yfjfmezo.dat moved successfully.
    C:\WINDOWS\system32\tqnnocef.dat moved successfully.

    OTL by OldTimer - Version 3.2.31.0 log created on 12012011_171257

    C'est le bon désolé j'avais fait une erreur

    Mais par rapport au rat, il y'a 6 mois j'ai utilisé quelques logiciels de RAT pour voir comment ça fonctionner, j'étais obligé de désactiver mon anti virus pour pouvoir l'utiliser est ce a cause de ça ?
    0
  8. kingofperse57 Messages postés 146 Statut Membre
     
    Salut !

    Mon anti virus détecte encore des infections ...
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Je suis pas devin.

      Si tu dis pas ce qui est détecté je peux pas t'aider.
      0
  9. kingofperse57 Messages postés 146 Statut Membre
     
    Merci d'avoir répondu et après une analyse avec avira version gratuite il me détecte un seul virus JAVA/Runner.1458
    0