Rootkit / trojan Base de registre
AlexGap
Messages postés
1
Statut
Membre
-
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
jacques.gache Messages postés 34829 Statut Contributeur sécurité -
Bonsoir,
Mon pc freeze à longueur de temps toutes les 10/15 minutes. ComboFix a détecté un rootkit zero access. La machine a été relancée mais Malwarebyte detecte toujours des trojans dont 2 clés de registre. En allant voir avec regedit j'en vois bien une au nom très explicite mais pas l'autre.
PAr contre j'en vois une autre ici HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Si je supprime manuellement la clé de registre revient immédiatement. Si je laisse faire Malware, il redétecte les mêmes choses après les avoir mis en quarantaine et supprimer puis redémarrer le PC.
Hijacthis me montre 3/4 lignes suspectes mais impossible de les supprimer elles reviennent immédiatement.
En mode sans échec j'ai pu nettoyer et supprimer les lignes mais en redémarrant en mode normal tout recommence. Je vous poste d'avance les différents rapports.
Rapport MBAM
https://pjjoint.malekal.com/files.php?read=20111210_m10z13q9p12o8
Rapport hijacthis
https://pjjoint.malekal.com/files.php?read=HijackThis_20111210_l15u6y10v5v6
Rapport Combofix
https://pjjoint.malekal.com/files.php?id=20111210_j15i5l10r12u5
Voila en espérant que ca aide un peu une âme charitable qui voudra bien m'aider.
MErci
PS: des programmes finissant par mgr.exe sont créés comme explorermgr.exe ou hijacthismgr.exe. Tous portent la même icône composée d'une plume blanche et d'un interrupteur
Mon pc freeze à longueur de temps toutes les 10/15 minutes. ComboFix a détecté un rootkit zero access. La machine a été relancée mais Malwarebyte detecte toujours des trojans dont 2 clés de registre. En allant voir avec regedit j'en vois bien une au nom très explicite mais pas l'autre.
PAr contre j'en vois une autre ici HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.
Si je supprime manuellement la clé de registre revient immédiatement. Si je laisse faire Malware, il redétecte les mêmes choses après les avoir mis en quarantaine et supprimer puis redémarrer le PC.
Hijacthis me montre 3/4 lignes suspectes mais impossible de les supprimer elles reviennent immédiatement.
En mode sans échec j'ai pu nettoyer et supprimer les lignes mais en redémarrant en mode normal tout recommence. Je vous poste d'avance les différents rapports.
Rapport MBAM
https://pjjoint.malekal.com/files.php?read=20111210_m10z13q9p12o8
Rapport hijacthis
https://pjjoint.malekal.com/files.php?read=HijackThis_20111210_l15u6y10v5v6
Rapport Combofix
https://pjjoint.malekal.com/files.php?id=20111210_j15i5l10r12u5
Voila en espérant que ca aide un peu une âme charitable qui voudra bien m'aider.
MErci
PS: des programmes finissant par mgr.exe sont créés comme explorermgr.exe ou hijacthismgr.exe. Tous portent la même icône composée d'une plume blanche et d'un interrupteur
5 réponses
-
bonjour, si tu penses rootkit je te proposerais donc Reload_TDSSKiller et puis pour voir plus que sur hijackthis un zhpdiag serait mieux , merci
1) passes Reload_TDSSKiller
▶ Télécharge sur ton bureau et pas à un autre endroit. Reload_TDSSKiller
▶ Lance le
choisis : lancer le nettoyage
l'outil va automatiquement télécharger la derniere version puis
TDSSKiller va s'ouvrir , clique sur "Start Scan"
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer
sinon , ferme tdssKiller et le rapport s'affichera sur le bureau
▶ Copie/Colle son contenu dans ta prochaine réponse.
2) postes un zhpdiag qui sera plus précis , merci
Ouvre ce lien et télécharge ZHPDiag :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
cliques sur télécharger "celui du bas"
ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe
Enregistres le sur ton Bureau.
Une fois le téléchargement achevé
pour XP, double-clique sur ZHPDiag
pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.
N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!
Cliques sur la loupe pour lancer l'analyse.
si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis
Laisses l'outil travailler, il peut être assez long
A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Fermes ZHPDiag en fin d'analyse.
Pour me le transmettre clique sur ce lien :
https://www.cjoint.com/
Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt
ou directement en choisissant bureau et ZHPDiag.txt clique dessus
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
et si problème passe par celui ci : http://pjjoint.malekal.com/
-
Bonsoir et merci de votre aide.
DSSkiller n'a rien touvé. Voici le rapport.
http://cjoint.com/?ALlaE3Hb0Ys
JE n'arrive pas à télécharger zhpdiag. rien ne se passe, quel que soit le lien de téléchargement choisi.
J'ai relancé TDSSkiller en ajoutant l'option driver et il a détecté qqchose. Voici le second rapport.
http://cjoint.com/?ALlaG4VCpLe -
Merci pour le téléchargement. C'est donc chose faite avec l'analyse zhpdiag et le rapport ici.
http://cjoint.com/?ALloyZL8kOH-
bon tu fais ce qui suit , merci
à savoir zhpfix , et puis la mise à jour de ton pc , et après tu posteras un nouveau zhpdiag mais avec la dernière version , merci
1) fais zhpfix comme expliqué
. Copie les lignes suivantes en GRAS entre les deux lignes
__________________________________________________________
M3 - MFPP: Plugins - [Albk] -- C:\Users\Albk\AppData\Roaming\Mozilla\Firefox\Profiles\dyy1xbng.default\searchplugins\askcom.xml
OPT:O4 - HKLM\..\Run: [LManager] . (.Dritek System Inc. - Acer Launch Manager Keyboard Application.) -- C:\Program Files\Launch Manager\LManager.exe
O4 - HKCU\..\Run: [NtjLvftk] C:\Windows\System32\config\systemprofile\AppData\Local\fnrylfkt\ntjlvftk.exe (.not file.) => Fichier absent
O4 - HKUS\S-1-5-21-1101066212-559435991-2235428188-1000\..\Run: [NtjLvftk] C:\Windows\System32\config\systemprofile\AppData\Local\fnrylfkt\ntjlvftk.exe (.not file.)
O4 - Global Startup: C:\Users\Albk\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SitNGo Wizard.lnk . (...) -- C:\Program Files\In The Money\SitNGo Wizard\SitNGoWizard.1.1.exe (.not file.)
O43 - CFD: 28/11/2011 - 02:20:30 - [0] ----D- C:\Program Files\PokerStars.FR
O43 - CFD: 07/06/2011 - 09:40:10 - [0,013] ----D- C:\ProgramData\Spybot - Search & Destroy
O43 - CFD: 08/09/2011 - 13:19:32 - [0,178] ---AD- C:\ProgramData\rkfree
O43 - CFD: 12/10/2011 - 03:17:00 - [0] ----D- C:\Program Files\rkfree
O69 - SBI: C:\Users\Albk\AppData\Roaming\Mozilla\Firefox\Profiles\dyy1xbng.default\searchplugins\askcom.xml
O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} [DefaultScope] - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
[HKLM\Software\BrowserChoice]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}]
[HKCU\Software\PartyFrance]
[HKCU\Software\Titan.fr]
[HKLM\Software\Titan.fr]
[HKCU\Software\Grand Virtual]
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\OfferBox Browser]
[HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom]
C:\Program Files\rkfree
C:\ProgramData\rkfree
SysRestore
FirewallRAZ
EmptyFlash
EmptyTemp
___________________________________________________________________
. Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
. Pour XP, double-clique sur ZHPFix
. pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
. Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .
Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"
!! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!
. cliques sur OK
. Clique sur « Tous », puis sur « Nettoyer »
. Copie/colle la totalité du rapport dans ta prochaine réponse
tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
2) fais tes mises à jour
tu es toujours avec un vista basic et il te faudrait installer le sp1 et sp2 afin de combler tes failles de sécurités !! ce qui est bizarre c'est que comme tu as les mises à jour automatique d'activer , normalement microsoft aurait du te les proposer depuis pas mal de temps
A ) pour le sp1 https://www.commentcamarche.net/telecharger/utilitaires/24007-windows-vista-sp1/
B ) pour le sp2 https://www.commentcamarche.net/telecharger/utilitaires/24009-windows-vista-sp2/
C ) mets à jour IE regarde pourquoi garder IE à JOUR
installes IE 8: https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/
D ) mets à jour adobe reader : désinstalles adobe reader car pas à jour et telecharges et installes cette version :
http://ardownload.adobe.com/pub/adobe/reader/win/10.x/10.1.1/fr_FR/AdbeRdr1011_fr_FR.exe
E ) mets java à jour: désinstalles ta version actuel et installes cette version https://www.java.com/fr/download/
3) postes un nouveau zhpdiag après mise à jour
Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!
FAIS LUI LA MISE A JOUR : tu cliques sur la FLECHE VERTE "update" tu installes et puis ru le relance et tu fais le nouveau rapport
Cliques sur la loupe pour lancer l'analyse.
si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis
Laisses l'outil travailler, il peut être assez long
A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Fermes ZHPDiag en fin d'analyse.
Pour me le transmettre clique sur ce lien :
https://www.cjoint.com/
Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt
ou directement en choisissant bureau et ZHPDiag.txt clique dessus
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
et si problème passe par celui ci : http://pjjoint.malekal.com/
-
-
Bonsoir
j'ai effectué zhpfix voici le rapport
http://cjoint.com/?ALluD2lwj5G
Les mises a jour SP1 et SP2 se sont bien passées. IE8 n'est "pas pris en charge sur ce système d'exploitation" selon l'exe.
A par ceci je n'arrive pas à installer java6.29 mem après avoir désinstaller la version existante je n'ai pu mettre la 6.29 à cause d'une erreur d"Download failed:from=http://javadll.sun.com/webapps/download/GetFile/1.6.0_29-b11/windows-i586/jre..." . J'ai essayé manuellement et avec java update et le résultat est le meme.
Voici le rapport zhpdiag après les différentes mise à jour
http://cjoint.com/?ALluwsGSnOc
Encore merci pour votre aide-
bizarre que ie 8 ne s'installe pas il est pourtant doner pour xp vista et seven sinon essais avec celui ci https://www.commentcamarche.net/telecharger/web-internet/12481-internet-explorer-9/ qui ilest juste pour vista
concernant java je vois toujours la version 6.23 sur ton pc bon tu peux pour mettre à jour java utiliser javaRa Télécharge JavaRa.zip de Paul McLain et Fred de Vries.
http://raproducts.org/click/click.php?id=1
* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.
Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.
Tuto :
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
OK pour les 2 mises à jour (IE8 et java)
Voici le nouveau rapport zhpdiag
http://cjoint.com/?ALlxutUZxH0
