Infection assez récente

anais -  
 g3n-h@ckm@n -
Bonjour,

Je crois que j'ai attrapé le virus de l'année, non sérieusement c'est le Pc de ma
belle mère et regarder c'est la cata ...

1 Zhpdiag http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111213_d11x7w15h14f6

2 Tdskiller http://pjjoint.malekal.com/files.php?id=20111213_h11e8i811p15

3 Combofix http://pjjoint.malekal.com/files.php?id=20111213_r14q12z11m11c15

Je me suis permis de faire les rapports ci-dessus

l'infection parait assez récente

Merci

14 réponses

  1. g3n-h@ckm@n
     
    salut

    ▶ Télécharge ici : USBFIX sur ton bureau

    branche tous tes periphériques USB sans les ouvrir

    /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur l'icône Usbfix située sur ton Bureau.
    Sur la page, clique sur le bouton :

    ▶ choisi l option Suppression

    ▶ UsbFix scannera ton pc , laisse travailler l outil.

    ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

    ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

    ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    0
  2. anais
     
    Salut gen et merci pour ton aide

    usbfix
    http://pjjoint.malekal.com/files.php?id=20111213_p9q8s14v7g10

    L'infection est assez grave non !

    ++
    0
  3. g3n-h@ckm@n
     
    je vois que tu as utilisé roguekiller il te reste des raports ?
    0
  4. anais
     
    Roguekiller a été passer en option 2 et 6 et en option 2 il n'y avais rien et la 6 n'as pas pu remettre les ic^nes.

    puisque sur le bureau de la session utilisateur il n'y a plus d'icônes.

    Par contre malwarebyte avait trouvé un fichier en c:\\programdata\11458778y.exe

    Pour la suite de chiffres c'est pas exactement cela mais ça y ressemblais

    il me semble donc que c'était un rogue plus un rootkit non

    merci pour l'aide mais l'infection à l'air récente non ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    je ne sais pas tu n'en dis pas grand chose symptomes..etc....

    de la session infectée :

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  7. anais
     
    Il y a 2 sessions:

    une admin = quand on va sur virustotal ça plante pas de connexion la recherche n'aboutit pas. Mais tout le reste sur internet fonctionne.

    session utilisateur = Plus de fond d'écran, quand on va sur virustotal ça plante pas de connexion la recherche n'aboutit pas. Mais tout le reste sur internet fonctionne. Dans démarrer il n'y as plus rien à droite exemple c:\, ordinateur, images, musiques, vidéo etc..
    a part tous les programmes en bas.

    Sinon à part çà le pc fonctionne normalement, mais je suppose qu'il y ai un rootkit ou quelque chose de ce genre vu le rapport de Combofix et le fichier remplacé de userinit.

    Pour ce qui est du rapport Pre_scan je te poste cela demain.

    en tout cas merci pour ton aide.

    bye bye
    0
  8. g3n-h@ckm@n
     
    sauvegarde tes documents sur un cd ou dvd gravé (uniquement phots,musiques)

    ca sent l'infection Ramnit
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  9. anais
     
    Salut g3n-h@ckm@n,

    Finalement il y avait un rogue au départ qui a été éradiqué par ma belle-mère.

    Le pc fonctionne très bien la navigation est normale

    Comment contrôler qu'il ne reste rien.

    Sur le rapport ZHPDiag il n'y a plus rien.

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111214_i6h15q15o15o11

    Qu'en penses tu ?

    Merci
    0
  10. anais
     
    Salut

    Rapport de pre_scan c'est incompréhensible pour moi je laisse faire les pros ;)

    http://pjjoint.malekal.com/files.php?id=20111215_f7p11q12e15r10

    Merci
    0
  11. anais
     
    re,

    tu as un avis pour cette infection ?

    crois tu que c'est ramnit ou virut ?

    dis donc la belle mère elle a les cheveux qui hérissent en ce moment Lol

    merci
    0
  12. g3n-h@ckm@n
     
    tu as lancé pre_scan sous quelle session ?
    0
  13. anais
     
    Salut g3n-h@ckm@n,

    excuse moi pour le retard mais c'est le pc de ma belle mère qui habite à 20 km de chez moi, donc les réponses sont espacées ce qui explique les délais de réponses.

    Je l'ai lancé a partir de la session admin, parce qu'en session utilisateur cela m'était impossible même après plusieurs essais ( 3 ).

    une admin = raymond

    session utilisateur = l'autre = Plus de fond d'écran. Mais tout le reste sur internet fonctionne. Dans démarrer il n'y a plus rien à droite exemple c:\, ordinateur, images, musiques, vidéo etc.. D'ailleurs Roguekiller option 6 n'a pas réussi à remettre les icônes ni Hiddenfix dans Zhpfix.

    Quel diagnostique en déduit tu ?

    l'infection est-elle toujours présente ?

    Si oui est-ce Ramnit comme tu me l'as cité plus haut ?

    Merci pour le temps que tu m'accorde ;)
    0
  14. g3n-h@ckm@n
     
    reessaie sur la session infectée avec cette version :

    http://dl.dropbox.com/u/21363431/Winlogon.exe
    0