rootkit TDSS Résolu/Fermé

Question

Bonjour, 

je pense être sous rootkitTDSS et j'ai beaucoup de redirection vers ce site http://www1.fr.12finder.com/websearch?query=je+narrive+pas+dsinstaller+un+programme&site=aon2p&ref=44561-23007

Ma sécurité windows veux pas s'activer, et MSE veux pas se lancer, je pense que mon system d'exploitation est modifier

mes raports: 

hijack this: 
https://pastebin.com/C1vAHDfr

 Random's System Information Tool (RSIT)
https://pastebin.com/LbcejW9b
PS: j'ai pas info.txt

combofix:
https://pastebin.com/hdFw4zf9 

adwcleaner:
https://pastebin.com/4DfkHeqv

supprésion adwcleaner:
https://pastebin.com/Y4KpDJcb

voilà en esperant avoir de l'aide :D

Merci d'avance !



Configuration: Windows 7 / Safari 535.7 (je suis sous chrome so WTF? )

DieuDark · Answer

Svp j'ai besoin d'aide

DieuDark · Answer

Personne pour m'aider? :/

DieuDark · Answer

aider un petit garçon en detresse? :(

Utilisateur anonyme · Answer

bonjour,

avec cet armada de tools que tu as passé sur ton pc, si tu as encore la redirection, c'est qu'il y a un gros truc !

DieuDark · Answer

oui sa continue :'(

Utilisateur anonyme · Answer

la prochaine fois, tu demandes de l'aide avant de lancer tous les outils sur ton pc !


*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : Si Tdsskiller trouve un fichier nommé "Sptd.sys", tu sélectionnes skip juste pour ce fichier :D

DieuDark · Answer

j'ai déjà demandé de l'aide sur des autres forums etc...
C'est pour ça que vous êtes mon dernier recours !

Et merci pour TDSSKiller mais je l'ai déjà utilisé et rien

Utilisateur anonyme · Answer

si tu veux qu'on fasse la chose dans les régles, il faut poster les rapports qu'on te demande  :D

avec quel navigateur as tu des redirections ?

DieuDark · Answer

avec chrome, et j'ai eu aucun rapport !

en tout cas merci de ton aide précieuse

DieuDark · Answer

en fait tout les navigateurs...

Utilisateur anonyme · Answer

on récapitule :

tu as la redirections juste avec Chrome ?

c'est bien ça  ou tu en as avec d'autres navigateur, voir moteur de recherche ?

DieuDark · Answer

en ce moment je suis avec chrome, mais j'ai des redirection avec tout les navigateurs ET moteurs de recherches ! :/

DieuDark · Answer

et a cette heure ci je me demande si je suis pas un shell/sous botnet :'(

Utilisateur anonyme · Answer

pas de manique !

* Télécharge ZHPDiag sur ton bureau :


https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
https://www.cjoint.com/

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

DieuDark · Answer

il n'y a pas d'icone en forme de loupe :s

Utilisateur anonyme · Answer

tu as lanvé zhpfix !

lance l'autre sous forme de parchemin !

DieuDark · Answer

https://pastebin.com/t7wDS2HR

Désolé ^^"

Utilisateur anonyme · Answer

désinstalle spybot, il est inutile !

tu t'es fait avoir par cacoweb !


à l'avenir, évite d'installer des barres d'outils, pour la majorité, elles sont infectieuses !

Télécharge et enregistre ce fichier sur ton bureau :

 
*	Lance ZHPFix via le raccourci sur ton Bureau

*	Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie et colle les lignes suivantes en gras dans Zhpfix : 

---------------------------------------------------------- 


O2 - BHO: WormRadar.com IESiteBlocker.NavFilter [64Bits] - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} . (...) -- C:\Program Files (x86)\AVG\AVG9\avgssie.dll
O87 - FAEL: "{5A6295E8-F164-432A-B8C9-BEC12D359257}" |In - Private - P6 - TRUE | .(...) -- C:\Windows\SysWOW64\ZoneLabs\vsmon.exe (.not file.)    => ZoneLabs/Check Point®ZoneAlarm
O87 - FAEL: "{FE6AE945-42AF-47E3-A49C-030BF9702477}" |In - Private - P17 - TRUE | .(...) -- C:\Windows\SysWOW64\ZoneLabs\vsmon.exe (.not file.)    => ZoneLabs/Check Point®ZoneAlarm
M2 - MFEP: prefs.js [Bilal - tn7fcql4.default\{1c491116-c175-45e1-a570-6fb14fea8b7b}] [] PHPNukeFR Community Toolbar v3.9.0.3 (.Conduit Ltd..)    => Toolbar.Conduit
M2 - MFEP: prefs.js [Bilal - tn7fcql4.default\{4daac69c-cba7-45e2-9bc8-1044483d3352}] [] Softonic_France Community Toolbar v3.9.0.3 (.Conduit Ltd..)    => Toolbar.Conduit
M2 - MFEP: prefs.js [Bilal - tn7fcql4.default\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}] [] Avanquest FR Community Toolbar v3.9.0.3 (.Conduit Ltd..)   R3 - URLSearchHook: Avanquest FR Toolbar [64Bits] - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Avanquest_FR\prxtbAva2.dll
R3 - URLSearchHook: Avanquest FR Toolbar [64Bits] - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Avanquest_FR\prxtbAva2.dll
O2 - BHO: Avanquest FR [64Bits] - {6ec85fcf-87ad-41d7-ae1f-f116f8ad4848} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Avanquest_FR\prxtbAva2.dll
O42 - Logiciel: Avanquest FR Toolbar - (.Avanquest FR.) [HKLM] -- Avanquest_FR Toolbar    => Avanquest FR Toolbar
[HKCU\Software\AppDataLow\Software\Avanquest_FR]    => Avanquest_FR Toolbar
[HKLM\Software\Avanquest_FR]    => Avanquest_FR Toolbar
O43 - CFD: 07/11/2011 - 18:43:54 - [0,012] ----D- C:\Users\Bilal\AppData\Roaming	eamspeak2    => Toolbar.Conduit
O43 - CFD: 04/01/2012 - 19:16:14 - [11,856] ----D- C:\Program Files (x86)\Avanquest_FR    => Avanquest_FR Toolbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]    => Infection BT (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]    => Infection BT (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}]    => Avanquest FR Toolbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}]    => Avanquest FR Toolbar
[HKLM\Software\WOW6432Node\Classes\CLSID\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}]    => Avanquest FR Toolbar
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6ec85fcf-87ad-41d7-ae1f-f116f8ad4848}]
O4 - Global Startup: C:\Users\Bilal\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Chat-Land messenger.lnk . (...)  -- C:\Users\Bilal\chat-land\Chat-Landmessenger.exe (.not file.)    => Fichier absent
O4 - Global Startup: C:\Users\Bilal\Desktop\LIMBO.lnk . (...)  -- C:\Users\Bilal\Desktop\MON BUREAU\Limbo\limbo.exe (.not file.)   
M2 - MFEP: prefs.js [Bilal - tn7fcql4.default\support@predictad.com] [] AutocompletePro - Your handy search suggestions tool v0.6.1.3 (.Yossi Marouani; http://www.predictad.com.)    => Infection BT (Adware.PredictAd)
R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww10.seeearch.com    => ZHPHosts Black List
O42 - Logiciel: Bejeweled 3 - (.Pas de propriétaire.) [HKLM] -- Steam App 78000    => Infection PUP (Adware.PopCap)
[HKCU\Software\Nosibay]    => Infection PUP (Adware.SPointer)
[HKCU\Software\PopCap]    => Infection BT (Adware.PopCap)
[HKLM\Software\Mircrosoft]    => Infection FakeAlert (Trojan.FakeAlert)
O43 - CFD: 17/09/2011 - 15:06:54 - [0,000] ----D- C:\ProgramData\PopCap Games    => Infection BT (Adware.PopCap)
O43 - CFD: 20/09/2011 - 16:13:22 - [0] ----D- C:\Users\Bilal\AppData\Roaming\Nosibay    => Infection PUP (Adware.SPointer)
O43 - CFD: 17/09/2011 - 14:49:38 - [62,206] ----D- C:\Users\Bilal\AppData\Local\PopCap Games    => Infection BT (Adware.PopCap)
O87 - FAEL: "TCP Query User{D2BB4B36-8E48-4B51-883C-EA120DDDC458}C:\users\salim\appdataoaming\imvuclient\1vivoxvoice.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\salim\appdataoaming\imvuclient\1vivoxvoice.exe (.not file.)    => Infection FakeAlert (Possible)
O87 - FAEL: "UDP Query User{F2D911AD-344E-4723-968F-7882C196EF5D}C:\users\salim\appdataoaming\imvuclient\1vivoxvoice.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\salim\appdataoaming\imvuclient\1vivoxvoice.exe (.not file.)    
O87 - FAEL: "TCP Query User{94F96A2D-DA39-47C9-A8FD-343D5374DC48}C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)   
O87 - FAEL: "UDP Query User{DFBBB25D-077F-4882-AC9A-718119C345C5}C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "TCP Query User{C9E4E14D-312F-4176-A365-E94EABEF6FB4}C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
O87 - FAEL: "UDP Query User{B37203CE-6AF3-4FD8-B5F2-8EF78141BC00}C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\bilal\appdataoaming\cacaoweb\cacaoweb.exe (.not file.)    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]    => Infection BT (Adware.PredictAd)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]    => Infection BT (Adware.PredictAd)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]    => Infection PUP (Adware.IMBooster)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{977AE9CC-AF83-45E8-9E03-E2798216E2D5}]    => Infection PUP (Adware.IMBooster)
[HKCU\Software\Nosibay]    => Infection PUP (Adware.SPointer)
[HKCU\Software\PopCap]    => Infection BT (Adware.PopCap)
C:\ProgramData\PopCap Games    => Infection BT (Adware.PopCap)
C:\Users\Bilal\AppData\Roaming\Nosibay    => Infection PUP (Adware.SPointer)
C:\Users\Bilal\AppData\Local\PopCap Games    => Infection BT (Adware.PopCap)
Emptytemp
 


---------------------------------------------------------- 
 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :

http://www.premiumorange.com/zeb-help-process/zhpfix.html

DieuDark · Answer

https://pastebin.com/w1S1uvqc

Merci, je redemare ;)

Je désinstale cacaoweb?

DieuDark · Answer

1) je n'ai pas de cacaoweb sur mon pc oO
Je le trouve pas dans paneau de config

2) mon MSEssential veux toujours pas se lancer

Utilisateur anonyme · Answer

cacaoweb est un adware !

si tu peux le désinstaller, vas y !




passe à ceci :

https://forums.commentcamarche.net/forum/affich-24373403-rootkit-tdss#20

dedémarre,  puis poste son rapport !


ça se trouve que ton antvirus choppe cacaoweb !

DieuDark · Answer

j'ai pas eu de raport, pourtant j'ai redémaré, et comment ont désinstale un adware?

et je pense que j'ai choper le virus a cause d'un crack car cacaoweb je l'ai depuis des décénis x)

Utilisateur anonyme · Answer

refais cette manip :

https://forums.commentcamarche.net/forum/affich-24373403-rootkit-tdss#20

au pire des cas, il va les marqué comme absent !

DieuDark · Answer

https://pastebin.com/VJWRF2Np

voilà le raport

DieuDark · Answer

svp :/
comment je fais

Utilisateur anonyme · Answer

bien,

redémarre le pc,

regarde voir si tu as toujours le signalement d'une infection de type Tdss !

DieuDark · Answer

je peux toujours pas activer la sécu

Utilisateur anonyme · Answer

Télécharge, sur le Bureau, MBRCheck (par a_d_13) en cliquant sur l'un de ces liens:
 
http://www.geekstogo.com/forum/files/file/441-mbrcheck/
https://download.bleepingcomputer.com/rootrepeal/MBRCheck.exe
http://www.kernelmode.info/MBRCheck.exe
 

*Fermer tout et cliquer sur MBRCheck.exe. 
*Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau.
 Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (i.e. MBRCheck_07.21.10_18.08.06.txt).
 
*Presse la touche "Entrée" pour fermer la fenêtre et copier/ coller son contenu sur le forum.
 

Tuto : 

http://general-changelog-team.fr/outils/155-mbrcheck

DieuDark · Answer

https://www.youtube.com/watch?v=JrwD7fSJ85o&feature=youtu.be

Et pour MBR je test

Utilisateur anonyme · Answer

lance le truc de MBR , on verra ce que ça donne  :D

DieuDark · Answer

https://pastebin.com/qBqzB56B

Utilisateur anonyme · Answer

Relance MBRcheck
une fois le scan fini, appuie sur la touche "Y" puis "entrée"
Appuies ensuite sur "2"
Appuies sur la touche  "0"
Ensuite, tape le nombre correspondant à ton système d'exploitation : 

5 pour Seven 

Valide ensuite par Entrée

Tape ensuite YES et presse la touche "Entrée"
 
Redémarre l'ordinateur

DieuDark · Answer

attend la je suis sous linux suite a la demande posé sur ce forum: http://forum.malekal.com/post278566.html#p278566

je vous envoie mon driver dans 5 min :p

Utilisateur anonyme · Answer

attention,

si tu as en dual boot, il ne faut pas passer l'outil !

Utilisateur anonyme · Answer

dans ton interêt, je fais fermer ce poste car en suivant deux désinfections en parallèle, tu risques de planter ton pc !


merci et bonne continuation  :D

DieuDark · Answer

Pas compris :(

Tu peux m'expliquer? ^^

DieuDark · Answer

pour MBR: https://pastebin.com/w95i8yat

DieuDark · Answer

up ! :)

Rootkit TDSS

38 réponses

Discussions similaires