PC infecté par exploit EXP/CVE-2011-3544 [Résolu/Fermé]

Signaler
-
 eliza -
Bonjour,

Bonsoir,

Mon PC a été attaqué hier par l'exploit EXP/CVE-2011-3544.A.39, trouvé par Avira et mis en quarantaine.
J'ai installé Malwarebytes et effectué un scan aussi, il a trouvé 2 trojans ainsi que le virus eorezo, supprimés également depuis.

Le souci c'est que je n'ai pas récupéré mon PC "comme avant" l'attaque :
- menu Démarrer => les icônes de lancement des programmes ont disparu ou les dossiers sont vides. Je ne peux accéder aux programmes qu'en passant par Computer/C:/Program Files
- Thunderbird m'envoie toutes les 2 minutes les mêmes mails. Je l'ai désinstallé et voulais le réinstaller mais là une fenêtre me demande si je veux me connecter sous l'utilisateur courant (rien ne se passe quand je clique) ou administrateur (mot de passe requis, que je n'ai pas)... Il semblerait que j'ai perdu mes droits administrateurs...
- les icônes de dossiers sur le Bureau sont grisées maintenant, ainsi que dans les différents répertoires dans l'explorateur Windows
- Une partie des fonctionnalités de CCleaner ne fonctionnent plus, notamment la restauration du système
- Impossible d'effectuer une restauration du système Windows, ça n'aboutit pas
...
Pour le moment je n'ai constaté que ça

J'ai consulté les différents sites Internet et forums traitant de ce virus et j'ai vu qu'il fallait faire un scan avec ZHPDiag. J'ai fait le scan mais n'arrive pas à le poster ici car trop volumineux. Comment l'envoyer ?

Merci beaucoup pour vos réponses !

18 réponses


Bonsoir


[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport


@+
j'ai oublié de préciser que j'ai aussi eu le rogue SMART HDD...
Merci pour ta réponse Guillaume5188 !
Je lance Roguekiller de suite et poste le rapport
et voici donc le rapport :

RogueKiller V7.3.2 [20/03/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User: Eliz'art [Admin rights]
Mode: Scan -- Date: 30/03/2012 23:12:34

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 8 ¤¤¤
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM251JI ATA Device +++++
--- User ---
[MBR] 8524e52f9d8011adca78d6424e1d3380
[BSP] fe360c76edc206cea6c861985d5232a8 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 229021 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469037056 | Size: 9450 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[1].txt >>
RKreport[1].txt

Re

Relance Roguekiller option Racc. RAZ.

Poste moi son rapport;merci

@+
merci !
j'ai relancé un scan mais ne trouve pas l'option Racc.RAZ, elle se trouve où ?
voici le report quand même

RogueKiller V7.3.2 [20/03/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User: Eliz'art [Admin rights]
Mode: Scan -- Date: 30/03/2012 23:25:22

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Registry Entries: 8 ¤¤¤
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HM251JI ATA Device +++++
--- User ---
[MBR] 8524e52f9d8011adca78d6424e1d3380
[BSP] fe360c76edc206cea6c861985d5232a8 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 229021 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469037056 | Size: 9450 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Tu lances Roguekiller

Sur la droite de cette fenêtre
Le bouton Racc. RAZ

@+
je n'ai pas ce bouton
dans l'ordre, de haut en bas j'ai :
Scan - Delete - HostFix - ProxyFix - DNSFix - ShortcutsFix et Report
J'utilise la version V7 de Roguekiller, téléchargée sur le lien que tu m'as donné
je viens d'avoir un message d'alerte de Malwarebytes disant qu'il avait bloqué l'accès à un site potentiellement malveillant...
pas réussi à copier l'IP :/

Re

Tu fais pour le mieux

@+
ben je ne sais pas quoi faire justement :/

Re

Et bien le bouton en question existe bien dans Roguekiller.

@+
j'ai lancé Roguekiller sur un autre PC non infecté et effectivement le bouton est bien là...
sauf que sur mon PC infecté il n'apparaît pas, comme pour les boutons et options de certains logiciels tels que CCleaner. Je les avais avant l'attaque de virus et maintenant plus rien...
ça doit être pareil pour ce bouton de Roguekiller :/
J'ai l'impression que tout ce qui permet de "nettoyer" mon PC n'est plus actif et disponible

merci pour ton aide en tout cas et ta réactivité/disponibilité
on a élucidé le mystère du bouton Racc.RAZ. J'ai la version anglaise de Roguekiller et ce bouton correspond donc au bouton ShortcutsFix...
après avoir cliqué sur le bouton :
- j'ai récupéré les icônes des programmes du menu Démarrer
- les icônes du Bureau et des dossiers/répertoires dans l'explorateur ne sont plus grisées

voici le rapport Racc.RAZ

RogueKiller V7.3.2 [20/03/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User: Eliz'art [Admin rights]
Mode: Shortcuts HJfix -- Date: 31/03/2012 00:36:51

¤¤¤ Bad processes: 0 ¤¤¤

¤¤¤ Driver: [NOT LOADED] ¤¤¤

¤¤¤ File attributes restored: ¤¤¤
Desktop: Success 48638 / Fail 0
Quick launch: Success 25 / Fail 0
Programs: Success 2973 / Fail 0
Start menu: Success 61 / Fail 0
User folder: Success 19072 / Fail 0
My documents: Success 28801 / Fail 0
My favorites: Success 24 / Fail 0
My pictures: Success 2725 / Fail 0
My music: Success 12298 / Fail 0
My videos: Success 2 / Fail 0
Local drives: Success 16252 / Fail 0
Backup: [NOT FOUND]

Drives:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\CdRom1 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Finished : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

Bonjour

Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)


@+
Bonsoir,

Merci à nouveau pour ton aide et support !
J'ai lancé Malwarebytes en tant qu'administrateur comme indiqué mais je n'ai pas réussi à faire la mise à jour dans ce mode, un message d'erreur disait qu'il manquait un fichier. Cela dit, j'avais mis à jour auparavant comme indiqué dans la manip.
J'ai effectué le scan et rien n'a été trouvé.

Mon PC semble allait mieux, juste je n'ai pas retrouvé les icônes de programmes dans le menu Démarrer, seulement les dossiers jaunes.
Et ma barre de lancement rapide ne s'affiche pas.

Je n'arrive toujours pas à réinstaller Thunderbird. Une fenêtre me demande de choisir entre l'utilisateur courant (si je coche cette option et valide, rien ne se passe) ou en tant qu'administrateur (saisie d'un mot de passe demandé dans ce cas, que je n'ai pas et donc échec de l'install).

C'est mieux donc mais pas encore comme avant et encore des bizarreries

Voici le rapport de Malwarebytes :

Malwarebytes Anti-Malware (Essai) 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.31.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Eliz'art :: ELIZART [administrateur]

Protection: Activé

31/03/2012 13:34:33
mbam-log-2012-03-31 (13-34-33).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 469536
Temps écoulé: 3 heure(s), 46 minute(s), 48 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Merci

Bonjour

Tu peux toujours tenté une restauration à une date antérieure à ton problème.
Tiens moi au courant

@+
Bonjour Guillaume5188,

J'ai réussi à restaurer mon PC en mode sans échec à une date antérieure.
La restauration "normale" ne fonctionnait pas mais en mode sans échec oui.
Tout semble être rentré dans l'ordre, super !
On peut clore le sujet je pense
Encore merci pour ton aide, c'est super appréciable et réconfortant de savoir que sur Internet, il y a les "bons" qui aident les autres à réparer les dégâts causés par les "méchants" ;)

Bonne journée,
Eliza