PC infecté par exploit EXP/CVE-2011-3544

Résolu
eliza -  
 eliza -
Bonjour,

Bonsoir,

Mon PC a été attaqué hier par l'exploit EXP/CVE-2011-3544.A.39, trouvé par Avira et mis en quarantaine.
J'ai installé Malwarebytes et effectué un scan aussi, il a trouvé 2 trojans ainsi que le virus eorezo, supprimés également depuis.

Le souci c'est que je n'ai pas récupéré mon PC "comme avant" l'attaque :
- menu Démarrer => les icônes de lancement des programmes ont disparu ou les dossiers sont vides. Je ne peux accéder aux programmes qu'en passant par Computer/C:/Program Files
- Thunderbird m'envoie toutes les 2 minutes les mêmes mails. Je l'ai désinstallé et voulais le réinstaller mais là une fenêtre me demande si je veux me connecter sous l'utilisateur courant (rien ne se passe quand je clique) ou administrateur (mot de passe requis, que je n'ai pas)... Il semblerait que j'ai perdu mes droits administrateurs...
- les icônes de dossiers sur le Bureau sont grisées maintenant, ainsi que dans les différents répertoires dans l'explorateur Windows
- Une partie des fonctionnalités de CCleaner ne fonctionnent plus, notamment la restauration du système
- Impossible d'effectuer une restauration du système Windows, ça n'aboutit pas
...
Pour le moment je n'ai constaté que ça

J'ai consulté les différents sites Internet et forums traitant de ce virus et j'ai vu qu'il fallait faire un scan avec ZHPDiag. J'ai fait le scan mais n'arrive pas à le poster ici car trop volumineux. Comment l'envoyer ?

Merci beaucoup pour vos réponses !

18 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+
    0
  2. eliza
     
    j'ai oublié de préciser que j'ai aussi eu le rogue SMART HDD...
    0
  3. eliza
     
    Merci pour ta réponse Guillaume5188 !
    Je lance Roguekiller de suite et poste le rapport
    0
  4. eliza
     
    et voici donc le rapport :

    RogueKiller V7.3.2 [20/03/2012] by Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Blog: http://tigzyrk.blogspot.com

    Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Started in : Normal mode
    User: Eliz'art [Admin rights]
    Mode: Scan -- Date: 30/03/2012 23:12:34

    ¤¤¤ Bad processes: 0 ¤¤¤

    ¤¤¤ Registry Entries: 8 ¤¤¤
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

    ¤¤¤ Particular Files / Folders: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ HOSTS File: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HM251JI ATA Device +++++
    --- User ---
    [MBR] 8524e52f9d8011adca78d6424e1d3380
    [BSP] fe360c76edc206cea6c861985d5232a8 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 229021 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469037056 | Size: 9450 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Finished : << RKreport[1].txt >>
    RKreport[1].txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    Relance Roguekiller option Racc. RAZ.

    Poste moi son rapport;merci

    @+
    0
  7. eliza
     
    merci !
    j'ai relancé un scan mais ne trouve pas l'option Racc.RAZ, elle se trouve où ?
    voici le report quand même

    RogueKiller V7.3.2 [20/03/2012] by Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Blog: http://tigzyrk.blogspot.com

    Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Started in : Normal mode
    User: Eliz'art [Admin rights]
    Mode: Scan -- Date: 30/03/2012 23:25:22

    ¤¤¤ Bad processes: 0 ¤¤¤

    ¤¤¤ Registry Entries: 8 ¤¤¤
    [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
    [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

    ¤¤¤ Particular Files / Folders: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ HOSTS File: ¤¤¤
    127.0.0.1 localhost

    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: SAMSUNG HM251JI ATA Device +++++
    --- User ---
    [MBR] 8524e52f9d8011adca78d6424e1d3380
    [BSP] fe360c76edc206cea6c861985d5232a8 : Windows 7 MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 229021 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 469037056 | Size: 9450 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    Finished : << RKreport[3].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
    0
  8. Utilisateur anonyme
     
    Tu lances Roguekiller

    Sur la droite de cette fenêtre
    Le bouton Racc. RAZ

    @+
    0
  9. eliza
     
    je n'ai pas ce bouton
    dans l'ordre, de haut en bas j'ai :
    Scan - Delete - HostFix - ProxyFix - DNSFix - ShortcutsFix et Report
    J'utilise la version V7 de Roguekiller, téléchargée sur le lien que tu m'as donné
    0
  10. eliza
     
    je viens d'avoir un message d'alerte de Malwarebytes disant qu'il avait bloqué l'accès à un site potentiellement malveillant...
    pas réussi à copier l'IP :/
    0
  11. eliza
     
    ben je ne sais pas quoi faire justement :/
    0
  12. Utilisateur anonyme
     
    Re

    Et bien le bouton en question existe bien dans Roguekiller.

    @+
    0
  13. eliza
     
    j'ai lancé Roguekiller sur un autre PC non infecté et effectivement le bouton est bien là...
    sauf que sur mon PC infecté il n'apparaît pas, comme pour les boutons et options de certains logiciels tels que CCleaner. Je les avais avant l'attaque de virus et maintenant plus rien...
    ça doit être pareil pour ce bouton de Roguekiller :/
    J'ai l'impression que tout ce qui permet de "nettoyer" mon PC n'est plus actif et disponible

    merci pour ton aide en tout cas et ta réactivité/disponibilité
    0
  14. eliza
     
    on a élucidé le mystère du bouton Racc.RAZ. J'ai la version anglaise de Roguekiller et ce bouton correspond donc au bouton ShortcutsFix...
    après avoir cliqué sur le bouton :
    - j'ai récupéré les icônes des programmes du menu Démarrer
    - les icônes du Bureau et des dossiers/répertoires dans l'explorateur ne sont plus grisées

    voici le rapport Racc.RAZ

    RogueKiller V7.3.2 [20/03/2012] by Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Blog: http://tigzyrk.blogspot.com

    Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Started in : Normal mode
    User: Eliz'art [Admin rights]
    Mode: Shortcuts HJfix -- Date: 31/03/2012 00:36:51

    ¤¤¤ Bad processes: 0 ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ File attributes restored: ¤¤¤
    Desktop: Success 48638 / Fail 0
    Quick launch: Success 25 / Fail 0
    Programs: Success 2973 / Fail 0
    Start menu: Success 61 / Fail 0
    User folder: Success 19072 / Fail 0
    My documents: Success 28801 / Fail 0
    My favorites: Success 24 / Fail 0
    My pictures: Success 2725 / Fail 0
    My music: Success 12298 / Fail 0
    My videos: Success 2 / Fail 0
    Local drives: Success 16252 / Fail 0
    Backup: [NOT FOUND]

    Drives:
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
    [E:] \Device\CdRom0 -- 0x5 --> Skipped
    [F:] \Device\CdRom1 -- 0x5 --> Skipped

    ¤¤¤ Infection : ¤¤¤

    Finished : << RKreport[5].txt >>
    RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
    0
  15. Utilisateur anonyme
     
    Bonjour

    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+
    0
  16. eliza
     
    Bonsoir,

    Merci à nouveau pour ton aide et support !
    J'ai lancé Malwarebytes en tant qu'administrateur comme indiqué mais je n'ai pas réussi à faire la mise à jour dans ce mode, un message d'erreur disait qu'il manquait un fichier. Cela dit, j'avais mis à jour auparavant comme indiqué dans la manip.
    J'ai effectué le scan et rien n'a été trouvé.

    Mon PC semble allait mieux, juste je n'ai pas retrouvé les icônes de programmes dans le menu Démarrer, seulement les dossiers jaunes.
    Et ma barre de lancement rapide ne s'affiche pas.

    Je n'arrive toujours pas à réinstaller Thunderbird. Une fenêtre me demande de choisir entre l'utilisateur courant (si je coche cette option et valide, rien ne se passe) ou en tant qu'administrateur (saisie d'un mot de passe demandé dans ce cas, que je n'ai pas et donc échec de l'install).

    C'est mieux donc mais pas encore comme avant et encore des bizarreries

    Voici le rapport de Malwarebytes :

    Malwarebytes Anti-Malware (Essai) 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.03.31.05

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Eliz'art :: ELIZART [administrateur]

    Protection: Activé

    31/03/2012 13:34:33
    mbam-log-2012-03-31 (13-34-33).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 469536
    Temps écoulé: 3 heure(s), 46 minute(s), 48 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    Merci
    0
  17. Utilisateur anonyme
     
    Bonjour

    Tu peux toujours tenté une restauration à une date antérieure à ton problème.
    Tiens moi au courant

    @+
    0
  18. eliza
     
    Bonjour Guillaume5188,

    J'ai réussi à restaurer mon PC en mode sans échec à une date antérieure.
    La restauration "normale" ne fonctionnait pas mais en mode sans échec oui.
    Tout semble être rentré dans l'ordre, super !
    On peut clore le sujet je pense
    Encore merci pour ton aide, c'est super appréciable et réconfortant de savoir que sur Internet, il y a les "bons" qui aident les autres à réparer les dégâts causés par les "méchants" ;)

    Bonne journée,
    Eliza
    0