Virus Smart HDDRésolu/Fermé

Question

Bonjour, J'ai été infectée par le virus smart HDD, pas vraiment connaisseuse en informatique, j'ai visité plusieurs forums et suivi les premiers conseils. J'ai téléchargé RogueKiller, fait un scan puis suppression et Racc. RAZ. Voici le premier rapport : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Emilie [Droits d'admin] Mode: Recherche -- Date: 16/04/2012 19:48:07 ¤¤¤ Processus malicieux: 2 ¤¤¤ [WINDOW : SMART HDD] xW4AHIVlM4MkJi.exe -- C:\ProgramData\xW4AHIVlM4MkJi.exe -> KILLED [TermProc] [SUSP PATH] RgWtsvfNRFiS.exe -- C:\ProgramData\RgWtsvfNRFiS.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 24 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Emilie\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [SUSP PATH] HKCU\[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-3133115949-3951184034-1942364088-1000[...]\Run : cacaoweb ("C:\Users\Emilie\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND [SUSP PATH] HKUS\S-1-5-21-3133115949-3951184034-1942364088-1000[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> FOUND [HJ] HKCU\[...]\Internet Settings : WarnOnHTTPSToHTTPRedirect (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x8265207F -> HOOKED (Unknown @ 0x8068D3B6) SSDT[276] : NtRequestWaitReplyPort @ 0x82665F47 -> HOOKED (Unknown @ 0x8068D3C0) SSDT[289] : NtSetContextThread @ 0x826D199B -> HOOKED (Unknown @ 0x8068D3BB) SSDT[314] : NtSetSecurityObject @ 0x82615627 -> HOOKED (Unknown @ 0x8068D3C5) SSDT[332] : NtSystemDebugControl @ 0x825EB94B -> HOOKED (Unknown @ 0x8068D3CA) SSDT[334] : NtTerminateProcess @ 0x8266153F -> HOOKED (Unknown @ 0x8068D357) S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8068D3DE) S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8068D3E3) ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK1637GSX +++++ --- User --- [MBR] 408b1eeeb3fa84d3d55d42396c71b4d9 [BSP] a12680e0732bf777ce22b13a2b19cafb : Acer tatooed MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo 1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 71448 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166793216 | Size: 71184 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt Et voici le deuxième : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: Emilie [Droits d'admin] Mode: Suppression -- Date: 16/04/2012 19:55:11 ¤¤¤ Processus malicieux: 2 ¤¤¤ [WINDOW : SMART HDD] xW4AHIVlM4MkJi.exe -- C:\ProgramData\xW4AHIVlM4MkJi.exe -> KILLED [TermProc] [SUSP PATH] RgWtsvfNRFiS.exe -- C:\ProgramData\RgWtsvfNRFiS.exe -> KILLED [TermProc] ¤¤¤ Entrees de registre: 22 ¤¤¤ [SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Emilie\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED [SUSP PATH] HKCU\[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> DELETED [HJ] HKCU\[...]\Internet Settings : WarnOnHTTPSToHTTPRedirect (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) [HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ SSDT[75] : NtCreateSection @ 0x8265207F -> HOOKED (Unknown @ 0x8068D3B6) SSDT[276] : NtRequestWaitReplyPort @ 0x82665F47 -> HOOKED (Unknown @ 0x8068D3C0) SSDT[289] : NtSetContextThread @ 0x826D199B -> HOOKED (Unknown @ 0x8068D3BB) SSDT[314] : NtSetSecurityObject @ 0x82615627 -> HOOKED (Unknown @ 0x8068D3C5) SSDT[332] : NtSystemDebugControl @ 0x825EB94B -> HOOKED (Unknown @ 0x8068D3CA) SSDT[334] : NtTerminateProcess @ 0x8266153F -> HOOKED (Unknown @ 0x8068D357) S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8068D3DE) S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8068D3E3) ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK1637GSX +++++ --- User --- [MBR] 408b1eeeb3fa84d3d55d42396c71b4d9 [BSP] a12680e0732bf777ce22b13a2b19cafb : Acer tatooed MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo 1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 71448 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166793216 | Size: 71184 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt A présent j'ai récupéré la majorité de mes icones sauf les raccourcis vers les navigateurs et logiciels. Mon écran est toujours noir derrière et j'ai toujours un raccourci SMART HDD sur le bureau et dans la barre des tâches. Que dois-je faire à présent? Merci par avance pour vos réponses

Utilisateur anonyme · Answer

Bonsoir

 Télécharge TDSSKiller 

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
    
Poste moi son rapport à l'issue; merci

@+

Tigzy · Answer

Salut

Normalement RogueKiller a du t'ouvrir la page de désinfection du rogue.
Dans cette page il est dit qu'il faut également passer le mode "Raccourci RAZ"

;)

Tigzy · Answer

ok, c'est bon.
Si TDSSKiller n'a rien trouvé, alors passe un scan avec Malwarebytes et ça ira

Utilisateur anonyme · Answer

Bonsoir

Voilà:https://forums.cnetfrance.fr/tutoriels-windows-7-8-et-autres-sytemes/102787-barre-de-lancement-rapide-vista-xp

Si tu n'as plus de problème ,je te propose de clore ce post

@+

Virus Smart HDD

4 réponses

Discussions similaires

Newsletters