Virus Smart HDD

Résolu
milounette2 Messages postés 8 Statut Membre -  
milounette2 Messages postés 8 Statut Membre -
Bonjour,

J'ai été infectée par le virus smart HDD, pas vraiment connaisseuse en informatique, j'ai visité plusieurs forums et suivi les premiers conseils.

J'ai téléchargé RogueKiller, fait un scan puis suppression et Racc. RAZ.

Voici le premier rapport :
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Emilie [Droits d'admin]
Mode: Recherche -- Date: 16/04/2012 19:48:07

¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : SMART HDD] xW4AHIVlM4MkJi.exe -- C:\ProgramData\xW4AHIVlM4MkJi.exe -> KILLED [TermProc]
[SUSP PATH] RgWtsvfNRFiS.exe -- C:\ProgramData\RgWtsvfNRFiS.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 24 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Emilie\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKCU\[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3133115949-3951184034-1942364088-1000[...]\Run : cacaoweb ("C:\Users\Emilie\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3133115949-3951184034-1942364088-1000[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> FOUND
[HJ] HKCU\[...]\Internet Settings : WarnOnHTTPSToHTTPRedirect (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x8265207F -> HOOKED (Unknown @ 0x8068D3B6)
SSDT[276] : NtRequestWaitReplyPort @ 0x82665F47 -> HOOKED (Unknown @ 0x8068D3C0)
SSDT[289] : NtSetContextThread @ 0x826D199B -> HOOKED (Unknown @ 0x8068D3BB)
SSDT[314] : NtSetSecurityObject @ 0x82615627 -> HOOKED (Unknown @ 0x8068D3C5)
SSDT[332] : NtSystemDebugControl @ 0x825EB94B -> HOOKED (Unknown @ 0x8068D3CA)
SSDT[334] : NtTerminateProcess @ 0x8266153F -> HOOKED (Unknown @ 0x8068D357)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8068D3DE)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8068D3E3)

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK1637GSX +++++
--- User ---
[MBR] 408b1eeeb3fa84d3d55d42396c71b4d9
[BSP] a12680e0732bf777ce22b13a2b19cafb : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 71448 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166793216 | Size: 71184 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Et voici le deuxième :

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Emilie [Droits d'admin]
Mode: Suppression -- Date: 16/04/2012 19:55:11

¤¤¤ Processus malicieux: 2 ¤¤¤
[WINDOW : SMART HDD] xW4AHIVlM4MkJi.exe -- C:\ProgramData\xW4AHIVlM4MkJi.exe -> KILLED [TermProc]
[SUSP PATH] RgWtsvfNRFiS.exe -- C:\ProgramData\RgWtsvfNRFiS.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 22 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : cacaoweb ("C:\Users\Emilie\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[SUSP PATH] HKCU\[...]\Run : RgWtsvfNRFiS.exe (C:\ProgramData\RgWtsvfNRFiS.exe) -> DELETED
[HJ] HKCU\[...]\Internet Settings : WarnOnHTTPSToHTTPRedirect (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x8265207F -> HOOKED (Unknown @ 0x8068D3B6)
SSDT[276] : NtRequestWaitReplyPort @ 0x82665F47 -> HOOKED (Unknown @ 0x8068D3C0)
SSDT[289] : NtSetContextThread @ 0x826D199B -> HOOKED (Unknown @ 0x8068D3BB)
SSDT[314] : NtSetSecurityObject @ 0x82615627 -> HOOKED (Unknown @ 0x8068D3C5)
SSDT[332] : NtSystemDebugControl @ 0x825EB94B -> HOOKED (Unknown @ 0x8068D3CA)
SSDT[334] : NtTerminateProcess @ 0x8266153F -> HOOKED (Unknown @ 0x8068D357)
S_SSDT[573] : Unknown -> HOOKED (Unknown @ 0x8068D3DE)
S_SSDT[576] : Unknown -> HOOKED (Unknown @ 0x8068D3E3)

¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK1637GSX +++++
--- User ---
[MBR] 408b1eeeb3fa84d3d55d42396c71b4d9
[BSP] a12680e0732bf777ce22b13a2b19cafb : Acer tatooed MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 9993 Mo
1 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 20467712 | Size: 71448 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 166793216 | Size: 71184 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

A présent j'ai récupéré la majorité de mes icones sauf les raccourcis vers les navigateurs et logiciels. Mon écran est toujours noir derrière et j'ai toujours un raccourci SMART HDD sur le bureau et dans la barre des tâches.
Que dois-je faire à présent?

Merci par avance pour vos réponses

4 réponses

  1. Utilisateur anonyme
     
    Bonsoir

    Télécharge TDSSKiller

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

    Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
    Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

    sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

    Poste moi son rapport à l'issue; merci

    @+
    0
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Normalement RogueKiller a du t'ouvrir la page de désinfection du rogue.
    Dans cette page il est dit qu'il faut également passer le mode "Raccourci RAZ"

    ;)
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ok, tu as tout retrouvé?
      0
    2. milounette2 Messages postés 8 Statut Membre
       
      Oui j'ai l'impression, à part quelques raccourcis mais je les remettrais manuellement.
      Par contre j'ai toujours un raccourci Smart HDD sur mon bureau, sur la barre des tâches , sur la barre de lancement rapide ET un dossier dans mes programmes!
      J'ose plus y toucher du coup!
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ce sont juste des raccourcis. Clique droit => supprimer (surtout pas de double clic dessus!)
      0
    4. milounette2 Messages postés 8 Statut Membre
       
      Aie... J'ai cliqué par inadvertance sur le raccourci dans la barre de lancement rapide (vraiment trop rapide!), la page s'est ouverte et je l'ai refermée via le gestionnaire de tâches!
      Est-ce que j'ai gagné un retour à la case départ? (a priori rien n'a bougé tout est normal)
      0
  3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    ok, c'est bon.
    Si TDSSKiller n'a rien trouvé, alors passe un scan avec Malwarebytes et ça ira
    0
    1. milounette2 Messages postés 8 Statut Membre
       
      Super c'est tout bon, Malwarebytes a trouvé des ptits trucs qu'il a supprimé!
      Mille fois merci de ton aide!
      J'oserais abuser pour une toute dernière question: est-ce que par hasard tu saurais comment remettre les boutons de lancement rapide pour changer de page et pour retourner sur le bureau?
      0