Sujet Précédent Sujet Suivant

Enchainement d'attaques

Fermé
Damdouxdam - 28 avril 2012 à 16:08
 Utilisateur anonyme - 3 mai 2012 à 22:40
Bonjour,
Ceci est un cri, un SOS!
Depuis quelques jours, mon ordi part en vrille. Il y a 3 jours c'était une attaque type "Fake HDD" (mes fichiers passent en cachés et un faux logiciel de data recovery apparait). Grâce aux infos glanées sur ce site et ailleurs je m'en suis débarrassé en utilisant rkill puis malwarebytes.

Depuis mon UC est en permanence entre 50 et 100%, utilisé par 2 ou 3 process (photo ici: http://i44.servimg.com/u/f44/11/14/71/17/captur10.jpg ). Lorsque je les suspends, il m'est impossible de lancer d'autres programmes genre Firefox (si je clique sur "reprendre le processus" Firefox démarre)

J'ai découvert également lors de mes recherches cette semaine que j'étais aussi victime du syndrome "Google redirects". J'ai utilisé "tdsskiller" comme préconisé mais le logiciel ne se lance pas.

Logiciel antivirus: Avast

Ci joint le lien pour le rapport ZHPDiag: http://pjjoint.malekal.com/files.php?read=ZHPDiag_20120428_p5x6v15g15r6

Merci d'avance pour tous conseils, solutions, prières et j'en passe!


22 réponses

  • 1
  • 2
Réponse 1 / 22
Utilisateur anonyme
28 avril 2012 à 16:09
Bonjour

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+
0
Réponse 2 / 22
Damdouxdam
28 avril 2012 à 16:13
RogueKiller V7.3.3 [22/04/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Damien [Droits d'admin]
Mode: Recherche -- Date: 28/04/2012 16:11:22

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
46.4.179.84 yahoo.com
212.124.122.156 google.com
46.4.179.84 myspace.com
46.4.179.84 ebay.com
46.4.179.84 amazon.com
212.124.122.156 youtube.com
46.4.179.84 craigslist.org
212.124.122.156 wikipedia.org
46.4.179.110 cnn.com
46.4.179.84 facebook.com
46.4.179.110 go.com
46.4.179.84 flickr.com
46.4.179.84 Expedia.com
46.4.179.84 imdb.com
46.4.179.84 digg.com
46.4.179.84 Monster.com
212.124.122.156 Paypal.com
46.4.179.110 comcast.net


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX ATA Device +++++
--- User ---
[MBR] 8f0a96ab2a3b609e2485b92706220b89
[BSP] bd2d1f3c4967b7549b56bbb24e208145 : Windows Vista/7 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 463458 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 949571584 | Size: 13281 Mo
3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976771072 | Size: 1 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Réponse 3 / 22
Utilisateur anonyme
28 avril 2012 à 16:15
Re

Relance Roguekiller option suppression ensuite sur Racc. RAZ et enfin sur Host RAZ

Poste moi ces trois rapports;merci

@+
0
Réponse 4 / 22
Damdouxdam
28 avril 2012 à 16:18
Rapport Option suppression:

RogueKiller V7.3.3 [22/04/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Damien [Droits d'admin]
Mode: Recherche -- Date: 28/04/2012 16:11:22

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 5 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
46.4.179.84 yahoo.com
212.124.122.156 google.com
46.4.179.84 myspace.com
46.4.179.84 ebay.com
46.4.179.84 amazon.com
212.124.122.156 youtube.com
46.4.179.84 craigslist.org
212.124.122.156 wikipedia.org
46.4.179.110 cnn.com
46.4.179.84 facebook.com
46.4.179.110 go.com
46.4.179.84 flickr.com
46.4.179.84 Expedia.com
46.4.179.84 imdb.com
46.4.179.84 digg.com
46.4.179.84 Monster.com
212.124.122.156 Paypal.com
46.4.179.110 comcast.net


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5055GSX ATA Device +++++
--- User ---
[MBR] 8f0a96ab2a3b609e2485b92706220b89
[BSP] bd2d1f3c4967b7549b56bbb24e208145 : Windows Vista/7 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 463458 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 949571584 | Size: 13281 Mo
3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976771072 | Size: 1 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
Damdouxdam
28 avril 2012 à 16:20
Rapport "Racc RAZ"


RogueKiller V7.3.3 [22/04/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Damien [Droits d'admin]
Mode: Raccourcis RAZ -- Date: 28/04/2012 16:20:15

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Attributs de fichiers restaures: ¤¤¤
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 3 / Fail 0
Menu demarrer: Success 0 / Fail 0
Dossier utilisateur: Success 83 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 39 / Fail 0
Sauvegarde: [NOT FOUND]

Lecteurs:
[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped

¤¤¤ Infection : ¤¤¤

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
0
Réponse 6 / 22
Damdouxdam
28 avril 2012 à 16:21
Rapport Host RAZ

RogueKiller V7.3.3 [22/04/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Damien [Droits d'admin]
Mode: HOSTS RAZ -- Date: 28/04/2012 16:20:49

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
46.4.179.84 yahoo.com
212.124.122.156 google.com
46.4.179.84 myspace.com
46.4.179.84 ebay.com
46.4.179.84 amazon.com
212.124.122.156 youtube.com
46.4.179.84 craigslist.org
212.124.122.156 wikipedia.org
46.4.179.110 cnn.com
46.4.179.84 facebook.com
46.4.179.110 go.com
46.4.179.84 flickr.com
46.4.179.84 Expedia.com
46.4.179.84 imdb.com
46.4.179.84 digg.com
46.4.179.84 Monster.com
212.124.122.156 Paypal.com
46.4.179.110 comcast.net


¤¤¤ Nouveau fichier HOSTS: ¤¤¤
127.0.0.1 localhost

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
0
Réponse 7 / 22
Utilisateur anonyme
28 avril 2012 à 16:27
Re

Il manque le rapport suppression mais si tu l'a fait...

Ensuite met à jour Malwaresbytes et lance une analyse rapide.Supprime bien tout ce qu'il trouve.
Poste son rapport

@+
0
Réponse 8 / 22
Damdouxdam
28 avril 2012 à 16:36
Si si je te l'ai copié!

Voici le rapport malwarebytes (rien detecté comme prévu, je l'avais déjà fait tout à l'heure...)

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.28.04

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Damien :: DAMIEN-PC [administrateur]

Protection: Désactivé

28/04/2012 16:29:54
mbam-log-2012-04-28 (16-29-54).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 199583
Temps écoulé: 4 minute(s), 19 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Réponse 9 / 22
Utilisateur anonyme
28 avril 2012 à 16:38
Re

Poste moi un nouveau rapport ZHPDiag;merci

@+
0
Réponse 10 / 22
Damdouxdam
Modifié par Damdouxdam le 28/04/2012 à 16:45
Voilà le rapport ZHPDiag:


http://pjjoint.malekal.com/files.php?read=ZHPDiag_20120428_s13s6l611z11
0
Réponse 11 / 22
Utilisateur anonyme
28 avril 2012 à 17:03
Re

1)Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=


2)Tu disposes de Malwaresbytes.
met le à jour et lace une analyse rapide et poste moi ce rapport.
Supprime bien tout ce qu'il trouve.

@+
0
Réponse 12 / 22
Damdouxdam
28 avril 2012 à 17:24
Voilà déjà le rapport Adwcleaner:



# AdwCleaner v1.604 - Rapport créé le 28/04/2012 à 17:17:11
# Mis à jour le 23/04/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium (64 bits)
# Nom d'utilisateur : Damien - DAMIEN-PC
# Exécuté depuis : C:\Users\Damien\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Damien\AppData\Local\OpenCandy
Dossier Supprimé : C:\Program Files (x86)\Conduit
Fichier Supprimé : C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\mgo3wnr1.default\searchplugins\Ask.xml
Fichier Supprimé : C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\mgo3wnr1.default\searchplugins\web-search.xml
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2653012
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Conduit

***** [Registre - GUID] *****

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
[x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D782BB2-F2A5-11D3-BF4C-000000000000}

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v11.0 (fr)

Nom du profil : default
Fichier : C:\Users\Damien\AppData\Roaming\Mozilla\Firefox\Profiles\mgo3wnr1.default\prefs.js

Supprimée : user_pref("browser.search.order.1", "Web Search");
Supprimée : user_pref("extensions.illimitux.ilx_pref_pt_veoh", true);
Supprimée : user_pref("extensions.snipit.askTbInstalled", true);
Supprimée : user_pref("extensions.snipit.chromeURL", "hxxp://toolbar.ask.com/toolbarv/askRedirect?o=10611&gct=&g[...]
Supprimée : user_pref("vshare.install.date", "1282521600000");
Supprimée : user_pref("vshare.install.finished", "1.0.0");
Supprimée : user_pref("vshare.install.guid", "{c2a7171e-4057-4a08-b1c3-29a749759346}");
Supprimée : user_pref("vshare.install.isHidden", true);
Supprimée : user_pref("vshare.install.laststatreq", "1300838400000");

*************************

AdwCleaner[S1].txt - [289 octets] - [28/04/2012 17:10:50]
AdwCleaner[S2].txt - [3193 octets] - [28/04/2012 17:17:11]

########## EOF - C:\AdwCleaner[S2].txt - [3321 octets] ##########
0
Réponse 13 / 22
Damdouxdam
28 avril 2012 à 17:34
Le rapport malwarebytes qui ne trouve toujours rien et l'UC toujours frisant les 100% :

Malwarebytes Anti-Malware (Essai) 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.04.28.05

Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
Damien :: DAMIEN-PC [administrateur]

Protection: Désactivé

28/04/2012 17:26:05
mbam-log-2012-04-28 (17-26-05).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 200058
Temps écoulé: 6 minute(s), 28 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Réponse 14 / 22
Utilisateur anonyme
28 avril 2012 à 17:38
Re

Poste moi un nouveau rapport ZHPDiag;merci

@+
0
Réponse 15 / 22
Damdouxdam
28 avril 2012 à 17:53
Voici le lien du rapport ZHPDiag:


http://pjjoint.malekal.com/files.php?read=ZHPDiag_20120428_g9l8q12y13z9
0
Réponse 16 / 22
Utilisateur anonyme
28 avril 2012 à 17:57
Re

Met à jour ton Windows via Windows Update.

Tiens moi au courant;merci

@+
0
Réponse 17 / 22
Damdouxdam
28 avril 2012 à 19:33
Après 1h30 de téléchargement, les mises à jour ont été effectuées.
En redémarrant l'ordi, windows m'a prévenu de l'élimination d'un truc:

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan%3aDOS%2fAlureon.E

Par contre l'une des mises à jour a échoué:

http://i44.servimg.com/u/f44/11/14/71/17/update10.jpg

J'ai toujours 2 process qui pompent entre 20 et 30% de l'UC chacun: services.exe et svchost.exe(netsvcs)

Et maintenant?

(Par contre je dois partir bosser, je ne pourrais pas répondre avant demain)
0
Réponse 18 / 22
Utilisateur anonyme
28 avril 2012 à 20:20
Re

Je dois également m'absenter quelques jours pour vacances bien méritées.

Poste moi un nouveau rapport ZHPDiag;merci

@+
0
Réponse 19 / 22
Damdouxdam
29 avril 2012 à 12:36
ok je serai patient alors:

http://pjjoint.malekal.com/files.php?read=ZHPDiag_20120429_y12d14q1112o14
0
Réponse 20 / 22
Utilisateur anonyme
3 mai 2012 à 10:05
Bonjour

Pour vérification:

Télécharge TDSSKiller

*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

Poste moi son rapport à l'issue; merci

@+
0

Discussions similaires

Logiciel qui enchaine les morceaux de musique
Pierro56 -
XinitriX -

10 réponses
Programmer une Playlist de soirée
malouin -
smith -

14 réponses
faire une playlist sans blanc
lamusik -
piquesous -

7 réponses
Recherche logiciel audio fondu enchainé
Pierro56 -
blackson7777 -

7 réponses
mixer automatique avec Virtual DJ Home 7
Tuyet -
nomis -

20 réponses