Infection par un Rookit Fermé

Question

Bonjour,  

En voulant tester AVG antiRookit, j'ai découvert que le Pc est vraiment infecté par une de ces saloperies. 

Ici image de l'infection : https://www.cjoint.com/?0IjocMIkNQ3 

J'ai procédé au nettoyage proposé AVG AntiRookit, redémarrer le PC comme il le Propose et la rebelote un Rookit, qu'il n'avait pas détecté avant (en gros j'ai l'impression qu'il change de nom). 
Alors Y a t-il un helper pour me secourir. Merci d'avance. 

Voici joint les rapports suivants : 

Rapport ZHPDiag (Ceci dit quand je le lance il me dit problème de connexion à internet. Alors qu'il y en a pas) https://www.cjoint.com/?0Ijod1ZbywM 

Rapport MalwareBytes : 
En cours 

Rapport Gmer 
Quand je lance le Gmer l'analyse commence très bien et un après un BSOD, je l'ai fait 3 fois et chaque fois rebelote un BSOD. 

Le Pc est un XP Pro SP2

Configuration: Au grès du moment. 
Mais généralement Vista

Fish66 · Answer

Salut, Télécharge TDSSKiller sur ton Bureau. # Décompresse le (clic droit sur le fichier et extraire) sur le bureau. # dans le dossier crée, déplacer le fichier TDSSKiller.exe pour le mettre sur le Bureau # Faire un double clic sur TDSSKiller.exe pour le lancer. # Cliquer sur Start scan pour lancer l'analyse, # Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option Cure est sélectionnée, # Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip. # Puis cliquer sur le bouton Continue. # Attendre l'affichage du fichier rapport. # Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage, cliquer sur le bouton Reboot computer. <<<<<< AIDE : ICI >>>>>> Envoyer en réponse le rapport de TDSSKiller Note : Il se trouve aussi en C:\TDSSKiller.Version_Date_Heure_log.txt

Dr Zero · Answer

Re

Merci de ta prise en main Fish66.

Voici le log de TDSSKILLER
https://www.cjoint.com/?0Ijs7ZjINx2

Je vois qu'il a bine trouver une petite bebette.

Fish66 · Answer

Salut à tous  
Comme a dit Electricien que je le salue au passage, sptd est légitime (Si des objects suspects "Suspicious objects" ont été détectés, sur l'écran de demande de confirmation, laisser l'option sur Skip).   

Ce n'est pas un problème, on continue alors :  
============================  
Avant d'utiliser ComboFix :    
   
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :    

si tu as ce genre de d'outils sur ton pc Utilise Defogger pour les désactiver temporairement : sinon passe directement à combofix    

* Télécharge Defogger (de jpshortstuff) sur  ton Bureau    
* Lance le    

* Une fenêtre apparait : clique sur "Disable"    

* Fais redémarrer l'ordinateur si l'outil te le demande    

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"    

===================================================    

Attention, avant de commencer, lis attentivement la procédure    

********************************************************   

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\    

* Fais un clic droit sur ce lien, enregistre le dans ton bureau sous un autre nom exemple « ton pseudo.exe »    
Voici Aide combofix   

* /!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\    
   

*Double-clique sur ComboFix.exe (ou exécuter en tant qu'administrateur pour vista et seven)    

Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter    

** SURTOUT INSTALLES LA CONSOLE DE RECUPERATION    
(si il te propose de l'installer remets internet)    

? Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC    

*En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.    

* Une fois le scan achevé, un rapport va s'afficher : Poste son contenu    

** /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\    

*Note : Le rapport se trouve également là : C:\ComboFix.txt  
   
   
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Dr Zero · Answer

Bonjour

Ci joint le rapport combofix.
	https://www.cjoint.com/?BIksMmJCaW4

Encore merci

PS : Je n'accède au PC que la journée
Il faut dire que le Pc est un peu poussif, je pense que cela resoudrera le problème, car malgré le nettoyage avec ccleaner et une défrag, il reste long.

Fish66 · Answer

Salut, =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ----------------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : * Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) * Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : * Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes : __________________________________________________ KillAll:: Folder:: c:\documents and settings\Invite\Application Data\pdfforge c:\program files\Software File:: c:\windows\system32\1.tmp Driver:: MEMSWEEP2 Registry:: [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2] "ImagePath"=- __________________________________________________ * Enregistre ce fichier sous le nom CFScript * Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur : cette capture * Combofix se lance, laisse toi guider.. * Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal! * Ne touche à rien tant que le scan n'est pas terminé. * Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis * Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Dr Zero · Answer

Re 
Alors j'ai fait ce que tu m'as dis et voici le rapport après nettoyage :
	https://www.cjoint.com/?BIlnNNCIsO4

Ceci n'en pèche que le PC a une sorte de blocage lors du démarrage ou lancement d'une application.


Merci de tes effort.

Fish66 · Answer

Salut,
Lance ZHPDiag depuis le bureau, lance l'analyse et héberge le rapport. colle le lien dans  ta prochaine réponse

Dr Zero · Answer

Re

Ci vite demander ci vite fait.

Log Zhpdiag : https://www.cjoint.com/?BIlpPjLYS0a


Au lancement de ZHPDiag, il me dit toujours qu'il y a un problème de connexion???

Merci A+

Fish66 · Answer

Re, 1/ Fais la mise à jour de ton windows XP pour passer au pack3! Fais aussi la mise à jour d'internet explorer 2/ Télécharge Dr Web CureIt sur ton Bureau : ? redemarre en mode sans échec ?- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ?- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ?- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ?- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ?- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ?- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ?- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ?- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ?-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite héberge le rapport sur : http://pjjoint.malekal.com/ ?- Ferme Dr.Web Cureit ?- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage). Tu trouves ici: un tutoriel explicatif

Dr Zero · Answer

Bonsoir

Je referai le boulot demain si tu le permets.

Ceci dis j'ai deux questions :
1/ Suis-je obligé de passer au SP3, j'ai eu des problèmes avec sur 2 PC un FIjutsu (une histoire de compatibilité que je n'ai jamais résoudre sauf le formatage et plus de PS3. L'incident était un reboot comme s'il vient de finir une mise à jour de win et impossible à enlever.

2/ La mise à jour IE, ce n'est pas mon navigateur. Alors la mise à jour est-elle obligatoire? Est - il utilisé m^me s'il n'est pas le navigateur par défault.

Je vais le faire mais je parfaire mon savoir.

Merci de ta réponse.

Fish66 · Answer

Salut,
1/
pour éviter les failles de sécurité, on doit garder nos logiciels à jour!
c'est pour cela, même si tu n'utilises pas beaucoup IE, la mise à jour est nécessaire!

2/
* Télécharge WinChk (d'Xplode) sur ton bureau
 * Double clique sur winchk.exe
 * Clique sur le bouton Exécuter
 * Patiente durant la création du rapport..
 * Celui-ci s'affiche à l'écran à la fin de l'analyse. Si rien n'apparaît, le rapport est présent à la racine de votre disque dur : C:\WinChk.txt
  * Poste le rapport sur le forum.

Dr Zero · Answer

Bonsoir

J'en suis encore à l'antivirus  Dr Web CureIt J'ai fait le Scan rapide il a trouvé un fichier (Adobe) qui a été télécharger, je l'ai supprimé.

Juste une note : J'ai remarqué qu'il ne fait plus une étape que tu m'as indiquée et qui aussi dans le tuto : Après le choix de "l'Analyse complète" il ne demande plus le choix des DD mais il prend d'office tous les Médias de stockage cela pourra peut être servir pour les autres.

Il travail et je pense demain je te ferai parvenir le Rapport de  Dr Web CureIt et le rapport de WinChk (d'Xplode).

Aller je vais vous laisser faire de bon rêves.

A+

Dr Zero · Answer

Bonjour

Désolé mais j'ai eu beaucoup de problème pour finir l'analyse avec DrWeb Cureit (courant qui saute et vu le temps de l'analyse j'ai été obligé de le faire plusieurs fois) mais enfin il est là :

	https://www.cjoint.com/?BIosNUEi8Nc

Je passe alors à la suite WinChk (d'Xplode). Je vous rassure j'ai une version légale du Win ;))

Voici le Log : 	https://www.cjoint.com/?0IosSeG8AJA

J'espère ne rien avoir oublié.

Par contre j'ai un symptôme qui n'existait pas avant : Quand je lance le PC et l'accès aux sessions s'affiche, quand je clic sur une sessions il refuse un certain temps (3 - 5 s) il faut s'y prendre à plusieurs reprises. et une lenteur qui est toujours là.

Merci et désolé du retard.

A+

Fish66 · Answer

Salut, 
Réparons les fichiers système :  

* Ouvre ton menu démarrer   

-> Si tu es sur XP, ouvre exécuter, tape cmd et valide par pression sur la touche Enter   

-> Sur Vista/Seven, dans le champ "Recherche" tape cmd , sur le résultat qui apparait, clic droit > exécuter en tant qu'administrateur   

* Dans la fenêtre noire, tape sfc /scannow et laisse Windows réparer les fichiers. 
  
  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Dr Zero · Answer

Bonsoir

Bon voici j'ai lancer un SFC / scannow, puis il me demande d'insérer le CD Rom.
Le PC est un Dell et il n'y avait pas de  CD avec, par contre il y a la partition du Recovry, qui est inaccessible Bien sur normalement.
Il me demande un CD que J'ai Pas et la partition est inaccessible et il ne me propose pas l'option parcourir. Comment faire ?

Merci

Fish66 · Answer

Bonsoir,
Le système d'exploitation de ton PC d'après les rapports fournis est XP SP2!

Comment il existe une partition recovery ? est ce que tu es sure ?

Dr Zero · Answer

Bonjour

Comme c'est un PC Dell, il existe une partition pour faire une restauration d'Usine. Vu que je n'ai pas les CD Win.

JE viens de jeter un coup d'oeil sue le gestionnaire de Disque et je vois qu'il y a une partition de 3 Go qu'il considère comme saine mais inconnu.

Je présume qu'elle est toujours là ma partition de restauration d'origine.

MErci

Fish66 · Answer

Salut,

Fais la mise à jour de ton windows pour passer au pack3

Fish66 · Answer

Re,

Est ce que tu peux me communiquer un nouveau rapport ZHPDiag et le

 rapport : winchk ?  (https://forums.commentcamarche.net/forum/affich-26039895-infection-par-un-rookit#19)



  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Dr Zero · Answer

Bonjour 

Je vois que les WE pour vous c'est boulot. En tous les cas merci pour le dévouement. 

Voici le rapport ZhpDiag  https://www.cjoint.com/?BIqt7c7SSp8 

J'ai vérifié le lien de Winchk il fonctionne. Alors, je n'ai pas compris la question : "rapport : winchk ? ". 



PS : Aujourd'hui je vois qu'il n'arrive pas à installer certaine mise à jour (des mise à jour concernant .NET Framework. Pourquoi ???, il les télécharge et puis n'arrive pas à les installer.Voici la série : 

Mise à jour de sécurité pour Microsoft .NET Framework 2.0 SP2 sous Windows Server 2003 et Windows XP x86 (KB2686828)
Mise à jour de sécurité pour Microsoft .NET Framework version 1.1 SP1 sous Windows XP, Windows Vista et Windows Server 2008 x86 (KB2656370)
Mise à jour de sécurité pour Microsoft .NET Framework version 4 sous Windows XP, Windows Server 2003, Windows Vista, Windows 7 et Windows Server 2008 x86 (KB2656351)
Mise à jour de sécurité pour Microsoft .NET Framework version 4 sous Windows XP, Windows Server 2003, Windows Vista, Windows 7 et Windows Server 2008 x86 (KB2604121)
Mise à jour de sécurité pour Microsoft .NET Framework 3.0 SP2 sous Windows Server 2003 et Windows XP x86 (KB2656407)
Mise à jour de sécurité pour Microsoft .NET Framework 2.0 SP2 sous Windows Server 2003 et Windows XP x86 (KB2656352)
Mise à jour de sécurité pour Microsoft .NET Framework version 1.1 SP1 sous Windows XP, Windows Vista et Windows Server 2008 x86 (KB2656353)
Mise à jour de sécurité pour Microsoft .NET Framework version 3.5 SP1 sous Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 x86 (KB2657424)
Mise à jour de sécurité pour Microsoft .NET Framework version 4 sous Windows XP, Windows Server 2003, Windows Vista, Windows 7 et Windows Server 2008 x86 (KB2656368)
Mise à jour de sécurité pour Microsoft .NET Framework version 4 sous Windows XP, Windows Server 2003, Windows Vista, Windows 7 et Windows Server 2008 x86 (KB2656405)
Mise à jour de sécurité pour Microsoft .NET Framework 2.0 SP2 sous Windows Server 2003 et Windows XP x86 (KB2604092)
Mise à jour de sécurité pour Microsoft .NET Framework version 4 sous Windows XP, Windows Server 2003, Windows Vista, Windows 7 et Windows Server 2008 x86 (KB2686827)
Mise à jour de sécurité pour Microsoft .NET Framework 2.0 SP2 sous Windows Server 2003 et Windows XP x86 (KB2656369)
Mise à jour de sécurité pour Microsoft .NET Framework version 3.5 SP1 sous Windows XP, Windows Server 2003, Windows Vista et Windows Server 2008 x86 (KB2604111)
Mise à jour de sécurité pour Microsoft .NET Framework 3.0 SP2 sous Windows Server 2003 et Windows XP x86 (KB2604110)

A+

Fish66 · Answer

Re,
Tu as raison, le lien fonctionne bien!
=================
Désactive toutes tes protections si possible , antivirus , sandbox , etc.... 

telecharge et enregistre Pre_Scan sur ton bureau : 

http://forums-fec.be/gen-hackman/Pre_Scan.exe 
https://toolslib.net 

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau. 

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill" 

si l'outil est bloqué par l'infection utilise cette version avec extension .pif : 

http://forums-fec.be/gen-hackman/Pre_Scan.pif 

ou cette version renommée winlogon.exe : 

http://forums-fec.be/gen-hackman/winlogon.exe 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan 


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) 

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

Dr Zero · Answer

Hello  

Je n'ai pas abandonné mais le Pré-Scan m'a fait sué. Bloqué par l'infection, j'ai fait ce que tu m'a demandé. Puis c'est le tour de Win, il a été bloqué (toutes les versions du PréScan) : La prévention d'exécution de données .  
Enfin si je raconte cela c'est pour prévenir les suivants, En cas de message de "La prévention d'exécution de données" qu'il fassent attention. :)))  

J'ai fait le Kill et j'ai supprimer un Host, mais je pense que le rapport le dit. 

Bon voici le rapport  
 http://pjjoint.malekal.com/files.php?id=20120918_w8q13d9h8r14    

Merci ;)

Fish66 · Answer

Re, * Telecharge et install link officiel : >>>USBFix ICI<<< ou : >>> ICI <<< (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir * Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris :exécuter en tant qu'administrateur pour vista/seven), l'installation se fera automatiquement * Clique sur "Recherche" * Laisse travailler l'outil * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur : C:\UsbFix.txt )

Dr Zero · Answer

Bonsoir

Bon je ne faire le boulot que demain.
Ceci dit le rapport de PreScan montre t-il une infection (c'est pour ma culture générale ;) ).


MErci pour tout/

Fish66 · Answer

Bonjour,
Pre_Scan a supprimé plusieurs infections y compris celles qui se propagent depuis les disques amovibles!
On va vérifier s'il existe encore ce type d'infection!

Dr Zero · Answer

Bonjour 
Il me refuse complétement le téléchargement, il m'annonce que "la connexion a été réinitialisé", j'ai essayer de le télécharger sur le site de comment ça marche et même problème. je trouve que ce n''est pas normale, n'est ce pas ??? 
J'ai essayé de télécharger d'autres softs sur CCM ça marche.  

Je vien d'essayer sur ZDnet et m^me problème. 

Donc je vais essayer cela demain, je pense que c'est le site de https://www.sosvirus.net/ qu'il y a le problème. 

Je vous dirai cela demain.

PS : Le problème de ce PC est qu'il est public dans une association, et donc je ne peu mettre toutes les USB :(((

 A+

Fish66 · Answer

Salut,
Désactive momentanément ton antivirus puis refais ce qui est 

demandé, si tu as rencontré de nouveau le même problème utilise le mode sans échec avec prise en charge du réseau!
===============================
Démarrage  en Mode sans échec avec prise en charge réseau :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter 
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> démarrer en Mode sans échec avec prise en charge réseau 
puis tape entrée. 
Une fois sur le bureau s'il n'y a pas toutes les couleurs et autres c'est normal ! 
(Si F8 ne marche pas utilise la touche F5)

juju666 · Answer

Salut Pre_Scan n'a pas fonctionné au niveau de la suppression au redémarrage le rapport est vraiment incomplet.

Fish66 · Answer

Salut, 

Oui, d'accord, on va le relancer ultérieurement!  :-)  
  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

juju666 · Answer

re
y'a sûrement du mabezat

Fish66 · Answer

USBFix va confirmer s'il est vraiment lui!

On attend alors...

Dr Zero · Answer

Bonsoir.
Je n'ai rien pu faire aujourd'hui. 
Demain dans la mâtiné je m'y attellerai.

Merci

Dr Zero · Answer

Bonsoir

Désolé pour ce grand retard, mais je n'ai pu faire autrement.
Voici le lien pour le Log d'USBFix https://www.cjoint.com/?BJbssKMvbbE

Juste une chose, c'est un PC en accès libre dans l'Asso et donc je n'ai pu connecter que les clé USB que j'ai trouvé.

A+ et Merci

Fish66 · Answer

Salut,
Le rapport n'existe pas dans le lien envoyé!  :-)
Tu peux  faire copier/coller le rapport directement ici

Dr Zero · Answer

Bonsoir

En effet mais tout était ok au départ, je ne comprend pas.
Enfin voici le rapport en bas :

############################## | UsbFix V 7.097 | [Recherche]

Utilisateur:  Zouzou (Administrateur) # PCF1
Mis à jour le 02/09/2012 par El Desaparecido
Lancé à 18:16:27 | 27/09/2012

Site Web: https://www.sosvirus.net/
Forum: http://forum.eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.php
Contact: contact@eldesaparecido.com

PC: Dell Inc. (Vostro 200) (X86-based PC
CPU: Genuine Intel(R) CPU            2160  @ 1.80GHz (1795)
RAM -> [Total : 2549 | Free : 2041]
BIOS: Phoenix - AwardBIOS v6.00PG
BOOT: Normal boot

OS: Microsoft Windows XP Édition familiale (5.1.2600 32-Bit) # Service Pack 3
WB: Windows Internet Explorer 8.0.6001.18702

SC: Security Center Service [Enabled]
WU: Windows Update Service [Enabled]
FW: Windows FireWall Service [Enabled]

C:\ (%systemdrive%) -> Disque fixe # 71 Go (18 Go libre(s) - 26%) [] # NTFS
D:\ -> Disque fixe # 74 Go (60 Go libre(s) - 80%) [] # NTFS
E:\ -> CD-ROM
F:\ -> Disque amovible # 8 Go (2 Go libre(s) - 24%) [USB20FD] # FAT32
I:\ -> Disque amovible # 4 Go (450 Mo libre(s) - 12%) [] # FAT32

################## | Processus Actif |

C:\WINDOWS\System32\smss.exe (804)
C:\WINDOWS\system32\winlogon.exe (876)
C:\WINDOWS\system32\services.exe (920)
C:\WINDOWS\system32\lsass.exe (932)
C:\WINDOWS\system32\svchost.exe (1124)
C:\WINDOWS\System32\svchost.exe (1292)
C:\WINDOWS\system32\svchost.exe (1332)
C:\Program Files\Alwil Software\Avast5\AvastSvc.exe (1664)
C:\WINDOWS\system32\spoolsv.exe (1776)
C:\WINDOWS\System32\svchost.exe (532)
C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe (1312)
C:\Program Files\Panasonic\TrapMonitor\Trapmnnt.exe (1408)
C:\WINDOWS\system32\svchost.exe (1544)
C:\WINDOWS\system32\wuauclt.exe (136)
C:\WINDOWS\Explorer.EXE (2960)
C:\PROGRA~1\FICHIE~1\MICROS~1\DW\DWTRIG20.EXE (3248)
C:\WINDOWS\System32\svchost.exe (3868)
C:\WINDOWS\system32\igfxtray.exe (3920)
C:\WINDOWS\system32\hkcmd.exe (3968)
C:\WINDOWS\system32\igfxpers.exe (820)
C:\WINDOWS\system32\igfxsrvc.exe (1596)
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe (1496)
C:\WINDOWS\system32\rundll32.exe (1984)
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (2056)
C:\WINDOWS\system32\ctfmon.exe (2148)
C:\WINDOWS\system32\wuauclt.exe (2164)
C:\Program Files\Panasonic\Panasonic-DMS\LRecvTrap\LRecvTrap.exe (2408)
C:\Program Files\Panasonic\Panasonic-DMS\Port Controller\Mfpscdl.exe (2420)
C:\Program Files\Spamihilator\spamihilator.exe (2436)
C:\UsbFix\Go.exe (2824)
C:\Program Files\Alwil Software\Avast5\AvastUI.exe (3044)
C:\WINDOWS\system32\wscntfy.exe (3276)

################## | Éléments infectieux |

Présent! C:\DEMARRER l'APPLICATION SOUS PC.exe
Présent! C:\autorun.PNF

################## | Registre |


################## | Mountpoints2 |



################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


Merci

Fish66 · Answer

Bonsoir,
1/
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir   

* Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris   

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera   

automatiquement   

* Clique sur "Suppression"   
* Laisse travailler l'outil 

* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi  sauvegardé a la racine du disque dur : C:\UsbFix.txt  ) 
 
2/
Relance Pre_scan puis héberge le rapport stp!
S'i y'a eu des problèmes, relance le en mode sans échec!

Bonne nuit

A demain

Dr Zero · Answer

Bonjour

Voici le rapport d'USBFix après lenettoyage :
https://www.cjoint.com/?BJelC6gDsG2

Une question par contre l'une des clés a été utilisé sur un autres PC alors l'infection s'est elle propagée sur le second PC ? Faudrait - il que je lui face un coup d'USBFix ?

Pour le rapport de Pre-Scan il est en cour.

MErci

Fish66 · Answer

Salut,
Oui, il est préférable de lancer USBFix pour l'autre PC, mais je te conseille d'ouvrir carrément un nouveau sujet pour vérifier s'il existe d'autres infections.

Je n'ai pas encore recue le rapport Pre_scan

Dr Zero · Answer

En effet il était encours et je n'était pas dans dans l'assos.
Mais là il est sur le lien :))
	https://www.cjoint.com/?BJetsaIictK

Encore merci du temps consacré.

Fish66 · Answer

Bonsoir,

Comment se comporte ton PC maintenant ?

g3n-h@ckm@n · Answer

bonjour c est quoi cette vieille version de pre_scan qui n'est plus valable depuis chépakombiendtemps ??????    
    
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Fish66 · Answer

Bonjour à tous..

comme a dit g3n-h@ckm@n, la version de Pre_scan est un peu ancienne (Update on 17/09/2012 | 11.00 by g3n-h@ckm@n) 
Supprime alors cette version puis fais ceci  stp : 
Attention !!! : cet outil peut etre détecté à tort comme virus 
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous 

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. 

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc.... 

telecharge et enregistre Pre_Scan sur ton bureau : 

https://forums-fec.be/gen-hackman/Pre_Scan.exe 

si le lien ne fonctionne pas : 

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan 
http://www.archive-host.com 

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau. 

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill" 

si l'outil est bloqué par l'infection utilise cette version avec extension .pif : 

https://forums-fec.be/gen-hackman/Pre_Scan.pif 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan 

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire 

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long) 

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider  
  
 ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

Dr Zero · Answer

Bonjour

OK Ok méaculpa.
J'ai utilisé celui qui avait été télécharger auparavant et vu que le Pc est déconnecté donc aucune proposition de MàJr + manque d'inattention.

Voici le lien pour le Pre_Scan : https://www.cjoint.com/?BJgran57CCU 

LE PC a repris les poiles de la bette et tourne TB.

Dr Zero · Answer

Message pour g3n-h@ckm@n

Bonjour
Je te remercie pour le travail et le soft. Mais j'ai essyé de comprendre pourquoi le Pré_Scan bloquai chez moi et voici ce que j'ai trouvé :

mon XP avait lancé la Prévention de Sécurité et a bloqué le g3n-h@ckm@n (Voici l'image 	https://www.cjoint.com/?BJgrqWmPuCN ). En effet lors de l'exécution une boite de dialogue Win était apparue et j'ai dû mal répondre et le Win l'a bloqué. 
Quand j'avais renommé le soft en aj2zou le scan est allé jusqu'au bout. Je n'y comprend rien mais c'est ce qui m'est arrivé. Peut être cela servira peut être que non.

Encore merci

Fish66 · Answer

Bonsoir,
En attendant si  g3n-h@ckm@n a des remarques concernant 
Pre_scan, tu peux faire ceci :
 Updatechecker :
Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour   
Tu peux l'utiliser une fois par semaine           
=========================================== 

Nettoyage des fichiers et des clés de registre :
* Télécharge et installe CCleaner version Slim               
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis         
* Avancé et décoche la case Effacer uniquement les fichiers etc....         
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.         
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse .         
** Aide ici : https://www.malekal.com/tutoriel-ccleaner/         
Tu peux utiliser Ccleaner une fois par semaine        

===========================================    
Purger les points de restauration système:   

* Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens :   

Windows XP    

Windows Vista    

Windows 7    

* Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ...   

===========================================    
Conseils :       
1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules          
complémentaires WOT pour t'indiquer les fichiers douteux et Adblock plus pour bloquer les publicités...         

2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine.          

3/ Un peu de lecture :        
* Les dangers du Peer-To-Peer, Emule etc..         
* Comment Sécuriser son ordinateur...        
*Pourquoi et comment je me fais infecter   
 *pourquoi maintenir son navigateur à jour

Dr Zero · Answer

Bonsoir

Donc je présume que mon dernier rapport Pre-Scan est clean.

A part Updatecheker le reste je connais et je les utilises. Sauf les modules de firefox, mais je vais voir cela rapidement.

Merci pour tout et bon courage.

g3n-h@ckm@n · Answer

hello

cette partition me laisse perplexe :


0    0    DE-UNKNWN   47M   No    No            63       96,327


================

ensuite j'aurais bien voulu voir un raport de l'option "Diag"

Dr Zero · Answer

Bonjour

Je viens de faire le scan avec l'option Diag. Espère que c'est OK.

http://cjoint.com/?BJjmAqbsvxq

g3n-h@ckm@n · Answer

Plus je le regarde , plus je le trouve bizarre ce XP .... ^^

si presents desinstalle la suite SPAMFighter/SPAMIHILATOR c'est du vent ces trucs-là
desinstalle RogueRemover , c'est malwarebytes qui fait son travail depuis deux ans , il n'est plus tenu à jour

 ===============================================

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BJjpkpdll7c

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Dr Zero · Answer

Bonjour

C'est bon j'ai fait tout ce qui a été demandé et voici le log :

	https://www.cjoint.com/?BJjrR0YQThr 

Merci pour tout

g3n-h@ckm@n · Answer

malwarebytes à jour + scan complet + suppression + rapport

Dr Zero · Answer

Bonsoir

Bon, le log du MalwareByte MàJr est ici :

http://cjoint.com/?BJktoEj4Gkc

Par contre si le PC avait repris les poiles de la bette et  commençait à fonctionner assez bien, là je remarque qu'il a régressé encore.
Une certaine lenteur quand j'exécute une commande : 
Exp : quand je lance Poste Travail ou  Mozilla (un retard que je trouve anormal). Ou aussi au lancement des sessions, quand je clic sur la sessions il me met 10s voir plus avant qu'il ne me permette de saisir le Mot de passe.

Certes le PC est un petit core duo (1,8 GHz) avec 2,5 Go RAM, mais bon c'est largement suffisant pour le surf et la bureautique.

Avant l'infection il était plus rapide.

Que faire ?

g3n-h@ckm@n · Answer

et hormis la lenteur ?

Dr Zero · Answer

Bonsoir

Hormis la lenteur je dirai que ça va.

Mais alors y a t-il une solution à ce problème ou il faut faire avec.

Merci

g3n-h@ckm@n · Answer

re

fais le menage voir :

https://gen-hackman.kanak.fr/

Infection par un Rookit

55 réponses

Discussions similaires