Rapport zhdiag pour suppression trojan

[Résolu/Fermé]
Signaler
-
 Utilisateur anonyme -
Bonsoir,

J'ai essayé de supprimer le virus tr/atraps avec malwarebytes, mais je me suis aperçu que d'autre virus du même genre apparaissaient. J'ai fait un diagnostic ZHDiag dont je poste le rapport sous ce lien : http://www.cjoint.com/?ODcvnq9Q6Fy
Merci d'avance si quelqu'un peut m'aider à l'analyser et me guider sur une démarche à suivre.

32 réponses


Bonsoir

[*] Télécharger sur le bureau RogueKiller (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

Bonsoir Guillaume,
Merci beaucoup pour la rapidité de la réponse, je tente tout ça demain et vous donne des nouvelles...
Bonjour,

Comme convenu, voici le rapport de roguekiller

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : user [Droits d'admin]
Mode : Recherche -- Date : 03/04/2013 08:26:06
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$bda9abc4e8014eea6d95e3b1d412ca2a\@ [-] --> TROUVÉ
[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-448539723-2049760794-725345543-1003\$bda9abc4e8014eea6d95e3b1d412ca2a\@ [-] --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$bda9abc4e8014eea6d95e3b1d412ca2a\U --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-448539723-2049760794-725345543-1003\$bda9abc4e8014eea6d95e3b1d412ca2a\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$bda9abc4e8014eea6d95e3b1d412ca2a\L --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-448539723-2049760794-725345543-1003\$bda9abc4e8014eea6d95e3b1d412ca2a\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xF7D9EB5C)
SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xF7D9EB16)
SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xF7D9EB66)
SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF7D9EB0C)
SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xF7D9EB1B)
SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xF7D9EB25)
SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xF7D9EB57)
SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xF7D9EB2A)
SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xF7D9EAF8)
SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xF7D9EAFD)
SSDT[177] : NtQueryValueKey @ 0x8056A499 -> HOOKED (Unknown @ 0xF7D9EB7F)
SSDT[193] : NtReplaceKey @ 0x8064FFD4 -> HOOKED (Unknown @ 0xF7D9EB34)
SSDT[200] : NtRequestWaitReplyPort @ 0x8056DD06 -> HOOKED (Unknown @ 0xF7D9EB70)
SSDT[204] : NtRestoreKey @ 0x8064FB69 -> HOOKED (Unknown @ 0xF7D9EB2F)
SSDT[213] : NtSetContextThread @ 0x8062E763 -> HOOKED (Unknown @ 0xF7D9EB6B)
SSDT[237] : NtSetSecurityObject @ 0x8059818F -> HOOKED (Unknown @ 0xF7D9EB75)
SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xF7D9EB20)
SSDT[255] : NtSystemDebugControl @ 0x8064ABAB -> HOOKED (Unknown @ 0xF7D9EB7A)
SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xF7D9EB07)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7D9EB8E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7D9EB93)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6K040L0 +++++
--- User ---
[MBR] 1dc963f77ead6bca75343a895942b7a5
[BSP] 416df3f7635b403e0e4ccc61bab528cb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39197 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_03042013_082606.txt >>
RKreport[1]_S_03042013_082606.txt

Encore merci pour votre aide

Bonsoir

Relance RogueKiller et passe à l'option suppression
Poste moi ce nouveau rapport;merci

@+
Bonsoir,

Voilà le nouveau rapport

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : user [Droits d'admin]
Mode : Recherche -- Date : 03/04/2013 20:11:32
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xF7D9EB5C)
SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xF7D9EB16)
SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xF7D9EB66)
SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF7D9EB0C)
SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xF7D9EB1B)
SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xF7D9EB25)
SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xF7D9EB57)
SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xF7D9EB2A)
SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xF7D9EAF8)
SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xF7D9EAFD)
SSDT[177] : NtQueryValueKey @ 0x8056A499 -> HOOKED (Unknown @ 0xF7D9EB7F)
SSDT[193] : NtReplaceKey @ 0x8064FFD4 -> HOOKED (Unknown @ 0xF7D9EB34)
SSDT[200] : NtRequestWaitReplyPort @ 0x8056DD06 -> HOOKED (Unknown @ 0xF7D9EB70)
SSDT[204] : NtRestoreKey @ 0x8064FB69 -> HOOKED (Unknown @ 0xF7D9EB2F)
SSDT[213] : NtSetContextThread @ 0x8062E763 -> HOOKED (Unknown @ 0xF7D9EB6B)
SSDT[237] : NtSetSecurityObject @ 0x8059818F -> HOOKED (Unknown @ 0xF7D9EB75)
SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xF7D9EB20)
SSDT[255] : NtSystemDebugControl @ 0x8064ABAB -> HOOKED (Unknown @ 0xF7D9EB7A)
SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xF7D9EB07)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xF7D9EB8E)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xF7D9EB93)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Maxtor 6K040L0 +++++
--- User ---
[MBR] 1dc963f77ead6bca75343a895942b7a5
[BSP] 416df3f7635b403e0e4ccc61bab528cb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 39197 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[4]_S_03042013_201132.txt >>
RKreport[1]_S_03042013_082606.txt ; RKreport[2]_D_03042013_200104.txt ; RKreport[3]_D_03042013_201039.txt ; RKreport[4]_S_03042013_201132.txt



Encore merci

Re

Ce n'est pas le bon rapport ;mais ce n'est pas grave ;-)

Tu passes à ceci:

Télécharge Malwaresbytes anti malware ici
https://www.commentcamarche.net/download/telecharger-34055379-malwarebytes-anti-malware


* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista ;Seven ou Windows 8 (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)



@+
Ok, je vais le faire. J'ai déjà utilisé malwaresbytes...
J'ai pas trop compris pourquoi c'était pas le bon rapport, mais si cela ne fait rien, on va pas aller s'embêter...
@+
Utilisateur anonyme
Je voulais le rapport suppression ;-)
Oui,dsl, le scan malwarebytes a été très long, puis, il a fallu que je redémarre. Là, il a été très long, très difficile d'ouvrir malwarebytes, puis impossible d'ouvrir le rapport. J'ai tout éteint, je rallumerais demain maintenant en espérant qu'il veuille bien fonctionner...
A demain
Bonjour,

Ci-joint, le rapport malwaresbytes. Il est court, j'espère que c'est le bon, j'ai pris le dernier en date :

2013/04/04 00:06:58 +0200 GI-79C4B22B0C26 user MESSAGE IP Protection started successfully
2013/04/04 09:36:35 +0200 GI-79C4B22B0C26 MESSAGE Starting protection
2013/04/04 09:36:35 +0200 GI-79C4B22B0C26 MESSAGE Protection started successfully
2013/04/04 09:36:35 +0200 GI-79C4B22B0C26 MESSAGE Starting IP protection
2013/04/04 09:50:35 +0200 GI-79C4B22B0C26 user MESSAGE IP Protection started successfully

Bonne journée
Utilisateur anonyme
Bonsoir

Ce n'est pas le bon rapport
Bonsoir, dsl, mais je ne sais plus quel rapport envoyer, j'ai pris le dernier en date... (fallait il faire un nouveau scan après la suppression ?
J'ai remarqué que 1 dossier mentionné par le premier rapport ZHdiag :
C:\WINDOWS\system32\drivers\etc\hosts ainsi qu'1 entrée du registre : HKLM\....NewStartPanel.... Sont toujours là, croyez vous que l'on puisse les enlever manuellement ?

Si on y arrive pas, cela ne fait rien, je l'amènerais à un dépanneur... car hier soir, j'ai eu des problèmes de lenteur et blocage et ce matin du mal à la redémarrer...

Re

Regarde dans l'onglet rapports/logs de Malwaresbytes ;il doit y avoir un autre rapport

@+
Il y en a 8 et celui que j'ai envoyé est le dernier
Utilisateur anonyme
Il doit y en avoir un autre le même jour
Non, dsl
Peut être que cela a mal fonctionné, vu que l'ordinateur a bloqué.

Re

Télécharge TDSSKiller

*Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
* Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée.
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau

Sinon il est enregistré ici : C:\TDSSKiller_N°Version_Date_Heure.txt

Poste moi son rapport à l'issue; merci


@+
Ok, je fais ça... Ne vous inquiétez pas, rapport surement demain car je dois partir ce soir. Merci
@+
Oups, lorsque je veux télécharger tdsskiller, j'ai page error 404... Ah l'informatique !!!!
J'ai fait le scan, apparemment il n'a rien détecté. Je n'arrive pas à envoyer le rapport (qui est assez long), je n'arrive pas à faire le copier coller

Bonjour

Pour transmettre le rapport clique sur ce lien :


http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload
https://www.cjoint.com/


Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
Clique sur Ouvrir.

Clique sur "Envoyer le fichier".

Un lien de cette forme :

http://pjjoint.malekal.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

@+
Bonjour,

Voici un lien, mais je ne pense pas que ce soit bon vu qu'il n'y a aucun moyen d'enregistrer, ni copier/coller le rapport...
Utilisateur anonyme
Il n'y a aucun lien !!!
Non, avec le lien que tu m'as donné pour télécharger TDSSkiller, quand je fais éxécuter, ça fait le scan direct. Ensuite, il y a une fenêtre qui me dit en anglais qu'il n'y a pas eu de menace trouvée, sur la droite, j'ai cliquer sur report, ça me donne effectivement un rapport, mais rien pour l'enregistrer et impossible de copier/coller
Utilisateur anonyme
Sinon il est enregistré ici : C:\TDSSKiller_N°Version_Date_Heure.txt
Ah oui, super ! Le voici :

http://pjjoint.malekal.com/files.php?id=20130405_r10r7t9o8h7

Re

Poste moi justement un nouveau rapport ZHPDiag ;merci

@+