win32/olmarik.tdl4 cheval de troie objet mémoire vive Résolu/Fermé

Question

Bonjour,

j'ai vraiment besoin de votre aide, j'espère que l'on va me répondre.


J'ai nettoyé pas mal de cochonneries sur mon ordinateur. Mais ESET n'arrive pas a supprimer un cheval de troie nommé Win32/Olmarik.TDL4 situé apparement dans la mémoire vive. J'ai essayé Malwarebytes, spybot, en mode normal ou mode sans échec, en vain. Sur tous les forums on a parlé de ce virus, seulement il semblerait qu'il faille utiliser des logiciels comme hitjack this que je ne connais pas du tout, et j'ai peur de rendre inutilisable mon ordinateur.

Est ce que quelqu'un saurait me venir en aide? Merci d'avance !!

Utilisateur anonyme · Answer

Bonsoir

[*] Télécharger sur le bureau RogueKiller (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+

Utilisateur anonyme · Answer

Merci beaucoup Guillaume 5188 d'avoir répondu. Alors j'ai téléchargé Roguekiller by tigzy x64. voici le rapport: RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur : Tina [Droits d'admin] Mode : Recherche -- Date : 22/05/2013 00:11:40 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 11 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJPOL] HKLM\[...]\Wow6432Node\System : DisableRegistryTools (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ [HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Root.MBR ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK6465GSX +++++ --- User --- [MBR] 9f9c3946f13ab4c981155f57110c5a1f [BSP] a68692203244f3dafd825b0e23fa9c2a : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625461248 | Size: 305069 Mo User != LL1 ... KO! --- LL1 --- [MBR] fce13436eff2af886a93cc57dcb9160b [BSP] a68692203244f3dafd825b0e23fa9c2a : Windows 7/8 MBR Code [possible maxSST in 3!] Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625461248 | Size: 305069 Mo 3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 1250260992 | Size: 1 Mo User != LL2 ... KO! --- LL2 --- [MBR] fce13436eff2af886a93cc57dcb9160b [BSP] a68692203244f3dafd825b0e23fa9c2a : Windows 7/8 MBR Code [possible maxSST in 3!] Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625461248 | Size: 305069 Mo 3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 1250260992 | Size: 1 Mo Termine : << RKreport[1]_S_22052013_001140.txt >> RKreport[1]_S_22052013_001140.txt

Utilisateur anonyme · Answer

Re

Relance RogueKiller option suppression et poste moi ce nouveau rapport  ;merci

Utilisateur anonyme · Answer

Voici le rapport après avoir coché la case suppression: RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode normal Utilisateur : Tina [Droits d'admin] Mode : Suppression -- Date : 22/05/2013 00:21:06 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 8 ¤¤¤ [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1) [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Infection : Root.MBR ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost 127.0.0.1 www.007guard.com 127.0.0.1 007guard.com 127.0.0.1 008i.com 127.0.0.1 www.008k.com 127.0.0.1 008k.com 127.0.0.1 www.00hq.com 127.0.0.1 00hq.com 127.0.0.1 010402.com 127.0.0.1 www.032439.com 127.0.0.1 032439.com 127.0.0.1 www.0scan.com 127.0.0.1 0scan.com 127.0.0.1 1000gratisproben.com 127.0.0.1 www.1000gratisproben.com 127.0.0.1 1001namen.com 127.0.0.1 www.1001namen.com 127.0.0.1 100888290cs.com 127.0.0.1 www.100888290cs.com 127.0.0.1 www.100sexlinks.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK6465GSX +++++ --- User --- [MBR] 9f9c3946f13ab4c981155f57110c5a1f [BSP] a68692203244f3dafd825b0e23fa9c2a : Windows 7/8 MBR Code Partition table: 0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625461248 | Size: 305069 Mo User != LL1 ... KO! --- LL1 --- [MBR] fce13436eff2af886a93cc57dcb9160b [BSP] a68692203244f3dafd825b0e23fa9c2a : Windows 7/8 MBR Code [possible maxSST in 3!] Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625461248 | Size: 305069 Mo 3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 1250260992 | Size: 1 Mo User != LL2 ... KO! --- LL2 --- [MBR] fce13436eff2af886a93cc57dcb9160b [BSP] a68692203244f3dafd825b0e23fa9c2a : Windows 7/8 MBR Code [possible maxSST in 3!] Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 305000 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 625461248 | Size: 305069 Mo 3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 1250260992 | Size: 1 Mo Termine : << RKreport[3]_D_22052013_002106.txt >> RKreport[1]_S_22052013_001140.txt ; RKreport[2]_S_22052013_001730.txt ; RKreport[3]_D_22052013_002106.txt

Utilisateur anonyme · Answer

Re

Tu as embarqué un virus de MBR.
l
* Télécharger aswMBR sur le Bureau. 
* Double cliquer sur aswMBR.exe pour l'exécuter (Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN 
* Cliquer sur le bouton «Scan» 
* Cliquer sur "Report" et coller le rapport dans la réponse 


@+

Utilisateur anonyme · Answer

J'ai téléchargé aswMBR, je l'ai déplacé sur le bureau mais quand je clique sur Exécuter en tant qu'admin. rien ne se passe :/
Je double click sur l'icone?

Utilisateur anonyme · Answer

Re

 Télécharge TDSSKiller 

    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    * Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.


Si TDSS.tdl2 est détecté: l'option delete sera cochée par défaut. 
Si TDSS.tdl3 est détecté: assure toi que Cure est bien cochée. 
Si TDSS.tdl4(\HardDisk0\MBR) est détecté: assure toi que Cure est bien cochée. 
Si Rootkit.Win32.ZAccess.* est détecté : règle sur "cure" en haut , et "delete" en bas 
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
une fois qu'il a terminé , redémarre s'il te le demande pour finir de nettoyer 

sinon , ferme TDSSKiller et le rapport s'affichera sur le bureau
 
Sinon il est enregistré ici : C:\TDSSKiller_N°Version_Date_Heure.txt :
  
Poste moi son rapport à l'issue; merci


@+

Utilisateur anonyme · Answer

J'ai téléchargé TDSSKiller, créé un dossier sur le bureau lancé l'analyse, et comme résultat il me met: 

Rootkit.Boot.SST.b 
Physical drive: /device/harddisk0/DR0
Malware object, high risk

Cure est affiché automatiquement. Je continue, je déplace en quarantaine, je restaure ou je passe ?

Utilisateur anonyme · Answer

J'ai donc cliqué sur Cure, rebooter le système, et refait une analyse comme conseillé par le programme. Il n'a rien trouvé sur les 424 objets analysés. Voulez vous que je vous copie le rapport de ce scan ?

Utilisateur anonyme · Answer

Re

Ton antivirus relève t'il encore une quelconque infection?
Une nouvelle analyse peut être?

@+

Utilisateur anonyme · Answer

Re


On avance ;merci

Utilisateur anonyme · Answer

Aucune infection selon l'analyse intelligente d' ESET. D'autres recommandations ?

Utilisateur anonyme · Answer

Re

Plus d'infection MBR?

Utilisateur anonyme · Answer

Je sais pas lire les rapports de Rogue Killer. Je lance un nouveau scan et je te le copie?

Utilisateur anonyme · Answer

Re

Je parle d'un rapport; voir d'une alerte de ton antivirus

@+ 
 
           --------Contributeur Sécurité---------
On a tous été un jour débutant dans quelque chose.
Mais le savoir est la récompense de l'assiduité.

Utilisateur anonyme · Answer

Non, l'analyse s'est bien passé, aucune alerte au démarrage, ni pendant le scan. Le rapport n'a rien trouvé, de la part d'ESET en tout cas.

Dois-je faire un scan Roguekiller, ou lancer aswMBR pour être sur d'avoir un registre sain ?

Utilisateur anonyme · Answer

Re

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

 
Clique sur  la loupe avec le signe +   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Utilisateur anonyme · Answer

et voici le lien suite au scan de ZHPDiag.txt.

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130522_i7x5h7e7t11

Utilisateur anonyme · Answer

Re

1) Désinstalle Spybot;logiciel obsolète


2)Mets à jour ton Windows via Windows Update

A l'issue poste moi un nouveau rapport ZHPDiag;merci

@+

Utilisateur anonyme · Answer

La version 2.0 de spybot est sortie il y a 2 semaines. Il était obsolète.

Je n'arrivais ni a faire la mise a jour windows service pack 1 (annulation de la configuration du service pack 1 au bout de 40% au redémarrage), ni restaurer le système en mode usine (l'écran se bloquait sur "windows charge les fichiers" lorsque je faisais: F8, réparer le système.

Penses tu que cela provenait du virus ou il y a autre chose encore ?

Utilisateur anonyme · Answer

Re

Tu fais pour le mieux !!!
je ne donnes que des conseils à appliquer.
Tu en fais ce que tu en veux
Fais moi savoir si tu veux suivre ou non ces conseils,merci

@+

Utilisateur anonyme · Answer

En fait je pensais formater le PC à l'état d'usine pour me débarrasser des petites cochonneries qui pouvaient trainer sur le Disque C depuis 2 ans, et réinstaller certains logiciels TOSHIBA d'origine que j'ai désinstallé par stupidité (gain de place) afin de remettre vraiment l'ordi à neuf. Et installer toutes les mises à jour windows par la suite bien entendu.

Utilisateur anonyme · Answer

Re

Tu peux réinstaller mais si tu fais ensuite la même chose en terme de navigation et téléchargement;cela ne mènera à rien de bon 

@+

Utilisateur anonyme · Answer

Ce n'est pas mon ordinateur. Mais je prendrais soin d'engueuler une nouvelle fois la personne qui l'utilise. Même si je ne trouve pas de moyen de la convaincre. A part peut être la prochaine fois se débrouiller seule pour désinfecter son PC. 

Bon, je tente de réinstaller le système et de faire les mises à jour. Tout ça terminé, je reviens vers toi Guillaume5188, pour le lien résultant du nouveau scan. Merci infiniment de ton aide, en tout cas. Moi qui croyait qu'aucune infection ne pouvait me resister, sans ton aide, je n'y serais jamais arrivé, merci beaucoup !

Utilisateur anonyme · Answer

Re

Bonne soirée et bonne nuit

Je reste à l'écoute 

@+

Utilisateur anonyme · Answer

Un dernier conseil, j'utilise CC Cleaner, Glary utilities, microsoft security essential, malware bytes, auslogics defrag, iobit uninstaller et spybot (obsolète donc). as tu des conseils pour améliorer mon nettoyage hebdomadaire sur cet ordi ?

Utilisateur anonyme · Answer

Merci a vous d'eux pour vos réponses. Je vais me renseigner sur windows stady Tate. Je vais aussi essayer de planifier des tâches de nettoyage vu que l'utilisateur ne s'en servira jamais même si je lui ai fait un dossier spécial sur le bureau. En fait j'utilise glary pour les programmes au démarrage, les doublons ce genre de petits trucs....pour spybot vous avez une solution de rechange ? 
En tout cas merci beaucoup guillaume5188, le formatage et les mises a jour marchent de nouveau, l'ordinateur est comme neuf. Espérons qu'il le soit le plus longtemps possible :/. 

Bonne soirée a vous. A demain pour de nouveaux conseils si vous en avez et pour mon scan du système mis a jour

Utilisateur anonyme · Answer

Re

On finalise pour moi
 Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

 Réactiver l'UAC
 Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
 Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras 
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt 



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

 
 @+

Win32/olmarik.tdl4 cheval de troie objet mémoire vive

28 réponses

Discussions similaires