Infection etonnante et recalcitrante
Linant
-
Utilisateur anonyme -
Utilisateur anonyme -
Etonnant probleme..
Je pense etre infecté par un élément non désiré(!) car :
- lorsque je lance Ccleaner, celui-ci s'ouvre une fraction de seconde, puis se referme.
- après l'avoir désinstallé à l'aide de JV16, je veux selectionner le repertoire CCleaner sur le C:\: impossible car la fenetre de l'explorateur se referme de suite..
- plus fort : je frappe ccleaner sur le moteur de recherche internet : la page web se referme instantanément!! (meme avec une phrase du style : "probleme connu ccleaner fermeture intempestive"
J'ai bien évidemment déjà passé plusieurs anti virus et autres nettoyeurs sans éradiquer ce problème
Très fort le programmeur du ver ou virus...
Pouvez-vous me guider pour éliminer cela, sans désinstallation?
Merci beaucoup.
Je pense etre infecté par un élément non désiré(!) car :
- lorsque je lance Ccleaner, celui-ci s'ouvre une fraction de seconde, puis se referme.
- après l'avoir désinstallé à l'aide de JV16, je veux selectionner le repertoire CCleaner sur le C:\: impossible car la fenetre de l'explorateur se referme de suite..
- plus fort : je frappe ccleaner sur le moteur de recherche internet : la page web se referme instantanément!! (meme avec une phrase du style : "probleme connu ccleaner fermeture intempestive"
J'ai bien évidemment déjà passé plusieurs anti virus et autres nettoyeurs sans éradiquer ce problème
Très fort le programmeur du ver ou virus...
Pouvez-vous me guider pour éliminer cela, sans désinstallation?
Merci beaucoup.
A voir également:
- Infection etonnante et recalcitrante
- [Pnkbstra]infection ✓ - Forum Virus
- Infection virus ✓ - Forum Virus
- Infection Bloom ? ✓ - Forum Virus
- Infection winrmsrv ✓ - Forum Virus
- Infection fahcore_a8 ✓ - Forum Virus
88 réponses
download ceci:
http://aknow.prevx.com/zeroL/21T6142.exe
Installes-le, et lançes-le.
postes le log
C:\gromozon_removal.txt
http://aknow.prevx.com/zeroL/21T6142.exe
Installes-le, et lançes-le.
postes le log
C:\gromozon_removal.txt
1er lancement, avorté cause sans doute trop de progs se lançant simultanément. ==> résultat du log: fichier vide
2iem lct ss echec : pas trouvé Gromozon, ddé à rebooter.
3ième lct en mode normal (en ayant pris soin de désactiver ts les progs lancés à l'ouverture) ==> résultats:
- 1 mess d'erreur "Error acces violation at 0x0040496F (tried to write to 0x00000400), program terminated."
- Fichier log avec des infos dedans :
=======================================
Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\aux.mqx
\\?\C:\WINDOWS\system32\aux.mqx
Resetting file permissions...
Clearing attributes...
AccŠs refus‚ - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...
Removing temp files...
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
======================================
Je pense qu'on avance...
2iem lct ss echec : pas trouvé Gromozon, ddé à rebooter.
3ième lct en mode normal (en ayant pris soin de désactiver ts les progs lancés à l'ouverture) ==> résultats:
- 1 mess d'erreur "Error acces violation at 0x0040496F (tried to write to 0x00000400), program terminated."
- Fichier log avec des infos dedans :
=======================================
Removal tool loaded into memory
------------------------------------
Executing rootkit removal engine....
------------------------------------
Disabling rootkit file: \\?\C:\WINDOWS\system32\aux.mqx
\\?\C:\WINDOWS\system32\aux.mqx
Resetting file permissions...
Clearing attributes...
AccŠs refus‚ - C:\_cleaned.tmp
Removing file...
Rootkit removed! Cleaning up...
Removing temp files...
Removal tool loaded into memory
Gromozon rootkit component not detected - searching for other components
======================================
Je pense qu'on avance...
Comment se comporte la machine ?
Essayes de relancer un scan de SuperAntispyware , pour voir si le comportement de la machine a changé
Essayes de relancer un scan de SuperAntispyware , pour voir si le comportement de la machine a changé
Meme pb, c cleaner (en un seul mot) comme recherche sur Google ferme la fenetre IE.
J'ai relancé SuperAntispyware :
1ere fois : la fenetre à disparu en cours de travail.
2ièm fois :
- trouvé : 136 Adware.tracking cookie + 1 trojan.M32Lock/Brooktree
- nettoyé l'ensemble
Vérification si le fichier porteur (c:\windows\system32\kls48.bin) était bien disparu : Ok
3ièm Lct pour vérif si de nouveau qq chose ? ==> fenetre à disparu en cours de travail.
4ièm Lct : 1 cookie, puis fenetre disparait...
Le pb est encore là..
Cdlt.
J'ai relancé SuperAntispyware :
1ere fois : la fenetre à disparu en cours de travail.
2ièm fois :
- trouvé : 136 Adware.tracking cookie + 1 trojan.M32Lock/Brooktree
- nettoyé l'ensemble
Vérification si le fichier porteur (c:\windows\system32\kls48.bin) était bien disparu : Ok
3ièm Lct pour vérif si de nouveau qq chose ? ==> fenetre à disparu en cours de travail.
4ièm Lct : 1 cookie, puis fenetre disparait...
Le pb est encore là..
Cdlt.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok,
en somme on avance:
"- trouvé : 136 Adware.tracking cookie + 1 trojan.M32Lock/Brooktree
- nettoyé l'ensemble "
Question , tu étais en normal, ou mode sans échec ?
je préconnise le mode sans échec .
en somme on avance:
"- trouvé : 136 Adware.tracking cookie + 1 trojan.M32Lock/Brooktree
- nettoyé l'ensemble "
Question , tu étais en normal, ou mode sans échec ?
je préconnise le mode sans échec .
Je te le conseille vivement.
--------------------------------------------
Ce que tu as chopé est une belle "me...", en général sites Italiens.
ou alors avec un de ces trucs:
"# LinkOptimizer
# Link Optimizer
# ConnectionKnight
# ConnectionService
# ConnectionGuard
# MetaGuard
# MetaShield
# Power Verify
# PowerOptimizer
# InternetOptimizer
# InternetPaladin
# StrongestGuard
# SecurityOptimizer
# StrongestOptimizer
# StrongestService
# SecurityGuard
# StrongestPaladin
# SecurityVerifier"
----------------------------------------------------------
download ceci aussi:
https://download.bleepingcomputer.com/Merijn/adsspy.zip
lances-le, (choisis NTFS)
--------------------------------------------
télécharge ceci:
http://www.libellules.ch/...
--------------------------------------------
Ce que tu as chopé est une belle "me...", en général sites Italiens.
ou alors avec un de ces trucs:
"# LinkOptimizer
# Link Optimizer
# ConnectionKnight
# ConnectionService
# ConnectionGuard
# MetaGuard
# MetaShield
# Power Verify
# PowerOptimizer
# InternetOptimizer
# InternetPaladin
# StrongestGuard
# SecurityOptimizer
# StrongestOptimizer
# StrongestService
# SecurityGuard
# StrongestPaladin
# SecurityVerifier"
----------------------------------------------------------
download ceci aussi:
https://download.bleepingcomputer.com/Merijn/adsspy.zip
lances-le, (choisis NTFS)
--------------------------------------------
télécharge ceci:
http://www.libellules.ch/...
Eh bien Philo, tu n'est vraiement pas sans ressources!
Merci encore pour l'implication.
Je quitte le tarmac pour ce soir. Je reprendrais, je l'espère (si pas rentré trop tard et pas trop fatigué, demain, mais de toute façon ds la semaine)
Dernière infos:
ADS à trouvé en mode ss echec : "C:\Documents and Settings\All Users\Application Data\TEMP : 2A81F9CE (97 bytes)", que j'ai deleté bien sur.
J'ai bien telechargé Darspy, mais tu l'a supprimé dans ton nouveau post...
A bientot et bonne soirée à toi!
Cdlt.
Merci encore pour l'implication.
Je quitte le tarmac pour ce soir. Je reprendrais, je l'espère (si pas rentré trop tard et pas trop fatigué, demain, mais de toute façon ds la semaine)
Dernière infos:
ADS à trouvé en mode ss echec : "C:\Documents and Settings\All Users\Application Data\TEMP : 2A81F9CE (97 bytes)", que j'ai deleté bien sur.
J'ai bien telechargé Darspy, mais tu l'a supprimé dans ton nouveau post...
A bientot et bonne soirée à toi!
Cdlt.
Supprimé,non, j'ai simplement mis un tuto plus facile.
http://www.libellules.ch/...
le lien du download ( dans la page) abouti sur la même page que précédemment.
http://www.libellules.ch/...
le lien du download ( dans la page) abouti sur la même page que précédemment.
Bonsoir,
De retour, je me suis empressé de lancer Darspy:
1) Sous xp : m'a fait rebooter la machine dès que j'ai lancé l'executable!
2) Tentative en mode ss echec : message d'erreur "Darspy failed to start" !
3) Par sécurité j'ai re-téléchargé le logiciel (.rar), puis relancé sous xp : même pb : le pc à rebooté !
ça continue !
Cdlt.
De retour, je me suis empressé de lancer Darspy:
1) Sous xp : m'a fait rebooter la machine dès que j'ai lancé l'executable!
2) Tentative en mode ss echec : message d'erreur "Darspy failed to start" !
3) Par sécurité j'ai re-téléchargé le logiciel (.rar), puis relancé sous xp : même pb : le pc à rebooté !
ça continue !
Cdlt.
Pas mal la bestiole !
Essayes ceci:
http://beta.grisoft.cz/beta/betarep.files/antirootkit/AVG_AntiRootkit_1.0.0.13.exe
Essayes ceci:
http://beta.grisoft.cz/beta/betarep.files/antirootkit/AVG_AntiRootkit_1.0.0.13.exe
je suis avidement votre discussion, même probleme actuellement.
il est apparu suite à l'identification et la destruction (?) de link.optimizer par Kasperski. Impossible de prononcer le mot : C CL... et HI .. JACK...
sniff !
il est apparu suite à l'identification et la destruction (?) de link.optimizer par Kasperski. Impossible de prononcer le mot : C CL... et HI .. JACK...
sniff !
https://www.clubic.com/telecharger-fiche17865-rootkit-revealer.html
j'ai testé rootkit revealer
HKLM\S-1-5-21-1606980848-343818398-839522115-1004\RemoteAccess\InternetProfile 21/01/2005 18:11 7 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1606980848-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Cebtenz Svyrf\Birearg\vapbzvat\pnegb Vta Pnegbani Pnegbrkcyberhe Onlb Colb Hgvyf & 03/04/2007 17:52 16 bytes Hidden from Windows API.
HKLM\S-1-5-21-1606980848-343818398-839522115-1004\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 10/01/2007 11:50 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 18/12/2004 13:30 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\rtg.clubplayer\CLSID\ 20/06/2005 14:32 39 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\rtg.portofino\CLSID\ 11/04/2005 15:04 39 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 19/12/2004 23:10 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg41 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg42 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg43 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg44 21/12/2004 01:32 0 bytes Hidden from Windows API.
C:\Documents and Settings\Bernard\Recent\Bac-Buster.lnk 28/02/2007 14:01 615 bytes Visible in Windows API, MFT, but not in directory index.
C:\Documents and Settings\Bernard\Recent\BB10.lnk 28/02/2007 14:06 531 bytes Visible in Windows API, MFT, but not in directory index.
C:\Documents and Settings\Bernard\Recent\Eula.lnk 03/04/2007 17:57 1.37 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Bernard\Recent\rootkit-revealer_rootkit_revealer_1.71_anglais_17865 (2).lnk 03/04/2007 17:57 1.04 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Bernard\Recent\RootkitRevealer.lnk 03/04/2007 17:57 1.42 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Bernard\Recent\W3-12_Explorer_v1 (2).lnk 26/03/2007 00:21 626 bytes Visible in Windows API, MFT, but not in directory index.
C:\System Volume Information\_restore{0BCDCB2C-9818-4137-A6B0-129C63BE27A0}\RP9\A0007026.lnk 28/02/2007 14:01 615 bytes Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{0BCDCB2C-9818-4137-A6B0-129C63BE27A0}\RP9\A0007027.lnk 28/02/2007 14:06 531 bytes Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{0BCDCB2C-9818-4137-A6B0-129C63BE27A0}\RP9\A0007028.lnk 26/03/2007 00:21 626 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 29/03/2007 23:35 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 29/03/2007 23:35 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\HH.EXE-2D1A70B3.pf 03/04/2007 17:57 55.01 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf 03/04/2007 17:57 18.36 KB Visible in directory index, but not Windows API or MFT.
mais je ne sais pas l'interpreter
j'ai testé rootkit revealer
HKLM\S-1-5-21-1606980848-343818398-839522115-1004\RemoteAccess\InternetProfile 21/01/2005 18:11 7 bytes Data mismatch between Windows API and raw hive data.
HKLM\S-1-5-21-1606980848-343818398-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist\{75048700-EF1F-11D0-9888-006097DEACF9}\Count\HRZR_EHACNGU:P:\Cebtenz Svyrf\Birearg\vapbzvat\pnegb Vta Pnegbani Pnegbrkcyberhe Onlb Colb Hgvyf & 03/04/2007 17:52 16 bytes Hidden from Windows API.
HKLM\S-1-5-21-1606980848-343818398-839522115-1004\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY* 10/01/2007 11:50 0 bytes Key name contains embedded nulls (*)
HKLM\SOFTWARE\Classes\Installer\Products\32418F9EE1126B64A90E8365B85CFCF6\ProductName 18/12/2004 13:30 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\rtg.clubplayer\CLSID\ 20/06/2005 14:32 39 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Classes\rtg.portofino\CLSID\ 11/04/2005 15:04 39 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F}\DisplayName 19/12/2004 23:10 26 bytes Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg40 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg41 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg42 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg43 03/04/2007 17:47 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\a347scsi\Config\jdgg44 21/12/2004 01:32 0 bytes Hidden from Windows API.
C:\Documents and Settings\Bernard\Recent\Bac-Buster.lnk 28/02/2007 14:01 615 bytes Visible in Windows API, MFT, but not in directory index.
C:\Documents and Settings\Bernard\Recent\BB10.lnk 28/02/2007 14:06 531 bytes Visible in Windows API, MFT, but not in directory index.
C:\Documents and Settings\Bernard\Recent\Eula.lnk 03/04/2007 17:57 1.37 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Bernard\Recent\rootkit-revealer_rootkit_revealer_1.71_anglais_17865 (2).lnk 03/04/2007 17:57 1.04 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Bernard\Recent\RootkitRevealer.lnk 03/04/2007 17:57 1.42 KB Visible in directory index, but not Windows API or MFT.
C:\Documents and Settings\Bernard\Recent\W3-12_Explorer_v1 (2).lnk 26/03/2007 00:21 626 bytes Visible in Windows API, MFT, but not in directory index.
C:\System Volume Information\_restore{0BCDCB2C-9818-4137-A6B0-129C63BE27A0}\RP9\A0007026.lnk 28/02/2007 14:01 615 bytes Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{0BCDCB2C-9818-4137-A6B0-129C63BE27A0}\RP9\A0007027.lnk 28/02/2007 14:06 531 bytes Visible in directory index, but not Windows API or MFT.
C:\System Volume Information\_restore{0BCDCB2C-9818-4137-A6B0-129C63BE27A0}\RP9\A0007028.lnk 26/03/2007 00:21 626 bytes Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 29/03/2007 23:35 252.00 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 29/03/2007 23:35 111.50 KB Visible in Windows API, but not in MFT or directory index.
C:\WINDOWS\Prefetch\HH.EXE-2D1A70B3.pf 03/04/2007 17:57 55.01 KB Visible in directory index, but not Windows API or MFT.
C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf 03/04/2007 17:57 18.36 KB Visible in directory index, but not Windows API or MFT.
mais je ne sais pas l'interpreter
Bonsoir,
à propos de ça (ligne 5) \HRZR_EHACNGU:P:\Cebtenz Svyrf\Birearg\vapbzvat\pnegb Vta Pnegbani Pnegbrkcyberhe Onlb Colb Hgvyf &
voir :
https://forum.adaware.com/index.php?/topic/3355-how-to-remove-hackerware/&tab=comments#comment-32321#entry32321
(choisir standard dans options)
@+
à propos de ça (ligne 5) \HRZR_EHACNGU:P:\Cebtenz Svyrf\Birearg\vapbzvat\pnegb Vta Pnegbani Pnegbrkcyberhe Onlb Colb Hgvyf &
voir :
https://forum.adaware.com/index.php?/topic/3355-how-to-remove-hackerware/&tab=comments#comment-32321#entry32321
(choisir standard dans options)
@+
https://www.zdnet.fr/actualites/rootkit-windows-la-prochaine-menace-securitaire-39215350.htm
article à lire, la solution n'est pas pour demain, nous sommes condamnés à un formatage en bonne et due forme.
sniff !
article à lire, la solution n'est pas pour demain, nous sommes condamnés à un formatage en bonne et due forme.
sniff !
download ceci:
https://buy.paretologic.com/retirement/xoftspyavpro/?uid=ci88o
---------------------------------------------------------------------
A lire c'est tout simple !!!
Quand on parle d'infection du noyau, il s'agit probablement en réalité des services/périphériques qui démarrent au côté du noyau. Pour contrer ces "malware", vous disposer de la console de récupération. La commande pour lister les services est listsvc. Vous pouvez alors désactiver l'agent infectieux avec la commande disable.
faut encore savoir lequel....^^
https://buy.paretologic.com/retirement/xoftspyavpro/?uid=ci88o
---------------------------------------------------------------------
A lire c'est tout simple !!!
Quand on parle d'infection du noyau, il s'agit probablement en réalité des services/périphériques qui démarrent au côté du noyau. Pour contrer ces "malware", vous disposer de la console de récupération. La commande pour lister les services est listsvc. Vous pouvez alors désactiver l'agent infectieux avec la commande disable.
faut encore savoir lequel....^^
Bonsoir Philo,
Avg installé et lancé ss xp.(car ne fonctionne pas en mode ss echec)
Résultats :
Avec "Search for rootkits" : No rootkits found
Avec "Perform in depth search" : No rootkits found
A+
Avg installé et lancé ss xp.(car ne fonctionne pas en mode ss echec)
Résultats :
Avec "Search for rootkits" : No rootkits found
Avec "Perform in depth search" : No rootkits found
A+
"Yes this is shocking, but in Your RAM chip some part is Reserved as EAROM
by the RAM Manufacturers. Hackers melt their Trojon in this part and Infect RAM
When you remove the RAM and put it in another machine.
The new machine will get infected."
ça rassure pas des masses ça !
------------------------------------------------------------------
Tu sais me coller le log AVG complet ?
merci A+
by the RAM Manufacturers. Hackers melt their Trojon in this part and Infect RAM
When you remove the RAM and put it in another machine.
The new machine will get infected."
ça rassure pas des masses ça !
------------------------------------------------------------------
Tu sais me coller le log AVG complet ?
merci A+
