Virus indétectable bloque les logiciels antivirus et antimalware

[Résolu/Fermé]
Signaler
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014
-
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
-
Bonjour,

J'ai attrapé une saloperie depuis quelques jours et je n'arrive vraiment pas à m'en débarrasser. La bête semble être assez coriace et bien planquée puisqu'il est impossible de lancer un antivirus en mode normal (j'ai tenté avast, Sophos, Kaspersky online et son utilitaire anti-rootkits) ou un anti-malware (malwarebytes plante, CCleaner plante lors de la recherche des clés de registre, Rogue Killer ne se lance pas). Lorsque je fais des recherches en mode sans échec, pour le coup, ces utilitaires fonctionnent mais ne trouvent rien.

Mon ordi ne se connecte plus à internet mais j'ai pu récupérer des rapports de Rogue Killer (mode sans échec) et Hijackthis (mode normal) que je vous ferait parvenir si besoin.

Merci d'avance pour votre aide.

26 réponses

Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Bon,

Désormais, j'arrive a avoir internet en liaison filaire en mode normal (mais les antivirus sont toujours neutralisés).


Dans ce cas lançons un scan de ton PC.

* Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\

* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 2 icônes ZHPDiag , ZHPFix /!\
/!\Utilisateurs de Vista et Windows 7/8 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

* A l'ouverture le programme te proposes plusieurs options, cliques sur "Complet" et laisse travailler l'outil.


* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !

* Laisse l'outil travailler, il peut être assez long.

* Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\).

* Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.

* Rappel des dépôts : cjoint ou pjoint


A+

1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Olskok,


Content pour toi mais :



Les programmes que nous avons utilisés ne doivent pas être conservés.
Beaucoup d'entre eux peuvent être dangereux et entrainer des dommages irréversibles sur ton système s'ils sont utilisés sans l'aide d'une personne qualifiée, de plus, fréquemment modifiés et mis à jour par leurs auteurs ils deviennent très rapidement obsolètes, en plus d'encombrer inutilement ton bureau.

1. Désinstallation des outils et purge de la Restauration système

- Télécharge DelFix (d'Xplode) sur ton bureau.
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Sélectionne "Réactiver l'UAC"
- Sélectionne "Supprimer les outils de désinfection"
- Sélectionne également "Purger la restauration système"
- Clique sur "Exécuter"
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Attention : Chaque fois que tu relances Delfix le rapport précédent est supprimé, alors ne l'exécute qu'une fois avec les options cochées.

2. Pense à marquer le fil comme résolu !
résolu


@+
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci

Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Hello,


As-tu essayé une Restauration système à une date antérieure à l'apparition du problème ?

A+
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

J'ai tenté une restauration mais ça n'a rien donné de particulier.
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

up
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Bonsoir,

Ne t'impatiente pas, nous ne sommes que des bénévoles et avons aussi une vie privée !


Tu peux nous mettre le rapport de RogueKiller ,

Celui de HJT, inutile ! HJT est obsolète.

A+

Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

--- User ---
[MBR] d97ea4594c61135bb7cacb7f2a6b0ce4
[BSP] fbe17ff980ed784e2d0815abc05c6133 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 190671 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 390701056 | Size: 286167 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: SanDisk Cruzer Blade USB Device +++++
--- User ---
[MBR] 89b62badacafd91b6fb7c27f04f87093
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 32 | Size: 7534 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive2: USB2.0 CardReader CF USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive3: USB2.0 CardReader SM XD USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive4: USB2.0 CardReader MS USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive5: USB2.0 CardReader SD USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_11012014_221648.log - RKreport_DEL_11012014_221711.log - RKreport_DEL_11012014_221914.log - RKreport_DEL_11012014_222105.log
RKreport_DEL_11012014_222136.log - RKreport_DEL_11012014_222146.log - RKreport_DEL_11012014_222159.log - RKreport_DEL_11012014_222317.log
RKreport_DEL_11082014_184649.log - RKreport_DEL_11082014_192430.log - RKreport_SCN_11012014_221444.log - RKreport_SCN_11082014_184608.log
RKreport_SCN_11082014_192338.log - RKreport_SCN_11082014_211806.log -

Voici le rapport Rogue Killer.

Merci.
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
OK mais ce rapport n'est pas complet !

A+
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

Voici le rapport complet. Erreur de C/C, désolé. Pour le up c'était juste pour éviter que mon sujet ne tombe dans les tréfonds du forum, excusez moi si cela vous a offensé.


RogueKiller V10.0.4.0 (x64) [Oct 29 2014] par Adlice Software
email : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site web : https://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en : Mode sans échec prise en charge réseau
Utilisateur : WIN 7 [Administrateur]
Mode : Scan -- Date : 11/08/2014 22:26:08

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 1 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000035f]) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: ST500DM002-1BD142 ATA Device +++++
--- User ---
[MBR] d97ea4594c61135bb7cacb7f2a6b0ce4
[BSP] fbe17ff980ed784e2d0815abc05c6133 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 190671 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 390701056 | Size: 286167 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: SanDisk Cruzer Blade USB Device +++++
--- User ---
[MBR] 89b62badacafd91b6fb7c27f04f87093
[BSP] df4f83c1f72e36823a12b0dfc7617313 : Empty MBR Code
Partition table:
0 - [XXXXXX] FAT32 (0xb) [VISIBLE] Offset (sectors): 32 | Size: 7534 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive2: USB2.0 CardReader CF USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive3: USB2.0 CardReader SM XD USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive4: USB2.0 CardReader MS USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive5: USB2.0 CardReader SD USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_11012014_221648.log - RKreport_DEL_11012014_221711.log - RKreport_DEL_11012014_221914.log - RKreport_DEL_11012014_222105.log
RKreport_DEL_11012014_222136.log - RKreport_DEL_11012014_222146.log - RKreport_DEL_11012014_222159.log - RKreport_DEL_11012014_222317.log
RKreport_DEL_11082014_184649.log - RKreport_DEL_11082014_192430.log - RKreport_SCN_11012014_221444.log - RKreport_SCN_11082014_184608.log
RKreport_SCN_11082014_192338.log - RKreport_SCN_11082014_211806.log - RKreport_SCN_11082014_213529.log
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Vu, rien !


Tu peux faire ça en mode sans échec ?

[*] Télécharge TDSSKiller de Kaspersky et enregistre-le sur ton Bureau

[*] Double-clique sur TDSSKiller.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

[*] Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.

[*] Il faut le valider en cliquant sur Reboot now.

[*] Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
L'outil TDSSKiller se relance.

[*] Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK

[*] Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.

[*] En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
Vérifie que :
Si TDSS.tdl2 est détecté, l'option par défaut soit delete
Si TDSS.tdl3 est détecté, l'option par défaut soit Cure
Si TDSS.tdl4 (mbr) est détecté, l'option par défaut soit Cure
Si Suspicious object est indiqué, l'option par défaut soit Skip


[*] Clique ensuite sur Continue, puis clique sur Reboot computer

[*] Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum

Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt



Tutoriel d'utilisation TDSSKiller en images :
https://forum.security-x.fr/tutoriels-317/tutoriel-tdsskiller-nouvelle-version/
ou
http://www.sosvirus.net/tdsskiller-kaspersky-t82423.html
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

Edité
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Hello,

Ce rapport n'est pas complet.

Lorsque tu as un rapport d'analyse important tu dois l'héberger et me donner le lien du dépôt pour que je puisse le consulter en entier.

Dépôt de fichiers :
- Pour transmettre les rapports que tu obtiens à la suite du passage d'outils tu cliques sur un de ces liens :
cjoint ou pjoint
- Tu cliques ensuite sur Parcourir et cherches le fichier du rapport, en principe on t'indique ou il est.
- Tu cliques sur Ouvrir puis sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme: http://cjoint.com/index.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page ou (suivant le site) il faut cliquer sur "créer le lien".
- C'est ce lien que tu as à transmettre et uniquement cela.

-------------------------------------
Je ne vois pas dans ton rapport le fichier .sys douteux, tu peux me copier la ligne le concernant ?

A+

Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

Merci pour vos indications. J'ai édité le post précédent et je vous fournis le lien de mon rapport.

https://www.cjoint.com/?DKkwnuLQ731

Cordialement.
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
OK vu,

[*]Rends-toi sur cette_page
[*]Clique sur "Choisir un fichier"
[*]Vas sur ton disque chercher ce fichier à cet emplacement :

C:\Program Files (x86)\ATI Technologies\HydraVision\HydraDM.exe

[*]Clique ensuite sur le bouton "Analyser !"

[*]Patiente le temps de l'analyse qui dépend de la taille du fichier

[*]Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio):

[u]Communique-le dans ta prochaine réponse sur le forum et communique en même temps <u>le lien</u> de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse :


------------------------------------------------------

Tu pourras ensuite faire ceci :

Clique sur le bouton Démarrer.
Tape "command" dans la boite de recherche... N'APPUIE PAS sur ENTRÉE encore!
En maintenant les touches CTRL-Shift du clavier enfoncées, appuie sur ENTRÉE.
Dans la boîte de dialogue d'autorisation.
Clique sur Oui.
Une boîte noire va s'ouvrir avec un curseur clignotant.
Tape "sfc /scannow" et appuie sur ENTRÉE.


A+
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Bonjour,


Oui je m'en doutais, c'est un faux positif !


As-tu fait le sfc /scannow ?

A+
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

Oui j'ai bien effectué SFC/ Scannow.
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Et toujours rien ?
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

Non rien de particulier. Il m'annonce quil na pas été en mesure de réparer certains composants.
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
OK,

Il serait bon de vérifier les services de Windows



Tu peux récupérer FSS sur un autre PC ou en Mode sans échec avec prise en charge réseau ?


Télécharge Farbar Service Scanner sur ton Bureau.

* Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services


* Clique sur "Scan".
* Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur cijoint ou pjoint et poste le lien obtenu en retour.

A+
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Bonjour Albert,

Content d'avoir de tes nouvelles.
Toujours aussi intéressé à ce que je vois ;)

Au plaisir !
Messages postés
16
Date d'inscription
mercredi 14 juillet 2010
Statut
Membre
Dernière intervention
11 novembre 2014

Voici le lien : http://www.cjoint.com/14nv/DKlm6FQI5Ey.htm


Pour internet, je passais par un pc portable sur lequel j'avais pu rapatrier certains rapports. Ensuite, j'ai branché mon pc par cable et j'ai utilisé le mode sans échec avec prise en charge. Désormais, j'arrive a avoir internet en liaison filaire en mode normal (mais les antivirus sont toujours neutralisés).
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
694
Olskok,

Au fait quels sont les antivirus installés sur ta machine ?

Il n'en faut q'UN SEUL !!!!




Je vais suivre la suggestion de mon ami Albert .....


Essaie d'utiliser FixIt

https://www.commentcamarche.net/download/telecharger-34082667-microsoft-fix-it-center

Résultat ?

A+
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !