Sujet Précédent Sujet Suivant

Gros problème avec SYSTEM SECURITY

Résolu/Fermé
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009 - 14 juil. 2009 à 20:44
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 - 17 oct. 2009 à 13:26
Bonjour à tous. Ou bonsoir, au choix.
Il y a une semaine de ça j'ai été infecté par un virus, enfin un malware qui s'appelle System Security, qui bloquait tous mes programmes et m'empechait d'utiliser correctement mon PC. Suite à ce problème, j'ai pris mon PC portable, et ait cherché des solutions pour y remédier. Je suis tombé sur ce forum, où on conseillait de télécharger " Malwarebytes' Anti Malware ", de l'exécuter en mode sans échec, et de faire une analyse complète et détaillée, ce que j'ai fait. Au début, ça a plutôt bien marché. Tous les malwares ont été supprimés, je me croyais débarassé du problème. Puis après, System Security est revenu, j'ai refait exactement la même chose que j'avais fait la première fois. Lorsque j'ai relancé mon PC normalement, j'ai remarqué que j'avais une petite dizaine de sites de pr0n dans mon historique. Et à nouveau je me suis fait infecter par System Security. J'ai tout essayé. Malwarebytes, Kaspersky et Superantispyware. Mais rien n'y fait ( d'ailleurs, petite remarque, à chaque fois que je lance Kaspersky, au bout d'un moment, le PC reboot ).
Ce matin j'ai relancé SUPERantiSpyware, et après avoir redemarré le PC, j'ai essayé d'executer un programme. Là une fenêtre s'ouvre pour me demander quel programme utiliser pour ouvrir le fichier. Ca m'fait pareil avec tous les programmes. A chaque fois je suis obligé de chercher le fichier .exe dans Program Files.
Voilà, si quelqu'un pouvait m'aider... Si vous voulez des explications supplémentaires, hésitez pas. Merci d'avance.

50 réponses

Précédent
Réponse 21 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
24 août 2009 à 06:24
[ Désolé pour le double post, m'enfin c'était juste pour dire qu'en fait c'est tout simplement l'écran qui déconne, faudra que j'pense à m'en acheter un neuf :] ]
0
Réponse 22 / 50
Utilisateur anonyme
24 août 2009 à 07:12
hello

Redemarre en mode sans echec

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil

apres les verifications , un rapport va s'ouvrir.

▶ ferme-le.

un deuxieme rapport va s'ouvrir ,

▶ colle son contenu dans ta reponse
0
Réponse 23 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
24 août 2009 à 18:14
Bonjour. Il y a eu deux rapports. Un rapport List'em :

Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

Layout.ini
NTOSBOOT-B00DFAAD.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Et un rapport Kill'em :

24/08/2009 11:00:18,28

Fichiers analysés :
=================


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :

"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat"
"C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat"
"C:\WINDOWS\System32\ACTSKN43.ocx"
"C:\WINDOWS\System32\openfile"
"C:\WINDOWS\System32\updatelinkmsn"
"C:\WINDOWS\System32\urlmsnlink.dat"


¤¤¤¤¤¤¤¤¤¤ Action sur les fichiers :

Quarantaine :

actskn43.ocx.Kill'em
openfile.Kill'em
qmgr0.dat.Kill'em
qmgr1.dat.Kill'em
updatelinkmsn.Kill'em
urlmsnlink.dat.Kill'em

¤¤¤¤¤¤¤¤¤¤ Verification :



Infections :
==========


¤¤¤¤¤¤¤¤¤¤ Fichiers et dossiers presents :


¤¤¤¤¤¤¤¤¤¤ Clés de registre Presentes :


¤¤¤¤¤¤¤¤¤¤ C:\WINDOWS\Prefetch :

Layout.ini
NTOSBOOT-B00DFAAD.pf




¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Je pense plutôt que c'est le Kill'em qui nous interesse, mais j'ai mis les deux.
0
Réponse 24 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
26 août 2009 à 16:01
UP, au cas où vous auriez encore perdu le post, gen-hackman x).
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 50
Utilisateur anonyme
28 août 2009 à 02:58
desolé je ne pourrais plus suivre ce topic , soucis oblige , plus de net demain
0
Réponse 26 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
1 sept. 2009 à 16:13
Salut,

Gen-hackman ma demandé de prendre la relève avant de partir.

Fais ce qu'il demande ici :

https://forums.commentcamarche.net/forum/affich-13358234-gros-probleme-avec-system-security#1

@ plus
0
Réponse 27 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
5 sept. 2009 à 18:46
Bonjour/bonsoir.
Je n'avais pas vu que vous aviez pris la relève. Donc avec un peu de retard, je poste ce message. Voilà, j'ai fait ce que vous m'aviez demandé, voici le lien du scan OTL :

http://www.cijoint.fr/cjlink.php?file=cj200909/cijHYz9B5T.txt
0
Réponse 28 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
5 sept. 2009 à 19:18
Re,

Salut , pas grave ;)

ce rapport est propre .

Mets a jour MBAM , puis fais un scan ( comme demande gen-hackman ici https://forums.commentcamarche.net/forum/affich-13358234-gros-probleme-avec-system-security#15 )

A+

=]
0
Réponse 29 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
5 sept. 2009 à 20:43
Voilà, le scan est lancé. Je me demande juste une chose : lorsque vous dites que le scan est propre, ça veut dire que je ne suis infecté par aucun virus ?
0
Réponse 30 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
5 sept. 2009 à 21:33
Re ,

yes ^^

j'attends le rapport donc ;)
0
Réponse 31 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
5 sept. 2009 à 23:02
Voici le rapport :

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2297
Windows 5.1.2600 Service Pack 3

05/09/2009 15:54:38
mbam-log-2009-09-05 (15-54-11).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 215606
Temps écoulé: 1 hour(s), 1 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\SKYNETlog.dat (Trojan.Agent) -> No action taken.
0
Réponse 32 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
6 sept. 2009 à 11:01
Re,

Tiens ... infection tibs ! ... :s

Par contre tu n'as rien supprimé , refais un scan rapide :

▶ Regarde bien ce Tuto pour bien utiliser le programme.

==> Lance Malwarebyte's

▶ Mets le a jour ( onglet "Mise a jour" > " Recherche de mise a jour"

▶ Sous l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression"

▶ Clique maintenant sur l'onglet recherche et coche la case : "Exécuter un examen rapide".

▶ Puis clique sur " Rechercher ".

▶ Laisse le scanner le PC...

▶ Une fois l'analyse terminée, clique sur "OK", Ensuite sur "Afficher les résultats"

▶ Vérifie que tout est bien coché et clique sur " Supprimer la sélection.. "

▶ Il se peut qu'il te demande de redémarrer pour finir la suppression des nuisibles, accepte en cliquant sur "Yes".

▶ A la fin un rapport va s'ouvrir, sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

Reviens sur le forum et copie et colle le rapport dans ta prochaine réponse .

Note: les rapport sont aussi rangé dans l'onglet Rapport/Log

Ensuite :

Télécharge Gmer (by Przemyslaw Gmerek) sur ton bureau

▶ Lance le fichier téléchargé .

▶ Clique sur l'onglet " Rootkit ",lance le scan. des lignes rouges peuvent apparaitre.


* Les lignes rouges indiquent la présence d'un rootkit. Poste moi le rapport gmer :

▶ Clique sur copy.

▶ Ouvre le bloc note > Édition > Coller.

▶ Poste le rapport .

A+

=]
0
Réponse 33 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
6 sept. 2009 à 20:24
Dès que le scan de Gmer est fini, je poste les deux rapports, celui de MalwareByte et celui de Gmer. Mais il y a déjà une ligne rouge qui est apparue. J'ai donc un rootkit. J'imagine que ça va être chiant à retirer ?
0
Réponse 34 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
6 sept. 2009 à 21:34
Re ,

oui , c'est une variance un peu coriace :S ...

;)
0
Réponse 35 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
6 sept. 2009 à 23:10
Rapport MalwareBytes :

Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2297
Windows 5.1.2600 Service Pack 3

06/09/2009 13:56:26
mbam-log-2009-09-06 (13-56-26).txt

Type de recherche: Examen rapide
Eléments examinés: 118917
Temps écoulé: 8 minute(s), 53 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\SKYNETlog.dat (Trojan.Agent) -> Delete on reboot.




Rapport Gmer :

GMER 1.0.15.15077 [jgla0K4CGZ_gmer.exe] - http://www.gmer.net
Rootkit scan 2009-09-06 17:00:55
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

Code 84DE2010 ZwEnumerateKey
Code 84DE2968 ZwFlushInstructionCache
Code 84DE6076 IofCallDriver
Code 84DE3E5E IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!IofCallDriver 804E37C5 5 Bytes JMP 84DE607B
.text ntoskrnl.exe!IofCompleteRequest 804E3BF6 5 Bytes JMP 84DE3E63
PAGE ntoskrnl.exe!ZwEnumerateKey 80570D64 5 Bytes JMP 84DE2014
PAGE ntoskrnl.exe!ZwFlushInstructionCache 80577693 5 Bytes JMP 84DE296C

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\winlogon.exe[204] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0062000A
.text C:\WINDOWS\system32\services.exe[252] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 003A000A
.text C:\WINDOWS\system32\lsass.exe[264] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0065000A
.text C:\WINDOWS\system32\svchost.exe[572] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 0066000A
.text C:\WINDOWS\Explorer.EXE[832] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 00B5000A
.text ...

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\drivers\SKYNETrrsbklyx.sys (*** hidden *** ) [SYSTEM] SKYNEToyxwpxub <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub@imagepath \systemroot\system32\drivers\SKYNETrrsbklyx.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main@aid 10180
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main\injector@* SKYNETwsp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\modules@SKYNETrk.sys \systemroot\system32\drivers\SKYNETrrsbklyx.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\modules@SKYNETcmd.dll \systemroot\system32\SKYNETfvdnttge.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\modules@SKYNETlog.dat \systemroot\system32\SKYNETnbosqjlq.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\modules@SKYNETwsp.dll \systemroot\system32\SKYNETpqjcxeta.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\SKYNEToyxwpxub\modules@SKYNET.dat \systemroot\system32\SKYNETbapydlhr.dat
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub@imagepath \systemroot\system32\drivers\SKYNETrrsbklyx.sys
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main@aid 10180
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main@sid 0
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main\injector@* SKYNETwsp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\modules@SKYNETrk.sys \systemroot\system32\drivers\SKYNETrrsbklyx.sys
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\modules@SKYNETcmd.dll \systemroot\system32\SKYNETfvdnttge.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\modules@SKYNETlog.dat \systemroot\system32\SKYNETnbosqjlq.dat
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\modules@SKYNETwsp.dll \systemroot\system32\SKYNETpqjcxeta.dll
Reg HKLM\SYSTEM\ControlSet002\Services\SKYNEToyxwpxub\modules@SKYNET.dat \systemroot\system32\SKYNETbapydlhr.dat
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub@start 1
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub@type 1
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub@group file system
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub@imagepath \systemroot\system32\drivers\SKYNETrrsbklyx.sys
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main@aid 10180
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main@sid 0
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main\injector@* SKYNETwsp.dll
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\modules@SKYNETrk.sys \systemroot\system32\drivers\SKYNETrrsbklyx.sys
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\modules@SKYNETcmd.dll \systemroot\system32\SKYNETfvdnttge.dll
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\modules@SKYNETlog.dat \systemroot\system32\SKYNETnbosqjlq.dat
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\modules@SKYNETwsp.dll \systemroot\system32\SKYNETpqjcxeta.dll
Reg HKLM\SYSTEM\ControlSet003\Services\SKYNEToyxwpxub\modules@SKYNET.dat \systemroot\system32\SKYNETbapydlhr.dat
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL@Installed 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@NoChange 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI@Installed 1
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS@Installed 1

---- Files - GMER 1.0.15 ----

File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\FEAJSIWB\skynetwork[1].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\RJ0HUUCI\skynetwork[1].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\WOCT9Z2X\skynetwork[1].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\0DJ7H7YA\skynetwork[1].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\3WGXM0E5\skynetwork[1].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\81EYEBN2\skynetwork[1].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\81EYEBN2\skynetwork[2].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\81EYEBN2\skynetwork[3].png 2733 bytes
File C:\Documents and Settings\Marie Josée\Local Settings\Temporary Internet Files\Content.IE5\AGTO0ZDL\skynetwork[1].png 2733 bytes
File C:\Program Files\QuickTime\QTSystem\QuickTimeStreamingExtras.Resources\zh_TW.lproj\QuickTimeLocalized.dll 51712 bytes executable
File C:\Program Files\QuickTime\QTSystem\QuickTimeStreamingExtras.Resources\zh_TW.lproj\QuickTimeLocalized.qtr 174080 bytes executable
File C:\WINDOWS\system32\SKYNETbapydlhr.dat 91 bytes
File C:\WINDOWS\system32\SKYNETfvdnttge.dll 43520 bytes executable
File C:\WINDOWS\system32\SKYNETlog.dat 267 bytes
File C:\WINDOWS\system32\SKYNETnbosqjlq.dat 1204307 bytes
File C:\WINDOWS\system32\SKYNETpqjcxeta.dll 19456 bytes executable
File C:\WINDOWS\system32\drivers\SKYNETrrsbklyx.sys 68608 bytes executable <-- ROOTKIT !!!
File C:\WINDOWS\Temp\SKYNETqqhmfvgqsk.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETqqsuhqxpvt.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETrkpdktbcdh.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETrpvjxjqcnn.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETrtfipphjbf.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETrvxusvdbqx.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETrxcbnviusv.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETsviuyxusgu.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETsykgxrivim.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETtapuotkcju.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETtbofrbewev.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETtgcsacuxjv.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETtksqirrawi.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETtlamrfvlyj.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETtmgnlhvyik.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETttkxescrsv.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETuaskyvnwxm.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETudqagitywv.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETuesvgvusdi.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETufmiroihec.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETuwpcvmskor.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETktnemuerxm.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETlumvwyjqqw.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETlwbxnqvtca.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETlwnljqdqfx.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETmhlwxxuiau.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETmmpgogrihb.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETmnhmkbbcgs.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETmtvxyghcdn.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETmuoaiwqhyy.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETmxjcrinfse.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETmytpjctrpf.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETnobesbdhpv.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETnpxxjosjge.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETojsskqqnpk.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETorhrtsyuwp.tmp 18432 bytes
File C:\WINDOWS\Temp\SKYNETpocsxvmtdi.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETpynbbgxwkk.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETqghopderfl.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETabqmtmilty.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETaorbdilrxl.tmp 18432 bytes
File C:\WINDOWS\Temp\SKYNETastriknnoe.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETasucpesnhx.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETayixroaqtg.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETbchwevumpf.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETbdmdhtvceh.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETbdrintcnuy.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETbinyaxgiso.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETbmpvccpque.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETbsfmhpusdi.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETcaoyygaion.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETchlrxfyfuv.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETcldesvnqri.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETcnnosexlee.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETksmvwvxoxm.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETqpitfkyxjh.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETvbfvxyceqc.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETvcxnsvsqin.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETvfqvrvbqyg.tmp 18432 bytes
File C:\WINDOWS\Temp\SKYNETxejmgstfuf.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETxfyjlyckrx.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETxlapsrcjfp.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETxmbiikivrn.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETxpqyfalndx.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETxrcluafpxs.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETxulfcurtsa.tmp 18432 bytes
File C:\WINDOWS\Temp\SKYNETyajcbshdjr.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETysukphwoky.tmp 18944 bytes executable
File C:\WINDOWS\Temp\WGAErrLog.txt 255 bytes
File C:\WINDOWS\Temp\WGANotify.settings 409 bytes
File C:\WINDOWS\Temp\wuredist.cab 9905 bytes
File C:\WINDOWS\Temp\wuredist.xml 755 bytes
File C:\WINDOWS\Temp\_avast4_ 0 bytes
File C:\WINDOWS\Temp\SKYNETcspyxcecbd.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETddcdxrulqf.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETdklmepdcvt.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETdxnlbksrvx.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETebutebpobw.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETedggymcxvp.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETefcyuqlbde.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETemembalvdb.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETemmhnopolv.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETenimryuift.tmp 18432 bytes
File C:\WINDOWS\Temp\SKYNETennitsvsum.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETexbeqxjssj.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETfoqntedeuu.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETfyfrpxtkvn.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNETgdgdlaxgei.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETgmtherkwxe.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETgybetueulq.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNEThitvqjyqfe.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNEThixgpjbdvp.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNEThjinvhxrbi.tmp 17920 bytes
File C:\WINDOWS\Temp\SKYNEThydllbwrxl.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETisskyoyhxu.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETivwadbgftl.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETiymdwfpxev.tmp 17408 bytes
File C:\WINDOWS\Temp\SKYNETjifralqtvt.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETkbatjspyby.tmp 18944 bytes executable
File C:\WINDOWS\Temp\SKYNETkgjcjptkbi.tmp 18944 bytes executable

---- EOF - GMER 1.0.15 ----
0
Réponse 36 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
7 sept. 2009 à 11:56
Re ,

Ta chopé une belle variance de tibs ... :O

Si vous êtes sous Vista Désactivez l'UAC

/!\ ATTENTION SUIVRE SCRUPULEUSEMENT A LA LETTRE CES INDICATIONS /!\

_________________________________________________________________
>>>>>>>>>> ! Le logiciel qui suit n'est pas a utiliser a la légère ! <<<<<<<<<<
> /!\ Ce logiciel est TRÈS PUISSANT et peut causer des dégâts sur ton système /!\ <
>>>>>>>> ! Prends ton temps pour lire les tutoriels et les indications ! <<<<<<<<
=========================================================


==========>>> !! A lire, Impératif !! <<<==========


› Télécharge ComboFix (de sUBs) et enregistre le sur ton bureau et pas ailleurs. , pour cela :

› Fais un clic droit ici

› Choisis "Enregistrer la cible du lien..." Au lieu de Combofix.exe -> Tape Moi.exe .

› Clique sur "Enregistrer" et laisse le téléchargement ce faire.

AVANT d'utiliser ComboFix :

/!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
(!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).
( Tutoriel si besoin )

▶ Double clique sur ComboFix.exe afin de le lancer (Sous Vista: Clique droit et choisir " Exécuter en tant qu'administrateur")

Note :
Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) .
Reconnecte toi , Puis clique sur "YES" , et une fois la console installée :
! Déconnecte toi d'internet , (très important) !

.

▶ Répond par Oui / Yes au message d'avertissement , pour que le programme commence à procéder à l'analyse du pc.

> !!!!! NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS, CLAVIER.....) !!!!!

▶ A la fin du scan , il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection , laisse le travailler.

▶ Après le redémarrage du PC, un rapport s'ouvrira dans le Bloc Notes en fin d'analyse,

Réactive toutes tes défenses , reviens sur le forum puis copie et colle le rapport dans ton a ta prochaine réponse

* Note :
(Le fichier rapport Combofix.txt , est ensuite automatiquement sauvegardé dans C:\Combofix.txt)
0
Réponse 37 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
8 sept. 2009 à 00:20
Un petit problème :
" ▶ Note :
Sous XP : L'outil va te demander si tu souhaite installer la console de récupération (image) .
Reconnecte toi , Puis clique sur "YES" , et une fois la console installée :
! Déconnecte toi d'internet , (très important) ! "

Internet ne fonctionne pas à cause du rootkit. Donc je fais comment ? Y aurait un moyen d'installer la console de récupération autrement ?
0
Réponse 38 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
8 sept. 2009 à 12:29
Bonjour ,

Voila : http://www.bibou0007.com/outils-specifiques-f78/installer-la-console-de-recuperation-avec-combofix-t1224.htm

++
0
Réponse 39 / 50
PwnedbyMalwares Messages postés 6 Date d'inscription mardi 14 juillet 2009 Statut Membre Dernière intervention 18 août 2009
11 sept. 2009 à 01:43
Bah tiens Oo je pensais avoir déjà posté le rapport ! Bref. On la r'fait. Le rapport ayant l'air assez lourd, je l'ai mis sur cijoint :

http://www.cijoint.fr/cjlink.php?file=cj200909/cijTbkqrjL.txt
0
Réponse 40 / 50
fix200 Messages postés 3243 Date d'inscription dimanche 28 décembre 2008 Statut Contributeur sécurité Dernière intervention 7 février 2011 158
11 sept. 2009 à 10:03
Re,

J'ai touvé une merdouille ...

/!\ Attention /!\

|=> Script écrit spécialement pour cet ordinateur , toute autre transportation pourrait endommager sévèrement votre système <=|


▶ Copie le texte ci-dessous :

File::
c:\windows\system32\acluik.sys
c:\windows\system32\3712425417.dat

▶ Ouvre le Bloc-Notes puis colle le texte copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)

▶ Sauvegarde ce fichier sous le nom de CFScript.txt

/!\ Déconnecte ton PC d'Internet et referme les fenêtres de tous les programmes en cours. /!\
(!) Désactive provisoirement (et seulement le temps de l'utilisation de ComboFix), la protection en temps réel de ton Antivirus et de tes Antispywares et de TOUT tes logiciels de protection (!).


▶ Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ceci

=> Cela va relancer Combofix,

▶ Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

▶ Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

/!\ Ne touche à rien tant que le scan n'est pas terminé.

▶ Après redémarrage, poste le contenu du rapport Combofix.txt

==========

Repasse Gmer , et colle le rapport obtenu.

==========

A+

=)
0

Discussions similaires

comment faire si on a un mail delivery system
angeldu5954 -
angeldu5954 -

5 réponses
Code de réinitialisation mdp facebook sans le demander
Colonel_El_Moustachat -
Colonel_El_Moustachat -

4 réponses
Boîte mail piratée ?
mike the llama -
mike the llama -

4 réponses
Security boot fail lors du démarrage
Steu -
NBK -

4 réponses
Analyse de l'appli "AI SECURITY"
cl06 -
CCMBot -

1 réponse