RootKit TDSS et Trojan Alureon...Fermé

Question

Bonjour,

j'ai installé hier antivir sur le PC d'un ami qui n'avait pas d'antivirus et il s'avère qu'il me trouve plusieurs petites choses réjouissantes (les petites bêtes virales sont charmantes de nos jours...).

Antivir me trouve donc : PCK.TDSS et Alureon.

je n'arriverai hélas, après avoir cherché partout sur le net, à m'en débarrasser autrement qu'en postant moi-même sur un forum, si j'ai bien compris :)

Voici un scan de HijackThis :

------------------------------------------------------------------------------------------------------------
Platform: Windows Vista SP1 (WinNT 6.00.1905)MSIE: Internet Explorer v7.00 (7.00.6001.18294)Boot mode: NormalRunning processes:C:\Windows\system32	askeng.exeC:\Windows\system32\Dwm.exeC:\Windows\Explorer.EXEC:\Program Files\Windows Defender\MSASCui.exeC:\hp\support\hpsysdrv.exeC:\Windows\System32undll32.exeC:\Program Files\Java\jre1.6.0_01\bin\jusched.exeC:\Program Files\Winamp\winampa.exeC:\Windows\vVX1000.exeC:\Program Files\dvd43\DVD43_Tray.exeC:\Program Files\HP\HP Software Update\hpwuSchd2.exeC:\Program Files\Avira\AntiVir Desktop\avgnt.exeC:\Program Files\OpenOffice.org 3\program\soffice.exeC:\Program Files\OpenOffice.org 3\program\soffice.binC:\Program Files\Windows Media Player\wmplayer.exeC:\Program Files\Java\jre1.6.0_01\bin\jucheck.exeC:\Windows\system32\wuauclt.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Program Files\WinRAR\WinRAR.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Windows\system32\DllHost.exeC:\Program Files\Malwarebytes' Anti-Malware\mbam.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exeC:\Program Files\Trend Micro\HijackThis\HijackThis.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.microsoft.com/fr-fr/?ref=go - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhostO4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hideO4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exeO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exeO4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exeO4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exeO4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exeO4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /minO4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silentO4 - HKCU\..\Run: [Google Update] "C:\Users\frank\AppData\Local\Google\Update\GoogleUpdate.exe" /cO4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingD2350] cmd.exe /c del "C:\Windows\System32\config\systemprofile\protect.dll" (User 'SYSTEM')O4 - HKUS\.DEFAULT\..\RunOnce: [SpybotDeletingD2350] cmd.exe /c del "C:\Windows\System32\config\systemprofile\protect.dll" (User 'Default user')O4 - Startup: ChkDisk.lnk = ?O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exeO9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dllO13 - Gopher Prefix: O23 - Service: Expérience d’application AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\xswdtxikny.exe (file missing)O23 - Service: Avira antivir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exeO23 - Service: Avira antivir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exeO23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exeO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exeO23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exeO23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18294)

Boot mode: Normal

Running processes:

C:\Windows\system32	askeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\hp\support\hpsysdrv.exe

C:\Windows\System32undll32.exe

C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe

C:\Program Files\Winamp\winampa.exe

C:\Windows\vVX1000.exe

C:\Program Files\dvd43\DVD43_Tray.exe

C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\OpenOffice.org 3\program\soffice.exe

C:\Program Files\OpenOffice.org 3\program\soffice.bin

C:\Program Files\Windows Media Player\wmplayer.exe

C:\Program Files\Java\jre1.6.0_01\bin\jucheck.exe

C:\Windows\system32\wuauclt.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Program Files\WinRAR\WinRAR.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Windows\system32\DllHost.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\frank\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr?cobrand=compaq-desktop.msn.com&ocid=HPDHP&pc=CPDTDF

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [hpsysdrv] c:\hp\support\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [DPService] "C:\Program Files\HP\DVDPlay\DPService.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"

O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"

O4 - HKLM\..\Run: [VX1000] C:\Windows\vVX1000.exe

O4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exe

O4 - HKLM\..\Run: [HP Health Check Scheduler] c:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe

O4 - HKLM\..\Run: [HP Software Update] c:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [Google Update] "C:\Users\frank\AppData\Local\Google\Update\GoogleUpdate.exe" /c

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\RunOnce: [SpybotDeletingD2350] cmd.exe /c del "C:\Windows\System32\config\systemprofile\protect.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [SpybotDeletingD2350] cmd.exe /c del "C:\Windows\System32\config\systemprofile\protect.dll" (User 'Default user')

O4 - Startup: ChkDisk.lnk = ?

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll

O13 - Gopher Prefix:

O23 - Service: Expérience d’application AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\xswdtxikny.exe (file missing)

O23 - Service: Avira antivir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira antivir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: HP Health Check Service - Hewlett-Packard - c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32
vvsvc.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
------------------------------------------------------------------------------------------------------------

Je ne vois rien d'anormal à part :

------------------------------------------------------------------------------------------------------------
O23 - Service: Expérience d’application AeLookupSvcALG (AeLookupSvcALG) - Unknown owner - C:\Windows\TEMP\xswdtxikny.exe (file missing)
------------------------------------------------------------------------------------------------------------

J'ai "titillé" un peu (en effaçant, rééffaçant). HJKTS ne m'affiche donc plus rien à priori d'anormal. Non ?

Mais antivir m'affiche toujour ces deux messages (un toute les trente secondes) :

------------------------------------------------------------------------------------------------------------
C:\Windows\System32\kbiwkmrpynxrxy.dll

Contient le cheval de Troie TR/PCK.Tdss.Z.1396
------------------------------------------------------------------------------------------------------------

Et :

------------------------------------------------------------------------------------------------------------
C:\Windows\System32\kbiwkmgbhpchvn.dll

Contient le cheval de Troie TR/Alureon.19968U
------------------------------------------------------------------------------------------------------------

Je ne peux pas lancer certains logiciels (Firefox, Paint pour les prises d'écran (!))... Et puis bon, avoir ces deux petits trucs sur l'ordi n'est, je crois, pas très sain.

C'est usant.

Des idées ?

Merci d'avance... Je désespère !

pimprenelle27 · Accepted Answer

Parfait, maintenant  tu vs me faire ceci : 

* Sous Vista : &#x25B6; Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):

&#x25B6; Clique sur Démarrer puis sur panneau de configuration
&#x25B6; Double Clique sur l'icône "Comptes d'utilisateurs"
&#x25B6; Clique ensuite sur désactiver et valide.
&#x25B6; Redémarre le PC


&#x25B6; Télécharge Combofix de sUBs


&#x25B6; et enregistre le sur le Bureau et renomme le en aliosh4.

 
&#x25B6; désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)


Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :

https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix


&#x25B6; Je te conseille d'installer la console de récupération !!
 
ensuite envois le rapport stp

pimprenelle27 · Answer

Bonjour,

Me faire ceci pour un examen de ton PC (plus complet que hijackthis).

&#x25B6; Télécharge Random's System Information Tool (RSIT).

&#x25B6; Un tutoriel est  à ta disposition pour l'installer et l'utiliser correctement ici

&#x25B6; Double clique sur RSIT.exe pour lancer l'outil.

&#x25B6; Clique sur 'Continue' à l'écran Disclaimer.

&#x25B6; Si l'outil Hijackthis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

&#x25B6; Une fois le scan fini , 2 rapports vont apparaitre. &#x25B6; Héberge le contenu des 2 rapports.

( C:\RSIT\log.txt et C:\RSIT\info.txt )

CTRL A pour sélectionner tout, CTRL C pour copier et puis CTRL V pour coller


Petite chose à faire pour les rapports générés par RSIT avant de continuer

&#x25B6; Vous devez fusionner les deux rapports.
&#x25B6; C'est-à-dire, copier/coller le contenu du rapport info.txt à la suite du rapport log.txt  dans un bloc note pour ne faire qu'un seul rapport.
&#x25B6; Ensuite enregistrer le rapport log.txt.

 Ensuite : 

&#x25B6;  Rendez-vous à cette adresse d'hébergement gratuit : http://www.cijoint.fr/

&#x25B6; Cliquez sur parcourir,  puis sur  cliquez ici pour déposer le fichier

&#x25B6; Une fois le lien crée en dessous de c'est ce même lien que vous devrez transmettre à vos correspondants, faite un clique droit dessus et copier l'adresse du lien pour venir le coller dans votre réponse

aliosh4 · Answer

Voici le lien pour le rapport obtenu :

http://www.cijoint.fr/cj200910/cijqip3xBo.txt

Antivir s'affole dès que j'ouvre un logiciel, tape quelque chose quelque part... :(

pimprenelle27 · Answer

Si tu as fait malwarebyte's tu pourrais me passer le rapport STP.

Ensuite me faire ceci : 

• Télécharge et installe UsbFix par Chiquitine29

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir


• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]

• Laisse travailler l outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

aliosh4 · Answer

Voici le rapport USBFix :

http://www.cijoint.fr/cj200910/cijK2wbBgt.txt

Pour le rapport Malwarebytes il est en train de se terminer (je crois), ça vient bientôt ! :)

Merci d'être patient avec moi !

aliosh4 · Answer

Voilà le rapport Malwarebytes :

http://www.cijoint.fr/cj200910/cijDrEaa0f.txt

Il m'annonce donc 13 problèmes. Dois-je les corriger directement ou dois-je faire autre chose ?
Je ne connais pas très bien ce logiciel donc j'essaie d'être prudent !

jfkpresident · Answer

Bonjour a vous ;

Pour suivre..

ric025 · Answer

Salut. 

Double inter ; https://forum.pcastuces.com/rootkit_tdss_et_trojan_alureon_-f25s50599.htm

++

pimprenelle27 · Answer

Merci pour le double poste ric 025, c'est pas bien aliosh4, de faire faire plusieurs manip à plusieurs personnes pour un même pc.

aliosh4 · Answer

Bonjour jfkpresident, merci pour ta curiosité !

Bonjour ric025. Je ne poste à vrai dire jamais sur les forums (j'utilise toujours la fonction "rechercher" et normalement j'y trouve mon compte). Je ne comprends pas vraiment en quoi est-ce un tort de poster le même message de départ sur des forums de sites différents, les pistes pour tenter de régler les problèmes peuvent différer et donc les chances de résolution multipliées. Que je sache, PCAstuces et Commentcamarche ne sont pas les mêmes forums (ou alors m'aurait-on menti ou mal informé). C'est peut-être interdit de vouloir son problème résolu dans le milieu des forums, et si ça l'est, alors pardonnez-moi, je ne savais pas. ^^

pimprenelle27 · Answer

tu es infecté alors si quelqu'un de dit de faire un manip et de l'autre côté l'autre personne de fais faire une autre manip ne sachant pas que tu as déjà fait une autre manip avec l'autre personne de départ ça ne va plus parce que non on regarde les virus que tu peux avoir, donc si d'un côté l'un corriger quelque chose et que de l'autre a fait pareil il risquee d'y avoir des problèmes à ton pc. 

Tu comprends donne moi le rapport USB.

aliosh4 · Answer

Bon, je viens de mettre en résolu l'autre message sur "l'autre forum", étant novice, je le rappelle, dans les conventions de forum (même si je lis toujours les petits règlements), je ne savais pas que cela posait un problème (enfin je n'y avais pas pensé).

Mille excuses, mea culpa, j'ai compris la leçon.

Concernant mon problème j'avoue être un peu coincé, dois-je supprimer ce que Malwarebytes m'a indiqué comme dangereux ?

pimprenelle27 · Answer

oui tu supprimer ce que malware à trouvé comme dangereux ensuite tu vide la quarantaine et tu fais USB fix.

aliosh4 · Answer

Oui Pimprenelle, on vient de m'expliquer, pardon !

Les liens pour les rapports sont plus hauts mais je les redonne ici :

Voici le rapport UsbFix : http://www.cijoint.fr/cj200910/cijK2wbBgt.txt 

Et le rapport Malwarebytes : http://www.cijoint.fr/cj200910/cijDrEaa0f.txt 

*confus*

aliosh4 · Answer

Ok je fais ce que tu dis, pardon pour les messages qui se croisent.

pimprenelle27 · Answer

fait le suppression de malware et poste moi le rapport, ensuite  : 

• Fais un clic droit sur le raccourci UsbFix présent sur ton bureau et choisis "éxécuter en tant qu'administrateur" .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée] 

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

• Ensuite poste le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

aliosh4 · Answer

Me revoilà !

Alors j'ai suivi pas à pas ce que tu m'as dit de faire et il ne me donne pas un rapport UsbFix.txt avec le bureau (pas de fichier ouvert ou de fichier UsbFix.txt enregistré sur le bureau).

Le logiciel UsbFix me dit : Veuillez envoyer le fichier *répertoire du fichier*, pour que je puisse l'envoyer sur le site mère.

Je te donne donc le fichier UsbFix à la racine de C:\ :

http://www.cijoint.fr/cj200910/cijuF5crXx.txt

pimprenelle27 · Answer

Parfait et le rapport malware de suppression?

aliosh4 · Answer

Le rapport Malware annonce qu'il a tout bien supprimé !

Et plus de problèmes, Antivir ne me dit plus rien !

Ca l'air parfait et réparé !
Merci beaucoup pour ta patience et ton aide. J'espère que je serai pardonné pour mon ignorance de la petite règle du double-post, je ne le referai plus, promis !


Et merci de m'avoir fait découvrir UsbFix, qui est vraiment très utile.

Bonne journée à toi ! :)

pimprenelle27 · Answer

et et c'est pas fini là je veux le rapport malware de suppression et tu as quand même dans l'ordi un Rootkit.TDSS, donc il y encore d'autres choses à faire après et puis ensuite du nettoyage et mise à jour à faire. 

Faut pas partir comme ça tant que l'on ta pas dit terminé.

gen-hackman · Answer

:)

aliosh4 · Answer

Ahhhhh, pardon.

J'ai dû m'absenter juste après, et j'ai cru que c'était terminé... Ces temps-ci j'ai tellement peu de patience avec les machines (je passe mon temps à réparer).

En fait, le log de Malwarebytes est uniquement avant redémarrage, il n'y a pas après redémarrage mais je te le donne néanmoins :

http://www.cijoint.fr/cj200910/cijlToS5D9.txt

Je relance par prudence une seconde analyse Malwarebytes (on ne sait jamais, tu as bien raison !).

aliosh4 · Answer

J'ai réalisé ce que tu m'avais demandé.

Voici le lien du rapport :
http://www.cijoint.fr/cj200910/cijQtdgFZY.txt

Apparemment (et heureusement que tu es là), tout n'a pas été enlevé, oui...

pimprenelle27 · Answer

parfais, maintenant refait quand même malware scan complet et ensuite ceci : 

Faire un scan en ligne un scan en ligne avec Bitdefender Scan Online  afin de vérifier s'il reste encore des virus.

Veuillez vous rendre à cette adresse avec Internet Explorer :


Citation:
Si vous êtes sous Vista (si vous avez XP ou 2000, passez à la suite), l’UAC doit être désactivée lors du scan.
Vous pouvez vous aider de ce lien pour désactiver l'UAC :

>>> http://www.bibou0007.com/tutos-f45/tutorial-desactiver-l-uac-sur-vista-t132.htm



1°) "Acceptez" l'accord de license :





2) Une nouvelle fenêtre apparait et affiche un message concernant un contrôle activeX :

# Sur cette page, une barre jaune apparait, faites un clic droit sur cette barre puis cliquez sur "Installer le contrôle activeX"

Voir cette image




3°) Une page d'avertissement s'ouvre, cliquez sur "Installer" :




4°) Ensuite la procédure de scan va pouvoir commencer. Cliquez sur "Démarrer l'analyse " Bitdefender va alors se mettre à jour et commencer (si cela se solde par un échec, veuillez alors recommencer car cela peut arriver) :






Soyez patient durant le scan, le temps indiqué n'est qu'une estimation.




5°) Le scan terminé, cliquez sur "Cliquer ici pour exporter le rapport" :




6°) Une page d'explorateur windows va alors s'ouvrir, nommez le rapport "Rapport Bitdefender " et enregistrez-le au format "HTML " sur le bureau :




7°) Ensuite, ouvrez le rapport de Bitdefender, rapport Bitdefender 2 maintenant présent sur votre bureau et faites un copier/coller sur votre forum.

gen-hackman · Answer

Merci pour e rapport Combo :)

pimprenelle27 · Answer

Ce ta servi gen-hackman?

gen-hackman · Answer

oui merci :)

RootKit TDSS et Trojan Alureon...

27 réponses

Discussions similaires

Newsletters