Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Gros problèmes, Virus?

Toum_

Par Toum_
dans Analyses et éradication malwares

 Partager

Messages recommandés

pear Devil Member !

pear

Posté(e)
Posté(e)

L'inconvénient de ce soft c'est que ça change suivant les modules.

 

Pour tuer un processus(Onglet Processes) clic droit->puis clic sur Kill ou Disable(Kernel Modules), ou Fix Hook(SSDT) ou Delete(Files Système)

Réessayez svp.

 

A priori ça n'a pas marché non plus...

 

Ce n'est pas certain:

 

dans cet exemple,

ceci apparait pour une infection bien spécifique.l'infection \Device\__max++>\^

 

Cannot access: C:\WINDOWS\system32\eventlog.dll

[1] 2004-08-19 16:09:25 55808 C:\WINDOWS\$NtServicePackUninstall$\eventlog.dll (Microsoft Corporation)

[1] 2008-04-13 19:33:24 56320 C:\WINDOWS\ServicePackFiles\i386\eventlog.dll (Microsoft Corporation) Fichier convenable

[2] 2004-08-19 16:09:25 55808 C:\WINDOWS\system32\eventlog(2).dll (Microsoft Corporation)

[1] 2008-04-13 19:33:24 61952 C:\WINDOWS\system32\eventlog.dll () Fichier patché:on ne voit pas Microsoft!!!

 

 

Corriger les permissions

Démarrer->Exécuter

Copier/coller

"%userprofile%\bureau\win32kdiag.exe" -f -r

et validez

Patientez

Un nouveau fichier Win32kDiag.txt apparait sur votre bureau.

Double-cliquez dessus et postez en le contenu par copier/coller dans votre prochain message

Toum_ Member

Toum_

Posté(e)
  • Auteur
Posté(e)

voila:

 

Running from: C:\Users\Toum\Desktop\win32kdiag.exe

 

Log file at : C:\Users\Toum\Desktop\Win32kDiag.txt

 

Removing all found mount points.

 

Attempting to reset file permissions.

 

WARNING: Could not get backup privileges!

 

Searching 'C:\Windows'...

 

 

 

Cannot access: C:\Windows\bthservsdp.dat

 

Attempting to restore permissions of : C:\Windows\bthservsdp.dat

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

 

Attempting to restore permissions of : C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl

 

Attempting to restore permissions of : C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl

 

Attempting to restore permissions of : C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl

 

Attempting to restore permissions of : C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl

 

Attempting to restore permissions of : C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession.etl

 

 

 

Finished!

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour Toum_, pear :P

 

Toum_ : pear m'a demandé de jeter un oeil par ici, ce que je fais avec plaisir. Je ne sais pas si mon passage sera bénéfique, mais ça ne devrait pas nuire, enfin je l'espère :P

 

Tout d'abord, quelques constats :

 

- Il y a une grosse infection que je vois ; il s'agit d'un Bot (infection à porte dérobée) qui vient rarement seule, c'est-à-dire possibilité d'un rootkit associé. Voici une description :

http://www.bleepingcomputer.com/startups/s....exe-24025.html

 

- À propos de ceci, dans les détections de l'outil CureIt :

Win32.Arrow.1296

Il s'agit d'un infecteur de fichiers exécutables, mais pas récent (2004-2005) et pas aussi coriace que ses contemporains. Mais il était là, et ça peut causer des dommages... Description :

http://threatinfo.trendmicro.com/vinfo/vir...W.B&VSect=P

 

- De SysProt :

Hooked Module: \SystemRoot\System32\Drivers\ajj01e9s.SYS

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 8349095C

Hooking Module: C:\Windows\System32\drivers\sfsync03.sys

Cette détection nous montre un lien entre le fichier "louche" (probablement nommé aléatoirement) et une application de protection de jeux/logiciels nommé StarForce. Avec la quantité de jeux que je vois sur la machine, il n'est pas surprenant d'y voir StarForce ; ces programmes de contrôle d'authenticité s'incrustent très bas dans l'architecture du système et on se souvient du "rootkit Sony".

 

- Ceci :

C:\Users\Toum\AppData\Local\Temp\Vista-clef activation pour tous les vista.rar

...suivi de :

Ps bis: Je n'ai pas de cd vista pour redémarrer en mode vista recovery

C'est pour le portable la clé d'activation ? Vista Home Prem (authentique) ne venait-il pas avec ? Si tu n'as pas les disques de Vista (de recouvrement), c'est parce que tu ne les a pas gravés ? Tu dois à tout le moins avoir la partition de recouvrement Acer alors (?). Étrange, je ne vois pas la partition de recouvrement dans les rapports...(??) Ça pourrait être important, si une réparation devenait nécessaire.

 

=====================

 

Voici ce qu'on peut tenter :

 

1) Télécharge exeHelper (de Raktor) sur ton Bureau.

Double-clique sur exeHelper.com afin de le lancer.

Une fenêtre noire devrait s'ouvrir : appuie sur n'importe quelle touche pour fermer la fenêtre, mais seulement lorsque l'outil aura complété son travail.

Copie/colle le contenu du rapport exehelperlog.txt (créé au même endroit où se trouve l'outil)

Note: Si une fenêtre avec message "Error deleting file" apparaît, prière de relancer l'outil avant de poster le rapport - qui contiendra maintenant les deux rapports.

 

2) Supprime à nouveau la copie de ComboFix qui se trouve sur ton Bureau. Télécharge une copie fraîche du lien suivant :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

> Renomme immédiatement le fichier en CF.bat et valide pour le changement d'extension. L'icône de ComboFix ne devrait plus être un chat rouge sur fond blanc à présent, mais bien une petite boîte avec engrenage. Si tu vois toujours le chat, c'est que tu dois modifier les options d'affichage pour démasquer les extensions connues, comme ceci :

 

Double-clique sur le Poste de Travail

Du menu Outils, clique Options des dossiers...

De la nouvelle fenêtre, choisis l'onglet Affichage

Décoche la case Masquer les extensions des fichiers dont le type est connu

Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail.

 

Tu peux renommer ComboFix en CF.bat à présent et l'icône sera le bon.

 

> Désactive ton antivirus et lance ComboFix. Poste le rapport lorsqu'il aura complété (s'il accepte de tourner bien sûr). Poste le rapport de l'outil exeHelper également (en premier).

 

Bon succès..

 

Mark

Toum_ Member

Toum_

Posté(e)
  • Auteur
Posté(e)

Bonsoir Mark, merci pour ton aide,

 

 

alors voici le rapport exehelper:

 

exeHelper by Raktor

Build 20091021

Run at 19:55:05 on 10/23/09

Now searching...

Checking for numerical processes...

Checking for bad processes...

Checking for bad files...

Checking for bad registry entries...

Resetting filetype association for .exe

Resetting filetype association for .com

Resetting userinit and shell values...

Resetting policies...

--Finished--

 

Concernat combofix toujours le meme message d'erreur: some instalation files are corrupt, please download a fresh version and retry"

 

 

et concernant les cd de windows je n'avais pas gravé les cd quand windows me l'a proposé mais je n'ai pas eu de cd windows avec l'ordi quand je l'ai acheté légalement avec une version de windows tout aussi légale (lol).

 

 

Merci à plus tard

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci pour les détails, Toum_, et désolé pour le délai de réponse. Y a une bagarre avec des virus chez moi, de type biologique... Pas la grippe, pas encore :P

 

Je viens de demander pour un avis car là, ça me dépasse. Je devrais avoir un retour bientôt et ça aidera, je l'espère.

 

Si on retourne au début : as-tu toujours des problèmes de connexion ? Et avec Avast! ?

As-tu tenté de faire des modifications sur le système récemment, par exemple pour permettre à des jeux ou autres logiciels de tourner ?

 

Dernière question : as-tu la partition de recouvrement (Acer) sur le portable ?

 

Je te reviens dès que possible...

 

@+

Toum_ Member

Toum_

Posté(e)
  • Auteur
Posté(e)

Hello Mark,

 

Oui je n'ai toujours pas de connexion ni avast et plein de services windows n'arrive pas à démarer, j'ai juste changer le pilotes de la carte graphique mais je ne crois pas avoir fais d'autres grosse modifications (ormis avoir pété l'écran :P ).

 

Tu m'a parlé de problemss dans ton dernier messages genre Starforce, dois-je suprimer certain fichier ou autres?

 

 

 

Merci, soigne toi bien.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...