trojan fakealert résolu

[WawaSeb]

Bonsoir toscabriane,

 

*** J'espère que tu as passé un bon we... ***

 

 

cdctr.exe in c:\windows

--> Tu peux supprimer le fichier détecté si ce n'est déjà fait...

--> As-tu pu exécuter GMER et ESET ?

 

@ te lire,

[toscabriane]

bonjour

le scan GMER ne peu etre executer l'ecran bleu au bout de trois heures mëme erreur que signalé plus haut

Le scan ESET voir rapport ci-joint

C:\System Volume Information\_restore{B3BF5352-B406-412E-936E-A9436F19C528}\RP1121\A0300461.dll Win32/Adware.AntiMalwarePro.AA application cleaned by deleting - quarantined

Bonne journée à bientot de te lire et merci pour ton support

[WawaSeb]

Bonsoir toscabriane,

 

*** Les éléments trouvés étaient inactifs et je pense que ton poste n'est plus infecté ! ***

 

Cependant, GMER est un outil permettant de voir des infections cachées par des techniques de rootkits. Si tu me suis, tu comprendras que je désire m'assurer de l'intégrité du noyau (ou d'éventuels services cachés), avant de te rediriger vers d'éventuelles autres pistes si tu rencontres encore des problèmes...

 

 

# Télécharge RootRepeal : http://ad13.geekstogo.com/RootRepeal.zip

 

Autres liens si celui-ci ne fonctionne pas :

• http://rootrepeal.googlepages.com/RootRepeal.zip
  
• http://rootrepeal.psikotick.com/RootRepeal.zip
  

 

• Enregistre RootRepeal.zip sur ton bureau.
  
• Crée un dossier RootRepeal à la racine du disque système (--> "C:\RootRepeal" par exemple)
  
• Décompresse le fichier téléchargé dans le dossier que tu viens de créer.
  
• Double-clique sur %racine%\RootRepeal\RootRepeal.exe
  
• Comme avec GMER, tu devras désactiver ton antivirus pour exécuter cette procédure.
   
  
• Clique sur Report, puis sur le bouton Scan.
  
• Dans la nouvelle fenêtre Select Scan, coche:
  

+ Drivers

+ Files

+ Processes

+ SSDT

+ Stealth Objects

+ Hidden Services

+ Shadow SSDT

 

• Clique ensuite sur OK
  
• Dans Select Drives, coche le lecteur sur lequel est installé Windows.
  

 

Note: Ce scan prend énormément de temps, ne lance aucun programme pendant qu'il travaille !

 

• Lorsque c'est fini, ferme le rapport qui vient de s'ouvrir.
  
• Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier %racine%\RootRepeal sous le nom Rapport.txt
  
• Clique sur File, puis sur Exit pour fermer le programme.
  
• Ré-active ton antivirus.
  
• Poste en réponse le rapport de RootRepeal (c'est le fichier %racine%\RootRepeal\Rapport.txt)
  

Vu la longueur du rapport, tu devras peut-être le scinder en plusieurs parties !

 

Bonne soirée !

[toscabriane]

Bonsoir toscabriane,

 

*** Les éléments trouvés étaient inactifs et je pense que ton poste n'est plus infecté ! ***

 

Cependant, GMER est un outil permettant de voir des infections cachées par des techniques de rootkits. Si tu me suis, tu comprendras que je désire m'assurer de l'intégrité du noyau (ou d'éventuels services cachés), avant de te rediriger vers d'éventuelles autres pistes si tu rencontres encore des problèmes...

 

 

# Télécharge RootRepeal : http://ad13.geekstogo.com/RootRepeal.zip

 

Autres liens si celui-ci ne fonctionne pas :

• http://rootrepeal.googlepages.com/RootRepeal.zip
  
• http://rootrepeal.psikotick.com/RootRepeal.zip
  

 

• Enregistre RootRepeal.zip sur ton bureau.
  
• Crée un dossier RootRepeal à la racine du disque système (--> "C:\RootRepeal" par exemple)
  
• Décompresse le fichier téléchargé dans le dossier que tu viens de créer.
  
• Double-clique sur %racine%\RootRepeal\RootRepeal.exe
  
• Comme avec GMER, tu devras désactiver ton antivirus pour exécuter cette procédure.
   
  
• Clique sur Report, puis sur le bouton Scan.
  
• Dans la nouvelle fenêtre Select Scan, coche:
  

 

 

• Clique ensuite sur OK
  
• Dans Select Drives, coche le lecteur sur lequel est installé Windows.
  

 

Note: Ce scan prend énormément de temps, ne lance aucun programme pendant qu'il travaille !

 

• Lorsque c'est fini, ferme le rapport qui vient de s'ouvrir.
  
• Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier %racine%\RootRepeal sous le nom Rapport.txt
  
• Clique sur File, puis sur Exit pour fermer le programme.
  
• Ré-active ton antivirus.
  
• Poste en réponse le rapport de RootRepeal (c'est le fichier %racine%\RootRepeal\Rapport.txt)
  

Vu la longueur du rapport, tu devras peut-être le scinder en plusieurs parties !

 

Bonne soirée !

 

 

bonsoir,

je viens de prendre connaissance de ton message, je vais essayer de lancer le scan demain matin avant de partir

je te remercie et te souhaite une bonne soirée

[WawaSeb]

Bonsoir toscabriane,

 

*** J'espère que tu as passé un bon we... ***

 

 

lundi 21 décembre 2009 à 19h55

Es-tu toujours avec nous ?

As-tu exécuté la procédure ?

 

--> Lorsque tu réponds à un message sur le forum, clique sur le bouton "Répondre" et efface tout le contenu du message précédent. C'est beaucoup plus lisible ! Merci d'avance...

[toscabriane]

Bonsoir toscabriane,

 

*** J'espère que tu as passé un bon we... ***

 

 

 

Es-tu toujours avec nous ?

As-tu exécuté la procédure ?

 

--> Lorsque tu réponds à un message sur le forum, clique sur le bouton "Répondre" et efface tout le contenu du message précédent. C'est beaucoup plus lisible ! Merci d'avance...

 

 

bonsoir,

 

je suis toujours avec vous

j ai du m absenter et je rentre seulement, je vais donc reprendre en main mon pc et faire la procédure du dernier message

je te remercie pour ta patience moi aussi

[toscabriane]

bonsoir,

je répète mon message j avais oublié d effacer

 

comme je disais j ai du m absenter précipitamment et je rentre ce soir, je reprends donc mon pc en main, et je vais effectuer la procédure du dernier message

je te remercie pour ta patience

A plus tard

[toscabriane]

bonjour,

 

voila j ai téléchargé rootrepeal il est dans le dossier systeme crée mais quand je clique dessus j ai un message en anglais ( patienter initialisation) j attends mais il ne se passe rien, et se message ne veut plus s effacer, je suis obliger d étiendre l ordinateur pour ne plus l avoir, je ne comprends pas ,

[WawaSeb]

Bonsoir toscabriane,

 

*** Navré de lire que tu rencontres des problèmes avec la procédure que je viens de vérifier ! ***

 

Pour l'instant, à moins que ta machine ne soit infectée par une nouvelle variante de rootkit qui bloque d'office les utilitaires capables de nettoyer, ce souci pourrait être d'origine complètement différente (matérielle par exemple)...

 

 

1) Télécharge et lance l'outil suivant (Rkill de Grinler), qui devrait nous permettre de débloquer GMER !

Comme tu le vois, il y a 4 versions différentes. Si celle que tu essaies ne fonctionne pas, essaie avec une autre...

 

Naturellement, Rkill ne doit fonctionner qu'une seule fois (tant mieux si le premier coup est le bon)

 

Rkill.exe : http://download.bleepingcomputer.com/grinler/rkill.exe

Rkill.com : http://download.bleepingcomputer.com/grinler/rkill.com

Rkill.scr : http://download.bleepingcomputer.com/grinler/rkill.scr

Rkill.pif : http://download.bleepingcomputer.com/grinler/rkill.pif

 

==> Poste le rapport généré (%SystemDrive%\rkill.log).

 

 

2) Retente la manipulation avec RootRepeal en suivant exactement ma procédure.

 

 

j ai téléchargé rootrepeal il est dans le dossier systeme crée

--> Je ne t'ai jamais demandé de créer un dossier "système"...

--> Avais-tu bien désactivé ton antivirus ? Si oui, comment ?

--> Tous les autres programmes étaient-ils complètement fermés ?

--> Quand il te demande de patienter, que dit le Gestionnaire des tâches (CTRL + ALT + DEL/SUPP) ? Vois-tu un processus qui prend plus de mémoire où qui utilise plus de CPU (pourcentage) ?

--> Si tu renommes Rootrepeal.exe en toto.exe avant de le lancer, ton souci est-il le même ?

--> As-tu d'autres problèmes avec ce PC ?

 

 

3) Si tu ne parviens toujours pas à exécuter RootRepeal et GMER, télécharge DiagHelp.zip de Malekal_morte sur ton bureau.

 

• Décompresse-le sur ton bureau
  
• Un nouveau dossier va être créé (DiagHelp)
  
• Ouvre le et double-clique sur go.cmd (le .cmd sera peut-être invisible)
  
• Une fenêtre va s'ouvrir, choisis l'option 1
  
• L'analyse peut prendre quelques minutes, appuie sur une touche quand on te le réclame
  
• Copie/colle le rapport qui s'ouvre sur ce forum (tu pourras retrouver ce rapport sur C:\Resultat.txt)
  

N'oublie surtout pas d'appuyer sur une touche à la fin pour afficher le rapport !!

 

Notes :

• Tu devras sans doute accepter une licence pendant l'utilisation de l'outil, c'est évidemment sans risque, mais nécessaire !
  
• Il se peut que ton antivirus détecte certains fichiers de l'archive comme étant potentiellement infectés, ce n'est bien sûr pas le cas !
  
• Tu seras peut-être invité à envoyer le fichier upload_moi_xxx.zip à malekal_morte ; fais-le si tu y parviens (la taille de l'archive peut bloquer l'envoi)...
  Tutoriel : http://www.malekal.com/DiagHelp/DiagHelp.php
  

 

 

Bonne nuit !

[toscabriane]

bonjour,

 

j ai réussi à lancer gmer, celui ci a tourné toute une journée, ensuite j ai enregistré le rapport et là le sablier ne s arretait plus, j ai du perdre le rapport car j ai arreté l ordi brutalement.

je relance gmer ce soir

 

bonne soirée