Malware Defence, Windows Security alert, Pop up

[Kroala]

Tu peux essayer en mode sans échec, sinon, on devra procéder de manière plus violente.

 

 

Bon bah le mode sans echec est un echec ^^

 

J'ai beau cliquer rien de se passe ,cependant le pc ne se fige plus !

 

Kro

[Falkra]

Ok, on va approfondir les recherches, de toute façon il n'y a pas 50 bestioles qui font ça.

 

Si le logiciel suivant fait un écran bleu, ne t'inquiète pas et redémarre.

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

• Drivers
  
• Sections
  
• IAT/EAT
  
• **Assure-toi que "Show All" est décoché**
  

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

[Kroala]

Ok je viens de lancer le scan en mode sans echec en ayant passé le logiciel sur le pc infecté

 

Le scan a été lancé

Et vient de planter ...

1tinp65.exe a rencontré un problème et doit fermer et tout le bla bla avec

 

Je viens de le relancer , jai démarrer le scan , mais bon il ne se passe rien sa mouline sa mouline ^^

 

A noter qu'il a detecté a 'ouverture du programme

Type Service

Dans C;\WINDOWS\System32\drivers\H8SRTqukopeyliw(***hidden***)

Et Value [system]H8SRTd.sys

 

 

Et j'ai constamment une petite fenêtré d'internet explorer (que je n'utilise pas) qui s'ouvre m'affichant

 

"Page web non disponible en mode hors connexion"

Avec pour choix connexion ou rester hors connexion.

 

 

 

^^ C'est le bronx

 

Merci du temps accordé ,surtout durant ces périodes de fêtes !

Kro

 

 

PS; La categorie "Driver" n'est pas présente , je n'ai donc pas pus la decocher ^^

 

 

EDIT 2 ^^ : Jai relancé un scan celui ci semble bien se passer !

Modifié le 25 décembre 2009 par Kroala

[Falkra]

C'est bon, j'ai l'info qu'il me fallait.

 

Reviens en mode normal pour la suite.

 

Tu as la bestiole féroce du moment.

 

1. Télécharge The Avenger par Swandog46 sur ton Bureau.

• Décompresse le fichier
  
• avenger.exe sur le bureau
  

 

2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre :

 

drivers to disable:
H8SRTd.sys

drivers to delete:
H8SRTd.sys

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

• Sous "Input Script There", colle le code précédemment copié.
  
• Clique sur Execute
  
• Réponds "Yes" quand demandé.
  

4. The Avenger va automatiquement faire ce qui suit:

• Il va Re-démarrer le système.
  
• Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
  
• Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

 

----------------------

 

Ne fais ce qui suit qu'après la partie Avenger.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

[Kroala]

Re !

Le pc se fige des l'ouverture de session impossible de faire quoi que ce soit.

 

Je retente en mode sans echec?

 

 

Kro

[Falkra]

Ok, fais les manips de mon post précédent en mode sans échec (avec prise en charge réseau : il faut télécharger des outils et copier un script : sinon mais en dernier ressort mets ça sur clé USB).

 

Ta bestiole est identifiée en tout cas, maintenant.

[Kroala]

Re (re re re re ... )

 

Donc , voila le txt , d'aprés opération

 

 

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

 

Hidden driver "H8SRTd.sys" found!

ImagePath: \systemroot\system32\drivers\H8SRTqukopeyliw.sys

Start Type: 4 (Disabled)

 

Rootkit scan completed.

 

Driver "H8SRTd.sys" disabled successfully.

Driver "H8SRTd.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

 

 

 

 

Je dois m'absenter , je fais la suite de ton post des que je reviens !

 

et voila au passage une capture d'écran des pop up , qui on doublé par contre...

Tu peux voir les programmes douteux en bas a droite.

 

Je reviens avec la suite des opération faites !

 

Kro

[Falkra]

Passe combofix maintenant, sinon on risque d'avoir à recommencer.

[Kroala]

Passe combofix maintenant, sinon on risque d'avoir à recommencer.

 

Ok je suis en train de lancer la manip , toujours en mode sans echec

 

J'ai essayé normalement

J'ai une nouvelle fenetre avec un compte a rebour et un message d'alerte et mon pc c'est éteint.

 

Donc le mode sans echec semble pour l'instant la meilleur option ^^

 

Kro

[Kroala]

Ok je suis en train de lancer la manip , toujours en mode sans echec

 

J'ai essayé normalement

J'ai une nouvelle fenetre avec un compte a rebour et un message d'alerte et mon pc c'est éteint.

 

Donc le mode sans echec semble pour l'instant la meilleur option ^^

 

Kro

 

Le scan n'a rien donné j'obtiens un .txt Marqué error

 

Kro