Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Malware vraiment lourd

easteric
 Partager

Messages recommandés

easteric Junior Member

easteric

Posté(e)
Posté(e)

Bonjour à tous,

 

Voilà je m'inscris sur votre forum parce qu'un petit soft me donne du fil à retordre et commence vraiment a me taper sur le système...

Je suis repassé sous Windows Seven il y a pas trés longtemps et une semaine aprés pas mal de problème, maintenant ca va faire 2 mois que je me traine ce truc:

 

Symptomes:

- Clic sur un lien dans firefox: 1 fois sur 10 cela me mene vers des sites de fishing

- Fenetres qui souvre sur le bureau avec fausse analyse, le system est infecté etc.

- Une quantité impressionante de dossiers sous la forme "XXX.tmp" apparait dans le dossier temp de windows, d'aprés les logs ils contiennent tous un fichier SVCHOST, mais les dossiers son vide quand je les ouvre

- Environ toutes les demi-heures kaspersky bloque l'execution d'un fichier SVCHOST des dossiers dont je parle au dessus

 

- Un fichier du nom de xhzjxchx.dll est assez récurrent dans les logs mais rien n'arrive a en venir à bout...

- etc.

 

Ce que j'ai fais:

- Kaspersky antivirus 9.0.0.736 + mise à jour + scan complet et tout le tsoin tsoin

- Malwarebytes' Anti-Malware + mise à jour + scan complet

- Spybot S&D avec teatimer, vaccination, etc...

 

Le résultat:

- Tous les 3 on supprimé un paquet de truc (trojans, malwares, etc.)

- Le problème reste le même, a priori pour moi c'est un trojan downloader bien vicieux, du coup kaspersky me trouve tous les jours un paquet de problèmes

 

Le formatage est délicat car m'imposerai beaucoup de boulot

Côté parefeu, juste celui de seven plus celui du routeur...

 

Je suis à court d'idée c'est pour quoi je m'en remet à vous, alors mille merci à celui ou celle qui me sortira de ce petrain !

 

Si ça peut aider, voici le log de kaspersky (en 3 semaines il a découvert 717 objets, dont 17 virus, 239 trojans, 82 riskwares :P )

 

Et puis un des logs de malwarebytes:

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 3970

 

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

09/04/2010 02:34:35

mbam-log-2010-04-09 (02-34-35).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 104662

Temps écoulé: 6 minute(s), 23 seconde(s)

Processus mémoire infecté(s): 2

Module(s) mémoire infecté(s): 1

Clé(s) du Registre infectée(s): 8

Valeur(s) du Registre infectée(s): 3

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 8

 

Processus mémoire infecté(s):

C:\Users\Easteric\AppData\Local\Temp\geurge.exe (Trojan.Agent.Gen) -> Unloaded process successfully.

C:\Users\Easteric\AppData\Local\Temp\2674,626.exe (Worm.Fillav) -> Unloaded process successfully.

 

Module(s) mémoire infecté(s):

C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

 

Clé(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{111f5d49-c5c5-45e2-ab71-a8b55ee691b7} (Trojan.BHO.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{111f5d49-c5c5-45e2-ab71-a8b55ee691b7} (Trojan.BHO.H) -> Delete on reboot.

HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

 

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ewrgetuj (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Fichier(s) infecté(s):

c:\Windows\System32\jnziiqo.dll (Trojan.BHO.H) -> Delete on reboot.

C:\Users\Easteric\AppData\Local\Temp\geurge.exe (Trojan.Agent.Gen) -> Quarantined and deleted successfully.

C:\Users\Easteric\AppData\Local\Temp\2674,626.exe (Worm.Fillav) -> Quarantined and deleted successfully.

C:\Windows\System32\drivers\zouoiayk9.sys (Rootkit.Tent) -> Delete on reboot.

C:\Users\Easteric\AppData\Local\Temp\Xhl.exe (Trojan.FakeAlert) -> Delete on reboot.

C:\Windows\System32\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

 

Je vois pas quoi rajouter si ce n'est que je m'en sortirai pas sans vous donc encore merci pour toute piste !

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Salut :P

 

Ton MBAM est très loin d'être à jour, il ne peut faire un boulot correct.

 

Voici la procédure: pour MBAM, va directement à la mise à jour ou désinstalle/réinstalle-le.

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

Lien 1

Lien 2

Lien 3

Lien 4

 

Enregistrer le fichier sur le Bureau.

 

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware.

 

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître.

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

---------------------------------

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Télécharge Hijackthis 2.0.4 et enregistre-le sur le bureau.

 

Sous XP, double clique sur l'icône

 

Sous Vista, fais un clic droit sur l'icône/exécuter en temps qu'administrateur.

 

Clique sur "Scan".

 

Clique ensuite sur "Save log", un fichier texte avec le rapport doit s'ouvrir.

 

Sauvegarde le fichier texte sur le bureau.

 

Fais un clic droit sur le texte ouvert, clique encore avec le bouton droit puis clique sur "copier".

 

Colle le résultat dans ta réponse stp.

 

@++

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...