Infection Ramnit (entre autres...)

[ocram.DE]

Hello,

 

Bref résumé de l'épisode précédent dans la rubrique "software"...

 

Hello,

 

Je dépanne un PC portable dans la famille (à l´étranger... vive le clavier qwerty).

J´ai déjà fait pas mal de ménage (divers "utilitaires" supprimés, etc.), et je tombe sur un os : plusieurs installations s´interrompent sans explication.

 

Acrobat Reader X décompresse ses fichiers, demande à valider les CGU, demande confirmation du répertoire d´installation, et puis il disparaît tout simplement. Plus rien dans le gestionnaire de tâches non plus.

 

Idem pour HiJackThis (en mode installer).

 

Par contre j´ai pu installer CCleaner et RegScanner.

 

Il reste 10Go sur le DD.

J´ai désactivé l´antivirus (Avira) pour voir si c´était ça qui bloquait, sans plus de succès.

 

Un examen rapide avec Malwarebytes ne donne rien (pas fait l´examen complet encore).

Est-ce Windows qui est endommagé, ou bien y a-t-il un machin malicieux derrière tout ça ?

En parcourant le DD, j´ai vu un Combofix qui se baladait. La console de récupération apparaît au démarrage... je pense qu'il a dû y avoir des petits soucis du genre dans la maison.

 

merci pour votre aide... il me reste 5 jours pour essayer de fixer ca !

 

O.

 

Suite à la suggestion de Bleuet, voici l'analyse de ZHP Diag ; et en complément, celle de HiJackThis.

 

voilou... j'attends vos instructions éclairées, j'espère surtout parvenir à tout nettoyer : ma soeur est à son compte et comme beaucoup, son PC est son outil de travail.

 

à+

O.

Modifié le 22 août 2011 par ocram.DE

[tomtom95]

Bonsoir ocram.DE

 

On va essayer de gérer le problème,mais si c'est bien une infection Ramnit il fait bien partie de la famille VIRUT.

Et souvent la seule solution c'est le formatage.

Dans un premier temps fait cette procédure.

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus,anti-spyware)
  
• Double-clique sur ZHPFix
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
  Un raccourci installé par ZHPDiag sur le Bureau
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :

  R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888;https=127.0.0.1:8888;
  O4 - HKUS\S-1-5-18\..\RunOnce: [showDeskFix] Orphean Key
  [HKCU\Software\PriceGong]
  [HKLM\Software\Conduit]
  [HKLM\Software\Classes\AppID\GenericAskToolbar.DLL]
  [HKLM\Software\Classes\Toolbar.CT1460988]
  [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}]
  [HKLM\Software\Classes\CLSID\{1a03f196-9617-4ca0-842b-a83ceecb022b}]
  [HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}]
  [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
  [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings]
  [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
  O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} - (Search the web (Babylon)) - Babylon Search
  O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Search the web (Babylon)) - Babylon Search
  O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (DVDVideoSoftTB Customized Web Search) - http://search.conduit.com
   
  PROXFix
  HOSTFix
  FirewallRaz
  EmptyTemp
  EmptyFlash
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

Avant de passer a autre chose ,Refait stp un nouveau rapport ZHPDiag avec cette procédure.

• Lance l'outil : double-clique sur ZHPDiag pour XP
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
  Clique sur le Tournevis a droit en haut
  
  Coche toutes les cases .
  
• Puis Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
  
• L'analyse peut durer une dizaine de minutes.
  
• Le rapport généré par l'outil se nomme ZHPDiag.txt
  
• Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  
• Dans ta prochaine réponse
  
• héberger le fichier contenant le rapport ici
  http://cjoint.com/
  
• Indique ensuite dans ta prochaine réponse l'adresse d'hébergement de ce rapport pour que je puisse le télécharger et l'analyser.

 

A+

[ocram.DE]

gardons espoir !

 

Tout s'est presque passé comme prévu, sauf certaines clés qui n'ont pas été trouvées : c'est peut-être dû au nettoyage manuel que j'ai fait avant-hier pour supprimer un programme qui tournait en tâche de fond ("SearchSettings").

 

Voici le rapport de ZHPFix, et les rapports de ZHPDiag avant et après reboot.

 

[edit] J'avais zappé l'étape "toutes les cases" dans l'analyse finale de ZHPDiag, voici le rapport complet. [/edit]

 

J'attends le verdict !

Modifié le 23 août 2011 par ocram.DE

[tomtom95]

Bonjour ocram.DE

 

Trés bien

 

Pour ZHPDiag tu n'a pas cliquer sur le Tournevis a droit en haut

Coche toutes les cases ce qui me donne pas un rapport complet.

Au prochain rapport pense a le faire stp.

 

Manuellement tu va Faire un reset des proxy de tes navigateurs

 

Reset Proxy Firefox

Firefox

clique droit sur outil \ options \ onglet avancé \ sous onglet réseau \Connexion

"Configurer la façon dont Firefox se connecte à internet" \ paramètres \ pas de proxy \ ok

ferme Firefox

 

Reset proxy Internet Explorer

Internet Explorer

Démarrer / panneau de configuration / Option Internet / onglet connexion / En bas à droite "Paramètres réseau"

Dans la fenêtre " Paramètres du réseau local" rien ne doit être coché / clique sur OK et ferme toutes les fenêtres.

 

*******************************************

Ensuite Télécharge RogueKiller (par tigzy). sur le bureau

• IMPORTANT:Quitte tous tes programmes en cours,désactive tes protections
  
• Lance RogueKiller.exe.
   
  
  Lorsque demandé
  
• tape 1 recherche et valide
  
• Un rapport (RKreport.txt) sera créer à côté de l'exécutable
  colle son contenu dans la réponse
   
  
• Si le programme a été bloqué
  ne pas hésiter a essayer à l'exécuter de nouveau .
   
  NOTE: Aprés avoir posté le premier rapport pour que je l'analyse
   
  
• Si infection présente Il faudras Relancer Roguekiller
  et taper 2 suppression
  Un rapport (RKreport.txt) sera créer à côté de l'exécutable
  colle son contenu dans la réponse en fin de procédure.
   
  ---------------------------------------
  NOTE: Tape 3si le HOSTS est corrompu pour en restaurer une copie saine
  NOTE: S'il y a un proxy de trouvé Tape 4 pour la suppression
  NOTE Tape 5Pour corriger les Dns .
  NOTE Tape 6 Si tes raccourcis et dossiers du bureau/menu démarrer/etc ont diparu
   
  Un rapport (RKreport.txt) a du se créer à côté de l'exécutable
  colle son contenu dans la réponse en fin de procédure.

 

A+

Modifié le 23 août 2011 par tomtom95

[ocram.DE]

Voilà le résultat.

Au passage, il n'y avait pas de proxy paramétré, ni pour FF ni pour IE.

 

RogueKiller V5.3.3 [08/18/2011] by Tigzy

contact at Forum Sciences / Forum Informatique - Sur la Toile (SLT)

mail: tigzyRK<at>gmail<dot>com

Feedback: [RogueKiller] Remontées (1/32)

 

Operating System: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Started in : Normal mode

User: laurette [Admin rights]

Mode: Scan -- Date : 08/23/2011 21:03:38

 

Bad processes: 1

[sUSP PATH] LVPrcInj01.dll -- C:\WINDOWS\TEMP\logishrd\LVPrcInj01.dll -> UNLOADED

 

Registry Entries: 2

[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:8080) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

Particular Files / Folders:

 

HOSTS File:

127.0.0.1 localhost

 

 

Finished : << RKreport[1].txt >>

RKreport[1].txt

Modifié le 23 août 2011 par ocram.DE

[tomtom95]

Bonsoir

 

Relancer Roguekiller et taper 2 suppression Un rapport (RKreport.txt)sera créer à côté de l'exécutable

colle son contenu dans ta prochaine réponse

 

• Télécharger

DeFogger de Jpshortstuff sur le bureau.
 
Double cliquer sur DeFogger pour démarrer l'outil.
 
La fenêtre de DeFogger apparaît
Cliquer sur le bouton Disable pour désactiver les pilotes d'émulateurs CD.
Cliquer sur Yes pour continuer.
Un message 'Finished!' apparaîtra
Cliquer sur OK
DeFogger peut te demander de redémarrer la machine
Clique sur OK
 
Ne réactive PAS ces pilotes avant la fin de la désinfection

 

• Télécharger

TDSSkiller de Kaspersky sur le Bureau
 
Faire un double clique sur TDSSKiller.exe pour le lancer.
Cliquer sur Start scan pour lancer l'analyse
 
 

 
 
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 

 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
 
 
Attendre l'affichage du fichier rapport.
 
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
Post: le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
 
 
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
 
Si ( "Suspicious file" ) est indiqué laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse
héberger le fichier contenant le rapport ici http://cjoint.com/
(Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil
HH.MM.SS heure de passage).

 

A+

[ocram.DE]

ouah la liste de courses !

 

Dans l'ordre :

- le rapport de RogueKiller

- le rapport de TDSSKiller (qui n'a rien trouvé ! bon signe ?)

- le rapport complet de ZHPDiag

 

merci !

[tomtom95]

OK

Pour le rapport ZHPDiag je renouvelle ma demande.

cliquer sur le Tournevis a droit en hautCoche toutes les cases ce qui me donne un rapport complet.

 

Ta version windows Pro n'est Pas activé ,ou elle est modifié/Cracké ?

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus,anti-spyware)
  
• Double-clique sur ZHPFix
  
  Un raccourci installé par ZHPDiag sur le Bureau
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier" ou "Ctrl+C"
  ces lignes ci dessous :

  R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <-loopback>
  [HKLM\Software\Classes\Conduit.Engine]
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{10EDB994-47F8-43F7-AE96-F2EA63E9F90F}]
   
  EmptyTemp
  EmptyFlash
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
   
  Le rapport ZHPFixReport.txt est enregistré sous C:\Program files\ZHPFix\ZHPFixReport.txt

 

 

• Télécharger sur le Bureau

CKScanner (par askey127)
Double clique

Cliquer sur Search For Files
Patienter jusqu'à ce que le curseur de la souris reprenne sa forme habituelle
Clique sur Save List To File
Clique sur OK dans le message "Saved to flename ckfiles.tx"

Ouvre le fichier CKFiles.txt qui ce trouve sur le Bureau
Copie,et colle son contenu dans la prochaine réponse.
Clique sur Exit pour fermer CKScanner.

 

A+

Modifié le 23 août 2011 par tomtom95

[ocram.DE]

Hello,

 

La méthode a changé dans la nuit j'avais regardé depuis mon mobile hier soir et j'avais vu du Combofix...

 

Pour Windows, je ne sais pas trop : bien que ce soit un SP3, j'ai l'impression que Windows Update demande toujours à télécharger l'outil de validation. Je n'ai jamais bien compris le fonctionnement, je pensais qu'une version non validée se bloquait ? Bref. En tout cas c'est sûr que c'est plus simple quand on est dans les clous.

 

De retour à nos rapports :

- ZHPFix

- CKScanner

Apparemment CKScanner n'a rien trouvé.

 

Je vais réessayer pour le rapport complet avec ZHPDiag, mais les dernières fois il me semblait bien avoir tout coché avec dans la fenêtre du "tourvenis" !?

 

à+

[tomtom95]

Bonsoir

 

 

Dit moi si ton windows est activé ?

•Menu Démarrer,

•Exécuter,

•Copiez-collez :

oobe/msoobe /a

•Tape sur [Entrée]

 

A+