Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Win32/Olmarik.TDL4 cheval de Troie

Traxor

Par Traxor
dans Analyses et éradication malwares

 Partager

Messages recommandés

Traxor Junior Member

Traxor

Posté(e)
  • Auteur
Posté(e)

J'ai juste effectué la première étape. Rogue Killer -> clic sur Scan et c'est tout pour l'instant. Cela m'a ouvert Firefox avec la page [Rogue] system restore / system fix, alors qu'hier, rien de tout cela. J'ai regardé la vidéo, et c'est exactement ce que j'ai. Je crois qu'on a mis un nom sur mon problème ?! Et j'ai toujours Win32/Olmarik.TDL4 cheval de troie - impossible à nettoyer signalé via Nod32.

 

Dois je poursuivre avec Rogue Killer -> clic sur Suppression et TDSSKILLER ?

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Quel est le chemin complet que donne eset pour cette détection?

 

Oui, fais suppression avec rogue killer et tente de lancer TDSS Killer.

 

Le tuto de Tigzy est en effet édifiant (et à suivre).

 

@++

Traxor Junior Member

Traxor

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

Quel est le chemin complet que donne eset pour cette détection?

C'était en mémoire vive. J'ai refait un scan complet avec Nod32 au cas où et il me détecte uniquement cet élément : Mémoire vive - Win32/Olmarik.TDL4 cheval de troie - impossible de nettoyer.

 

Oui, fais suppression avec rogue killer et tente de lancer TDSS Killer.

J'ai fait Suppression avec Rogue Killer. Voici le rapport :

RogueKiller V7.2.0 [27/02/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/46)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur: rd [Droits d'admin]

Mode: Suppression -- Date: 29/02/2012 18:20:39

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 19 ¤¤¤

[sUSP PATH] HKCU\[...]\Run : FRVFiPBNaNpfUDT.exe (C:\ProgramData\FRVFiPBNaNpfUDT.exe) -> DELETED

[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)

[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)

[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\rd\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)

[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1)

[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1)

[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HDT721050SLA360 ATA Device +++++

--- User ---

[MBR] 4f59e437bc14bf4cf8d89c9442ace5f3

[bSP] b70a1e0b7ffb5812b16be17ab180c2e5 : Windows 7 MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 102300 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 209717248 | Size: 374529 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] 0c7662b2bd146c6322ea6ce5c42b49e6

[bSP] b70a1e0b7ffb5812b16be17ab180c2e5 : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 102300 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 209717248 | Size: 374529 Mo

3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976769024 | Size: 2 Mo

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

 

 

Je ne peux pas lancer TDSS Killer (même en tant qu'administrateur). Exactement comme hier.

 

Le tuto de Tigzy est en effet édifiant (et à suivre).

J'ai suivi le tutoriel. Vu que l'étape 2 (suppression) était réalisée juste avant, j'ai fait l'étape 6 (Racc. RAZ) puis j'ai téléchargé MBAM (+ mise à jour). Ensuite lancement d'un examen complet dont voici le rapport :

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.02.29.03

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

rd :: RDxxx [administrateur]

 

29/02/2012 18:42:28

mbam-log-2012-02-29 (20-09-18).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 1120166

Temps écoulé: 1 heure(s), 26 minute(s), 10 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 3

C:\ProgramData\91igsBJQTA2uGt.exe (Trojan.FakeAlert) -> Aucune action effectuée.

C:\ProgramData\FRVFiPBNaNpfUDT.exe (Trojan.FakeAlert) -> Aucune action effectuée.

C:\Users\rd\Desktop\RK_Quarantine\91igsBJQTA2uGt.exe.vir (Trojan.FakeAlert) -> Aucune action effectuée.

 

(fin)

 

 

J'ai à l'écran 3 fichiers détectés (dans l'onglet Recherche) ; le bouton Supprimer la sélection est en gras. Dois je effectuer des actions dans MBAM ?

 

A+

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Oui, supprime ce que MBAM a mis en évidence.

 

As-tu réessayé TDSSKiller? Si ça marche, poste le rapport stp.

 

 

 

@++

Traxor Junior Member

Traxor

Posté(e)
  • Auteur
Posté(e)

J'ai supprimé ce que MBAM a mis en évidence. MBAM m'a demandé de redémarrer. Chose faite. Si besoin, voici le rapport :

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.02.29.03

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

rd :: RDxxx [administrateur]

 

29/02/2012 18:42:28

mbam-log-2012-02-29 (18-42-28).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 1120166

Temps écoulé: 1 heure(s), 26 minute(s), 10 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 3

C:\ProgramData\91igsBJQTA2uGt.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

C:\ProgramData\FRVFiPBNaNpfUDT.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

C:\Users\rd\Desktop\RK_Quarantine\91igsBJQTA2uGt.exe.vir (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

 

 

Pour TDSSKiller, oui j'avais essayé. Mais je ne pouvais pas lancer TDSS Killer (même en tant qu'administrateur). Exactement comme hier. Je reviens d'essayer à nouveau, toujours pareil.

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bon, essaie celui-ci mais je ne le connais pas trop: ne fais jamais de fixmbr sur un pc de marque (tatoué).

 

aswMBR

 

Sinon, il faudra passer par le virus removal tool de Kasperky. (ma signature).

 

++

Traxor Junior Member

Traxor

Posté(e)
  • Auteur
Posté(e)

Même résultat pour aswMBR. Double-clic, mais rien ne se passe (on le voit 2 secondes dans le task manager comme TDSSKiller).

 

J'ai checké le lien dans votre signature et ai télécharge Kapersky Virus Removal Tool 11 (french). Je suis en train de suivre votre tutoriel (sur xooit - post du 31/08/2011 07:00:48).

Traxor Junior Member

Traxor

Posté(e)
  • Auteur
Posté(e)

Bonjour Apollo,

 

J'ai suivi votre tutoriel relatif à Kapersky Virus Removal Tool.

 

J'ai noté les actions effectuées :

  • system memory : MEM : rootkit.win64.Sst.b
    • oui, exécuter (recommandé)
    • réparer (recommandé) - Une copie du fichier sera enregistrée

    [*]\device\harddisk\DR0 : cheval de troie Rootkit.Boot.Sst.b

    • réparer (recommandé) - Une copie du fichier sera enregistrée

Demande de redémarrage. Action réalisée.

 

 

 

Voici le rapport exporté de Kapersky :

Etat : Réparés (évênements : 1)

01/03/2012 09:11:50 Réparés cheval de Troie Rootkit.Boot.SST.b \Device\Harddisk0\DR0 Elevées

 

 

 

A la suite de cela, j'ai refait un scan Nod32 (juste la mémoire vive), Win32/Olmarik.TDL4 n'est plus détecté. C'est bon signe ? :)

  • Upvote 1
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Oui, c'est bon signe, Kaspersky a réparé :super:

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le tournevis. tourneviszhpdiag.jpg

[*]Clique sur la loupe loupe_10.jpg pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

  • Upvote 1

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...