Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infecté par Smart Fortress 2012

aide moi svp
 Partager

Messages recommandés

aide moi svp Member

aide moi svp

Posté(e)
Posté(e)

bonsoir a tous

depuis ce matin mon ordinateur est infecté par smart fortress 2012,je me suis deconnecté d internet et maintenant je vous ecris avec mon ancien ordinateur,quelle demarches a suivre svp.

j essaie de demarrer malwarebytes aussi avira antivirus imposible de demarrer ,ala place s'afiché smart fortress 2012 a scaner et je stope de scaner.merci de votre aide svp

Lien vers le commentaire
Partager sur d’autres sites

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir,

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

Lien vers le commentaire
Partager sur d’autres sites
aide moi svp Member

aide moi svp

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

bonjour apollo merci. ici le raport de roguekiller

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: JOSE [Droits d'admin]

Mode: Recherche -- Date: 03/04/2012 12:51:59

 

¤¤¤ Processus malicieux: 2 ¤¤¤

[WINDOW : Smart Fortress 2012] F4D5625900006A6B00007563D151FC84.exe -- C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84\F4D5625900006A6B00007563D151FC84.exe -> KILLED [TermProc]

[sUSP PATH] F4D5625900006A6B00007563D151FC84.exe -- C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84\F4D5625900006A6B00007563D151FC84.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 2 ¤¤¤

[sUSP PATH] HKCU\[...]\RunOnce : F4D5625900006A6B00007563D151FC84 (C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84\F4D5625900006A6B00007563D151FC84.exe) -> FOUND

[sUSP PATH] HKUS\S-1-5-21-1343024091-1035525444-725345543-1004[...]\RunOnce : F4D5625900006A6B00007563D151FC84 (C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84\F4D5625900006A6B00007563D151FC84.exe) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC530 -> HOOKED (Unknown @ 0xBA6B2C5C)

SSDT[41] : NtCreateKey @ 0x806240F0 -> HOOKED (Unknown @ 0xBA6B2C16)

SSDT[50] : NtCreateSection @ 0x805AB3C8 -> HOOKED (Unknown @ 0xBA6B2C66)

SSDT[53] : NtCreateThread @ 0x805D1018 -> HOOKED (Unknown @ 0xBA6B2C0C)

SSDT[63] : NtDeleteKey @ 0x8062458C -> HOOKED (Unknown @ 0xBA6B2C1B)

SSDT[65] : NtDeleteValueKey @ 0x8062475C -> HOOKED (Unknown @ 0xBA6B2C25)

SSDT[68] : NtDuplicateObject @ 0x805BE008 -> HOOKED (Unknown @ 0xBA6B2C57)

SSDT[98] : NtLoadKey @ 0x80626314 -> HOOKED (Unknown @ 0xBA6B2C2A)

SSDT[122] : NtOpenProcess @ 0x805CB440 -> HOOKED (Unknown @ 0xBA6B2BF8)

SSDT[128] : NtOpenThread @ 0x805CB6CC -> HOOKED (Unknown @ 0xBA6B2BFD)

SSDT[193] : NtReplaceKey @ 0x806261C4 -> HOOKED (Unknown @ 0xBA6B2C34)

SSDT[204] : NtRestoreKey @ 0x80625AD0 -> HOOKED (Unknown @ 0xBA6B2C2F)

SSDT[213] : NtSetContextThread @ 0x805D173A -> HOOKED (Unknown @ 0xBA6B2C6B)

SSDT[247] : NtSetValueKey @ 0x80622662 -> HOOKED (Unknown @ 0xBA6B2C20)

SSDT[257] : NtTerminateProcess @ 0x805D29E2 -> HOOKED (Unknown @ 0xBA6B2C07)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xBA6B2C70)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xBA6B2C75)

 

¤¤¤ Infection : Rogue.AntiSpy-ST ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HD501LJ +++++

--- User ---

[MBR] cdf01668e0246fc972e9f81c85bfa260

[bSP] 5633ba28bdde44cfcc5a867527a23b8d : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 163458 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 334762470 | Size: 313479 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: SAMSUNG HD501LJ +++++

--- User ---

[MBR] 0ca2b2600f3bb934d204ab4b77c98e7c

[bSP] 5f8af137f2da50749ebbf5bf131a0f6f : MBR Code unknown

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive2: Intuix DiskOnKey USB Device +++++

--- User ---

[MBR] cd1c0f17549473586d685af9474ca0c1

[bSP] 4fd419af821bfc3ebff8739eb627458b : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 489 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Re,

 

relance Rogue Killer et clique sur Suppression; poste le rapport stp.

 

Ensuite, un examen rapide (un complet devra être fait plus tard) avec MBAM. Si MBAM ne se lance pas, dis-le tout de suite.

 

MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits possibles. (c'est comme vous voulez)

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.60.1.1000 Download

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

param-mbam-3088176.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

 

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide."
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Lien vers le commentaire
Partager sur d’autres sites
aide moi svp Member

aide moi svp

Posté(e)
  • Auteur
Posté(e)

Voici le rapport après suppression de roguekiller et je vais attaquer la suite avec MBAM

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: JOSE [Droits d'admin]

Mode: Suppression -- Date: 03/04/2012 13:54:29

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[sUSP PATH] HKCU\[...]\RunOnce : F4D5625900006A6B00007563D151FC84 (C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84\F4D5625900006A6B00007563D151FC84.exe) -> DELETED

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x805BC530 -> HOOKED (Unknown @ 0xBA6B2C5C)

SSDT[41] : NtCreateKey @ 0x806240F0 -> HOOKED (Unknown @ 0xBA6B2C16)

SSDT[50] : NtCreateSection @ 0x805AB3C8 -> HOOKED (Unknown @ 0xBA6B2C66)

SSDT[53] : NtCreateThread @ 0x805D1018 -> HOOKED (Unknown @ 0xBA6B2C0C)

SSDT[63] : NtDeleteKey @ 0x8062458C -> HOOKED (Unknown @ 0xBA6B2C1B)

SSDT[65] : NtDeleteValueKey @ 0x8062475C -> HOOKED (Unknown @ 0xBA6B2C25)

SSDT[68] : NtDuplicateObject @ 0x805BE008 -> HOOKED (Unknown @ 0xBA6B2C57)

SSDT[98] : NtLoadKey @ 0x80626314 -> HOOKED (Unknown @ 0xBA6B2C2A)

SSDT[122] : NtOpenProcess @ 0x805CB440 -> HOOKED (Unknown @ 0xBA6B2BF8)

SSDT[128] : NtOpenThread @ 0x805CB6CC -> HOOKED (Unknown @ 0xBA6B2BFD)

SSDT[193] : NtReplaceKey @ 0x806261C4 -> HOOKED (Unknown @ 0xBA6B2C34)

SSDT[204] : NtRestoreKey @ 0x80625AD0 -> HOOKED (Unknown @ 0xBA6B2C2F)

SSDT[213] : NtSetContextThread @ 0x805D173A -> HOOKED (Unknown @ 0xBA6B2C6B)

SSDT[247] : NtSetValueKey @ 0x80622662 -> HOOKED (Unknown @ 0xBA6B2C20)

SSDT[257] : NtTerminateProcess @ 0x805D29E2 -> HOOKED (Unknown @ 0xBA6B2C07)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xBA6B2C70)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xBA6B2C75)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: SAMSUNG HD501LJ +++++

--- User ---

[MBR] cdf01668e0246fc972e9f81c85bfa260

[bSP] 5633ba28bdde44cfcc5a867527a23b8d : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 163458 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 334762470 | Size: 313479 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: SAMSUNG HD501LJ +++++

--- User ---

[MBR] 0ca2b2600f3bb934d204ab4b77c98e7c

[bSP] 5f8af137f2da50749ebbf5bf131a0f6f : MBR Code unknown

Partition table:

0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 476937 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive2: Intuix DiskOnKey USB Device +++++

--- User ---

[MBR] cd1c0f17549473586d685af9474ca0c1

[bSP] 4fd419af821bfc3ebff8739eb627458b : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 489 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Lien vers le commentaire
Partager sur d’autres sites
aide moi svp Member

aide moi svp

Posté(e)
  • Auteur
Posté(e)

Voici le rapport de MALWAREBYTES et je dois redemarrer mon ordi

 

Malwarebytes Anti-Malware 1.60.1.1000

www.malwarebytes.org

 

Version de la base de données: v2012.04.03.06

 

Windows XP Service Pack 3 x86 NTFS

Internet Explorer 8.0.6001.18702

JOSE :: ZAION [administrateur]

 

03/04/2012 02:04

mbam-log-2012-04-03 (14-04-15).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 214410

Temps écoulé: 3 minute(s), 5 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Smart Fortress 2012 (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Documents and Settings\All Users\Application Data\F4D5625900006A6B00007563D151FC84\F4D5625900006A6B00007563D151FC84.exe (Trojan.FakeAlert) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Je te dirai pour désinstaller tous les zoutils ensemble à la fin.

 

confiance en toi et en personne d'autre
Tu as tort car tous les conseillers agréés sur zébulon sont excellents, mais je te remercie du compliment :)

 

Comme dit plus haut, il vaudrait mieux relancer MBAM en examen complet, mais après cette vérif:

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

@++

Lien vers le commentaire
Partager sur d’autres sites
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Pour tes réponses, utilise le bouton "Ajouter une réponse" et non "répondre" sinon tu vas me citer à chaque fois ;)

 

Mets MBAM à jour puis fais une analyse complète, voici la procédure standard (mais toi tu ne le télécharges plus évidemment ;) )

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 


  •  
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...