Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection « Smart HDD »


 Share

Messages recommandés

Bonjour,

Me voici infectée par "SMART HDD" ... j'ai lancé RogueKiller et unhide, j'ai donc pu récupérer tous mes fichiers, raccourci et menu démarrer. Seulement, l'icone de SMART HDD est toujours là, que ce soit sur le bureau, sur la barre de tache et dans le menu démarrer. Que puis-je faire pour l'éradiquer ?

Merci d'avance pour l'aide !!

 

Voici tous les rapports créés par Roquekiller :

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: Recherche -- Date: 12/04/2012 21:53:29

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

SSDT[13] : NtAlertResumeThread @ 0x82EE1EE9 -> HOOKED (Unknown @ 0x881C3B18)

SSDT[14] : NtAlertThread @ 0x82E47305 -> HOOKED (Unknown @ 0x881C09B8)

SSDT[54] : NtConnectPort @ 0x82E1884D -> HOOKED (Unknown @ 0x8843DFC0)

SSDT[67] : NtCreateMutant @ 0x82E82F77 -> HOOKED (Unknown @ 0x881C07A8)

SSDT[78] : NtCreateThread @ 0x82EE0560 -> HOOKED (Unknown @ 0x88436498)

SSDT[156] : NtImpersonateAnonymousToken @ 0x82E07257 -> HOOKED (Unknown @ 0x881C08D8)

SSDT[158] : NtImpersonateThread @ 0x82E19980 -> HOOKED (Unknown @ 0x87F391E0)

SSDT[177] : NtMapViewOfSection @ 0x82E70AFE -> HOOKED (Unknown @ 0x88421208)

SSDT[184] : NtOpenEvent @ 0x82E32451 -> HOOKED (Unknown @ 0x88421558)

SSDT[195] : NtOpenProcessToken @ 0x82E5967B -> HOOKED (Unknown @ 0x881B5790)

SSDT[202] : NtOpenThreadToken @ 0x82E59E51 -> HOOKED (Unknown @ 0x87F39838)

SSDT[282] : NtResumeThread @ 0x82E4D924 -> HOOKED (Unknown @ 0x881BF090)

SSDT[289] : NtSetContextThread @ 0x82EE1233 -> HOOKED (Unknown @ 0x87F39758)

SSDT[305] : NtSetInformationProcess @ 0x82E80A24 -> HOOKED (Unknown @ 0x87F39918)

SSDT[306] : NtSetInformationThread @ 0x82E4EEB4 -> HOOKED (Unknown @ 0x87F39678)

SSDT[330] : NtSuspendProcess @ 0x82EE1E23 -> HOOKED (Unknown @ 0x88421498)

SSDT[331] : NtSuspendThread @ 0x82E9ECEA -> HOOKED (Unknown @ 0x881C0EB0)

SSDT[335] : NtTerminateThread @ 0x82E5BAF3 -> HOOKED (Unknown @ 0x881C0F90)

SSDT[348] : NtUnmapViewOfSection @ 0x82E71155 -> HOOKED (Unknown @ 0x88421148)

 

¤¤¤ Infection : Root.MBR ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3320820AS ATA Device +++++

--- User ---

[MBR] 92e1e60a9c83cb16f3dd10d1fd84866d

[bSP] 1c55a89d504c6824f081b3af10672888 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16789504 | Size: 297046 Mo

User = LL1 ... OK!

User != LL2 ... KO!

--- LL2 ---

[MBR] e1e4eb0f043b9f99e66e63a85440635d

[bSP] 1c55a89d504c6824f081b3af10672888 : Windows Vista MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 8197 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 16789504 | Size: 297046 Mo

2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 625139712 | Size: 1 Mo

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

________________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: HOSTS RAZ -- Date: 12/04/2012 22:06:51

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

______________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: Proxy RAZ -- Date: 12/04/2012 22:07:15

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

_________________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: DNS RAZ -- Date: 12/04/2012 22:07:40

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Entrees de registre: 0 ¤¤¤

 

Termine : << RKreport[5].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

_____________________________________________________________________________________________

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/49)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version

Demarrage : Mode normal

Utilisateur: Cécile [Droits d'admin]

Mode: Raccourcis RAZ -- Date: 12/04/2012 22:18:08

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Driver: [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 6 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 0 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[E:] \Device\HarddiskVolume4 -- 0x2 --> Restored

[F:] \Device\HarddiskVolume5 -- 0x2 --> Restored

[G:] \Device\HarddiskVolume6 -- 0x2 --> Restored

[H:] \Device\CdRom0 -- 0x5 --> Skipped

[i:] \Device\HarddiskVolume7 -- 0x2 --> Restored

 

¤¤¤ Infection : ¤¤¤

 

Termine : << RKreport[6].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;

RKreport[6].txt

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Télécharge TDSSKiller de Kaspersky sur ton bureau.

 

Ou: http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip ; décompresse le zip.

 

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

 

sshot-1-2dabd4e.jpg

 

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

 

object2scan-2d7aef9.jpg

 

Et coche les 2 options supplémentaires:

 

addoptions-2d7af1d.jpg

 

Clique sur Start scan pour lancer l'analyse.

 

 

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

 

En général, laisse les options proposées par défaut par l'outil

 

 

l'option "delete" (effacer) est bien cochée pour la famille TDL2

 

l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe

 

l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)

 

 

l'option "cure" (réparer ) pour la famille TDL3.

 

l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).

 

l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

 

puis clique sur Continue.

 

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

 

2663-2-eng-2f88df2.png

 

 

En fin d'analyse il peut être demandé de relancer la machine:

 

 

clique sur Reboot Now.

 

- Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.

 

- Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:

SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:]

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Merci pour cette réponse. Malheureusement, TDDSKILLER ne veut pas se lancer sur mon ordi. Que dois-je faire ?

Lien vers le commentaire
Partager sur d’autres sites

Oho! Ca c'est embêtant.

 

On va essayer autrement; tu devras peut-être télécharger une nouvelle copie de TDSSKiller après le passage de RKill.

 

Rédémarre le pc en mode sans échec AVEC prise en charge du réseau: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

Étape 1: rkill (de Grinler), téléchargement

Télécharger rkill depuis l'un des liens ci-dessous:

 

RKill - What it does and What it Doesn't - A brief introduction to the program

 

Lien 2

Lien 3

Lien 4

 

 

http://download.bleepingcomputer.com/grinler/WiNlOgOn.exe

 

Enregistrer le fichier sur le Bureau.

 

Étape 2: Pas de processus de contrôle en temps réel

Désactiver le module résident de l'antivirus et celui de l'antispyware. Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Étape 3: rkill (de Grinler), exécution

Faire un double clic sur le fichier rkill téléchargé pour lancer l'outil.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

 

Une fenêtre à fond noir va apparaître brièvement, puis disparaître. (c'est très rapide)

 

Si rien ne se passe, ou si l'outil ne se lance pas, télécharger l'outil depuis un autre des quatre liens ci-dessus et faire une nouvelle tentative d'exécution.

 

Si aucun des outils téléchargés depuis les cinq liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum.

 

Le rapport se trouve sous C:\rkill/txt --> Poste-le stp.

 

Ne redémarre pas le pc! Le malware repartirait de plus belle.

 

-----------------

 

Re Télécharge TDSSKiller et, toujours dans ce mode, le lancer comme expliqué plus haut. (+ rapport).

 

@++

 

++

Lien vers le commentaire
Partager sur d’autres sites

voilà le rapport rkill :

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

 

Rkill was run on 12/04/2012 at 23:52:27.

Operating System: Windows Vista Home Premium

 

 

Processes terminated by Rkill or while it was running:

 

C:\Windows\system32\conime.exe

C:\Windows\system32\conime.exe

 

 

Rkill completed on 12/04/2012 at 23:53:42.

Lien vers le commentaire
Partager sur d’autres sites

Ok, poursuis avec TDSSKiller, toujours dans ce mode et s'il ne se lance pas, jette-le et télécharge un nouveau.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Mince,

 

Si tu as MalwareBytes, mets le à jour et lance une analyse rapide.

 

Si tu ne l'as pas:

 

MBAM: Ne pas accepter la proposition d'essai de la version Pro sous peine de conflits possibles. (c'est comme vous voulez)

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

|MG| Malwarebytes Anti-Malware 1.61.1.1400 Download

 

Malwarebytes : Malwarebytes Anti-Malware PRO removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

param-mbam-3088176.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide."
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

voilà les réponses MBAM : aucun élément nuisible n'a été detecté ...

Malwarebytes Anti-Malware 1.61.0.1400

www.malwarebytes.org

 

Version de la base de données: v2012.04.12.09

 

Windows Vista Service Pack 1 x86 NTFS (Mode sans échec/Réseau)

Internet Explorer 7.0.6001.18000

Cécile :: MON_ORDI [administrateur]

 

13/04/2012 00:20:42

mbam-log-2012-04-13 (00-20-42).txt

 

Type d'examen: Examen rapide

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 278272

Temps écoulé: 6 minute(s), 55 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

Les icônes SMART HDD sont toujours là !!

 

Bon je pense laisser murir tout ça cette nuit, je m'y réattaquerais ce we !

Merci en tout cas pour l'aide ... j'espère finir par y arriver !

Bonne soirée !

Lien vers le commentaire
Partager sur d’autres sites

Oui, ok,

 

mais si MalwareBytes se lance comme ça et s'il est à jour, tu devras refaire une analyse complète, cette fois. (toujours après RKill et en mode sans échec avec prise en charge réseau).

 

Il devrait alors trouver cette saleté et tu devras absolument faire ce qui est indiqué en rouge dans mes explications, ceci afin de ne pas devoir recommencer. ;)

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...