Virus « FakeSysDef »

[moebuis]

Bonjour

 

il y a un virus sur le PC familial qui est détecté par AVIRA. A priori FakeSysDef.

 

Avira detecte aussi : EXP/2012-0507.CZ

 

Le PC est sous XP service pack 3.

 

Le compte qui est infecté n'est plus utilisable un pseudo utilitaire S.M.A.R.T démmarre comme pour faire une analyse de disque.

 

MalwareBytes ne detecte rien

 

Bref de l'aide serait bienvenue!!!

[Apollo]

Bonjour,

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

++

 

MalwareBytes ne detecte rien

Analyse rapide ou complète?? Modifié le 10 juin 2012 par Apollo

[moebuis]

Voici le rapport RogueKiller

 

RogueKiller V7.5.4 [07/06/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Armand [Droits d'admin]

Mode: Recherche -- Date: 10/06/2012 16:30:06

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3400833AS +++++

--- User ---

[MBR] eeaaa8de85e1c164b1c54f87ac148c12

[bSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 374428 Mo

1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 766830645 | Size: 7122 Mo

2 - [XXXXXX] NTFS (0x17) [HIDDEN!] Offset (sectors): 781417665 | Size: 2 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[4].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

[moebuis]

Le PC est en ce moment en mode sans echec.

 

L'analyse MBAM a été faite en mode rapide

Modifié le 10 juin 2012 par moebuis

[Apollo]

Rogue Killer a déjà été passé!

 

Tu as demandé assistance ailleurs ou tu l'as fait d'initiative?

 

Montre moi les autres rapports du tool stp.

 

@+

[moebuis]

Non ce n'est pas une initiative spontanée.

 

cela devait etre un virus precedent, je crois celui de la gendarmerie nationale

 

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: http://tigzyrk.blogspot.com

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Armand [Droits d'admin]

Mode: Recherche -- Date: 19/04/2012 11:01:18

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 7 ¤¤¤

[iFEO] HKLM\[...]\Image File Execution Options : firefox.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : msnmsgr.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : outlook.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : vlc.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : wmplayer.exe (StripMyRights.exe /D /L N) -> FOUND

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3400833AS +++++

--- User ---

[MBR] 521a37c42f77a3140b2d9953507c4ca0

[bSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 374428 Mo

1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 766830645 | Size: 7122 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

 

Le rapport 2

 

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Armand [Droits d'admin]

Mode: Suppression -- Date: 19/04/2012 11:00:33

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 8 ¤¤¤

[sUSP PATH] seti0.exe.lnk @HP_Administrateur : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\seti0.exe -> DELETED

[iFEO] HKLM\[...]\Image File Execution Options : firefox.exe (StripMyRights.exe /D /L N) -> NOT SELECTED

[iFEO] HKLM\[...]\Image File Execution Options : msnmsgr.exe (StripMyRights.exe /D /L N) -> NOT SELECTED

[iFEO] HKLM\[...]\Image File Execution Options : outlook.exe (StripMyRights.exe /D /L N) -> NOT SELECTED

[iFEO] HKLM\[...]\Image File Execution Options : vlc.exe (StripMyRights.exe /D /L N) -> NOT SELECTED

[iFEO] HKLM\[...]\Image File Execution Options : wmplayer.exe (StripMyRights.exe /D /L N) -> NOT SELECTED

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> NOT SELECTED

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> NOT SELECTED

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3400833AS +++++

--- User ---

[MBR] 521a37c42f77a3140b2d9953507c4ca0

[bSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 374428 Mo

1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 766830645 | Size: 7122 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

Le rapport 1

 

 

RogueKiller V7.3.2 [20/03/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/54)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur: Armand [Droits d'admin]

Mode: Recherche -- Date: 19/04/2012 10:56:54

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 8 ¤¤¤

[sUSP PATH] seti0.exe.lnk @HP_Administrateur : C:\WINDOWS\system32\rundll32.exe|C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\seti0.exe -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : firefox.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : msnmsgr.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : outlook.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : vlc.exe (StripMyRights.exe /D /L N) -> FOUND

[iFEO] HKLM\[...]\Image File Execution Options : wmplayer.exe (StripMyRights.exe /D /L N) -> FOUND

[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST3400833AS +++++

--- User ---

[MBR] 521a37c42f77a3140b2d9953507c4ca0

[bSP] 7c54f9ebaaa8e86ecadcf9cdbee8c064 : Toshiba tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 374428 Mo

1 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 766830645 | Size: 7122 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

[Apollo]

Ok,

 

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

 

Désactiver les protections (antivirus, firewall, antispyware).

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

TUTO Officiel

 

Fais un clic droit ICI

• Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
  
• Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop
   
  exemple:
   
  
• On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
   
  
• Clique enfin sur le bouton Enregistrer en bas de page à droite.
  
• Assure toi que tous les programmes sont fermés avant de lancer le fix!
  
• Fait un double clique sur plop.
  
• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
   
  
   
  
• Clique sur Oui au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
  
• Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  
• Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

[moebuis]

Salut Apollo

 

Combo fix tourne toujours. Il y a beaucoup de fichiers sur le PC.

 

La seule chose que l'on peut faire sur le PC est de bouger la fenêtre combofix

donc dur de savoir si il se passe qq choses ou pas.

[Apollo]

Quand ComboFix est en cours, tu ne dois toucher à RIEN. Sous peine de plantage.

 

Il faut laisser les 50 étapes se dérouler jusqu'à obtenir soit le reboot soit le rapport à l'écran.

 

++

[Apollo]

Bonjour,

 

Evidemment, si ComboFix dure plusieurs heures, il faut l'arrêter en cliquant sur la croix rouge en haut à droite.

Le plus long scan que j'aie vu jusqu'à présent était d'une heure et demie, mais il y avait + de 20.000 fichiers infectés...!

 

Donc, si ça ne fontionne pas, l'arrêter, mettre MBAM à jour et faire une analyse complète, supports usb connectés.

 

@++