PC infecté par PUM. Hijack. taskmanager

[Apollo]

Ce n'est pas un virus.

 

Va dans démarrer/exécuter (ou Windows + R) et tape regedit.

 

Développe cette clé de registre: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|disabletaskmgr

 

Change la valeur 1 et indique 0 (zéro)

 

Ou alors, ouvre le bloc note et copie/colle ceci:

 

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

 

Enregistre ce fichier sur le bureau en lui donnant le nom de Fix.reg et dans le champ Type, choisis TOUS LES FICHIERS (important).

 

Ferme tes programmes et exécute le fichier reg. Accepte la fusion dans le registre.

 

Redémarre le pc et rafais un examen rapide avec MBAM.

 

@++

Modifié le 26 août 2012 par Apollo

[Humbleettoutouie]

Re-,

 

J'ai bien développé HKCU\SOFTWARE..., mais la valeur est déjà à 0 :

Lien CJoint.com 3HAnHpoh8cb

[Apollo]

Peut-être que MBAM se met le doigt dans l'oeil, il arrive d'y avoir de fausses détections comme dans tout programme de ce genre.

 

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

Modifié le 26 août 2012 par Apollo

[Humbleettoutouie]

Ok,

 

J'ai aussi créé un ficher Fix.reg, je l'ai exécuté, j'ai redémarré l'ordi et j'ai lancé un scan complet avec MBAM : PUM.Hijack.tasmanager est toujours là d'après lui !

Je vais faire un scan avec Roguerkiller et je le poste de suite.

[Apollo]

Si tu accèdes au gestionnaire des tâches, c'est que MBAM fait erreur.

 

@++

[Humbleettoutouie]

Re- :

 

J'ai donc lancé RogueKiller (onglet "registre"). Voici le résultat avant suppression :

 

ogueKiller V8.0.0 [26/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Franck [Droits d'admin]

Mode : Recherche -- Date : 26/08/2012 15:15:26

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 7 ¤¤¤

[RUN][bLPATH] HKLM\[...]\Policies\Explorer\\Run : Updates ("C:\system32\SystemProtection.exe" /e:VBScript.Encode "C:\kernel\r00t3r") -> TROUVÉ

[RUN][bLPATH] HKLM\[...]\Wow6432Node\Policies\Explorer\\Run : Updates ("C:\system32\SystemProtection.exe" /e:VBScript.Encode "C:\kernel\r00t3r") -> TROUVÉ

[HJPOL] HKCU\[...]\System : disabletaskmgr (0) -> TROUVÉ

[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> TROUVÉ

[HJ] HKLM\[...]\System : enablelua (0) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS547564A9E384 +++++

--- User ---

[MBR] 393469542cb348f26f9a89bcd8736cc6

[bSP] 2df4e4393ef6efc24351e5bc0934916b : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 265395 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 595959808 | Size: 319484 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

Et après suppression :

 

RogueKiller V8.0.0 [26/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version

Demarrage : Mode normal

Utilisateur : Franck [Droits d'admin]

Mode : Suppression -- Date : 26/08/2012 15:17:29

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 6 ¤¤¤

[RUN][bLPATH] HKLM\[...]\Policies\Explorer\\Run : Updates ("C:\system32\SystemProtection.exe" /e:VBScript.Encode "C:\kernel\r00t3r") -> SUPPRIMÉ

[HJPOL] HKCU\[...]\System : disabletaskmgr (0) -> SUPPRIMÉ

[HJPOL] HKCU\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ

[HJ] HKLM\[...]\System : enablelua (0) -> REMPLACÉ (1)

[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)

[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS547564A9E384 +++++

--- User ---

[MBR] 393469542cb348f26f9a89bcd8736cc6

[bSP] 2df4e4393ef6efc24351e5bc0934916b : Windows 7 MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x1c) [HIDDEN!] Offset (sectors): 2048 | Size: 25600 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 52430848 | Size: 265395 Mo

2 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 595959808 | Size: 319484 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

[Apollo]

Ah, en effet Rogue Killer a corrigé la chose.

 

Comme il y a du VBS, on va passer USBFix et contrôler disques + supports externes.

 

• Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
  
• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
   
  
• Si vous ne savez pas comment faire, reportez-vous à cet article.
  
• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

 

• Double cliquez sur UsbFix.exe.
  
• Cliquez sur recherche.

 

 

• Laissez travailler l'outil.
  
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
  
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
  
• Tutoriel en images

[Humbleettoutouie]

Désolé pour le délai Apollo, mais voilà : j'ai téléchargé USBFix et quand je l'ai ouvert, Superantispyware m'a informé que le fichier contenait cette petite bête :

 

Trojan.Agent/Gen-Siggen.Process

 

Inutile de dire que je n'ai pas continué...

 

Par contre, j'ai fait un scan complet avec Superantispyware, qui a bien trouvé PUM.Hijack.Taskmanager et l'a effacé.

 

Je viens d'éteindre et de redémarrer le micro, puis de refaire un scan avec MBAM : plus de trace de PUM.Hijack.Taskmanager.

 

Un avis ?

[Apollo]

Rogue Killer lui a fait son affaire

 

j'ai téléchargé USBFix et quand je l'ai ouvert, Superantispyware m'a informé que le fichier contenait cette petite bête :

 

Trojan.Agent/Gen-Siggen.Process

C'est un faux-positif, je viens de le télécharger et rien du tout.

 

Fais les contrôles des applications avec ceci: PSI, une version francisée est disponible: Free Computer Security - Personal Software Inspector (PSI) - Secunia

 

On désinstallera les outils spéciaux quand tout sera ok.

 

@++

[Humbleettoutouie]

Ok,

 

J'ignorais (une chose de plus que j'ignorais...) qu'il pouvait y avoir des faux positifs. Ce n'est pas très rassurant...

Je fais le nécessaire de suite avec le lien indiqué, et je reviens.