(Résolu) Problème d'infection

someone03 · le 29 juin 2013

Je viens sur ce forum suite à un probleme de securité non résolu et je pense être infecté.

Je vous met le lien du topic et les différents rapports que j'ai déjà posté:

Avertissement de sécurité - Forums Zebulon.fr

Merci d'avance.

Modifié le 3 juillet 2013 par someone03

pear · le 29 juin 2013

Bonsoir,

Comment poster les rapports

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

1) Télécharger RogueKiller (by tigzy) sur le bureau

En fonction de votre système ,choisissez la version 32 ou 64 bits

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées

(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

Sauf avis contraire, ne touchez pas aux index SSDT

(Liste des index)

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à poster.

2)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

3)Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

4)Télécharger Junkware Removal Tool de thisisu

OS:Windows XP/Vista/7/8

Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur.

Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus

Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.

Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

5)

Téléchargez MBAM

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

someone03 · le 30 juin 2013

Ci-joint le 1er rapport:

RogueKiller V8.6.1 [Jun 29 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : hxxp://www.adlice.com/forum/

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Mathias [Droits d'admin]

Mode : Recherche -- Date : 06/30/2013 11:04:04

| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤

[HJ POL] HKCU\[...]\System : DisableTaskMgr (0) -> TROUVÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 2 ¤¤¤

[V2][sUSP PATH] DealPly : C:\Users\Mathias\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE - /Check [x] -> TROUVÉ

[V2][sUSP PATH] Updater12765.exe : C:\Users\Mathias\AppData\Local\Updater12765\Updater12765.exe - /extensionid=12765 /extensionname="Savings Wave" /chromeid=lglkfgcmohcdajpldlnhjjiojjgkbmhm [7][x] -> TROUVÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

[Address] SSDT[75] : NtCreateSection @ 0x8265A15F -> HOOKED (Unknown @ 0x8DB46976)

[Address] SSDT[276] : NtRequestWaitReplyPort @ 0x8266E041 -> HOOKED (Unknown @ 0x8DB46980)

[Address] SSDT[289] : NtSetContextThread @ 0x826DA2CF -> HOOKED (Unknown @ 0x8DB4697B)

[Address] SSDT[314] : NtSetSecurityObject @ 0x8261D701 -> HOOKED (Unknown @ 0x8DB46985)

[Address] SSDT[332] : NtSystemDebugControl @ 0x825F3966 -> HOOKED (Unknown @ 0x8DB4698A)

[Address] SSDT[334] : NtTerminateProcess @ 0x8266964D -> HOOKED (Unknown @ 0x8DB46917)

[Address] Shadow SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8DB4699E)

[Address] Shadow SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8DB469A3)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : Mal.Hosts ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤

--> %SystemRoot%\System32\drivers\etc\hosts

127.0.0.1 www.mp3winmx.com --> Potentially malicious!

127.0.0.1 mp3winmx.com --> Potentially malicious!

127.0.0.1 www.winmx.click-new-download.com --> Potentially malicious!

127.0.0.1 winmx.click-new-download.com --> Potentially malicious!

127.0.0.1 www.winmxfrance.com --> Potentially malicious!

127.0.0.1 winmxfrance.com --> Potentially malicious!

127.0.0.1 www.winmx-freebie.com --> Potentially malicious!

127.0.0.1 winmx-freebie.com --> Potentially malicious!

127.0.0.1 www.winmx-music-download.com --> Potentially malicious!

127.0.0.1 winmx-music-download.com --> Potentially malicious!

127.0.0.1 localhost

::1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.1001-search.info

127.0.0.1 1001-search.info

127.0.0.1 www.100888290cs.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100sexlinks.com

127.0.0.1 100sexlinks.com

127.0.0.1 www.10sek.com

127.0.0.1 10sek.com

[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3360320AS +++++

--- User ---

[MBR] 0c5358d940c630d2e730a6807d669032

[bSP] 2552b2d2227b2ea2b3c92a526a1a6f5d : MBR Code unknown

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 335882 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687887235 | Size: 7514 Mo

User = LL1 ... OK!

User = LL2 ... OK!

Termine : << RKreport[0]_S_06302013_110404.txt >>

Modifié le 1 juillet 2013 par Tonton
Suppression citation inutile. Utiliser le bouton "AJOUTER UNE REPONSE" et non "REPONDRE" :-)

someone03 · le 30 juin 2013

2ème rapport:

RogueKiller V8.6.1 [Jun 29 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : hxxp://www.adlice.com/forum/

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Mathias [Droits d'admin]

Mode : Suppression -- Date : 06/30/2013 11:08:34

| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 5 ¤¤¤

[HJ POL] HKCU\[...]\System : DisableTaskMgr (0) -> SUPPRIMÉ

[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 2 ¤¤¤

[V2][sUSP PATH] DealPly : C:\Users\Mathias\AppData\Roaming\DealPly\UPDATE~1\UPDATE~1.EXE - /Check [x] -> SUPPRIMÉ

[V2][sUSP PATH] Updater12765.exe : C:\Users\Mathias\AppData\Local\Updater12765\Updater12765.exe - /extensionid=12765 /extensionname="Savings Wave" /chromeid=lglkfgcmohcdajpldlnhjjiojjgkbmhm [7][x] -> SUPPRIMÉ