Malware

[mau13]

Bonjour.

La suppression de programme de jeux et le déplacement des icones de mon bureau mon largement laisser suspecté la présence de malwares !!!
En faisant une recherche j’ai bien trouvé l’adware eorezo que je n’ai d'ailleurs pu supprimer.
J’ai donc voulu installer Malwarebytes, malgré plusieurs tentatives ce fut sans succès.
Je me suis donc diriger vers le forum: l’installation d’ATF cleaner à malheureusement échoué !!!ce qui explique que je ne poste que les rapports de RSIT.

Merci bien.
-----

[b marlow]

Salut,
Télécharge ComboFix (de sUBs) renommé en mau13.exe:
- Sauvegarde le sur ton Bureau.
- Double-clique sur mau13.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme.

[mau13]

Puis-je savoir ce qu’a révélé la première analyse, quelles sont les anomalies ?
Je poste le rapport de Combo.

Merci de ton aide.

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Folder::
c:\documents and settings\Administrateur\Application Data\EoRezo
 
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]     
"swg"=-  
"IDMan"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]      
"LVCOMSX"=- 
"LogitechVideoRepair"=-
"LogitechVideoTray"=- 
"SoftwareHelper"=-
"Adobe Reader Speed Launcher"=-
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.





Ensuite fait un scan en ligne >< coche toutes les cases,à la fin colle ici
le rapport se situant en C:\Program Files\EsetOnlineScanner\******.txt

[A voir en vidéo sur Futura]

[mau13]

Un trojan au menu!
à tout

[b marlow]

il y a des traces de Malwarebytes, as-tu pu l'installer et faire un scan avec ?
si oui poste le rapport.

[mau13]

Je viens de le réinstaller malheureusement cela c’est soldé par un échec !!

Un bug sous XP?

[b marlow]

désinstalle-le puis passe un coup d'unnstaller de MBAM
http://www.malwarebytes.org/mbam-clean.exe

installe>CCleaner<,décoche la case des maj-auto à l'install:
ensuite CCleaner>options>avancé>décoch e:
Effacer uniquement les fichiers plus vieux que 48h
retour à Nettoyeur>lancer le nettoyage,ok. 2 à 3 fois.
coche toutes les cases de l'onglet Registre>Chercher les erreurs>Réparer les erreurs.
ensuite tu peux le remettre avec ses paramètres par défaut.
Tuto en images

ensuite réinstalle MBAM et vois s'il fonctionne cette fois.

[mau13]

puis passe un coup d'unnstaller de MBAM
http://www.malwarebytes.org/mbam-clean.exe

Une erreur se produit
SHGetValue failed with error code 0

?

[b marlow]

une fois utilisé le tool cleaner de MBAM il faut installer une version fraiche de MBAM
et pas une qui trainerait dans un coin du bureau

[mau13]

le tool cleaner de MBAM il faut installer

L'erreur que j'ai posté s'affiche lors de l'éxécution du tool cleaner...

[b marlow]

Ok,désinstalle MBAM.

Affiche les fichiers cachés:
Ouvrir un dossier, n'importe lequel. Aller dans :
Outils/Options des dossiers/Affichage et
- cocher « Afficher les dossiers et fichiers cachés »,
- décocher « Masquer les extensions des fichiers dont le type est connu ».
- décocher « Masquer les fichiers protégés du système d'exploitation (recommandé) »
« appliquer » et « ok » .

Fais une recherche de tous les fichiers/dossiers : Malwarebytes'Anti-Malware
supprime tout, nettoiele registre avec CCleaner,télécharge une version
de MBAM et vois ce que ca donne.

[mau13]

Et bien,cela ne donne rien!

[b marlow]

à part MBAM qui ne veut rien savoir chez toi comment se porte ton ordi ?

[mau13]

A part ces problèmes avec MBAM et ATF C !! ça a l’air d’aller...
ça peut venir d'ou?

[b marlow]

Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport (en pièces jointes) dans ta prochaine réponse.

[mau13]

Qu'indique le rapport?

[b marlow]

il me semble que le scan est incomplet, tu as coché services ?

[mau13]

tu as coché services ?

Il me semble que oui,j'ai quand meme pris la peine de le refaire en cochant cette fois-ci la case ADS: " GMER hasn't found any system modification" !!!

A tout

[b marlow]

Télécharge RootRepeal par clic-droit sur ce lien :
http://rootrepeal.psikotick.com/RootRepeal.zip

• Enregistre-le sur le Bureau.
• Crée un nouveau dossier nommé RootRepeal à la racine de C:\
• Décompresse l'archive téléchargée dans le dossier RootRepeal
• Désactive ton antivirus le temps du scan.
• Ferme tous les programmes ouverts.
• Ouvrir le dossier RootRepeal
• Fais un double clic sur RootRepeal.exe pour le lancer
• Clique sur l'onglet Report (en bas de la fenêtre)
• Clique sur le bouton Scan
• Dans la nouvelle fenêtre Select Scan, coche :

- Drivers
- Files
- Processes
- SSDT
- Stealth Objects
- Hidden Services

• Clique sur le bouton OK
• Dans la nouvelle fenêtre Select Drives, coche tous les lecteurs affichés
• Clique sur le bouton OK pour lancer l'analyse

A la fin du scan clique sur le bouton Save Report et enregistre le rapport sur le Bureau sous le nom RootRepeal******txt

Poste le rapport en pj et réactive ton antivirus.

Ne rien toucher pendant la durée du scan.

[mau13]

http://rootrepeal.psikotick.com/RootRepeal.zip

Il n'y a que la page html mais j'ai trouvé un autre lien sur http://rootrepeal.googlepages.com/.

[b marlow]

Télécharge et enregistre TFC ( OldTimer) sur le Bureau

• Fais un double-clic sur TFC.exe pour le lancer.
• L'outil va fermer tous les programmes lors de son exécution, donc vérifier
  

que tout travail en cours est sauvegardé avant de commencer.

• Clique sur le bouton Start pour lancer le processus. Cela peut durer de quelques

secondes à une ou deux minutes. Laisse le programme s'exécuter sans l'interrompre.

• Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, fais
  

redémarrer manuellement l'ordi pour parachever le nettoyage.

Poste un nouveau rapport Rootrepeal.

[mau13]

"GMER hasn't found any system modification"
Bon week-end.

[b marlow]

Le rapport Rootrepeal a été plus causant que celui de Gmer il y a du Rootkit en répertoire temporaire
on continue ?

[mau13]

Le rapport Rootrepeal a été plus causant que celui de Gmer

Manque de concentratrion je poste le rapport:
RootRepeal report 08-30-09 (13-07-44).txt

il y a du Rootkit en répertoire temporaire

!!!On peut pas supprimer ça...

[b marlow]

Refais un scan avec Rootrepeal, à la fin si tu retrouves ce fichier dans les détections :

Code:

 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\meaotopp.sys

Clic-droit dessus et choisis: [Wipe File]
Une fenêtre s'ouvrira pour demander confirmation, clique sur YES

Redonne un coup de TFC , à la fin accepte de faire rebooter l'ordi.
Au redémarrage refais un scan Rootrepeal dont tu poseras le rapport.

[mau13]

Refais un scan avec Rootrepeal, à la fin si tu retrouves ce fichier dans les détections :

Code:

 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\meaotopp.sys

Clic-droit dessus et choisis: [Wipe File]

Could not found file on disk
C'est bizzare aujourd'hui la souris bougé plus qu'à l'initial !

[b marlow]

sans rapport je ne peux pas deviner si le fichier a été nettoyé par TFC
ou s'il a changé de nom (ca arrive)...

[mau13]

Bonsoir.
Voici le rapport

[b marlow]

le fichier a été supprimé, il n'apparait pas dans le nouveau rapport.TFC est efficace comme nettoyeur.

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

qu'en est-il des problèmes d'installation ?