Bonjour à tous,
J'ai sur mon PC de nombreux malwares qui reviennent sans cesse malgré leur suppression et qui s'éxécutent au démarrage. Ils sont présents dans le dossier system32 de windows. De plus, j'ai un autre problème avec le lecteur windows media qui ne veut pas se lancer. Mais traitons les problèmes un par un.
Je vous poste le rapport Hijackthis et j'attend vos réponses.
Merci
Bonjour Kory,
Consulte je te prie la procédure préliminaire du forum.
Note : Effectue ce qui est demandé, y compris la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.
Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.
Bienvenue sur Futura
Bon Dimanche
Cyrrus
Bonjour Cyrrus et merci d'avoir répondu aussi vite. Voilà les rapports demandés sauf celui de Rootkit qui a visiblement un problème chez moi: Le scan 'normalement rapide' comme il est écrit sur le forum a l'impression d'être bloqué, il y a un parasite qui se manifeste à chaque démarrage du programme et une erreur lorsque je clique sur 'Code Hooks Detector'. Bref je joint le tout et j'espère que ce sera clair.
J'ai oublié une img désolé
Bonsoir Kory,
Tu as utilisé la version 2.00 d'Hijackthis. C'est une version Beta qui n'est donc pas à utiliser en condition réelle. Retélécharge la version 1.99.1 depuis le lien de la procédure, et poste moi un nouveau rapport Hijackthis avec.
1.2. Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.Télécharger haxfix.exe
et le sauvegarde sur le bureau.
- Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix)
- Cocher "Create a desktop icon"
- Cliquer "Next"
- Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché
- Cliquer "Finish"
Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)
- Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée"
- Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt)
- Poste le rapport dans ta réponse.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau.
Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :Déroule la liste des instructions ci-dessous :
- Redémarre ton ordinateur
- Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
- A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
- Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
- Choisis ton compte.
- Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
- Appuie sur Y pour commencer le processus de nettoyage.
- Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
- Appuie sur une touche pour redémarrer le PC.
- Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
- Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
- Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
- Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
- Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !
3. Pour RkU, relance le, et lorsqu'il te demande quoi scanner, décoche en pus de SSDT/Restorer la case Code Hooks Detector. Sauvegarde le rappot généré.
4. Poste moi un rapport avec la version d'Hijackthis posté plus haut.
Il me faut donc les rapport en pièces jointes de SDFix, HaxFix et Hijackthis, le tout en pièces jointes.
Bonne soirée
Cyrrus
Bonsoir Cyrrus,
J'ai fait tous les scans mais RkU semble ne vraiment pas vouloir fonctionner. Je l'ai laissé tourner toute une demi-journée mais il ne se termine pas et lorsque je l'arrête et que je veux sauvegarder le report, il bloque, en plus pas possible de fermer l'application vue qu'elle est verrouillée par le système (Obligé de reboot Windows). Sinon, voilà tous les autres logs demandés
Bon courage
Kory
Bonsoir Kory,
Avant toutes choses, j'ai besoin de certains fichiers que tu as :
Lance RkU (essaye qd même), va dans la partie "Hidden Drivers Detector", cherche ce driver là :
linksrvd.sys
Fais un clic droit dessus et clic sur Dump Process/Driver. Enregistre le sous ton bureau.
Puis va sur ce site => http://secubox.gateweb.org/mad.php
Choisis le fichier dumped.sys que tu viens de sauvegarder sur ton Bureau.
Dans le message met : Birkoff/possible nouveau driver Goldun
Clique sur Envoyer
Retourne sur la page d'envoie et sélectionne ce fichier : C:\WINDOWS3\system32\linksrv0.dll
Message : Birkoff/possible nouvelle dll Goldun.
Et clique sur Envoyer.
Une fois cela fait on pourra s'attaquer à l'infection. Je dois te prévenir que tu as un keylogger sur ton pc, qui met donc en danger tes données personelles (mot de passe, code bancaire etc...). Il serait donc prudent de modifier tes mots de passe et de vérifier au niveau des comptes en banque.
Enfin : Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Ceci est une version beta, il me faut un log fait avec la version 1.99.1.
Bonne soirée
Cyrrus
Bonjour Cyrrus
Malheureusement RkU bloque lorsque je fait clique droit. Je ne sais pas ce qui est à l'origine des dysfonctionnements de ce programme.
Bonjour Kory,
Ok pas de problème, désinstalle RkU on ne va plus s'en servir.
Télécharge IceSword de pjf_ sur ce lien http://mail2.ustc.edu.cn/~jfpan/down...word120_en.zip
- Dézippe le sur ton bureau.
- Ouvre le dossier qui vient d'être créé
- Double-clique sur IceSword
- Dans la colonne de gauche, clique sur File
- Clique sur la croix de Local Disk ( C: )
- Clique sur la croix de Windows3
- Clique sur le dossier system32
- Recherche le fichier suivant linksrvd.sys
- Une fois trouvé, clique-droit dessus, choisis Copie to...
- Nomme le "Futura2.sys" et enregistre le sur ton Bureau.
- Ferme IceSword
Fais de même pour linksrv0.dll que tu appelleras Futura3.dll
Une fois cela fait, envoie les sur MAD (décris plus haut).
Bonne soirée
Cyrrus
Re Cyrrus
Ok c'est cool avec le nouveau logiciel il n' y a plus eu de problème, j'ai envoyé les 2 fichiers demandés mais quand j'ai envoyé le fichier dll, le site m'a demandé de valider le message en m'identifiant. J'ai pas de compte sur ce site alors est-ce que je dois m'en créer un ou c'est pas la peine? Sinon, voilà le report hjt (avec la bonne version cette fois)
A+
Re,
Peux tu refaire la manip pour le fichier .sys, apparemment cela n'a pas marché pour celui ci (la dll c'est bon).
Si vraiment ca ne veux pas poste le fichier .sys en pièces jointes dans ton message, en le renommant .sys.txt pour que le forum accepte.
Cela permettra de mieux prendre en charge cette nouvelle variante.
++
Cyrrus
Je m'en doutais un peu, j'ai ressayé mais je ne sais pas si ça a marché.
EDIT: Je crois avoir compris. Le fichier Futura2.sys est de 0Ko lorsque je l'ai copié. J'ai réessayé mais c'est bizarre c'est toujours pareil, le fichier semble "vide".
Bonsoir Kory,
Oui c'est normal le driver est actif donc la copie ne marche pas.
On va faire autrement :
Relance Diaghelp (téléchargé au tout début). Sélectionne l'option 3 et valide par Entrée. Laisse l'outil travailler. Il devrait te créer une archive catchme.zip. Envoie la sur MAD (même procédure que décris plus haut).
Bonne soirée
Cyrrus
