Win32.Rbot

[invite12545c50]

Comment cela ou, cela veut dire quoi ?
Voila les infos du scan

Search result list ---
Win32.Rbot: [SBI $6938ABEB] Réglages (Clé du Registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton
Merci
-----

[invitec04351b8]

Bonjour,

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)


Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Code:

Driver::
MEMSWEEP2
SIWIO

Rootkit::
C:\WINDOWS\system32\aadcaad.dllc:\windows\system32\8.tmp
c:\windows\TEMP\SiwIo.sys

Registry::
HKEY_LOCAL_MACHINE\SOFTWARE\Krypton
HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

@+

[invite12545c50]

ET bien désolé,mais rien ne marche.
Quand j'ai voulu utiliser Combofix, il a affiché un message d'erreur demande une mise à jour. Après avoir fait cette mise à jour, le programme lancé par le fichier CFscript démarre jusqu'au message d'analyse des fichiers et puis plus rien ne tourne ni n'avance.
Le diode du disque dur reste éteinte pendant deux à trois heures ou plus car après voyant cela j'ai arrêté. J'ai essayé trois fois avec le même résultat.
Merci

[invitec04351b8]

Bonjour,

est ce que Spybot S&D aurait le bon goût de le détruire en mode sans échec ?

@+

[invite12545c50]

Bonjour, Je viens d'essayer et non, il me dit qu'il ne peut l'enlever car il est en cours d'utilisation en memoire !

[invitec04351b8]

Bonjour,

on va chercher le contenu de cette clé.

Ouvre le registre et navigue avec les + et les - jusqu'à la clé

HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton

Clique successivement sur Fichier puis sur Exporter et choisis un nom (XXXXXX par exemple). Tu retiens le nom du répertoire (Mes documents par défaut).

Ferme le registre et ouvre l'explorateur Windows.

Clique droit sur le fichier et choisis Modifier.

Le bloc-notes s'ouvre avec le contenu de la clé.

Copie le dans ta réponse.

(pour ouvrir le registre :

démarrer,exécuter, tu tapes regedit dans la zone de saisie puis OK. )

@+

[invite12545c50]

Bonsoir,
Voila
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton\C:-PROGRA~1-RIAMVI~1-Enhancer.exe ]
"K-Key"=hex:0d,89,16,b9,77,66,80, 43

[invitec04351b8]

Bonjour,

On va encore changer de version de Combofix.

Supprime Combofix.exe sur ton Bureau

Télécharge combofix (par sUBs) ici :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

et enregistre le sur le Bureau.

Déconnecte toi d'internet et ferme toutes tes applications.

Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware).



Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

/|\ utilise le Bloc Notes pour créer un fichier avec l'extension .txt et non Word qui créé un fichier avec l'extension .doc.

Code:

Driver::
MEMSWEEP2
SIWIO

Rootkit::
C:\WINDOWS\system32\aadcaad.dll
c:\windows\system32\8.tmp
c:\windows\TEMP\SiwIo.sys
C:\Program Files\RIAM Video Enhancer\Enhancer.exe

Registry::
HKEY_LOCAL_MACHINE\SOFTWARE\Krypton
HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton

Enregistre ce fichier sous le nom CFscript


Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe

Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.

Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

Ne touche à rien tant que le scan n'est pas terminé.

Réactive ton parefeu, ton antivirus, la garde de ton antispyware.

Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

@+

[invite12545c50]

J'ai supprimer combofix avec la procedure demarer executer.....
J'ai telecharger la version demandée et mis le doc txt dessus. Idem l'autre fois, il se lance lance la precedure de "point de restauration" et puis....................plus rien, la diode ne fonctionne plus, pas d'acivite pendant une demi heure alors j'ai arreté.

[invitec04351b8]

Bonsoir,

essaye comme ça :

Supprime le fichier Combofix.exe qui est sur ton Bureau.

On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:

http://www.bleepingcomputer.com/comb...liser-combofix

* au moment où une fenêtre va s'ouvrir pour que tu choisisses le nom et l'emplacement du fichier téléchargé, tu le nommes antitruc.exe (il ne servirait à rien de le renommer une fois téléchargé sur le Bureau).

* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.

Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.

@+

[invite12545c50]

Bonsoir,
Désolé, cela ne fonctionne pas.
J'ai enlevé Combox fix avec la commande demarrer exécuter combofix /u
puis j'ai chargé la version que tu m'as demandé.
C'est toujhour le meme probleme il se lance et bloque sur l'affichage"scan en route cela peut prendre 10 minutes ou plus....et cela dure depui 8 heures!
Au secours....

[invitec04351b8]

Re,

quelque chose bloque que je n'ai pas identifié.

Télécharge SysProt ( de swatkat ) sur ton Bureau :

http://homepages.slingshot.co.nz/~cr...ot/SysProt.exe


!! Déconnecte toi d'Internet, ferme toutes tes applications et désactive tes défenses ( anti-virus ,anti-spyware,...) le temps de la manip !!


* Double clique sur "SysProt.exe" pour lancer l'outil .

* Clique sur l'onglet "Log" :

> Coche toutes les cases présentes dans l'encadré "Write to log" .

* Puis clique sur le bouton en bas à droite [Create Log] .

* Le scan démarre , laisse travailler l'outil ( même si il semble avoir planté ...)

> Au bout d'un moment, une fenêtre va apparaitre : laisse bien "Scan all drives " coché et clique sur [Start] .

> Patiente de nouveau ... attends le message de fin indiquant la creation du rapport et clique sur "OK"


* Ferme SysProt et copie/colle le contenu du rapport "SysProtLog.txt" qui a été sauvegardé sur ton bureau dans ta prochaine réponse.

@+

[invite12545c50]

Bonjour,
Je suis désolé mais il n'y a pas grand chose qui fonctionne......
Ton lien pour sysprot ne fonctionne pas.
J'ai charger ce logiciel ici :http://www.clubic.com/telecharger-fi...tirootkit.html
Je la'in insta

[invite12545c50]

Pardon je recommence car j'ai du l'envoyer trop vite.
Bonjour,
Je suis désolé mais il n'y a pas grand chose qui fonctionne......
Ton lien pour sysprot ne fonctionne pas.
J'ai charger ce logiciel ici :http://www.clubic.com/telecharger-fi...tirootkit.html
Je l'ai installé et fait fonctionné J'ai coché les cases et crée le log et c'est tout. La fenetre qui apparait informe simplement que le fichier TXT est crée et c'est tout.Je n'ai pas de fenetres avec scan all drive !
Pour info 'c'est peut etre lié) mon antivirus Aviva n'arrive pas a faire de mise à jour. Pensant qu'il etait deffectueux, j'a recahrger une nouvelle fois le logiciel puis l'ai installé en enlevant l'ancienne. Le progrmme fonctionne mais est incapable de faire des mises à jour.
cordialement

[invitec04351b8]

Bonjour,

les mises à jour d'Antivir semblent avoir du mal à s'effectuer. Il y a beaucoup de remontées sur le sujet. Donc, a priori, pas d'inquiétudes de ce côté.

Essaye ceci (Sysprot ne me donne rien d'évident) :

Téléchargez l'outil Win32kDiag.exe depuis le lien ci-dessous et enregistrez-le sur le Bureau:


http://download.bleepingcomputer.com...Win32kDiag.exe


Après le téléchargement, faites un double clic sur le programme et laissez-le s'exécuter jusqu'à la fin. Lorsqu'il affiche Finished! Press any key to exit..., vous pouvez appuyer sur n'importe quelle touche du clavier pour fermer le programme. Sur votre Bureau il devrait maintenant y avoir un fichier nommé Win32kDiag.txt.

@+

[invite12545c50]

Bonjour,
Effectivement tu as raison la mise a jour avira c'est faite ce matin!!!!
Alors voila le log de win32kdiag
Cdlt

[invitec04351b8]

Bonsoir,

rien dans le rapport.

Fais ceci :

Ouvre ce lien et télécharge ZHPDiag :

http://telechargement.zebulon.fr/zhpdiag.html
hxxp://telechargement.zebulon.fr/telecharger-zhpdiag.html

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur le Tournevis puis sur Tous pour cocher toutes les cases des options.

Décoche les cases O45 et O61.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.

Poste le rapport en pièce jointe (en plusieurs morceaux si il est trop long).

@+

[invite12545c50]

bonjour,
Voila
Cdlt

[invitec04351b8]

Bonsoir,

on va voir ce que donne un "vieux" programme.

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.:

@+

[invite12545c50]

Bonsoir,
Voila les log.
Cdlt

[invitec04351b8]

Bonsoir,

mets à jour ta console java et Adobe Reader.

Ca ne va rien résoudre.

Il n'y a que Spybot S&D qui "voit" l'infection ?

@+

[invite12545c50]

Oui il n'y a que Spyboot qui la voit
Adobe reader est à jour.
Par contre comment je fais pour la console Java?

[invitec04351b8]

Bonjour,

pour la Console java :

Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).
* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.


@+

[invite12545c50]

Et bien entre temps j'avais bien mi Java à jour.
Cela viens d'etre confirmé par JavaRa qui n'a rien trouvé à télécharger.
Cdlt

[invitec04351b8]

Bonjour,

une hypothèse est que Spybot S&D à la fois "voit" l'infection" et empêche la désinfection.

Désinstalle le, supprime le répertoire Spybot et S&D dans Program Files et fait redémarrer l'ordi.

Tu me dis quand c'est fait.

@+

[invite12545c50]

Volia c'est fait
Cdlt

[invitec04351b8]

Re,

copie ces lignes :

Code:

[-HKEY_LOCAL_MACHINE\SOFTWARE\Krypton]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton]

dans un fichier texte (tu ouvres le Bloc-Notes pour ça) et sauvegarde le sur ton Bureau sous le nom fix.reg

copie ces lignes

Code:

O41 - Driver: MEMSWEEP2 (MEMSWEEP2) - C:\WINDOWS\system32\8.tmp
O41 - Driver: SIW low-level I/O driver (SIWIO) - C:\WINDOWS\TEMP\SiwIo.sys
O42 - Logiciel: RIAM Video Enhancer
O64 - Services: CurCS - MEMSWEEP2 (MEMSWEEP2) - LEGACY_MEMSWEEP2
O64 - Services: CurCS - SIW low-level I/O driver (SIWIO) - LEGACY_SIWIO

dans un fichier texte et sauvegarde le sur ton Bureau sous fix.txt

====

Déconnecte toi d'Internet et ferme toutes les applications ouvertes (prends une copie de ces instructions)

Double clique sur l'icône ZHPFix.exe sur ton Bureau.


Clique sur l'icône à droite des 2 corbeilles "rouges" (Rapport de Base de registre) .

Choisis "Fusionner le fichier registre".

Dans la fenêtre qui s'ouvre, positionne toi sur le fichier fix.reg et clique sur Ouvrir.

Réponds oui à la question de savoir si tu veux fusionner le fichier avec le registre.

Copie le contenu du rapport dans un fichier rapport1.txt sur ton Bureau.

==

Ferme ZHPFix .


Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Clique sur l'icône H (pour effacer le rapport qui s'est affiché) .

Copie dans la fenêtre le contenu du fichier fix.txt (qui est sur ton Bureau)

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immmédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Reconnecte toi à Internet.

Tu as 2 rapports de ZHPFix à poster.

@+

[invite12545c50]

Bonsoir,
Décidément on dirait qu' il n'y a pas grand chose qui marche avec moi.
En effet, lors de l'opération de fusionner le registre, il m'affiche le message d'erreur suivant :
Impossible d'importer C:\ZHPExportRegistry.reg: Le fichier spécifié n'est pas un script du Registre.
Vous pouvez uniquement importer des fichiers du Registre binaire à partir de l'éditeur de registre
Par contre la deuxième partie, le nettoyage c'est bien passé je pense.
Voila le rapport.
Cdlt

[invitec04351b8]

Bonsoir,

c'est entièrement de ma faute cette histoire de ZHPRegistry.

Utilise ce texte :

Code:

Windows Registry Editor Version 5.00

[-HKEY_LOCAL_MACHINE\SOFTWARE\Krypton]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Kr ypton]

@+

[invite12545c50]

Bonsoir,
Apparement cela a marché car il m'a confirmer avoir ajouté les éléments au registre.
Par contre je n'ai pas eu de rapport....
Cdlt