Rogues Security tool

[invite22349c1a]

Bonjour,
je suis infecté par un rogue Security TOOL. Idem d'autres membres, je ne peux plus ouvrir aucun logiciel.

Je ne peux donc pas faire les procédures préliminaires. J'ai tenté de faire sans succès quelques manips vu dans d'autres messages.
- J'arrive à lancer un seul RKILL sur les 4 proposés: iExplore.exe Les autres ne démarre pas... Le rapport me dit que Rkill a bloqué un processus 27696039.exe mais les problèmes continuent...
J'ai essayé la même manip en mode sans échec mais sans succès, celui- ci bloque et l'ordi reboote en mode normal.

- Bien sur Combofix, ATF, Cleaner, MaM ne démarrent pas.

Etc...

merci d'avance pour votre aide.
-----

[b marlow]

Salut,
Tu peux aussi tenter de restaurer le systeme à une date antérieure à l'infection
cela règle généralement le problème. Selon ton systeme d'exploitation vois ceci:
Restauration système:Invite de commande en mode sans échec

[invite22349c1a]

Bonjour,
Merci pour l'aide.
Impossible de faire cette manip. Au lancement de l'invite de commande, l'ordi reboote idem mode sans echec.
De plus, je ne suis pas sur d'avoir un point de restoration...
Nota: Je suis sous vista.

@+

[b marlow]

relance Rkill, puis rends-toi* dans le répertoire ou se trouve les fichiers du rogue:
%UserProfile%\Application Data\27696039
Là tu trouveras le dossier avec les chiffres 27696039 (ceux que tu m'as cité) tu
supprimes ce dossier avec son contenu , des fichiers à chiffres aléatoires.Tu devras
peut-être afficher les fichiers cachés pour les voir. Ensuite tu lances MBAM, mise à jour
puis le scan/suppression.

[A voir en vidéo sur Futura]

[invite22349c1a]

J'ai suivi ta procédure; lancé Rkill et trouvé un seul fichier 27696039.exe mais impossible de le supprimer. L'opération de suppression reste bloquée avant la fin.
A+

[b marlow]

tu peux passer en mode sans échec ?

[invite22349c1a]

Impossible,
dès que je lance en mode sans echec, à la fin du chargement des fichiers Windows, il bloque et reboote.

Je sais c'est la poisse...

@+

[b marlow]

télécharge ce ComboFix renommé en tralala.exe http://www.sendspace.com/file/29c4yd
enregistre-le sur le Bureau. lance Rkill. puis ouvre le gestionnaire des taches ctrl+alt+suppr
tue les process qui pourraient subsister en chiffres aléatoire , ensuite lance le tralala.exe
laisse-le travailler à la fin poste le rapport qui sera produit. il sera sauvegardé en C:\

[invite22349c1a]

Hi,
tralala chargé mais,
je n'arrive pas à lancer le gestionnaire de tâches même après avoir lancé rkill.
Toutes les fonctions de ce type sont bloquées. idem accès ligne de commande dos etc...
Je pense que le rkill n'a aucun effet. Une fenetre "Security tool" se lance immédiatement apès l'apparition du Log file de rkill.
see you

[invite22349c1a]

Bonsoir,
J'ai finalement fait un autre essai. Je suis passé sur un autre compte utilisateur qui est egalement en mode admini. Ce compte n'était pas pollué par Security Tool. MBAM m'a supprimé 3 fichiers infectés après reboot sur la même session.
Ensuite retour sur la session principale et à priori tout est clean selon un nouveau test MBAM.
Que faut-il faire maintenant pour être sur d'avoir éradiquer le rogue et supprimer tous les programme type Rkill et combofix etc...
Merci pour l'aide.
@+

[yoda1234]

Poste en pièces jointes tous les rapports que tu as obtenu.
Comment poster en pièce jointe: http://www.futura-sciences.com/fr/do...701/c3/221/p4/

[invite22349c1a]

Bonsoir,

Voici les rapports demandés suite passage MBAM.

Le micro semble désinfecté, plus aucune fenêtre Security Tool, mais la connexion internet reste difficile à obtenir et je n'arrive toujours pas à démarrer en mode sans echec. Le micro reboote au lancement de la fenêtre Windows.

[b marlow]

Applique la procédure décrite dans ce sujet , à la fin poste les rapports.

[invite22349c1a]

Bonsoir

voici les fichiers demandés.


Merci

[b marlow]

désactive le proxy si encore coché dans les options internet.

[invite22349c1a]

Bonsoir,

le Proxy n'est pas coché.

[b marlow]

supprime le tralala.exe

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite22349c1a]

Hi,

Voici le rapport suite utilisation de combofix.

Pour info, le processus a démarré par un re-boot du micro puis s'est déroulé à priori normalement....

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
c:\windows\System32\AnarchyIRCLib.dll       
c:\windows\System32\drivers\eaiy.sys 
c:\windows\System32\drivers\mtdqwajy.sys   
c:\windows\System32\drivers\elxvlq.sys 
c:\windows\System32\drivers\wnvajfq.sys 
c:\windows\System32\drivers\ksfeekhs.sys 
 
Driver::
btoue
eridsihy
kbxexrht
pdhhbmh
xfeauf

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invite22349c1a]

Voici la suite.
Combofix s'est lancé correctement cette fois ci.

@+

[b marlow]

nous allons tout de même vacciner tes supports USB:

Télécharge et installe >UsbFix< de C_XX & El Desaparecido

Branche tes sources de données externes à ton PC : clé USB,
disque dur externe,etc susceptible d'avoir été infectés mais sans les ouvrir

- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 ( Suppression )
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
- Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
- A la fin poste le rapport UsbFix.txt qui apparaitra.
- Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )

Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

[invite22349c1a]

Ok voici le rapport.

[b marlow]

Ceci va supprimer les outils qui nous ont servi pour la procédure:

• Télécharge DelFix de Xplode
• Enregistre-le sur le Bureau
• Lance-le, tape 2 et valide en appuyant sur la touche [Entrée]
• Patiente quelques secondes puis poste le contenu du rapport qui s'ouvrira

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt


Pour finir tu feras un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invite22349c1a]

Bonsoir,

Voici les rapports.

Pour ESET, j'ai fait deux passages. Le premier a trouvé un élément infecté mais j'ai perdu le log suite à la désinstallation en auto proposée à la fin du scan.
Au second passage, tout est clean. J'ai retrouvé un log dans l'arborescence proposée....

[b marlow]

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

@+ et Bon surf

[invite22349c1a]

Merci pour ton aide.

Maintenant tout fonctionne correctement. Il me reste qu'à suivre tous tes conseils pour éviter une nouvelle infection.

Encore merci et longue vie au Forum.

Have a fun.