infesté par rootkitks et trojan - Virus/Spywares - Windows & Software
Marsh Posté le 08-09-2009 à 14:28:27
coudertk a écrit : Bonjour, depuis quelques temps je suis infectée par un rootkits (rootkits TDSS,) et des trojan. (trojan Buzus, et Trojan TDSServ) |
Essayez avec spybot (gratuit, lancé après un redémarrage en mode sans échec) et malwarebytes (aussi gratuit, mais ce dernier ne marcherait pas paraît-il en mode sans échec d'après un post trouvé sur ce forum ou un autre - désolé, j'ai oublié le nom)
Voyez déjà le résultat du scan.
Un intervenant plus compétent vous aidera sans doute plus que moi si ces solutions ne fonctionnent pas.
bon courage
Marsh Posté le 08-09-2009 à 14:53:15
Bonjour,
Pour supprimer un rootkit, les logiciels de sécurité "classiques" ne t'aideront pas.
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helper du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection /!\
• Télécharge ComboFix (de sUBs) sur ton Bureau. Je l'ai renommé et hébergé ailleurs pour qu'il ne soit pas bloqué par l'infection.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix
Marsh Posté le 08-09-2009 à 15:36:07
Pour Anthony5151:
Merci pour l'information, je retiens la procédure.
Marsh Posté le 08-09-2009 à 18:32:58
Bonjour anthony 5151
Merci pour les infos.
J'ai fais ce que tu m'as dis.
Il ne m'a pas demandé d'installer une console de récupération.
mais il a fait son scan.
Puis mon ordi s'est arrêté!!!
Puis il a redémarré , mais du coup ca a redémarré tous les logiciels tels que AVIRA... alors que combofix n'avait pas fini !!!
maintenant j'ai IE , que je n'avais pas du tout installé avant...
Mais l'ordi fonctionne...
Je ne sais pas comment on fait pour te donner le rapport du scan car si j'ai bien compris on ne peut pas copier le rapprot sur ce forum...
Je l'ai mis dans le site de bleepingcomputer...
http://www.bleepingcomputer.com/fo [...] 56132.html
Je ne sais pas si c'est comme ca que l'on fait ?
Sincerement
K Coudert
Marsh Posté le 08-09-2009 à 20:02:45
C'est exact, j'ai oublié de te signaler qu'il ne fallait pas poster les rapports ici... Sauf que là, tu l'as posté sur un autre forum... Ajoute un message là bas pour dire que le problème est réglé stp.
D'après le rapport, Combofix a éliminé le rootkit
Tu peux ensuite faire un scan de contrôle avec MalwareBytes :
• Télécharge et installe Malwarebytes' Anti-Malware
• A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
• Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
• A la fin du scan, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression stp
Ensuite,
Télécharge hijackthis (logiciel de diagnostic).
Installe le, lance le et clique sur "Do a system scan and save a logfile".
Fais un copier-coller du rapport entier sur le forum
Remarque : Suis ce tuto pour héberger les rapports ailleurs et poste les liens correspondant à chaque fois stp.
Marsh Posté le 08-09-2009 à 22:59:08
Rebonsoir Anthony5151
J'ai fais le scan de controle avec MBAM. Je n'ai pas mis le rapport sur le site que tu m'as indiqué car MBAM n'a rien trouvé du tout.
Pour hijackthis , voici le rapport comme tu me l'as demandé. (en fin de message)
Est ce que je dois garder tous ces logiciels ou bien je peux les supprimer?
Comment je peux maintenant nettoyer toutes mes cles, disques durs externes, appareils photos, telephone... souris? pour etre sur de ne pas me rechoper ce truc immonde?
Est ce que je peux garder les 2 Antivirus AVG et Avira ? Ils ont l'air de bien s'entendre tous les 2, mais je sais que c'est mieux d'avoir un seul AV et plusieur antispyware...
Je pense que je vais me séparer de spyware doctor pour installer spybot (mais qui ne m'a jamais trouvé un seul cheval de troie)...
Merci pour tout!
CoudertK
(PS: je serais hors connexion pendant qqs jours... )
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:50:28, on 08/09/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Program Files\Broadcom\BACS\BPowMon.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\Program Files\Maxtor\Sync\SyncServices.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HJT.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar BHO - {A3BC75A2-1F87-4686-AA43-5347D756017C} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: AVG Security Toolbar - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - C:\Program Files\AVG\AVG8\Toolbar\IEToolbar.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{4F14C780-4DE4-43BE-B656-90CF13BE8226}: NameServer = 84.246.69.19
O17 - HKLM\System\CCS\Services\Tcpip\..\{F6C7C22B-3803-402E-B63E-39E9E4D6EDD0}: NameServer = 193.251.220.10 193.251.228.10
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Broadcom Power monitoring service (BPowMon) - Broadcom Corp. - C:\Program Files\Broadcom\BACS\BPowMon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: Maxtor Service (Maxtor Sync Service) - Seagate Technology LLC - C:\Program Files\Maxtor\Sync\SyncServices.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
--
End of file - 5733 bytes
Marsh Posté le 09-09-2009 à 02:30:27
Je te conseille de modifier très rapidement ton message pour enlever le rapport Hijackthis, sinon les modérateurs vont venir verrouiller ce sujet... Les règles du forum interdisent de poster le rapport directement, je t'avais donné un tuto pour l'héberger
Sinon ton ordinateur n'est plus infecté
Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).
1) Sécurise ton ordinateur
• Logiciels de protection :
* Il est totalement inutile d'avoir deux antivirus (à part pour ralentir ton ordinateur, et pour que les deux antivirus entrent en conflit et se neutralisent...). Je te conseille de désinstaller AVG. Si tu gardes AntiVir, fais ce petit réglage : Double clique sur l'icone d'Antivir près de l'horloge -> Configuration -> Coche "mode expert" -> coche "Rech. Rootkits au dem. de la recherche"
* Désinstalle Spyware Doctor qui est inutile (pas de protection résidente dans la version gratuite, un scan médiocre, et une consommation de mémoire permanente malgré tout...)
* Installe Spybot (décoche le TeaTimer lors de l'installation). Son scan est peu efficace, mais ses vaccinations sont utiles : mets le à jour une fois par semaine, et fais les vaccinations à chaque fois.
* En complément, garde MalwareBytes pour son scan de nettoyage très performant.
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
• Internet Explorer n'est pas à jour, c'est une grosse faille de sécurité !
Menu démarrer --> Windows update --> recherche et installe toutes les mises à jour importantes.
Si Internet Explorer n'y est pas, télécharge et installe IE 8 depuis ce lien : IE 8
Si ça ne fonctionne pas, consulte cette astuce
• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
• Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) → lance l'installation avec les paramètres par défaut → Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir → Double clique sur le raccourci USBFix sur ton Bureau → Au menu principal, choisis l'option 3 (Vaccination).
2) Relance Hijackthis, choisis "Do a system scan only" et coche les lignes suivantes qui sont inutiles :
R3 - URLSearchHook: (no name) - *{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
Coche également toutes les lignes commençant par 016 puis clique sur "Fix checked"
3) Menu démarrer → Exécuter → Tape Combofix /u (l'espace entre Combofix et /u est important) et valide.
Ensuite, télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé. Lance le puis clique sur Recherche et patiente pendant le scan. A la fin, clique sur Suppression pour nettoyer.
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
4) Télécharge et installe CCleaner, puis lance le.
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
(Tu peux garder ce logiciel et l'utiliser régulièrement).
5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin
Marsh Posté le 08-09-2009 à 13:47:26
Bonjour, depuis quelques temps je suis infectée par un rootkits (rootkits TDSS,) et des trojan. (trojan Buzus, et Trojan TDSServ)
Je me suis penchée sur la question pour connaitre un peu mieux comment faire pour s'en débarrasser. D'apres ce que j'ai lu dans plusieurs messages dans le forum, il faut que je fasse attention. Alors plutôt que de faire des anneries, je préfère demander de l'aide.
J'ai windows XP pro SP2, AVG free (8.5.409) , Avira free (8.2.0.61), spyware doctor (le free), CCleaner, firefox (3.5.2) ... Tout ca mis a jour tres régulièrement comme anthony5151 l'as conseillé dans plusieurs de ses messages sur le forum. C'est spyware doctor qui m'a detecté le rootkits, mais il faut payer pour le supprimer...
J'ai déjà fait des scan complet de mon ordi (hier soir le dernier en date).
AVG me detecte pas mal de trojan, mais n'arrive pas a me les supprimer.
Je ne sais pas lire les post des scans et je ne souhaite pas utiliser highjack sans aide.
Est il possible de m'aider a supprimer ce rootkits qui s'installe de plus en plus dans mon ordi (j'avais 2 infections vendredi et j'en ai 6 maintenant).
Merci
Coudertk