grosse infection 2014-06-11T23:52:04+00:00
  • Auteur
    Messages
  • Mamour
    Participant
    Post count: 20

    Bonsoir,
    Je viens vers vous car depuis quelques temps mon ordi ne répond plus normalement, de plus j’ai pu constater que l’ordi était mit en réseau partagé (workgroupe), malwarebytes signale que la protection anti rootkit ne veut pas démarrer et que cela est certainement du à la présence d’un rootkit, malgré plusieurs scans aucunes détections. De plus, mon anti virus Norton me signale via le mapage réseau une seconde connexion que je supprime mais qui revient a chaque redémarrage et pour terminer je pense avoir perdu une bonne partie de mes droits d’administrateur.
    Mon ordi est un HP Windows 7 SP1.
    :merci2: pour votre aide!

  • Mamour
    Participant
    Post count: 20

    Bonsoir voici le rapport:
    https://antimalware.top/www/?a=d&i=71RRO2qtaR” onclick=”window.open(this.href);return false;

  • Mamour
    Participant
    Post count: 20

    Pour mcafee peut etre mais l ordi n était pas a nous avant et pour roguekiller conseiller mais pas utiisé
    Voici le rapport adwcleaner :
    https://antimalware.top/www/?a=d&i=hANg6TSJNl” onclick=”window.open(this.href);return false;

  • Mamour
    Participant
    Post count: 20

    Petit hic, les clés copiées et collées dans zhp fixe une fois le bouton GO lancer rien ne se passe à part que l’assistant compatibilité des programmes me dit que le programme zhp est peut être mal installé et fonctionne mal!

  • Mamour
    Participant
    Post count: 20

    Pas d’icône de nouvelle version, comprends pas :’)

  • Mamour
    Participant
    Post count: 20

    Voici les rapports:
    https://antimalware.top/www/?a=d&i=KbbJUdK0gS” onclick=”window.open(this.href);return false;
    https://antimalware.top/www/?a=d&i=QiS4lhkka6” onclick=”window.open(this.href);return false;

  • Mamour
    Participant
    Post count: 20

    Hello voici le rapport OTL après redémarrage:
    All processes killed
    ========== OTL ==========
    Registry key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{5C255C8A-E604-49b4-9D64-90988571CECB} deleted successfully.
    Registry key HKEY_LOCAL_MACHINESOFTWAREClassesCLSID{5C255C8A-E604-49b4-9D64-90988571CECB} not found.
    C:ProgramDataRogueKillerQuarantine folder moved successfully.
    C:ProgramDataRogueKillerLogs folder moved successfully.
    C:ProgramDataRogueKillerDebug folder moved successfully.
    C:ProgramDataRogueKiller folder moved successfully.
    C:UsersMaisonLocal SettingsTempSHSetup.exe moved successfully.
    C:Program Filesstinger folder moved successfully.
    C:Program Files (x86)stinger folder moved successfully.
    File PTYTEMP] not found.
    File EATERESTOREPOINT] not found.

    OTL by OldTimer – Version 3.2.69.0 log created on 06132014_121255

    FilesFolders moved on Reboot…

    PendingFileRenameOperations files…

    Registry entries deleted on Reboot…

  • Mamour
    Participant
    Post count: 20

    Voici le rapport:
    https://antimalware.top/www/?a=d&i=OO42rPFQCi” onclick=”window.open(this.href);return false;
    Par contre une fenêtre me demande continuellement d’ éteindre l’ ordi pour enregistrer des modifications et certains services:
    -Mappeur de point de terminaison RPC
    -Planificateur de tâches
    -Services bureau a distance
    -Clients de stratégie de groupe
    -Assistance ip
    -Service interface du magasin réseau
    -Service de l’assistant compatibilité des programmes
    -Gestionnaire de comptes de sécurité
    -Audio services
    -Client de suivi de lien distribue
    -Gestionnaire de sessions du gestionnaire de fenêtrage
    -Gestionnaire d’informations d’identification
    Ces services possèdent des droits supérieur aux notres (il vous faut une autorisation de la part de TRUSTED INSTALLER pour modifier ces services) de plus petite précision la partition de restauration système RECOVERY semble être elle aussi infectée quand nous l’avions utilisé une commande MERGE VCW restait ouverte continuellement et semblait interférer avec la restauration système (multitude de règles de par feu invalide et de mauvaise emplacement de programmes),l’ordi est toujours en réseau partagé.

  • Mamour
    Participant
    Post count: 20

    C’est bon spyhunter supprimé.
    Manip déjà tentée pour désactiver ces services mais je ne peux pas modifier le type de démarrage les cases sont grisées et donc non modifiable.

  • Mamour
    Participant
    Post count: 20

    Je dois m’absenter serais de retour a 21h to pile!
    :merci2: beaucoup pour ce suivi attentif.
    :bye:

  • Mamour
    Participant
    Post count: 20

    Voici le rapport SFTGC :
    https://antimalware.top/www/?a=d&i=3vbHiMnLpH” onclick=”window.open(this.href);return false;
    J’ ai constaté que Norton m’ avais mis en quarantaine un fichier de Haxfix et SFTG que j’ ai restauré avant d’ éffectuer le scan dumoins pour SFTGC et quelques minutes plus tards il me les a remis en quarantaine mais ils ont disparus quand j’ai voulu les restaurer de nouveau de plus voici ce que j’ ai trouvé dans l’ historique de sécuritée :
    Catégorie : Pare-feu – Activités
    Date et heure,Risque,Activité,Etat,Action recommandée,Catégorie 
    13/06/2014 21:30:09,Infos, Règle rejected UDP(17) trafic avec (192.168.1.1 Port (43223) ),Détecté,Aucune action nécessaire,Pare-feu – Activités
    Les conditions de la règle de pare-feu ont été remplies :
    Nom de la règle : Default Block UPnP Discovery
    Action de la règle : rejected
    Gravité de la règle : normal

    Détails du trafic :
    Protocole : UDP(17)
    Direction : inbound
    Hôte local :
    Adresse IP locale : je l’ ai éffacé
    Service local : Port ssdp(1900)
    Hôte distant :
    Adresse IP distante : 192.168.1.1
    Service distant : Port (43223)
    Adresse MAC distante : —
    Index de la carte : 10

    Informations sur le processus :
    ID de processus : 1304
    Chemin du processus : C:WindowsSystem32svchost.exe

    Bon match :super:

  • Mamour
    Participant
    Post count: 20

    Oui j’ utilisais le wifi mais plus depuis suspicions d’ un truc louche, est aussi également débranché mes boitiers CPL.
    Voici le rapport DelFix :
    https://antimalware.top/www/?a=d&i=VnhfCrMcUU” onclick=”window.open(this.href);return false;

  • Mamour
    Participant
    Post count: 20

    Tusted Installer semble s’ être arreté via la premiere méthode.
    J’ ai réussis a arreté certains services RPC.

  • Mamour
    Participant
    Post count: 20

    Il vient de se relancer à nouveau grrrr…(appel de procédure distante)

  • Mamour
    Participant
    Post count: 20

    Quand je vais dans ma messagerie pour récupérer le correctif que Microsoft m’ envoi le lien a expiré ou a été déplacé, j’ ai répété la manip 5 fois.

  • Mamour
    Participant
    Post count: 20

    Impec merci, un endroit particulier pour l’ installer?

  • Mamour
    Participant
    Post count: 20

    Il me dise que ce correctif ne s’ applique pas a cet ordinateur.

  • Mamour
    Participant
    Post count: 20

    Ports bloqués mais pas de vers détecté.

  • Mamour
    Participant
    Post count: 20

    Catégorie : Pare-feu – Réseau et connexions
    Date et heure,Risque,Activité,Etat,Action recommandée,Adresse physique
    14/06/2014 02:53:05,Infos,Vous avez restreint un ordinateur. (MAC 30-7E-CB-32-76-08),Restreint,Aucune action nécessaire,30-7E-CB-32-76-08
    Et norton est plein de règles de pare-feu non modifiable permettant d’ exécuter mon ordi à distance.

  • Mamour
    Participant
    Post count: 20

    Bonsoir je viens de récupérer mon chargeur et je peux enfin me connecter pour donner quelques nouvelles.
    Malheureusement je n’ arrive toujours pas à quitter ce maudit groupe réseau quand à mon antivirus la désinstallation puis la réinstallation ne donne toujours rien à chaque redémarrage de l’ ordinateur mes modifications ont été supprimées et les anciennes règles de pare-feu sont de nouveau là.
    Dans le gestionnaire de périphériques j’ ai une carte ISATAP ainsi que deux autres périphériques que je désactive constamment mais qui eux aussi se réactivent à chaque démarrage.

  • Mamour
    Participant
    Post count: 20

    Ok merci du conseil mais je pense que l’ ordi est trop atteint je vais tenter une restauration système via un CD de restauration pour repartir sur une base saine. En tout cas merci pour toute ton aide mais là je ne crois pas que je vais t’ embêter plus longtemps et merci a SOS VIRUS. :merci2:

Le sujet ‘grosse infection’ est fermé à de nouvelles réponses.