Virus ou "Rootkit" "SergeLeLama"? 2014-10-28T09:35:44+00:00
15 sujets de 1 à 15 (sur un total de 16)
  • Auteur
    Messages
  • Ganeshi
    Participant
    Nombre d'articles : 14

    Bonjour,

    Mon ordi est infesté par une crasse. Deux clé USB ont vus leur contenu être effacé. Je pensais que la première clé contenait une crasse avant de me dire la seconde fois que ca devait venir de mon ordi.

    J’ai fait tourné ZHPdiag et j’ai trouvé ubn élément étrange:”SergeLeLama”. Est-ce un Virus ou un Rootkit?

    Le rapport de ZHPdiag:

    Spoiler for 8pjeu73j

    [MD5.DF8126BD41180351A093A3AD2FC8903B] – (.Microsoft Corporation – Pilote de cliché instantané du volume.) (.25/02/2011 – 07:25:38.) — C:Windowssystem32Driversvolsnap.sys [296320]
    ~ Generic Processes: Scanned in 00mn 00s

    —\ Etat des fichiers cachés (Caché/Total)
    ~ Mes Favoris (My Favorites) : 1/18
    ~ Mes Documents (My Documents) : 1/33
    ~ Mon Bureau (My Desktop) : 1/25
    ~ Menu demarrer (Programs) : 1/35
    ~ Hidden Files: Scanned in 00mn 00s

    —\ Processus lancés
    [MD5.F89773DFA9B8C95A3AC2AF1E7D99E483] – (.Malwarebytes Corporation – Malwarebytes Anti-Malware.) — C:Program Files (x86)Malwarebytes Anti-Malwarembam.exe [7229752] [PID.2704]
    [MD5.5A585A7FBEC77DF67801D11DBEAD2432] – (.Nicolas Coolman – ZHPDiag.) — C:Program Files (x86)ZHPDiagZHPDiag.exe [8115200] [PID.2572]
    ~ Processes Running: Scanned in 00mn 00s

    —\ Google Chrome, Démarrage,Recherche,Extensions (G0,G1,G2)
    C:UsersCamera-etcAppDataLocalGoogleChromeUser DataDefaultPreferences

    —\ Liste des dossiers d'extension Google Chrome
    ~ Google Lines Browser: 0 Legitimates Filtered in 00mn 01s

    —\ Mozilla Firefox, Plugins,Demarrage,Recherche,Extensions (P2,M0,M1,M2,M3)
    C:UsersCamera-etcAppDataRoamingMozillaFirefoxProfilesok7nh1lm.default-1394025655306prefs.js
    M2 – MFEP: RegExtension {e4f94d1e-2f53-401e-8885-681602c0ddd8} . (…) — C:ProgramDataMcAfee Security ScanExtensions{e4f94d1e-2f53-401e-8885-681602c0ddd8}.xpi
    M2 – MFEP: prefs.js [Camera-etc – ok7nh1lm.default-1394025655306{EF522540-89F5-46b9-B6FE-1829E2B572C6}] [] SearchPreview v7.1 (..)
    M2 – MFEP: Extension [Camera-etc – ok7nh1lm.default-1394025655306] {d49a148e-817e-4025-bee3-5d541376de3b}
    ~ Firefox Browser: 12 Legitimates Filtered in 00mn 00s

    —\ Internet Explorer, Proxy Management (R5)
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyServer = no key
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyEnable = 0
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,MigrateProxy = 1
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,EnableHttp1_1 = 1
    R5 – HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,AutoConfigProxy = wininet.dll
    ~ Proxy management: Scanned in 00mn 00s

    —\ Analyse des lignes F0, F1, F2, F3 – IniFiles, Autoloading programs
    F2 – REG:system.ini: USERINIT=C:Windowssystem32userinit.exe,
    F2 – REG:system.ini: Shell=C:Windowsexplorer.exe
    F2 – REG:system.ini: VMApplet=C:WindowsSystem32SystemPropertiesPerformance.exe
    ~ Keys: Scanned in 00mn 00s

    —\ Hosts file redirection (O1)
    ~ Le fichier hôte est sain (The hosts file is clean) (24)
    ~ Hosts File: Scanned in 00mn 00s

    —\ Internet Explorer Toolbars (O3)
    O3 – Toolbar: (no name) – [HKLM]{318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline
    ~ Toolbar: Scanned in 00mn 00s

    —\ Autres liens utilisateurs (O4)
    O4 – GSQuickLaunch [Camera-etc]: µTorrent.lnk . (.BitTorrent Inc. – µTorrent.) — C:UsersCamera-etcAppDataRoaminguTorrentuTorrent.exe =>P2P.BitTorrent
    O4 – GSProgram [Camera-etc]: Document sans titre – Google Drive.lnk . (.Google Inc. – Google Chrome.) — C:Program Files (x86)GoogleChromeApplicationchrome.exe http://docs.google.com” onclick=”window.open(this.href);return false; =>Hijacker.Browsers
    O4 – GSDesktop [Camera-etc]: µTorrent.lnk . (.BitTorrent Inc. – µTorrent.) — C:UsersCamera-etcAppDataRoaminguTorrentuTorrent.exe =>P2P.BitTorrent
    ~ Global Startup: 3 Legitimates Filtered in 00mn 00s

    —\ Applications lancées au démarrage du système (O4)
    O4 – HKLM..Run: [SergeLeLama] . (.Microsoft Corporation – Microsoft ® Windows Based Script Host.) — C:WindowsSystem32wscript.exe
    O4 – HKLM..Run: [NvBackend] . (.NVIDIA Corporation – NVIDIA Update Backend.) — C:Program Files (x86)NVIDIA CorporationUpdate CoreNvBackend.exe
    O4 – HKLM..Run: [Blackmagic Streaming Server] . (…) — C:Program Files (x86)Blackmagic DesignBlackmagic Desktop VideoBMDStreamingServer.exe
    O4 – HKLM..Run: [Blackmagic CheckVersion PCI] . (.Blackmagic Design – Blackmagic Software Updater.) — C:Program Files (x86)Blackmagic DesignBlackmagic Desktop VideoCheckVersionPCI.exe
    O4 – HKLM..Run: [AdobeAAMUpdater-1.0] . (.Adobe Systems Incorporated – Adobe Updater Startup Utility.) — C:Program Files (x86)Common FilesAdobeOOBEPDAppUWAUpdaterStartupUtility.exe =>.Adobe Systems Incorporated
    O4 – HKCU..Run: [AdobeBridge] Clé orpheline
    O4 – HKCU..Run: [GoogleDriveSync] . (.Google – Google Drive.) — C:Program Files (x86)GoogleDrivegoogledrivesync.exe
    O4 – HKLM..Wow6432NodeRun: [SwitchBoard] . (.Adobe Systems Incorporated – SwitchBoard Server (32 bit).) — C:Program Files (x86)Common FilesAdobeSwitchBoardSwitchBoard.exe
    O4 – HKLM..Wow6432NodeRun: [SDTray] . (.Safer-Networking Ltd. – Spybot – Search & Destroy tray access.) — C:Program Files (x86)Spybot – Search & Destroy 2SDTray.exe
    O4 – HKLM..Wow6432NodeRun: [QuickTime Task] . (.Apple Inc. – QuickTime Task.) — C:Program Files (x86)QuickTimeQTTask.exe
    O4 – HKLM..Wow6432NodeRun: [AvastUI.exe] . (.AVAST Software – avast! Antivirus.) — C:Program FilesAVAST SoftwareAvastAvastUI.exe
    O4 – HKLM..Wow6432NodeRun: [ASUS ShellProcess Execute] . (.ASUSTeK Computer Inc. – Helper AP for Windows ShellExec for NT.) — C:Program Files (x86)ASUSAI Suite IIASUS MobilinkSimulatorAsShellProcess.exe
    O4 – HKLM..Wow6432NodeRun: [APSDaemon] . (.Apple Inc. – Apple Push.) — C:Program Files (x86)Common FilesAppleApple Application SupportAPSDaemon.exe
    O4 – HKLM..Wow6432NodeRun: [AdobeCS6ServiceManager] . (.Adobe Systems Incorporated – Adobe CS6 Service Manager.) — C:Program Files (x86)Common FilesAdobeCS6ServiceManagerCS6ServiceManager.exe
    O4 – HKLM..Wow6432NodeRun: [Adobe ARM] . (.Adobe Systems Incorporated – Adobe Reader and Acrobat Manager.) — C:Program Files (x86)Common FilesAdobeARM1.0AdobeARM.exe =>.Adobe Systems Incorporated
    O4 – HKLM..Wow6432NodeRun: [Adobe Acrobat Speed Launcher] . (.Adobe Systems Incorporated – Adobe Acrobat SpeedLauncher.) — C:Program Files (x86)AdobeAcrobat 10.0AcrobatAcrobat_sl.exe
    O4 – HKLM..Wow6432NodeRun: [Acrobat Assistant 8.0] . (.Adobe Systems Inc. – AcroTray.) — C:Program Files (x86)AdobeAcrobat 10.0AcrobatAcrotray.exe
    O4 – HKUSS-1-5-19..Run: [Sidebar] . (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:Program Files (x86)Windows SidebarSidebar.exe =>.Microsoft Corporation
    O4 – HKUSS-1-5-20..Run: [Sidebar] . (.Microsoft Corporation – Gadgets du Bureau Windows.) — C:Program Files (x86)Windows SidebarSidebar.exe =>.Microsoft Corporation
    O4 – HKUSS-1-5-19..RunOnce: [mctadmin] . (.Microsoft Corporation – MCTAdmin.) — C:WindowsSystem32mctadmin.exe =>.Microsoft Corporation
    O4 – HKUSS-1-5-20..RunOnce: [mctadmin] . (.Microsoft Corporation – MCTAdmin.) — C:WindowsSystem32mctadmin.exe =>.Microsoft Corporation
    O4 – HKUSS-1-5-21-2461604927-2961082766-4279322572-1000..Run: [AdobeBridge] Clé orpheline
    O4 – HKUSS-1-5-21-2461604927-2961082766-4279322572-1000..Run: [GoogleDriveSync] . (.Google – Google Drive.) — C:Program Files (x86)GoogleDrivegoogledrivesync.exe
    ~ Application: Scanned in 00mn 00s[/spoiler:8pjeu73j]

    PS: Je ne parviens pas à mettre tous le rapport, je place donc seulement la première partie!

    Ganeshi
    Participant
    Nombre d'articles : 14

    Merci beaucoup pour les infos!

    Rapport de MalwareBytes:
    https://antimalware.top/www/?a=d&i=Ljmfg78HIa

    Rapport de ZHPdiag:
    https://antimalware.top/www/?a=d&i=slSkQ2LFm0

    Rapport de USBFix:
    https://antimalware.top/www/?a=d&i=3JQldBHcM5

    Ganeshi
    Participant
    Nombre d'articles : 14

    Alors,

    Dans le rapport de ZHPdiag, j’ai identifié un fichier problématique “Wscript” sur le C, lié au nom “Sergelelama” . Je ne pouvais pas le supprimer car il était protégé par Trustedinstaller, impossible à supprimer aussi, dont j’ai trouvé de multiples versions sur mon ordi.

    J’ai donc tenté de supprimer tous ces fichiers, en prenant le “Contrôle total” sur ces fichiers. Méthode ici: http://www.chantal11.com/2010/09/attribuer-controle-total-sur-dossier-fichier-windows-7-vista/

    Voici mon rapport de HZPdiag après mon nettoyage manuel:
    https://antimalware.top/www/?a=d&i=CTmgfHgQls

    Ganeshi
    Participant
    Nombre d'articles : 14

    Qu’en pensez-vous? Mon ordi est à présent clean?

    NB: Formatées, les clés USB, certainement à l’origine de l’infection, ne retrouvent pas leur poids total. J’ai seulement 14,8 Gb disponible sur 14,9Gb. Il reste donc 10Mb caché que je réussis pas à voir ou enlever. Lorsque je formate en ex-FAT, je récupère soudainement la totalité!

    J’ai tenté de remplir les clés et de les reformater ensuite. Même problème, je n’arrive pas à nettoyer ces 100Mb! Que puis-je faire?

    PS: Sur le forum, il est indiqué “[Pris en charge par Ganeshi]”… Cela veut-il dire que je dois me charger tout seul de mon problème? :unhappy:

    Ganeshi
    Participant
    Nombre d'articles : 14

    Merci beaucoup pour la prise en charge.

    Nouveau rapport USBFix:
    https://antimalware.top/www/?a=d&i=mu8D18sThJ” onclick=”window.open(this.href);return false;

    Nouveau rapport ZHPdiag:
    https://antimalware.top/www/?a=d&i=0nPhkxWSU1” onclick=”window.open(this.href);return false;

    Ganeshi
    Participant
    Nombre d'articles : 14

    Rapport ZHPFix:
    https://antimalware.top/www/?a=d&i=9NjWqmLSc6” onclick=”window.open(this.href);return false;

    Et les navigateurs (IE, Firefox et Chrome) sont réinitialisés!

    Ganeshi
    Participant
    Nombre d'articles : 14

    Mon ordi a l’air beaucoup plus sain. Mais je m’inquiète cependant d’une résurgence de problème via mes clés USB!

    Mes clés sont vides mais il y a néanmoins plus ou moins 100Mb non accessibles (voir image). J’ai donc l’impression qu’elles planquent toutes des crasses prêtes à revenir.

    Lorsque je formate en FAT32, je récupère l’intégralité de l’espace, mais quand je repasse en NTFS, un espace invisible reste inaccessible! Une idée?

    Anonyme
    Nombre d'articles : 0

    :hello: ,

    Mes clés sont vides mais il y a néanmoins plus ou moins 100Mb non accessibles (voir image). J’ai donc l’impression qu’elles planquent toutes des crasses prêtes à revenir.

    Non, sans rentrer dans les détails, c’est un espace disque réservé au système, c’est tout à fait normal que tu ne le vois pas et que tu n’y ai pas accès.

    Ganeshi
    Participant
    Nombre d'articles : 14

    @El Desaparecido wrote:

    Non, sans rentrer dans les détails, c’est un espace disque réservé au système, c’est tout à fait normal que tu ne le vois pas et que tu n’y ai pas accès.

    Ok, mais n’est ce pas bizarre que cet espace disparait lorsque je formate en FAT32 ou en exFAT? Dans ces deux formats, la clé n’a pas besoin de cet espace système?

    @v-x wrote:

    Refais un rapport avec ZHPDiag pour contrôle.+

    Ok! Voilà le rapport:
    https://antimalware.top/www/?a=d&i=3XoeOGh7yk” onclick=”window.open(this.href);return false;

    :merci2:

    Anonyme
    Nombre d'articles : 0

    Dans ces deux formats, la clé n’a pas besoin de cet espace système?

    Non :) , juste en NTFS , le système de fichiers de Windows :)

    Ganeshi
    Participant
    Nombre d'articles : 14

    @El Desaparecido wrote:

    Dans ces deux formats, la clé n’a pas besoin de cet espace système?

    Non :) , juste en NTFS , le système de fichiers de Windows :)

    Ok, merci! Cela me rassure! :kiss:

    Ganeshi
    Participant
    Nombre d'articles : 14

    @v-x wrote:

    Re,

    Tu as re-télécharger des véroles ? car là il y a maintenant Funmoods et Boxore ce qui n’était pas présent lors du premier zhpdiag.

    Tu dois en 1: Désactiver Windows Defender

    En 2: Sois tu supprime Avast et conserve de ce fait Zone Alarm Security ou alors l’inverse, mais là tu as trois AV” de présent et d’actif.

    Or, il ne doit y avoir qu’un seul antivirus par PC

    • Copie les lignes ci dessous :
    • Lances ZHPFix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

    [*] Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
    [*] Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.[/list]

    Aide :

    Salut,

    J’ai effectivement installé le parefeu de ZoneAlarme sans savoir qu’il installait aussi ZoneAlarme Security.

    Je garde Avast comme antivirus et ZoneAlarme comme parefeu. Je viens donc de laisser seulement le parefeu de ZoneAlarme. Et j’ai enlevé la protection en temps réelle de Windows Defender (sais pas comment le bloquer complétement).

    Rapport de ZHPFix après cela:
    https://antimalware.top/www/?a=d&i=MxuyFSBXcX” onclick=”window.open(this.href);return false;

    Ganeshi
    Participant
    Nombre d'articles : 14

    Tout a l’air ok, rien de spécial…

    Ganeshi
    Participant
    Nombre d'articles : 14

    Rapport Malwarebyte:
    https://antimalware.top/www/?a=d&i=kM4iKSooFT” onclick=”window.open(this.href);return false;

    J’ai supprimé après les logiciels Teamviewer et Unlocker…

    Nouveau rapport Malwarebyte après suppression de ces éléments:

    https://antimalware.top/www/?a=d&i=um7rkjnKcm” onclick=”window.open(this.href);return false;

    J’ai un autre problème: ayant viré TrustedInstaller car je pensais qu’il était responsable de mes problèmes. Et maintenant, j’ai des problèmes pour l’installation de nouveaux logiciels… Comment pourrais-je réinstaller cet élément indispensable?

    Ganeshi
    Participant
    Nombre d'articles : 14

    J’ai ce message: “Windows ne trouve pas cleanmrg”!

    Par contre, nickel pour Ccleaner!

15 sujets de 1 à 15 (sur un total de 16)
  • Vous devez être connecté pour répondre à ce sujet.