gomeo + rootkits.

par **coquillage** » 01 Sep 2011, 16:11

bonjour à tous
j'en peux plus, aidez moi, voici les rapport ad-report scan et ad-report clean
par contre je n'ai pas de rapport d'analyse à vous soumettre car pas moyen de lancer l'installation zhpdiag ( même en administrateur en mode sans echec) windows ne parvient pas à acceder au peripherique soit disant que je ne dispose pas d'autorisation, bref...
mercccccccccccccci
je suis sous XP

Ad-Report-CLEAN[1].txt: (2.02 Kio) Téléchargé 10 fois

Ad-Report-SCAN[1].txt: (1.83 Kio) Téléchargé 6 fois

par **Apollo** » 02 Sep 2011, 09:40

Bonjour,

1) Télécharge TFC par OldTimer et enregistre-le sur le bureau.

Fais un double clic sur TFC.exe pour le lancer. (Note: Si tu es sous Vista/7, fais un clic droit sur le fichier et choisis Exécuter en tant qu'Administrateur).
L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
Clique sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle tu supprimes tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
Lorsqu'il a terminé, l'outil devrait faire redémarrer ton système. S'il ne le fait pas, fais redémarrer manuellement le PC pour parachever le nettoyage.

---------------------
2) Télécharge Malwarebytes' Anti-Malware (MBAM).

http://malwarebytes.org/products/malwarebytes_free clique pour la version FREE et enregistre l'exécutable sur le bureau.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen complet"
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

par **coquillage** » 02 Sep 2011, 11:23

merci apollo,
Tout avait l'air de fonctionner mais c'était trop beau pour durer
Telechargement TFC (ok)
Telechargement MBAM(ok)
Lancement de l'examen complet ok durant les 5 premières minutes, puis message d'erreur de MBAM "echec de l'execution de l'action demandée code d'erreur 0"
Je tente de relancer l'analyse et cette fois c'est windows qui ne veut plus "windows ne peut pas acceder au peripherique vous ne disposez pas des autorisations..."

je ne sais pas quoi faire,en plus active desktop s'y met lui aussi. gggrrrrrrrrrr

merci encore

par **Apollo** » 02 Sep 2011, 11:28

Télécharge RogueKiller (par Tigzy) sur le bureau
(A partir d'une clé USB si le Rogue empêche l'accès au net) .
http://www.sur-la-toile.com/RogueKiller/
Quitte tous les programmes en cours
Lance RogueKiller.exe.

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur.
Si une détection apparait en haut de la fenêtre, tape 2 (mode REMOVE) et valide par la touche Entrer.
(Si le programme a été bloqué, renommer en RogueKiller.com et recommencer)

Si les raccourcis ont disparu, relance l'outil en mode 6.
Envoie une copie du rapport RKreport[2].txt.

++

par **coquillage** » 02 Sep 2011, 12:27

RE COUCOU,
desolée si je suis un peu lente, netbook sur un hotpost wifi avec connexion quand çà veut bien.

j 'ai pas tout saisi, mais voilà 2 rapports. si tu as besoin que j'execute les mode 3, 4, 5 et 6 n'hesiste pas

RKreport[2].txt: (1.85 Kio) Téléchargé 6 fois

RKreport[1].txt: (1.55 Kio) Téléchargé 9 fois

par **Apollo** » 02 Sep 2011, 12:38

Re,

Essaie à nouveau de mettre MBAM à jour et de le lancer d'abord en analyse rapide.

Si ça n'allait toujours pas, on utiliserait un logiciel plus puissant.

@++

par **coquillage** » 02 Sep 2011, 13:47

salut

quand je lance MBAM il me dit que la base de données est perimée depuis plus de 50jours qu'il faut la mettre à jour.
je le fais puis au lancement windows ne parvient toujours pas au peripherique.

comme si çà suffisait pas je suis bombardée de messages d'erreur RUNDLL (erreur dans c:wind vemazbdh.dll entree manquante : iep)

je reçoit aussi un message sur toute la surface de mon ecran : erreur d'arrêt" ecran bleu" :hein:

wind me demande de mettre microsoft update à jour, mais impossible update.exe rencontre un probleme

Et pour finir MBAM affiche une bulle toute les 5 secondes pour me dire qu'il bloque avec succes l'acces à un site malveillant tantot de type sortant tantot de type entrant.

j'en perd mon latin

par **Apollo** » 02 Sep 2011, 13:55

Tu as installé MBAM Pro au lieu du Free et c'est pour cela que le résident réagit (mais c'est normal s'il y a infection).

ComboFix ne doit pas être utilisé comme un outil de diagnostic, il ne doit être employé que sur demande expresse d'un conseiller formé à cet outil et sous son contrôle. Cet outil peut être dangereux!

Désactiver les protections (antivirus, firewall, antispyware).
Si vous ne savez pas comment faire, reportez-vous à cet article.

Connecter les supports amovibles (clé usb et autres) avant de procéder.

TUTO Officiel

Fais un clic droit ICI

Dans le menu qui se déroule, choisis "Enregistrer la cible du lien sous" (si tu utilises Firefox) et "Enregistrer la cible sous" (si tu utilises Internet Explorer)
Une fenêtre va s'ouvrir: dans le champs Nom du fichier (en bas ), tape ceci plop

exemple:
On va enregistrer ce fichier sur le Bureau: pour cela, sur le panneau de gauche, clique sur le Bureau.
Clique enfin sur le bouton Enregistrer en bas de page à droite.
Assure toi que tous les programmes sont fermés avant de lancer le fix!
Fait un double clique sur plop.
Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepte!
Clique sur Oui au message de Limitation de Garantie qui s'affiche.
Il est possible que ton parefeu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure: accepte!
Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".
apparaissait, redémarrer le pc.

par **coquillage** » 02 Sep 2011, 18:26

re,

je comprend pas je n'ai pas telechargé la version pro de MBAM mais bien la free, j'y connais tellement rien que je fais très attention à ce que tu me dis.

bon j'ai fait un scan combofix et j'ai du redemarrer l'ordi malgré l'alerte de ne pas redemarrer soi même manuellement le pc car après 1/2 heure de blocage total des commandes j'ai du me resoudre a faire quelque chose. j'avais l'erreur suivante microsoft visual c++ runtime library runtime error! program c: \programe files \valwarebytes'anti-malwere\mbamgui.exe abnormal program termination.

après rallumage combofix-find3M a fini par faire un compte rendu que voici

ComboFix.txt: (11.4 Kio) Téléchargé 18 fois

vraiment merci pour ta patience parce qu'avec moi c pas gagné

par **Apollo** » 02 Sep 2011, 18:43

Il faut faire très attention avec combofix; selon que l'infection est importante, un scan peut aller jusqu'à 1 heure, voire plus mais c'est rare.

Télécharge TDSSKiller de Kaspersky sur ton bureau.

Ou: http://support.kaspersky.com/fr/downloa ... killer.zip ; décompresse le zip.

Double-clique sur TDSSKiller.exe
L'écran de TDSSKiller s'affiche:

Cliquer sur Start scan pour lancer l'analyse.

NB: TDSSKiller proposera des options: Delete, Skip ou Cure, il ne faut pas modifier ces options!

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, clique sur Continue puis sur le bouton Reboot now.

Envoyer en réponse:
*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:] .

-------------------------------------------

Si le résident MBAM était actif, c'est que tu as pris la démo du Pro. :wink:

Lorqu'il propose "d'essayer" pendant l'install, il faut refuser.
Désinstaller MBAM:

Télécharge mbam-clean sur ton Bureau, exécute le en mode Administrateur pour Vista/7 et double-clic pour XP.
A la demande de redémarrer le PC, accepte.
Suite au redémarrage, supprime le fichier mbam-clean.exe sur ton Bureau, et refais la procédure d'installation et d'analyse complète avec MBAM. (après mise à jour).

Télécharge Malwarebytes' Anti-Malware (MBAM).

http://malwarebytes.org/products/malwarebytes_free clique pour la version FREE et enregistre l'exécutable sur le bureau.

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

Ce logiciel est à garder.

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour MBAM

Exécute le fichier après l'installation de MBAM

Double clique sur le fichier téléchargé pour lancer le processus d'installation.
Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
Sélectionne "Exécuter un examen rapide."
Clique sur "Rechercher"
L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

@++

par **coquillage** » 02 Sep 2011, 20:21

voici le rapport TDSSKILLER

@+

TDSSKiller.2.5.17.0_02.09.2011_21.10.35_log.txt: (42.95 Kio) Téléchargé 18 fois

par **Apollo** » 02 Sep 2011, 20:26

Hou les vilains qu'il a trouvé!

Je comprends mieux tes problèmes à présent.
Qu'as-tu comme antivirus sur ta machine?

par **coquillage** » 02 Sep 2011, 20:31

antivir (quand il veut bien )

par **Apollo** » 02 Sep 2011, 20:41

Mouais, il laisse passer de très gros poissons quand-même.

Enfin, il faut voir ce que tu fais avec ton pc et si tu as un surf "à risque" (emule etc.) C'est très dangereux et aucune protection, même les meilleures ne peuvent rien si c'est l'internaute qui installe l'infection avec un fichier piégé; un simple mp3 est suffisant pour flanquer la pagaille sur un ordi.

Fais la suite stp, désinstaller/réinstaller MBAM en veillant bien à refuser la démonstration du Pro.

+++

par **coquillage** » 02 Sep 2011, 20:52

desolée, coupure wifi
j'ai suivi tes instruction pour MBAM voici le rapport
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7638

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

02/09/2011 21:39:59
mbam-log-2011-09-02 (21-39-59).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 167717
Temps écoulé: 3 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\vemazbdh.dll (Virus.Vampiro) -> Quarantined and deleted successfully.

gomeo + rootkits.

gomeo + rootkits.

gomeo + rootkits.

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Re: gomeo

Qui est en ligne