[Résolu] Remake de Bagle en mode Démoniaque

[r@in | b0w]

Coucou PC-Info

Tout va bien ?

Moi, j'ai une petite fille (non, rien à voir avec Bagle hein), une petite étoile qui se prénomme Stella et fait maintenant 3 mois (demain) mais pas ses nuits (dans nos dents)

Bon, si je viens ici sur cette section en particulier, c'est que j'ai tout perdu depuis que je n'aide plus.

J'ai récupéré le portable de ma cousine que je dois lui envoyer dans 48 heures et elle a une version de Bagle.

Du côté des téléchargements, pas d'archives bizarres ou d'éléments cr4cks, s3r14ls ou autres...

En lui demandant ce qu'elle avait fait, hormis tenter d'installer Skype (site vérolé ?), rien de bizarre...

Symptômes :

• Impossible d'installer un AV ;
• Impossible d'installer un pare-feu ;
• Impossible d'installer un utilitaire de désinfection (ComboFix, Mbam) ;
• Impossible d'installer un logiciel quelconque ;
• Après installation en mode sans échec, utilisation des utilitaires impossible.

Manipulations :

• J'ai passé plusieurs fois ComboFix en mode sans échec (cf PJ) mais certains éléments ne voulaient pas se supprimer avant redémarrage. Sauf qu'au redémarrage classique, CF ne se lance pas.
• HiJackThis ne me donne rien d'affreux (cf PJ)
• Mbam ne trouve rien d'affreux non plus (ou ne se lançait pas en Mode sans échec, je ne sais plus).
• J'ai épluché les programmes installés et je n'ai rien vu d'exotique.

J'ai tenté de récupérer FindyKill mais impossible de trouver un site crédible et sûr... Du coup, je fais quoi ?

Merci

hijackthis.log

ComboFix.txt

[bernard53]

Bonsoir
normal pour FindyKill qui n'est plus à jour donc ne pas utiliser.
Fait ceci en mode sans échec.
Télécharger sur le bureau<< RogueKiller >> (by tigzy)
Quitter tous les programmes
Lancer RogueKiller.exe.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad
Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad
Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

Ensuite:
* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven / W8 fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
tcpip.sys
tdx.sys
volsnap.sys
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%SystemRoot%\Installer\* /s
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup http://www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT


* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés


Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

[r@in | b0w]

Coucou bernard53.

normal pour FindyKill qui n'est plus à jour donc ne pas utiliser.

Ok, tu confirmes que je suis vraiment dépassé

Voilà qui est fait pour RK, je suis en train de faire l'autre.

rk.txt

A tout.

[bernard53]

Si c'est pas toi qui a installé le proxy sur le pc valide ceci pour RoqueKiller.
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad
Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad
Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

[r@in | b0w]

Si c'est pas toi qui a installé le proxy sur le pc valide ceci pour RoqueKiller.

Ma cousine ne doit pas savoir ce qu'est un proxy et, de mon côté, pas besoin donc c'est bien encore l'infection.

On a donc une machine zombie ?

Quand OTL a fini, je relance RK.

[r@in | b0w]

Re.

Voilà les deux logs OTL.

OTL.txt

Extras.Txt

[r@in | b0w]

Si c'est pas toi qui a installé le proxy sur le pc valide ceci pour RoqueKiller.

Nouveau passage de RogueKiller, rapport en PJ.

RKreport_SCN_08042014_202713.log

On avance

[bernard53]

très bien juste ceci car rien de grave sur le pc.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven / W 8 fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure-toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenu que tu va télécharger suivant le lien suivant dans la partie inférieure d'OTL "Personnalisation"

Rapport OTL.txt

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

 dis moi si qui te reste comme symptômes ensuite

[r@in | b0w]

OTL a voulu redémarrer pour terminer la désinfection, je l'ai laissé faire.

08042014_205237.log

Mince alors, pas de machine zombie finalement ?

Concernant les news, je ne peux toujours pas installer d'antivirus (je teste la nouvelle version d'Avira et le téléchargement de l'AV se solde par un échec comme avant).

Quand j'installe MBAM, j'ai une superbe erreur.

Code: Tout sélectionner

Erreur interne : Expression error 'Runtime Error (at 79:177):

External exception E06D7363.'

On dirait qu'il reste des bouts.

[bernard53]

Désinstalle Spybot qui peux en être la cause.
Redémarre le pc ensuite puis nouveau teste de MalwaresBytes s.t.p.

[bernard53]

a vérifier si comodo n'est pas aussi la cause du blocage d'installation.
Le désactiver pour test au besoin.

[r@in | b0w]

Bonjour.

J'ai désinstallé Spybot et Comodo Dragon puis kické Comodo firewall.

Toujours la même erreur :

Code: Tout sélectionner

Erreur interne : Expression error 'Runtime Error (at 79:177):

External exception E06D7363.'

Et Avira ne peut toujours pas se télécharger l'AV.

[bernard53]

ok pour MalwaresBytes.
Regarde là :
http://forum.malekal.com/supprimer-malw ... ml#p370437

notamment lance le mbam-clean.exe
Puis essai de télécharger Avast au lieu d'Avira qui demande un fichier moins gourmand

[r@in | b0w]

mbam-clean.exe

J'ai passé le cleaner Mbam et j'ai finalisé l'installation.

MAJ de la base de données et je lance un examen avec recherche de toutes les vermines.

Je te tiens au jus.

Puis essai de télécharger Avast au lieu d'Avira qui demande un fichier moins gourmand

Je ne suis pas un fanatique d'Avast mais, si je n'y arrive pas, ce sera lui.

[r@in | b0w]

Re.

Mbam a fini son nettoyage, de nombreuses occurrences pour Nosibay...

mbam.txt

On est bon ou je fais tourner encore un utilitaire (HiJackThis) au cas où ?