[Résolu] IRP_MJ sont détectés par RogueKiller sur Windows7

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

[Résolu] IRP_MJ sont détectés par RogueKiller sur Windows7

Message par zgsir » 07 déc. 2015 21:32

Bonjour,

Mon Windows7 est infecté. Plusieurs IRP_MJ sont détectés par RogueKiller qui n'arrive pas à les supprimer.
J'ai tenté une restauration qui ne marche pas sans doute à cause des IRP_MJ.
J'ai chargé YAC, mais l'installation s'arrête à 99%.

Qui peut m'aider ?

Merci d'avance


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86853
Inscription : 10 sept. 2005 13:57
Contact :

Re: Eliminer IRP_MJ

Message par Malekal_morte » 07 déc. 2015 21:42

Salut,

1/ Les "détections" RogueKiller ne sont pas forcément malicieuses.
2/ YAC, c'est limite une arnaque, tu devrais éviter.

Donne le rapport RogueKiller.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

Re: Eliminer IRP_MJ

Message par zgsir » 07 déc. 2015 21:59

Voici le rapport :

Code : Tout sélectionner

RogueKiller V11.0.0.0 (x64) [Nov 27 2015] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : GS [Administrateur]
Démarré depuis : C:\Users\GS\Downloads\RogueKillerX64.exe
Mode : Scan -- Date : 12/07/2015 18:35:15

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 4 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1	localhost
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ad.fr.doubleclick.net
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ad.doubleclick.net
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 lop.com

¤¤¤ Antirootkit : 37 (Driver: Chargé) ¤¤¤
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CREATE[0] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CLOSE[2] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_POWER[22] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_PNP[27] : Unknown @ 0xfffffa80023c62c0
[IAT:Inl(Hook.IEAT)] (explorer.exe) ntdll!NtSetSystemInformation : Unknown @ 0x701e0 (jmp 0xffffffff88fd1140|jmp 0xfffffffffffffe19|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtWriteVirtualMemory : Unknown @ 0x703a0 (jmp 0xffffffff88fd2650|jmp 0xfffffffffffffc59|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtDuplicateObject : Unknown @ 0x70380 (jmp 0xffffffff88fd2610|jmp 0xfffffffffffffc79|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtCreateEvent : Unknown @ 0x702c0 (jmp 0xffffffff88fd2490|jmp 0xfffffffffffffd39|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtNotifyChangeKey : Unknown @ 0x70480 (jmp 0xffffffff88fd1bf0|jmp 0xfffffffffffffb79|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtTerminateProcess : Unknown @ 0x703d0 (jmp 0xffffffff88fd2760|jmp 0xfffffffffffffc29|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtOpenEvent : Unknown @ 0x702d0 (jmp 0xffffffff88fd2520|jmp 0xfffffffffffffd29|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtAssignProcessToJobObject : Unknown @ 0x70390 (jmp 0xffffffff88fd2160|jmp 0xfffffffffffffc69|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtSetContextThread : Unknown @ 0x703f0 (jmp 0xffffffff88fd1510|jmp 0xfffffffffffffc09|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtCreateSection : Unknown @ 0x70300 (jmp 0xffffffff88fd24b0|jmp 0xfffffffffffffcf9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtOpenProcess : Unknown @ 0x70360 (jmp 0xffffffff88fd2750|jmp 0xfffffffffffffc99|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtNotifyChangeMultipleKeys : Unknown @ 0x70490 (jmp 0xffffffff88fd1bf0|jmp 0xfffffffffffffb69|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtQueryObject : Unknown @ 0x70440 (jmp 0xffffffff88fd2990|jmp 0xfffffffffffffbb9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateIoCompletion : Unknown @ 0x70340 (jmp 0xffffffff88fd2020|jmp 0xfffffffffffffcb9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenSection : Unknown @ 0x70310 (jmp 0xffffffff88fd25f0|jmp 0xfffffffffffffce9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateSemaphore : Unknown @ 0x702a0 (jmp 0xffffffff88fd1e90|jmp 0xfffffffffffffd59|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenSemaphore : Unknown @ 0x702b0 (jmp 0xffffffff88fd1920|jmp 0xfffffffffffffd49|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateMutant : Unknown @ 0x70280 (jmp 0xffffffff88fd1f00|jmp 0xfffffffffffffd79|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenMutant : Unknown @ 0x70290 (jmp 0xffffffff88fd1950|jmp 0xfffffffffffffd69|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateTimer : Unknown @ 0x70320 (jmp 0xffffffff88fd1ee0|jmp 0xfffffffffffffcd9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenTimer : Unknown @ 0x70330 (jmp 0xffffffff88fd1960|jmp 0xfffffffffffffcc9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateThreadEx : Unknown @ 0x703c0 (jmp 0xffffffff88fd1f90|jmp 0xfffffffffffffc39|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtTerminateThread : Unknown @ 0x703e0 (jmp 0xffffffff88fd2500|jmp 0xfffffffffffffc19|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenThread : Unknown @ 0x70370 (jmp 0xffffffff88fd19b0|jmp 0xfffffffffffffc89|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtSuspendThread : Unknown @ 0x70420 (jmp 0xffffffff88fd1290|jmp 0xfffffffffffffbd9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ rpcrt4.dll) ntdll!NtAlpcSendWaitReceivePort : Unknown @ 0x70470 (jmp 0xffffffff88fd2270|jmp 0xfffffffffffffb89|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ rpcrt4.dll) ntdll!NtQueueApcThreadEx : Unknown @ 0x70430 (jmp 0xffffffff88fd1770|jmp 0xfffffffffffffbc9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ gdi32.dll) ntdll!NtVdmControl : Unknown @ 0x70270 (jmp 0xffffffff88fd0ff0|jmp 0xfffffffffffffd89|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ ntmarta.dll) ntdll!NtOpenEventPair : Unknown @ 0x702f0 (jmp 0xffffffff88fd1a20|jmp 0xfffffffffffffd09|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ ws2_32.dll) ntdll!NtLoadDriver : Unknown @ 0x701d0 (jmp 0xffffffff88fd1a30|jmp 0xfffffffffffffe29|jmp 0x19b)

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD2500BEVT-22A23T0 +++++
--- User ---
[MBR] d4b42a56b94e3c488035b0486ce8308a
[BSP] f56e8b4ebaadab71b70be3adbe79d425 : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 13319 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 27278370 | Size: 101 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 27487215 | Size: 142002 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
3 - [XXXXXX] EXTEN (0x5) [VISIBLE] Offset (sectors): 318308352 | Size: 83051 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 2c85f694f6381fe5ce45a5e24ed766f5
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 8064 | Size: 29553 MB
User = LL1 ... OK
C'est peut-être de fausses détections mais je trouve quand même que Windows ne va pas vite.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86853
Inscription : 10 sept. 2005 13:57
Contact :

Re: Eliminer IRP_MJ

Message par Malekal_morte » 07 déc. 2015 23:43

Pour contrôler :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

Re: Eliminer IRP_MJ

Message par zgsir » 08 déc. 2015 00:11

Lien pour le fichier addition.txt
http://pjjoint.malekal.com/files.php?id ... 15s13m7n11
Lien pour le fichier FRST.txt
http://pjjoint.malekal.com/files.php?id ... u5h7j13n11
Je n'ai pas eu de fichier Shortcut.txt ce qui m'étonne

Mon ordi est très lent.
Je n'ai pas pu me connecter "sans échec"

Merci de vous intéresser à moi.
Je ne serai pas au bureau demain matin, mais je pourrai continuer à travailler demain après-midi.


Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86853
Inscription : 10 sept. 2005 13:57
Contact :

Re: Eliminer IRP_MJ

Message par Malekal_morte » 08 déc. 2015 09:49

Pas l'air infecté. T'as WampServer qui tourne, ça doit bouffer des ressources. Désinstaller Google Toolbar.
Supprimer ce dossier : C:\Users\GS\AppData\Local\5598e496898a09cbf474bae8eaa1adc8

Histoire de, fais un scan MBAR
Error: (12/07/2015 08:53:19 PM) (Source: Disk) (EventID: 11) (User: )
Description: Le pilote a détecté une erreur du contrôleur sur \Device\Harddisk1\DR1.
Faudra faire un chkdsk / checkdisk du second disque.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

Re: Eliminer IRP_MJ

Message par zgsir » 08 déc. 2015 16:45

Bonjour ami
Je viens de passer Malware byte anti-rootkit.
Je n'ai pas trouvé le rapport, j'ai vu passer des informations dans la fenêtre, mais je ne peux pas les copier ailleurs.
Toujours est-il que le programme me dit "Scan finshed, no malware found" ce qui me semble de bonne augure.

J'ai vérifié : wamp server ne tourne pas et je n'ai pas vu google tool bar !
J'ai enlevé le fichier que tu m'as indiqué.
Je vais faire un chkdsk des disques
Cet après-midi, la machiner tourne normalement. Je pense donc que l'alerte est finie

Grand merci pour ton aide

Cordialement

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86853
Inscription : 10 sept. 2005 13:57
Contact :

Re: Eliminer IRP_MJ

Message par Malekal_morte » 08 déc. 2015 16:49

Tu pourrais tester en déconnecte le second disque dur ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

Re: Eliminer IRP_MJ

Message par zgsir » 08 déc. 2015 18:53

Comment fait-on pour déconnecter le second disque dur ?
Que veux-tu que je teste ? Quel programme ?

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86853
Inscription : 10 sept. 2005 13:57
Contact :

Re: Eliminer IRP_MJ

Message par Malekal_morte » 08 déc. 2015 23:48

Sur addition.txt, il y a l'air d'y avoir des erreurs sur le second disque.
Comme y a un XP dessus, il doit être vieux.
Me demande si c'est pas lui qui ralentit ton disque.

Lance HD Tune
Sélectionne le second disque
et vas dans l'onglet Health.
Vois si le statut est en OK et s'il y a des lignes jaunes.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

Re: Eliminer IRP_MJ

Message par zgsir » 09 déc. 2015 11:46

Bonjour ami,
J'ai chargé HDTune et j'ai passé des tas de trucs auxquels je n'ai rien compris.
J'ai fait des copies d'écran que je t'(ai envoyées par pjjoint.malekal.com.
Voici le lien
http://pjjoint.malekal.com/files.php?id ... 1113t15h12

Merci du soin que tu portes à m'aider.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86853
Inscription : 10 sept. 2005 13:57
Contact :

Re: Eliminer IRP_MJ

Message par Malekal_morte » 09 déc. 2015 12:25

Ca c'est le disque dur de 250go.
Ca donne quoi sur l'autre ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

Re: Eliminer IRP_MJ

Message par zgsir » 09 déc. 2015 14:15

Je n'ai qu'un seul disque dur.
L'autre disque est une cléUSB de 30Go

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 86853
Inscription : 10 sept. 2005 13:57
Contact :

Re: Eliminer IRP_MJ

Message par Malekal_morte » 09 déc. 2015 16:33

Ha ok, j'avais pas regardé les lecteurs.
Du coup, rien de vraiment anormal.

Tu peux faire ces vérifications classiques :

Installe Real Temp ou Coretemp, vois à combien monte la température de l'ordinateur lors de son utilisation.
Elle ne doit pas dépasser les 60 degrés.
Si possible fournis une capture d'écran de Real Temp/CoreTemp.
=> Tutorial Température ordinateur


Il faut vérifier si tu n'as pas des fichiers corrompus avec SFC (System File Check)
Télécharge et suis la procédure AUTO-SFC : sfc-checksur-outils-verification-fichie ... ml#p402922
A l'issu, du scan, tu vas obtenir un rapport CBS.log
Envoie ce dernier sur http://pjjoint.malekal.com
Donne le lien ici en réponse.


Passe un coup de SFC (System File Check) :
=> sfc-outils-verification-fichiers-systemes-t50094.html
Fais passer le rapport CBS.log via http://pjjoint.malekal.com
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

zgsir
newbie
newbie
Messages : 10
Inscription : 07 déc. 2015 21:19

Re: Eliminer IRP_MJ

Message par zgsir » 10 déc. 2015 11:56

Bonjour
Voici le lien pour tous les résultats que tu me demandes.
http://pjjoint.malekal.com/files.php?id ... 5s12d14b14

Cordialement
zgsir


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »

Qui est en ligne ?

Utilisateurs parcourant ce forum : Aucun utilisateur inscrit et 21 invités