Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer Le sujet est résolu

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 02 févr. 2019 19:30

Bonjour à tous,

Technicien de maintenance informatique à mon compte depuis 2006, je fais appel à votre aide bienveillante de temps à autre quand je suis confronté à un cas plus dur que les autres.

l'ordinateur sous win 7 x64 sur lequel je travaille semble etre infecté par un trojan de type Zeus, caché dans svchost, il installe des pilotes : winmon.sys et winmonfs.sys, des tasks, des programmes ( cloudnet ect ect ) desactive les maj windows et empeche la réparation, il doit aussi faire du man in the middle sur le navigateur bref, un coup de main va m’être nécessaire.

je pourrais réinstaller windows, mais nettoyer est tellement plus passionnant ^^

je vous joins les rapports FRST

amicalement

Neuneu
Pièces jointes
FRST.txt
(21.54 Kio) Téléchargé 5 fois
Addition.txt
(25.85 Kio) Téléchargé 6 fois




Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94272
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par Malekal_morte » 02 févr. 2019 19:56

Bonsoir,

Envoie le fichier C:\Windows\rss\csrss.exe sur http://upload.malekal.com

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette Voici la correction à effectuer avec FRST. Tu peux t'aider de cette #fix note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

Code : Tout sélectionner

CreateRestorePoint:
CloseProcesses:
 HKU\S-1-5-21-1520061617-3741037964-555746360-1000\...\Run: [WispyResonance] => C:\Windows\rss\csrss.exe [4503552 2019-02-02] ()
 Task: {EFFBF997-A925-4706-A857-060CE053DF3C} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2019-02-02] ()
C:\Windows\rss\csrss.exe
 R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ATTENTION (zéro octet Fichier/Dossier)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ATTENTION (zéro octet Fichier/Dossier)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2019-02-02] () [Fichier non signé]
 EmptyTemp:
Hosts:
RemoveProxy:
Reboot:
Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
(L'ordinateur peut redémarrer tout seul, si le rapport de correction ne s'ouvre pas, cherche un fichier fixlog.txt qui se trouve dans le même dossier que FRST)


Refais un scan FRST et donne à nouveau les rapports.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 02 févr. 2019 20:04

bonsoir Malekal,

pas de dossier RSS dans windows meme en caché

correction FRST en cours

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 02 févr. 2019 20:19

re,

voici le résultat de la dernière analyse, sachant que 3 fenetres apparaissent très rapidement, m'indiquant que je n'ai pas de pilotes signés pour

winmon.sys
winmonfs.sys
et winmonmonitorprocess
Pièces jointes
FRST.txt
(21.77 Kio) Téléchargé 5 fois
Addition.txt
(25.7 Kio) Téléchargé 5 fois

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94272
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par Malekal_morte » 02 févr. 2019 21:59

sauf que C:\Windows\rss\csrss.exe tourne toujours.
Refais la correction FRST et donne le rapport de correction.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 03 févr. 2019 00:38

je joins les deux fixlogs . Le old, c'est le premier et fixlog c'est le deuxieme essai

j'ai toujours " windows requiert un pilote signé numériquement "
" Un programme récemment installé a tenté d'installer un pilote non signé. Cette version de Windows requiert une signature valide pour tous les pilotes. Ce pilote n'est pas disponible et le programme qui l'utilise risque de ne pas fonctionner correctement. Desinstallez le programme ou le périphérique bla bla bla.

Pilote : inconnu
service WinmonProcessMonitor

à plus tard,

Neuneu
Pièces jointes
Fixlog.txt
(2.9 Kio) Téléchargé 5 fois
old fixlog.txt
(3.44 Kio) Téléchargé 4 fois

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 03 févr. 2019 00:45

point intéressant : je ne vois pas rss dans l'explorateur, si je fais un copier coller de c:\windows\rss dans ma barre d'adresse, il me met un message d'erreur.

Par contre, sur un cmd, j'y accede, un seul fichier csrss.exe est présent, recréé immédiatement après son déplacement je suppose.
je ne peux pas le copier pour l'envoyer, acces refusé.

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 03 févr. 2019 00:52

ah, voilà, avec un cmd admin, j'ai réussi a le copier sur c:\ , le rendre visible et l'envoyer sur upload.malekal.com

on avance ^^

Neuneu.

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94272
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par Malekal_morte » 03 févr. 2019 01:05

Essaye ce cette correction en mode sans échec de Windows
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-1520061617-3741037964-555746360-1000\...\Run: [WispyResonance] => C:\Windows\rss\csrss.exe [4503552 2019-02-02] ()
Task: {EFFBF997-A925-4706-A857-060CE053DF3C} - System32\Tasks\csrss => C:\Windows\rss\csrss.exe [2019-02-02] ()
C:\Windows\rss\csrss.exe
R3 Winmon; C:\Windows\System32\drivers\Winmon.sys [0 ] () <==== ATTENTION (zéro octet Fichier/Dossier)
R3 WinmonFS; C:\Windows\System32\drivers\WinmonFS.sys [0 ] (Windows (R) Win 7 DDK provider) <==== ATTENTION (zéro octet Fichier/Dossier)
R1 WinmonProcessMonitor; C:\Windows\System32\drivers\WinmonProcessMonitor.sys [36096 2019-02-02] () [Fichier non signé]
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
EmptyTemp:
Hosts:
RemoveProxy:
Reboot:
Refais un scan FRST puis donne à nouveau les rapports.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 03 févr. 2019 10:28

Il refuse un f8 au demarrage. Je vais essayer par un mode de diagnostic

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94272
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par Malekal_morte » 03 févr. 2019 11:12

Pas terrible la détection de l'exe :
11 engines detected this file
SHA-256 e54bb7bff169d16f77e894603b89db455e88d311fb92c47c58ab566da3a23c32
File name csrss.exe
File size 4.34 MB
Last analysis 2019-02-02 23:08:51 UTC
Community score -53

Cylance Unsafe
eGambit Unsafe.AI_Score_77%
Endgame malicious (moderate confidence)
Microsoft Program:Win32/Unwaders.C!ml
Palo Alto Networks generic.ml
Qihoo-360 HEUR/QVM11.1.F7CF.Malware.Gen
Rising Malware.Obscure/Heur!1.9E03 (TFE:dGZlOgXe0Vt5wm44IQ)
Sophos ML heuristic
Symantec Packed.Generic.516
Trapmine malicious.moderate.ml.score
VBA32 BScope.Trojan.Chapak
~~

En dernier lieu, si on arrive pas à le supprimer, il faudra utiliser le Live CD Malekal
Tu démarres l'ordinateur dessus et tu supprimes manuellement :
C:\Windows\System32\drivers\Winmon.sys
C:\Windows\System32\drivers\WinmonProcessMonitor.sys
C:\Windows\System32\drivers\WinmonFS.sys
C:\Windows\rss\csrss.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 03 févr. 2019 11:51

y en a un qui ne veux pas partir.... du coup, forcément, 'c'est encore là.

j'ai réussi une fois a l'envoyer en mode sans echec pur, à l'occasion d'un ecran bleu, je ne vois pas comment le forcer à me donner la liste des modes hors spammer F8 au démarrage....

quand je vais dans les parametres de démarrage, j'ai un windows 7 fast mode et un windows 7, fast mode est par défaut, j'essaye de passer en windows 7 pour voir si ca change quelque chose
Pièces jointes
winmon.png
Fixlog.txt
(3.17 Kio) Téléchargé 1 fois

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 03 févr. 2019 12:14

aux grands maux, les grands remèdes, j'ai coupé windows comme une brute après chargement complet......

ce qui me donne acces au mode sans echec :D

le fixlog me plait plus, tout est enlevé, pas d'apparition de fenetre de pilote non signés après redémarrage, ce qui est bon signe... cependant, csrss.exe est toujours là
Pièces jointes
Fixlog.txt
(3.14 Kio) Téléchargé 2 fois
csrss.png

neuneu
newbie
newbie
Messages : 39
Inscription : 30 janv. 2009 16:04

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par neuneu » 03 févr. 2019 12:19

voilà le rapport FRST, je vois du cloudnet et du windefender
Pièces jointes
FRST.txt
(23.03 Kio) Téléchargé 3 fois
Addition.txt
(29.37 Kio) Téléchargé 3 fois

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
Messages : 94272
Inscription : 10 sept. 2005 13:57
Contact :

Re: Infecté par Trojan Zeus ( winmon.sys - winmonFS.sys ) dur à nettoyer

Message par Malekal_morte » 03 févr. 2019 12:46

Fais le ménage avec le Live CD Malekal.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »