RKIT/Kryptic.763904 [trojan]

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

vyss

RKIT/Kryptic.763904 [trojan]

par vyss »

Bonjour,


Je suis déjà venu ici il y a longtemps, et j'avais (je pensais) appris à me protéger des infections....

Hélas, il y a 1 heure, et deux secondes après avoir téléchargé (sur le site de France 3) un plug-in Windows Media Firefox pour lire les videos, Antivir s'affole et me voilà infecté. Je ne sais pas si ça a un rapport avec le plug in téléchargé, mais c'est tellement soudain (c'est le seul truc que j'ai fais sur l'ordi en rentrant chez moi : aller sur le site de FR3).

Pendant que les infections se multiplie, un programme nommé Securitool (ou quelque chose comme ça) s'installe sur mon bureau sans mon avis. Je supprime tant bien que mal le dossier qui s'est mis dans Doc & Settings\All Users\Application Data.

Donc, voyant que Antivir est débordé, je fais un truc idiot : je restaure le système à la date d'hier. Je me dis qu'on ne sait jamais....
Le seul resultat c'est que le Guard de Antivir ne fonctionne plus. Pas plus que le scan normal. Je n'arrive pas à le desinstaller/reinstaller. (Dans Ajout/Suppression de programme, je l'ai supprimé, il le vire de la liste mais il n'y a aucun effet). Donc je suis privé d'Antivirus.

RKIT/Kryptic.763904 [trojan] est le nom du fichier qu'Antivir à tenter de neutraliser.

Sur HijackThis, il y a 3 trucs étrangers que je n'arrive pas à supprimer...

Ainsi je ne vois pas d'autres alternatives que de venir vous demander de l'aide, j'en suis désolé.

Voilà le rapport.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:09:42, on 15/01/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Portrait Displays\forteManager\DTHtml.exe
C:\Program Files\Canon\MyPrinter\BJMyPrt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Program Files\Fichiers communs\Portrait Displays\Shared\HookManager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Wanadoo\ComComp.exe
C:\PROGRA~1\Wanadoo\Inactivity.exe
C:\PROGRA~1\Wanadoo\PollingModule.exe
C:\WINDOWS\System32\ALERTM~1\ALERTM~1.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: VMN Toolbar - {A057A204-BACC-4D26-8287-79A187E26987} - C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL (file missing)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [DT LGE] C:\Program Files\Portrait Displays\forteManager\DTHtml.exe -startup_folder
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\Shell.exe appLaunchClientZone.shl|DEFAULT=cnx|PARAM=
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Fichiers communs\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: siszyd32.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: siszyd32.exe (User 'Default user')
O4 - Startup: siszyd32.exe

O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program Files\BitComet\tools\BitCometBHO_1.2.8.7.dll/206 (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/So ... b56986.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 6596954296
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D5D30A68-E230-49D9-B4D5-BF7532692945} (CDiscountObj Class) - https://clients.cdiscount.com/ediag/act ... scount.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Portrait Displays Display Tune Service (DTSRVC) - Unknown owner - C:\Program Files\Fichiers communs\Portrait Displays\Shared\DTSRVC.exe
O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom - C:\WINDOWS\System32\FTRTSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8387 bytes

Là, je tente de reinstaller AntiVir...

Merci d'avance.


Update : j'ai reinstallé AntiVir, je l'ai mis à jour et j'ai lancé un scan. Le problème c'est que le PC rame terriblement. C'est à dire qu'il faut 30 secondes pour faire un scan HijackThis (alors qu'il en faut une d'habitude), et là le scan Antivir est bien partit pour durer toute la nuit...
Malekal_morte
Messages : 110260
Inscription : 10 sept. 2005 13:57

Re: RKIT/Kryptic.763904 [trojan]

par Malekal_morte »

Salut,

RKIT/Kryptic.763904 est détecté dans quel fichier ?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
vyss

Re: RKIT/Kryptic.763904 [trojan]

par vyss »

Salut,

Voilà ce que dis le rapport d'Antivir, après que je sois arrivé à le faire fonctionner.
Recherche débutant dans 'C:\'
C:\hiberfil.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP236\A0015260.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b8115df.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP236\A0015284.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b8115e1.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP237\A0015318.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b8115e5.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP237\A0015323.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4af095be.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP237\A0015337.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b8115e7.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP237\A0015366.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b8115e6.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP237\A0015369.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4af095b0.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP237\A0015387.sys
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b8115e9.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP240\A0016665.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
[REMARQUE] Une copie de sécurité a été créée sous le nom 4b8115f5.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\System Volume Information\_restore{AD929FB6-FC1D-403E-BC2F-CCD7857D2C08}\RP240\A0016666.dll
[RESULTAT] Contient le modèle de détection du programme SPR/Hacktool.Flood
[REMARQUE] Une copie de sécurité a été créée sous le nom 4af095ae.qua ( QUARANTAINE )
[REMARQUE] Fichier supprimé.
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
Il me dit donc que les virus ont été supprimés.

J'avais déjà fait un scan en mode sans echec juste avant : Il avait trouvé 11 objets infectés, dont certains qu'il me proposait de supprimer après un reboot. Voilà ce que le rapport indiquait :


La recherche sur les fichiers sélectionnés commence :
Recherche débutant dans 'C:\'
C:\pagefile.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !
[REMARQUE] Ce fichier est un fichier système Windows.
[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
C:\Documents and Settings\Rudy\Bureau\Fichiers Rudy\Divers\Programmes & Patchs\ES2.75.rar
[0] Type d'archive: RAR
--> EndorScript2.75\Navigateur\nHTMLn.dll
[RESULTAT] Contient le modèle de détection du programme SPR/Hacktool.Flood
C:\Documents and Settings\Rudy\Local Settings\Temp\~TM519.tmp
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
C:\Documents and Settings\Rudy\Local Settings\Temporary Internet Files\Content.IE5\DCY2Q81P\load[1].exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
C:\Documents and Settings\Rudy\Menu Démarrer\Programmes\Démarrage\siszyd32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
C:\Program Files\EndorScript2.75\Navigateur\nHTMLn.dll
[RESULTAT] Contient le modèle de détection du programme SPR/Hacktool.Flood
C:\WINDOWS\system32\drivers\OLD528.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\WINDOWS\system32\drivers\OLD531.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\WINDOWS\system32\drivers\OLD535.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\WINDOWS\system32\drivers\OLD53E.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
C:\WINDOWS\system32\drivers\sptd.sys
[AVERTISSEMENT] Impossible d'ouvrir le fichier !

Début de la désinfection :
C:\Documents and Settings\Rudy\Menu Démarrer\Programmes\Démarrage\siszyd32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bc4075c.qua' !
C:\Documents and Settings\Rudy\Menu Démarrer\Programmes\Démarrage\siszyd32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[REMARQUE] Impossible d'initialiser le pilote.
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
C:\Documents and Settings\Rudy\Bureau\Fichiers Rudy\Divers\Programmes & Patchs\ES2.75.rar
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b830768.qua' !
C:\Documents and Settings\Rudy\Local Settings\Temp\~TM519.tmp
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9e076a.qua' !
C:\Documents and Settings\Rudy\Local Settings\Temporary Internet Files\Content.IE5\DCY2Q81P\load[1].exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4bb20785.qua' !
C:\Documents and Settings\Rudy\Menu Démarrer\Programmes\Démarrage\siszyd32.exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
[AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
[AVERTISSEMENT] Impossible de trouver le fichier source.
[REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
[AVERTISSEMENT] Erreur dans la bibliothèque ARK
[REMARQUE] Le fichier a été repéré pour une suppression après un redémarrage.
C:\Program Files\EndorScript2.75\Navigateur\nHTMLn.dll
[RESULTAT] Contient le modèle de détection du programme SPR/Hacktool.Flood
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ba50768.qua' !
C:\WINDOWS\system32\drivers\OLD528.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b95076c.qua' !
C:\WINDOWS\system32\drivers\OLD531.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '483a2335.qua' !
C:\WINDOWS\system32\drivers\OLD535.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '48390a6d.qua' !
C:\WINDOWS\system32\drivers\OLD53E.tmp
[RESULTAT] Contient le modèle de détection du rootkit RKIT/Kryptic.763904
[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '483e0255.qua' !
vyss

Re: RKIT/Kryptic.763904 [trojan]

par vyss »

Après un autre scan Antivir, il ne me trouve plus rien....

Finalement, c'était peut être pas la peine de venir vous déranger ici. Le plus dur a été de refaire fonctionner Antivir...
Malekal_morte
Messages : 110260
Inscription : 10 sept. 2005 13:57

Re: RKIT/Kryptic.763904 [trojan]

par Malekal_morte »

[REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4b9e076a.qua' !
C:\Documents and Settings\Rudy\Local Settings\Temporary Internet Files\Content.IE5\DCY2Q81P\load[1].exe
[RESULTAT] Contient le cheval de Troie TR/Dldr.Agent.wfc
à coup sûr infection par exploits sur des sites WEB

Tu dois avoir des éléments pas à jour , je te conseille de lire : https://www.malekal.com/scan_vulnerabilite.php

d'autre part, si c'est réellement qq chose sur le site de France 3... Je veux bien l'URL

et pour terminer... si tu peux restaurer ces deux fichiers de la quarantaine d'Antivir pour les envoyer sur http://upload.malekal.com ce serait cool : load[1].exe et siszyd32.exe
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
vyss

Re: RKIT/Kryptic.763904 [trojan]

par vyss »

Effectivement j'avais des programmes pas à jour : Java, Real Player, Quicktime et Acrobat. Je les ai upgradé.

Pour le plug in que m'a fait télécharger FR3, c'était surement un coup de paranonia de ma part, le fait que ça ai commencé en même temps m'a aiguillé en ce sens : C'est ça que j'ai téléchargé : http://medias2.francetv.fr/videosread/e ... Plugin.exe.

Et j'ai uploadé les 2 fichiers.

Merci pour ton temps.
Malekal_morte
Messages : 110260
Inscription : 10 sept. 2005 13:57

Re: RKIT/Kryptic.763904 [trojan]

par Malekal_morte »

OK, merci pour les envois.


Je voudrais voir un truc :

Télécharge GMER à partir de ce lien : http://www.gmer.net/files.php - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial_GMER.php

Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"

Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
vyss

Re: RKIT/Kryptic.763904 [trojan]

par vyss »

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-01-16 19:08:59
Windows 5.1.2600 Service Pack 3
Running: w5g3y6gf.exe; Driver: C:\DOCUME~1\RUDYOR~1\LOCALS~1\Temp\pxtdrpob.sys


---- System - GMER 1.0.15 ----

SSDT F7CA5AEE ZwCreateKey
SSDT F7CA5AE4 ZwCreateThread
SSDT F7CA5AF3 ZwDeleteKey
SSDT F7CA5AFD ZwDeleteValueKey
SSDT sptd.sys ZwEnumerateKey [0xF752BE2C]
SSDT sptd.sys ZwEnumerateValueKey [0xF752C1BA]
SSDT F7CA5B02 ZwLoadKey
SSDT sptd.sys ZwOpenKey [0xF75260B0]
SSDT F7CA5AD0 ZwOpenProcess
SSDT F7CA5AD5 ZwOpenThread
SSDT sptd.sys ZwQueryKey [0xF752C292]
SSDT sptd.sys ZwQueryValueKey [0xF752C112]
SSDT F7CA5B0C ZwReplaceKey
SSDT F7CA5B07 ZwRestoreKey
SSDT F7CA5AF8 ZwSetValueKey
SSDT F7CA5ADF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!_abnormal_termination + 235 804E2891 3 Bytes [5A, CA, F7]
? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text C:\WINDOWS\System32\DRIVERS\nv4_mini.sys section is writeable [0xF6B4A360, 0x24BB1D, 0xE8000020]
.text USBPORT.SYS!DllUnload F6B2A8AC 5 Bytes JMP 86DCD400
? System32\Drivers\awnf1bcj.SYS Le chemin d'accès spécifié est introuvable. !

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!IoConnectInterrupt] [F753C886] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F753C832] sptd.sys
IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F755E892] sptd.sys
IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F753C886] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7526AD4] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7526C1A] sptd.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7526B9C] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7527748] sptd.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F752761E] sptd.sys
IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F753BACA] sptd.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 86FD21E8
Device \FileSystem\Fastfat \FatCdrom 86BCD630
Device \Driver\usbuhci \Device\USBPDO-0 86D0F5E0
Device \Driver\usbuhci \Device\USBPDO-1 86D0F5E0
Device \Driver\PCI_NTPNP7866 \Device\00000045 sptd.sys
Device \Driver\dmio \Device\DmControl\DmIoDaemon 86F671E8
Device \Driver\dmio \Device\DmControl\DmConfig 86F671E8
Device \Driver\dmio \Device\DmControl\DmPnP 86F671E8
Device \Driver\dmio \Device\DmControl\DmInfo 86F671E8
Device \Driver\usbuhci \Device\USBPDO-2 86D0F5E0
Device \Driver\usbehci \Device\USBPDO-3 86D001E8
Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD41E8
Device \Driver\NetBT \Device\NetBT_Tcpip_{F20F4FEB-961E-40A1-83E7-8BB343A38521} 86B6F438
Device \Driver\Cdrom \Device\CdRom0 86DD47A0
Device \Driver\Cdrom \Device\CdRom1 86DD47A0
Device \Driver\atapi \Device\Ide\IdeDeviceP1T1L0-17 [F7479B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F7479B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F7479B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F7479B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-f [F7479B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\Cdrom \Device\CdRom2 86DD47A0
Device \Driver\NetBT \Device\NetBt_Wins_Export 86B6F438
Device \Driver\usbuhci \Device\USBFDO-0 86D0F5E0
Device \Driver\usbuhci \Device\USBFDO-1 86D0F5E0
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86AD77A0
Device \Driver\usbuhci \Device\USBFDO-2 86D0F5E0
Device \FileSystem\MRxSmb \Device\LanmanRedirector 86AD77A0
Device \Driver\usbehci \Device\USBFDO-3 86D001E8
Device \Driver\Ftdisk \Device\FtControl 86FD41E8
Device \Driver\awnf1bcj \Device\Scsi\awnf1bcj1Port2Path0Target0Lun0 86CA31E8
Device \Driver\awnf1bcj \Device\Scsi\awnf1bcj1 86CA31E8
Device \FileSystem\Fastfat \Fat 86BCD630

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

Device \FileSystem\Cdfs \Cdfs 86A0F7A0

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\[email protected] 0
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\[email protected] 0x29 0x46 0xC7 0x83 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x8E 0xA3 0xEF 0x76 ...
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x39 0x2E 0xF9 0x8E ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\[email protected] 0x29 0x46 0xC7 0x83 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x8E 0xA3 0xEF 0x76 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x3D 0x76 0x21 0x8B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\[email protected] 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\[email protected] 0x29 0x46 0xC7 0x83 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x8E 0xA3 0xEF 0x76 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0x39 0x2E 0xF9 0x8E ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] -177371160
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] -1246450869
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\[email protected] 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\[email protected] 0x29 0x46 0xC7 0x83 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x8E 0xA3 0xEF 0x76 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0xCC 0x71 0x15 0x25 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\[email protected] C:\Program Files\DAEMON Tools\
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\[email protected] 0
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\[email protected] 0x29 0x46 0xC7 0x83 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\[email protected] 0x8E 0xA3 0xEF 0x76 ...
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet005\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\[email protected] 0xCC 0x71 0x15 0x25 ...

---- EOF - GMER 1.0.15 ----
Malekal_morte
Messages : 110260
Inscription : 10 sept. 2005 13:57

Re: RKIT/Kryptic.763904 [trojan]

par Malekal_morte »

C'est OK, tu n'es plus infecté en suivant les dernières manipulations ci-dessous et lire ATTENTIVEMENT ce qui suit :)


Finir le nettoyage :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK. Supprime le dossier qoobox si existant

- Nettoye ton ordinateur avec CCleaner : https://www.malekal.com/tutorial_CCleaner.html
- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP - Mode d'emploi pour désactiver/réactiver la restauration système pour Windows Vista
- Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.

Quelques points essentiels sur la sécurité de ton PC :

- La sécurité, c'est toi qui l'a fait et non les programmes que tu installes, si tu ne connais pas un minimum sur la manière dont les infections se propagent, tu seras réinfecté car ce sera facile de te piéger.
- On ouvre pas n'importe quel fichier quelque soit le prétexte. Derrière n'importe quel fichier un malware peut se cacher, on réfléchit quand on te propose un fichier sur un site, on bannit les cracks et P2P.
- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : Scan de vulnérabilités.

Pour aller plus loin : Sécuriser son ordinateur (version courte)

___________________________________


je t'invite à lire ce PDF (cliquer sur la bannière si dessous), ce PDF explique comment les infections se propagent, les bonnes habitudes à avoir pour ne plus se faire infecter et comment sécuriser ton ordinateur, lis tout attentivement, n'hésite surtout pas à l'envoyer à tous tes amis par mail pour les sensibiliser :

Image

Tout pour sécuriser ton PC est résumé dans la page Sécuriser son ordinateur (version courte)
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas !
Comment protéger son PC des virus
Windows 11 : Compatibilité, Configuration minimale requise, télécharger ISO et installer Windows 11

Comment demander de l'aide sur le forum
Partagez malekal.com : n'hésitez pas à partager les articles qui vous plaisent sur la page Facebook du site.
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »