Aide pour assainir suite "PROC HIDDEN" (porte bien son nom)

[Lucky034]

Bonsoir à toutes et tous,

Bon j'y vais. Cela fait quinze jours que j"essaye de me débrouiller à remettre mes 4 pc sans
résultats.
Je vais vous présenter ma dernière tentative j'ai :
0 arrête tous les PC sur le réseau
1 flashé mon BIOS
2 supprimé mes deux partions
3 réinstallé Seven
3b vérifié si Défender actif
3c connecté le PC à la Livebox
4 installé + mises à jour MSE et Malwabytes anti-Malware - + Auto vérification ok
5 installé depuis le site HP mes drivers + Mozilla
6 installé Roguekiller
7 lancé Roguekiller qui me tue un processus "PROC.KILLER" et trouve 4 Entrées de registre (PUM.DesktopIcons) que je ne supprime pas (cf PJ A)
8 Lancé Malwabytes anti-Malware qui .... ne trouve rien !?
8b supprimé les entrées de registre du point 7
9 je vérifie DEFENDER et constate qu'il n'est plus actif en l'activant il me sort l'erreur 0x800106ba)
10 donné un petit coup de Roguekiller pour la route et re "PROC HIDDEN" de tué rien d'autre ce coup-ci. (PJ B)

J'ai pris soin de ne pas réutiliser des données (disques durs, DVD, Clé USB). Uniquement la clé usb contenant le BIOS chargé sur un PC (vraisemblablement infecté, pas le choix).
J'ai pris soin de la retirer avant le lancement Seven.

il n'y a pas grand chose sur le net parlant de "PROC HIDDEN" sauf ce site plutôt inquiétant (pour moi, car je retrouve pas mal de chose dans mon cas)


Dans les précédentes tentatives, Au fil du temps, j'ai tout eu :du PROC HIDDEN, déconnexionS du WI-FI, MSE et Malwabytes anti-Malware désactivés, disparition de fichier, Très grosse activité réseau et en E/S disque,deux ou trois rootkit suspects pour RK.

Et un truc étrange, D'un coup sous Seven la luminosité s'est abaissée très bas. En rebootant le lancement du BIOS était aussi peu lisible ainsi que l'écran de paramétrage kif kif dans Seven. En enlevant la batterie et le secteur puis re-secteur le luminosité est revenue..... pas pour longtemps. En effet, dés la première activité de la souris ou clavier j'ai reperdu la netteté. Le fait que cela perdurait au reboot au niveau bios, m'a conduit au flashage de celui-ci.

Bref, si une personne dévouée pouvait me venir en aide je lui serait vraiment reconnaissant.

Ma config :
HP HDX X18 1050ef 4GO
Livebox
Seven

Fort cordialement.

pj A
gueKiller V9.2.4.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Luc [Droits d'admin]
Mode : Suppression -- Date : 08/03/2014 19:36:55

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Hidden] -- [x] -> TUÉ [TermThr]

¤¤¤ Entrées de registre : 4 ¤¤¤
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> REMPLACÉ (0)
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> REMPLACÉ (0)
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: CHARGE) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9250827AS ATA Device +++++
--- User ---
[MBR] 33a4b116925df065efb1b0d80938b6ea
[BSP] 6c0721b2b211e46c6b7e3f3f46af8441 : HP MBR Code
Partition table:
User = LL1 ... OK
User = LL2 ... OK

PJ B

RogueKiller V9.2.4.0 (x64) [Jul 11 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Luc [Droits d'admin]
Mode : Recherche -- Date : 08/03/2014 21:45:19

¤¤¤ Processus malicieux : 1 ¤¤¤
[Proc.Hidden] -- [x] -> TUÉ [TermThr]

¤¤¤ Entrées de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: CHARGE) ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9250827AS ATA Device +++++
--- User ---
[MBR] 33a4b116925df065efb1b0d80938b6ea
[BSP] 6c0721b2b211e46c6b7e3f3f46af8441 : HP MBR Code
Partition table:
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: ST9250827AS ATA Device +++++
--- User ---
[MBR] 97bdcdabfaa1bfc6bbab3ef0fd7c7e5d
[BSP] 388f114e17ebb8663658706cddb18192 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 238373 MB
User = LL1 ... OK
User = LL2 ... OK


============================================
RKreport_DEL_08032014_193655.log - RKreport_SCN_08032014_191526.log

[Malekal_morte]

Salut,

Mouais, je ne pense pas que ce soit grave, pour voir :



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)


* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%PROGRAMFILES%\*.
%PROGRAMDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[Lucky034]

Bonjour,
Pas grave? c'est tout ce que je souhaite.
Merci pour votre disponibilité
Depuis hier j'ai perdu ma carte wifi dans le gestionnaire prériphérique
bon voici les pièces
Extra http://pjjoint.malekal.com/files.php?id ... 7j13r12m15
OTL http://pjjoint.malekal.com/files.php?id ... 12d14t6s14
cordialement

[Malekal_morte]

Rien de malicieux.

[Lucky034]

C'est bien le soucis qu'aucun soft puisse mettre en évidence cette cochonnerie pourtant très destructive.
Dois-je comprendre que le mon post est fermé?

[Malekal_morte]

Parce que y a aucun malware.
Pour s'en assurer fais un scan TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html

[Lucky034]

Bonjour,
Comme je l'expliquais au début, je n'arrive pas à identifier clairement le virus. En effet, à part roguekiller et les symptômes de dysfonctionnement qui viennent au fil du temps les autres détecteurs classiques ne donnent rien.
Je pensais, donc, que votre expertise allait m'aider en profondeur au delà de passer OTL et TDSKILLER.
Au passage, j'ai un process "SYSTEM" sans le .EXE. Si vous avez une idée sur le sujet je suis preneur.
Je regrette quand même de pas avoir eu la moindre trace pour identifier mon pb.
Merci pour votre disponibilté
Cordialement

[Malekal_morte]

Comme j'ai déjà dit, tu n'arrives pas à l'identifier car y en a pas.
Les dysfonctionnements ou comportements "bizarres" n'ont pas forcément comme origine des virus.

[Lucky034]

LOL

[Malekal_morte]

Fais un scan NOD32, on verra bien : https://www.malekal.com/scan-antivirus-ligne-nod32/

mais tu continueras à psychoter, s'il ne trouve rien...

[Lucky034]

salut,
vi tu as certainement raison
Merci encore pour ton temps passé.
Sinon que penses tu du log de gmer

INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLoo kasideList + 528 fffff80002bfd000 45 bytes [00, 00, 00, 00, 01, 00, 00, ...]
INITKDBG C:\Windows\system32\ntoskrnl.exe!ExDeleteNPagedLoo kasideList + 574 fffff80002bfd02e 25 bytes [02, 00, 90, 16, C6, 02, 00, ...]

---- User code sections - GMER 2.1 ----

.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[1744] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075941465 2 bytes [94, 75]
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamscheduler.exe[1744] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000759414bb 2 bytes [94, 75]
.text ... * 2
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe[1900] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075941465 2 bytes [94, 75]
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbamservice.exe[1900] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000759414bb 2 bytes [94, 75]
.text ... * 2
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[988] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 69 0000000075941465 2 bytes [94, 75]
.text C:\Program Files (x86)\Malwarebytes Anti-Malware\mbam.exe[988] C:\Windows\syswow64\PSAPI.DLL!GetModuleInformation + 155 00000000759414bb 2 bytes [94, 75]
.text ... * 2
.text C:\Program Files (x86)\System Explorer\SystemExplorer.exe[3016] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 69 0000000075941465 2 bytes [94, 75]
.text C:\Program Files (x86)\System Explorer\SystemExplorer.exe[3016] C:\Windows\syswow64\psapi.dll!GetModuleInformation + 155 00000000759414bb 2 bytes [94, 75]
.text ... * 2

---- Registry - GMER 2.1 ----

Reg HKLM\SYSTEM\CurrentControlSet\services\BTHPORT\Par ameters\Keys\002186bce966
Reg HKLM\SYSTEM\ControlSet002\services\BTHPORT\Paramet ers\Keys\002186bce966 (not active ControlSet)

---- EOF - GMER 2.1 ----
Merci d'avance

[Malekal_morte]

Rien d'anormal.

[Lucky034]

Merci
sujet clos

[Malekal_morte]

Fais le scan NOD32, mais devrait y avoir des broutilles.

Il faut que tu utilises le moniteur de ressources pour identifier ce qui utilise anormalement le disque ou le réseau => http://forum.malekal.com/moniteur-systeme-t22337.html

[Lucky034]

Bonjour,
J'ai encore un soucis. Peut-être le même qu'avant.
Suite à une impossibilité de connexion (pb de dsn) je suis reparti avec une restauration.
J'ai utilise rescue Bitdefender qui m'a trouvé dans le dossier windows/microsoft.net/framework/v04.0.30319 :
Reglibv12 ---> [email protected]
Clcompression.dll ---> [email protected]
J'ai autorisé la suppression des deux fichiers.
Je suis reparti comme ça et quelques heures après même soucis lenteur et plus de connexion.
Et hop restauration image sans suppression car sans les deux fichiers la restauration windows plante sur clcompression.
Que me proposez-vous? j'ouvre un nouveau post ou rester sur celui-ci?
Merci d'avance
Luc
PS :L'analyse avec Avira ne donne rien