Rootkit Fichier caché.
Kira
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
je viens chercher de l'aide car en effet AVG 8.0, fonctin Anti-Rootkit m'a détecté un Rootkit qui malheurseusement n'est pas supprimable, c'est un "Pilote Masqué" et plus ennyeux c'est qu'il change de nom a chaque nouvelle analyse...
De plus il semble avoir affecté mon lecteur CD/DVD qui réagit lorsque j'insère un CD mais qui ne s'affiche pas sur l'ordi...
Si quelqu'un pouvait me sauver...
je viens chercher de l'aide car en effet AVG 8.0, fonctin Anti-Rootkit m'a détecté un Rootkit qui malheurseusement n'est pas supprimable, c'est un "Pilote Masqué" et plus ennyeux c'est qu'il change de nom a chaque nouvelle analyse...
De plus il semble avoir affecté mon lecteur CD/DVD qui réagit lorsque j'insère un CD mais qui ne s'affiche pas sur l'ordi...
Si quelqu'un pouvait me sauver...
A voir également:
- Rootkit Fichier caché.
- Fichier bin - Guide
- Fichier epub - Guide
- Fichier rar - Guide
- Comment réduire la taille d'un fichier - Guide
- Fichier .dat - Guide
73 réponses
"Nom de l'objet";"C:\Windows\System32\Drivers\arhtnljy.SYS"
"Nom de la détection";"Pilote masqué"
"Type d'objet";"Fichier"
"Type de SDK";"Rootkit"
"Résultat";"L'objet est masqué"
"Historiques des actions";""
Voilà exactement ce que me dit AVG ...
"Nom de la détection";"Pilote masqué"
"Type d'objet";"Fichier"
"Type de SDK";"Rootkit"
"Résultat";"L'objet est masqué"
"Historiques des actions";""
Voilà exactement ce que me dit AVG ...
analyse ce fichiers sur virus total et colle le rapport: https://www.virustotal.com/gui/
C:\Windows\System32\Drivers\arhtnljy.SYS
C:\Windows\System32\Drivers\arhtnljy.SYS
scan avec
MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
MalwareByte's Anti-Malware après mise a jour, en mode normal et vire ce qui est trouvé et colle le rapport
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
^Sa devenait un peu long là..
donc:
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 6.0.6001 Service Pack 1
03/02/2009 21:17:23
mbam-log-2009-02-03 (21-17-23).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 135841
Temps écoulé: 3 hour(s), 8 minute(s), 2 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
donc:
Malwarebytes' Anti-Malware 1.33
Version de la base de données: 1654
Windows 6.0.6001 Service Pack 1
03/02/2009 21:17:23
mbam-log-2009-02-03 (21-17-23).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 135841
Temps écoulé: 3 hour(s), 8 minute(s), 2 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
télécharge OTMoveIt
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
(attention bien mettre :files)
:files
C:\Windows\System32\Drivers\arhtnljy.SYS
C:\Windows\System32\Drivers\atoa00.SYS
C:\Windows\tasks\edufbfyu.job
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_______________________
télécharge bitdefender free; mets le a jour et colle un rapport avec
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html
http://oldtimer.geekstogo.com/OTMoveIt3.exe (de Old_Timer) sur ton Bureau.
double-clique sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :Paste instruction for items to be moved.
(attention bien mettre :files)
:files
C:\Windows\System32\Drivers\arhtnljy.SYS
C:\Windows\System32\Drivers\atoa00.SYS
C:\Windows\tasks\edufbfyu.job
:commands
[purity]
[emptytemp]
[start explorer]
clique sur MoveIt! pour lancer la suppression.
le résultat apparaitra dans le cadre "Results".
clique sur Exit pour fermer.
poste le rapport situé dans C:\_OTMoveIt\MovedFiles.
il te sera peut-être demander de redémarrer le pc pour achever la suppression.si c'est le cas accepte par Yes.
_______________________
télécharge bitdefender free; mets le a jour et colle un rapport avec
https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/29063.html
========== FILES ==========
File/Folder C:\Windows\System32\Drivers\arhtnljy.SYS not found.
File/Folder C:\Windows\System32\Drivers\abvpxh8y.SYS not found.
C:\Windows\tasks\edufbfyu.job moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\Step\AppData\Local\Temp\Low\~DF4344.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\Step\AppData\Local\Temp\Low\~DF4352.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\Windows\temp\0e63b6f7-f857-45cd-af49-6a2ddf864eee.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\108025c4-ee4d-4ede-a363-293b85154a6d.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\141abbef-7d07-4adb-be70-b876ed259434.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\1de66a33-0773-4afe-851a-d274628dd87d.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\1e45b94e-ad67-46d5-b43e-db4829395ea4.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\1f02c5eb-1ad5-49ff-8751-7e49e547ee45.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\20b7af81-0dd0-40fa-9e6a-935c629eac31.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\25e3dacc-257e-4305-b07b-e5bca6892ec6.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\4b7e9106-9066-45c4-955b-0ddda8c3730f.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\52e6dd91-9b35-4017-8d99-5fbf79e9323e.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\55c2ba45-c1a9-4c00-b9ff-10a3053e6896.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\563a668f-7a36-4b6e-bf02-83535995e711.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\909c70bb-70c2-4ac9-96a5-0665b2c025ff.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\917d8055-a5f6-412b-b26d-3df9ab91df24.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\a0196bf3-d8e1-4f57-b7db-552cc7c1dd1c.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\a2fe2ec3-c7e1-4423-afd2-06c2b6ce5c24.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\b1167a08-ddd2-47e1-9893-30dcff0ea9f1.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\b16966f4-eb91-4e1a-baa3-3d6054cb1feb.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\b3a9273d-36ca-403b-a40b-a55aa0cbc322.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\c213d463-708a-4b6b-b565-1d51cc8494aa.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\c4b6f2f8-e78a-4e7c-a1c2-6268d38c28f1.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\d6071a1d-cc4a-4bfc-909c-501983a51476.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\fwtsqmfile00.sqm scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\fwtsqmfile01.sqm scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\fwtsqmfile02.sqm scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\MpSigStub.log scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\TMP000000281300EC683977F042 scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\TMP00000050CD050F0037F9357E scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02042009_180457
Voilà pour OT, je poste au plus vite le résultat de bitdefender.
File/Folder C:\Windows\System32\Drivers\arhtnljy.SYS not found.
File/Folder C:\Windows\System32\Drivers\abvpxh8y.SYS not found.
C:\Windows\tasks\edufbfyu.job moved successfully.
========== COMMANDS ==========
File delete failed. C:\Users\Step\AppData\Local\Temp\Low\~DF4344.tmp scheduled to be deleted on reboot.
File delete failed. C:\Users\Step\AppData\Local\Temp\Low\~DF4352.tmp scheduled to be deleted on reboot.
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\Windows\temp\0e63b6f7-f857-45cd-af49-6a2ddf864eee.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\108025c4-ee4d-4ede-a363-293b85154a6d.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\141abbef-7d07-4adb-be70-b876ed259434.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\1de66a33-0773-4afe-851a-d274628dd87d.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\1e45b94e-ad67-46d5-b43e-db4829395ea4.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\1f02c5eb-1ad5-49ff-8751-7e49e547ee45.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\20b7af81-0dd0-40fa-9e6a-935c629eac31.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\25e3dacc-257e-4305-b07b-e5bca6892ec6.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\4b7e9106-9066-45c4-955b-0ddda8c3730f.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\52e6dd91-9b35-4017-8d99-5fbf79e9323e.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\55c2ba45-c1a9-4c00-b9ff-10a3053e6896.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\563a668f-7a36-4b6e-bf02-83535995e711.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\909c70bb-70c2-4ac9-96a5-0665b2c025ff.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\917d8055-a5f6-412b-b26d-3df9ab91df24.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\a0196bf3-d8e1-4f57-b7db-552cc7c1dd1c.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\a2fe2ec3-c7e1-4423-afd2-06c2b6ce5c24.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\b1167a08-ddd2-47e1-9893-30dcff0ea9f1.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\b16966f4-eb91-4e1a-baa3-3d6054cb1feb.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\b3a9273d-36ca-403b-a40b-a55aa0cbc322.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\c213d463-708a-4b6b-b565-1d51cc8494aa.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\c4b6f2f8-e78a-4e7c-a1c2-6268d38c28f1.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\d6071a1d-cc4a-4bfc-909c-501983a51476.tmp scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\fwtsqmfile00.sqm scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\fwtsqmfile01.sqm scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\fwtsqmfile02.sqm scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\MpSigStub.log scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\TMP000000281300EC683977F042 scheduled to be deleted on reboot.
File delete failed. C:\Windows\temp\TMP00000050CD050F0037F9357E scheduled to be deleted on reboot.
Windows Temp folder emptied.
Temp folders emptied.
Explorer started successfully
OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 02042009_180457
Voilà pour OT, je poste au plus vite le résultat de bitdefender.
//-----------------------------------------------------------------
//
// Produit BitDefender Free Edition v10
// Produit 10.2
//
// Créé le: 04/02/2009 18:45:14
//
//-----------------------------------------------------------------
Options d'analyse
Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[X] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie
Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;
Action
Objets infectés
[X] Ignorer
[ ] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action
Seconde action
[X] Ignorer
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action
Options d'analyse
[ ] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\rootkit_scan\bdlB49E.log
Options d'analyse Spyware
[ ] Analyse contre les risques non-viraux
[ ] Clés de registres
[ ] Cookies
Voici pr BD ;-)
//
// Produit BitDefender Free Edition v10
// Produit 10.2
//
// Créé le: 04/02/2009 18:45:14
//
//-----------------------------------------------------------------
Options d'analyse
Détection
[X] Analyser le secteur de boot
[X] Processus mémoire
[X] Analyser les archives
[X] Analyser les fichiers enpaquetés
[X] Analyser la messagerie
Masque fichiers
[X] Programmes
[ ] Tous les fichiers
[ ] Extensions définies par l'utilisateur:
[ ] Exclure les extensions: ;
Action
Objets infectés
[X] Ignorer
[ ] Désinfecter
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action
Seconde action
[X] Ignorer
[ ] Effacer
[ ] Mettre en quarantaine
[ ] Demander l'action
Options d'analyse
[ ] Activer les alertes
[X] Activer l'heuristique
[ ] Afficher tous les fichiers dans le journal
[X] Fichier journal: C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\rootkit_scan\bdlB49E.log
Options d'analyse Spyware
[ ] Analyse contre les risques non-viraux
[ ] Clés de registres
[ ] Cookies
Voici pr BD ;-)
Télécharge ToolsCleaner sur ton bureau.
--> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________
le rootkit est encore trouvé?
--> http://www.commentcamarche.net/telecharger/telecharger 34055291 toolscleaner
# Clique sur Recherche et laisse le scan agir ...
# Clique sur Suppression pour finaliser.
# Tu peux, si tu le souhaites, te servir des Options facultatives.
# Clique sur Quitter pour obtenir le rapport.
# Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
_________________
le rootkit est encore trouvé?
[ Rapport ToolsCleaner version 2.3.0 (par A.Rothstein & dj QUIOU) ]
-->- Recherche:
C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Users\Step\Downloads\Gmer.zip: trouvé !
C:\Users\Step\Downloads\OTMoveIt3.exe: trouvé !
C:\Windows\msnfix.txt: trouvé !
;-)
-->- Recherche:
C:\Combofix.txt: trouvé !
C:\TB.txt: trouvé !
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Toolbar SD: trouvé !
C:\Rsit: trouvé !
C:\Program Files\Navilog1: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Users\Step\Downloads\Gmer.zip: trouvé !
C:\Users\Step\Downloads\OTMoveIt3.exe: trouvé !
C:\Windows\msnfix.txt: trouvé !
;-)
Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip
Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.
Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.
envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr pour faire evoluer msnfix
__________________________
Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
http://sosvirus.changelog.fr/MSNFix.zip
Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.
Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.
envoyer le fichier [b] C:\DOCUME~1\florian\Bureau\Upload_Me.zip [/b] sur http://upload.changelog.fr pour faire evoluer msnfix
__________________________
Télécharge RavAntivirus d'Evosla :
http://ww25.evosla.com/compteur.php?soft=rav_antivirus
# Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
# Fais un clic droit sur le fichier .ZIP > Extraire sur > le Bureau
# Doucle-clique sur >> RAV.exe << afin de lancer l'outil.
# Une fois RAV ANTIVIRUS lancé, laisse-le réagir , il scanne automatiquement tout les lecteurs (disques fixes et amovibles)
# Si infection > un log s'établira, sinon le soft affichera (très rapide) ==>Votre Ordinateur est sain .
# Retire tes disques amovibles et redémarrez votre ordinateur.
# Poste le rapport, si infection!
