SUPPRIMER 1 ROOTKIT MASQUER

Question

Bonjour,  J'ai 1 rootkits masqué dans mon repertoire C:\WINDOWS\System32\Drivers\a7mr83yr.SYS que je ne peut supprimé mm en ayant affiché lé fichier caché.

comment jpeux faire pour le supprimer ???

BOB · Answer

.

loloetseb · Answer

1- Télécharge Rooter de l'équipe IDN sur ton bureau : 
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2 

! Déconnecte toi d'internet et ferme toutes applications en cours ! 


* Exécute Rooter et laisse travailler l'outil . 

* Une fois terminé, poste le rapport obtenu pour analyse ...

loloetseb · Answer

Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau. 

-> http://images.malwareremoval.com/random/RSIT.exe 

! Déconnecte toi et ferme toutes tes applications en cours ! 

Double-clique sur " RSIT.exe " pour le lancer . 

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " . 

* Devant l'option "List files/folders created ..." , tu choisis : 2 months 

* clique ensuite sur " Continue " pour lancer l'analyse ... 


-> laisse faire le scan et ne touche pas au PC ... 


Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note). 

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ... 

Important : poste un rapport, puis l'autre dans la réponse suivante
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum 


( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

Gregayo · Answer

Rooter.exe (v1.0.2) by Eric_71
.
SeDebugPrivilege granted successfully ...
.
Windows XP . (5.1.2600) Service Pack 3
[32_bits] - x86 Family 6 Model 15 Stepping 6, GenuineIntel
.
[wscsvc] (Security Center) RUNNING (state:4)
[SharedAccess] RUNNING (state:4)
Windows Firewall -> Disabled !
.
Internet Explorer 7.0.5730.13
Mozilla Firefox 3.0.11 (fr)
.
C:\  [Fixed-FAT32] .. ( Total:64 Go - Free:1 Go )
D:\  [Fixed-FAT32] .. ( Total:43 Go - Free:25 Go )
E:\  [CD_Rom]
F:\  [CD_Rom]
.
Scan : 16:36.55
Path : C:\Documents and Settings\Gregayo\Bureau\Rooter.exe
User : Gregayo ( Administrator -> YES )
.
----------------------\ Processes
.
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (1256)
______ \??\C:\WINDOWS\system32\csrss.exe (1344)
______ \??\C:\WINDOWS\system32\winlogon.exe (1372)
______ C:\WINDOWS\system32\services.exe (1416)
______ C:\WINDOWS\system32\lsass.exe (1428)
______ C:\WINDOWS\System32\svchost.exe (1596)
______ C:\WINDOWS\system32\svchost.exe (1628)
______ C:\WINDOWS\system32\svchost.exe (1716)
______ C:\WINDOWS\System32\svchost.exe (1912)
______ C:\Program Files\Intel\Wireless\Bin\EvtEng.exe (1972)
______ C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe (356)
______ C:\WINDOWS\system32\DllHost.exe (420)
______ C:\WINDOWS\Explorer.EXE (752)
______ C:\WINDOWS\system32\svchost.exe (764)
______ c:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe (876)
______ C:\WINDOWS\system32\svchost.exe (908)
______ C:\WINDOWS\system32\spoolsv.exe (1348)
______ C:\WINDOWS\system32\svchost.exe (1216)
______ C:\WINDOWS\eHome\ehRecvr.exe (1932)
______ C:\WINDOWS\eHome\ehSched.exe (144)
______ C:\Program Files\Java\jre6\bin\jqs.exe (288)
______ C:\WINDOWS\system32
vsvc32.exe (584)
______ C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe (788)
______ C:\WINDOWS\system32\svchost.exe (2188)
______ C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe (2324)
______ C:\WINDOWS\system32\svchost.exe (2400)
______ C:\WINDOWS\ehome\mcrdsvc.exe (2760)
______ C:\WINDOWS\System32\SCardSvr.exe (3508)
______ C:\WINDOWS\system32\dllhost.exe (3628)
______ C:\WINDOWS\system32\wbem\wmiapsrv.exe (3920)
______ C:\WINDOWS\System32\alg.exe (4036)
______ C:\WINDOWS\ATK0100\HControl.exe (2392)
______ C:\WINDOWS\ehome\ehtray.exe (2428)
______ C:\WINDOWS\eHome\ehmsas.exe (2604)
______ C:\WINDOWS\System32\svchost.exe (2904)
______ C:\WINDOWS\ATK0100\ATKOSD.exe (3200)
______ C:\WINDOWS\RTHDCPL.EXE (1996)
______ C:\Program Files\ASUS\Splendid\ACMON.exe (4020)
______ C:\Program Files\ASUS\ATK Media\DMEDIA.EXE (152)
______ C:\Program Files\Synaptics\SynTP\SynTPEnh.exe (840)
______ C:\WINDOWS\system32\ACEngSvr.exe (728)
______ C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe (1228)
______ C:\PROGRA~1\AVG\AVG8\avgtray.exe (2272)
______ C:\WINDOWS\system32\RUNDLL32.EXE (2388)
______ C:\Program Files\Razer\DeathAdderazerhid.exe (3316)
______ C:\WINDOWS\system32\ctfmon.exe (2044)
______ C:\Program Files\Intel\Wireless\Bin\Dot1XCfg.exe (736)
______ C:\program files\steam\steam.exe (3388)
______ C:\Program Files\Razer\DeathAdderazerofa.exe (3980)
______ C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe (512)
______ C:\PROGRA~1\AVG\AVG8\avgam.exe (2344)
______ C:\PROGRA~1\AVG\AVG8\avgemc.exe (3592)
______ C:\PROGRA~1\AVG\AVG8\avgrsx.exe (2844)
______ C:\PROGRA~1\AVG\AVG8\avgfws8.exe (5936)
______ C:\Program Files\AVG\AVG8\avgcsrvx.exe (5328)
______ C:\Program Files\OpenOffice.org 3\program\scalc.exe (9444)
______ C:\Program Files\OpenOffice.org 3\program\soffice.exe (8852)
______ C:\Program Files\OpenOffice.org 3\program\soffice.bin (7420)
______ C:\Program Files\Razer\DeathAdderazertra.exe (8780)
______ C:\PROGRA~1\AVG\AVG8\avgnsx.exe (9568)
______ C:\Program Files\AVG\AVG8\avgui.exe (6676)
______ C:\Program Files\AVG\AVG8\avgscanx.exe (2952)
______ C:\Program Files\AVG\AVG8\avgcsrvx.exe (3680)
______ C:\Program Files\VideoLAN\VLC\vlc.exe (9468)
______ C:\Program Files\Mozilla Firefox\firefox.exe (10100)
______ C:\Documents and Settings\Gregayo\Bureau\Rooter.exe (8800)
.
----------------------\ Device\Harddisk0\
.
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
.
\Device\Harddisk0\Partition1 (Start_Offset:32256 | Length:4194860544)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:4194892800 | Length:69520066560)
\Device\Harddisk0\Partition0 (Start_Offset:73714959360 | Length:46316551680)
\Device\Harddisk0\Partition3 (Start_Offset:73714991616 | Length:46316519424)
.
----------------------\ Scheduled Tasks
.
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\GoogleUpdateTaskUserS-1-5-21-3356401689-1054818479-1734980807-1005Core.job
.
----------------------\ Registry
.
.
----------------------\ Files & Folders
.
----------------------\ Scan completed at 16:37.10
.
C:\Rooter$\Rooter_1.txt - (13/07/2009 | 16:37.11)

SUPPRIMER 1 ROOTKIT MASQUER

4 réponses

Votre réponse

Newsletters