Probleme avec un rootkit

fredodo -
fredodo - 11 mai 2009 à 15:49

Bonjour,
Alors voila mon problème: Avast m'a detecté un virus (un rootkit). Je l'ai repéré il est sur C: . Il se compose du virus et d'un fichier autorun.inf (qui sont cachés tous les deux à la base). Ne sachant pas trop quoi faire je les ai envoyé tous les deux dans la corbeille; j'ai redémarré mon ordi, mais bien sur ils sont toujours là! Comment faire pour m'en débarrasser? Merci d'avance.

Afficher la suite

A voir également:

Probleme avec un rootkit
Rootkit - Télécharger - Antivirus & Antimalwares
Rootkit hunter - Télécharger - Antivirus & Antimalwares
Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
Avg anti rootkit - Télécharger - Antivirus & Antimalwares
Panda anti-rootkit - Télécharger - Antivirus & Antimalwares

38 réponses

Réponse 21 / 38

fredodo

Par contre en lancant une recherche avec windows, je l'ai trouvé dans le dossier Prefetch

Réponse 22 / 38

fredodo

Bon par contre en examinant mon ordi sur C: je me retrouve avec iun fichier caché nommé "xkjfzzltz" et le autorun correspondant. De plus je retrouve les deux memes fichiers sur D:

Réponse 23 / 38

fredodo

Après plusieurs messages et en cherchant sur le net j'ai trouvé que mon virus s'appelle: Backdoor.win32.Rbot.gen. Mais comment faire maintenant pour le supprimer définitivement de mon ordi? Merci

Réponse 24 / 38

sherred Messages postés 8605 Statut Membre 351

Backdoor.win32.Rbot.gen peu etre eliminé avec Rav
voir http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453089435

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question

Réponse 25 / 38

fredodo

Je l'ai deja utilisé mais il est toujours là!

Réponse 26 / 38

sherred Messages postés 8605 Statut Membre 351

oui je sais , c'est curieux

essaye un antivirus en ligne https://www.kaspersky.fr/downloads
celui ci connais ton virus

Réponse 27 / 38

Ced_King Messages postés 3519 Date d'inscription Statut Contributeur Dernière intervention 572

Salut fredodo,

Telecharges et installes UsbFix de C_XX & Chiquitine29

Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir

# Double cliques sur le raccourci UsbFix présent sur ton bureau .

# Choisis l'option 1 ( Recherche )

# Laisses l'outil travailler.

# postes le rapport UsbFix.txt qui apparaitra.

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

# Note : "Process.exe", une composante de l'outil, est détectée par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...)

Réponse 28 / 38

fredodo

Merci, j'essaye tout de suite! Je commence à m'arracher les cheveux!

Réponse 29 / 38

fredodo

Voilà le rapport:
(que je vais essayer de poster qu'une seule fois cette fois-ci!)

############################## [ UsbFix V3.018 # Scan ]

# User : Administrateur (Administrateurs) # CFAS15-2007PC01
# Update on 11/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 10:10:57 | 11/05/2009

# Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090510-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque fixe local # 139,03 Go (126,86 Go free) # NTFS
# D:\ # Disque fixe local # 10 Go (8,24 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\PDF Complete\pdfsty.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\SMINST\Scheduler.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\system32\adxbvedjc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\TeamViewer\Version4\TeamViewer.exe
C:\WINDOWS\system32\mrt.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre # Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF"
HKCU_Main: "Start Page"="https://www.google.fr/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Administrateur"
HKLM_logon: "AltDefaultUserName"="Administrateur"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
HKLM_Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
HKLM_Run: PDF Complete="C:\Program Files\PDF Complete\pdfsty.exe"
HKLM_Run: SetRefresh=C:\Program Files\Compaq\SetRefresh\SetRefresh.exe
HKLM_Run: Recguard=C:\WINDOWS\Sminst\Recguard.exe
HKLM_Run: Reminder=C:\WINDOWS\Creator\Remind_XP.exe
HKLM_Run: Scheduler=C:\WINDOWS\SMINST\Scheduler.exe
HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: Win32 SDK=C:\WINDOWS\system32\adxbvedjc.exe
HKLM_Run: QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
HKLM_Run: SearchSettings=C:\Program Files\pdfforge Toolbar\SearchSettings.exe
HKCU_Run: CTFMON.EXE=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background

################## [ Informations ]

################## [ Fichiers # Dossiers infectieux ]

################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

HKCU\Software\Microsoft\....\MountPoints2\{7ca0b67a-ab4f-11dd-8e91-d7251dfb58bb}\Shell\Auto\command
HKCU\Software\Microsoft\....\MountPoints2\{7ca0b67a-ab4f-11dd-8e91-d7251dfb58bb}\Shell\AutoRun\command

################## [ ! Fin du rapport # UsbFix V3.018 ! ]

Réponse 30 / 38

Ced_King Messages postés 3519 Date d'inscription Statut Contributeur Dernière intervention 572

Branches tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) sans les ouvrir

# Double cliques sur le raccourci UsbFix présent sur ton bureau

# choisi l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l outil.

# Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

Réponse 31 / 38

fredodo

Bon c'est fait!

############################## [ UsbFix V3.018 # Cleaning ]

# User : Administrateur (Administrateurs) # CFAS15-2007PC01
# Update on 11/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 10:40:43 | 11/05/2009

# Intel(R) Pentium(R) Dual CPU E2160 @ 1.80GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled
# AV : avast! antivirus 4.8.1335 [VPS 090510-0] 4.8.1335 [ Enabled | Updated ]

# C:\ # Disque fixe local # 139,03 Go (126,87 Go free) # NTFS
# D:\ # Disque fixe local # 10 Go (8,24 Go free) [HP_RECOVERY] # NTFS
# E:\ # Disque CD-ROM

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\logonui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\InterVideo\RegMgr\iviRegMgr.exe
C:\Program Files\PDF Complete\pdfsvc.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe

################## [ Fichiers # Dossiers infectieux ]

Deleted ! C:\autorun.inf
Deleted ! D:\autorun.inf

################## [ Registre # Clés Run infectieuses ]

################## [ Registre # Mountpoints2 ]

Deleted ! HKCU\Software\Microsoft\....\MountPoints2\{7ca0b67a-ab4f-11dd-8e91-d7251dfb58bb}\Shell\Auto\command

################## [ Listing des fichiers présent ]

[05/12/2007 11:33|-rahs----|212] - C:\boot.ini
[05/08/2004 04:00|-rahs----|4952] - C:\Bootfont.bin
[?|?|?] - C:\hiberfil.sys
[24/03/2009 11:13|-rahs----|0] - C:\IO.SYS
[24/03/2009 11:13|-rahs----|0] - C:\MSDOS.SYS
[05/08/2004 04:00|--ahs----|47564] - C:\ntdetect.com
[05/08/2004 04:00|--ahs----|251712] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[13/06/2007 15:22|---h-----|109568] - C:\swawqtawf.exe
[11/05/2009 10:41|--a------|2407] - C:\UsbFix.txt
[01/07/2005 17:16|--ahs----|102] - D:\Desktop.ini
[13/06/2007 15:22|-rahs----|109568] - D:\gxvmmyvef.exe
[03/11/2005 13:29|--ahs----|0] - D:\HP_RECOVERY
[30/11/2004 17:01|--ahs----|73728] - D:\Info.exe
[22/11/2007 22:20|--ahs----|1142] - D:\MASTER.LOG
[04/05/2009 17:05|-rahs----|0] - D:\mljlwnqdq.exe
[29/08/2002 09:00|--ahs----|47580] - D:\NTDETECT.COM
[12/05/2006 18:07|--ahs----|0] - D:\NTFS
[29/08/2002 09:00|--ahs----|245920] - D:\NTLDR
[10/09/2002 14:58|--ahs----|181616] - D:\protect.ed
[29/08/2002 09:00|--ahs----|245920] - D:\STLDR
[13/06/2007 15:22|---h-----|109568] - D:\swawqtawf.exe
[04/05/2009 15:33|-rahs----|109568] - D:\vvfirkjoa.exe
[08/02/2002 21:44|--ahs----|88038] - D:\Warning.bmp
[25/03/2005 18:00|--ahs----|10] - D:\WIN51
[22/01/2001 23:00|--ahs----|11] - D:\WIN51.B2
[25/07/2001 23:00|--ahs----|11] - D:\WIN51.RC1
[26/07/2001 04:47|--ahs----|11] - D:\WIN51.RC2
[25/03/2005 18:00|--ahs----|10] - D:\WIN51IA
[25/03/2005 18:00|--ahs----|10] - D:\WIN51IA.SP1
[18/08/2001 23:00|--ahs----|10] - D:\WIN51IC
[20/03/2001 23:00|--ahs----|11] - D:\WIN51IC.B2
[25/07/2001 23:00|--ahs----|11] - D:\WIN51IC.RC1
[25/07/2001 23:00|--ahs----|11] - D:\WIN51IC.RC2
[17/08/2001 23:00|--ahs----|10] - D:\WIN51IP
[22/01/2001 23:00|--ahs----|11] - D:\WIN51IP.B2
[26/07/2001 04:47|--ahs----|11] - D:\WIN51IP.RC2
[17/08/2001 23:00|--ahs----|10] - D:\WIN51IP.SP1
[17/08/2001 23:00|--ahs----|10] - D:\WIN51IP2
[25/03/2005 18:00|--ahs----|167] - D:\WINBOM.INI
[12/05/2006 18:07|--ahs----|0] - D:\XGA
[13/06/2007 15:22|-rahs----|109568] - D:\yyituvodq.exe

################## [ Vaccination ]

# C:\autorun.inf -> Folder created by UsbFix.
# D:\autorun.inf -> Folder created by UsbFix.

################## [ Cracks / Keygens / Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.018 ! ]

Réponse 32 / 38

fredodo

Bon avast ne me dit plus rien (en meme temps je ne le voie plus dans la barre d'outils...). Sur C et D je retrouve toujours des .exe cachés au nom très bizard...J'ai lancé la commande "mrt" dans exécuter et windows n'a rien trouvé...Merci ced_king si la désinfection est bien compléte.

Réponse 33 / 38

Ced_King Messages postés 3519 Date d'inscription Statut Contributeur Dernière intervention 572

Windows XP SP2 --> il s'agit d'une version officielle de Windows ?

--> Si oui, il serait alors préferable de passer à SP3

-------------------------
- Telecharges et installes Malwarebytes' Anti-Malware

- Lances l'installation ---> il se mettra automatiquement à jour à la fin de celle-ci

- Une fois installé, fermes toutes les applications en cours et lances Malwarebytes

- Executes un examen rapide du pc ( tu n'auras pas accés à internet pendant l'analyse)

- A la fin du scan clic sur " Afficher les resultats ", si Malwarebytes a trouvé des infections >> clic sur " Supprimer la selection "

- Si il a besoin de redemarrer le pc pour finir la desinfection, acceptes

- Un rapport s'etablira, postes son contenu.

* Postes aussi un nouveau rapport RSIT stp

Réponse 34 / 38

fredodo

Ok; je suis en train de mettre à jour le service pack3.
En ce qui concerne Avast, il est désactivé non?

Réponse 35 / 38

Ced_King Messages postés 3519 Date d'inscription Statut Contributeur Dernière intervention 572

Re,

- J'aurais aimé que tu passes Malwarebyte !

- Comptes tu garder Avast ou es tu pret a changer pour un plus performant ( gratuit) ?

- Pourrais tu faire l'option 4 USBfix en laissant brancher tes disques amovibles stp ?

Réponse 36 / 38

fredodo

Bon je vais essayer tout ça. Je pense changer d'antivirus; le problème c'est que j'ai pas accès directement à l'ordi donc j'utilise la télé-maintenance et donc c'est assez long...

Réponse 37 / 38

Ced_King Messages postés 3519 Date d'inscription Statut Contributeur Dernière intervention 572

Ok, donc continues ce que tu étais en train de faire !

Réponse 38 / 38

fredodo

Alors le rapport de Malwarebyte ne signale rien d'incorrect;
Tout à l'air de fonctionner correctement;
Je te remercie beaucoup pour ton aide ced_king (et les autres aussi!)

Discussions similaires

Rootkit sur pc windows 10

Rootkit : chacun son tour !!! HELP ! Help !

WIN32 KAMSO PUIS DETECTION D'UN ROOTKIT

Probleme avec un rootkit

38 réponses

Votre réponse

Discussions similaires

Newsletters