Rotkit Win32

Fermé
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 - 19 mai 2009 à 18:01
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 29 juin 2009 à 23:55
Bonjour,
Je viens d'allumer mon ordi et avast m'envoi un message d'alerte en me disant qu'un logiciel malveillant se trouve sur mon ordinateur il m'a proposé de le mettre en quarantaine et c'est ce que j'ai fait.
Ce logiciel malveillant s'apelle Win32:Rootkit-gen
Nom du fichier original : stnetlib.exe
Localisation d'origine : C:\windows
Je voudrais savoir si ce fichier est dangereux et si je dois le supprimer ou le laisser en quarentaine
Merci.

167 réponses

flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
28 mai 2009 à 19:26
Bon voila je poste le rapport de OTMoveIt3
Rapport:


========== PROCESSES ==========
Process explorer.exe killed successfully.
========== SERVICES/DRIVERS ==========
========== REGISTRY ==========
========== FILES ==========
DllUnregisterServer procedure not found in C:\windows\system32\drivers\_004363_.tmp.dll
C:\windows\system32\drivers\_004363_.tmp.dll NOT unregistered.
C:\windows\system32\drivers\_004363_.tmp.dll moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\Florian\Local Settings\Temporary Internet Files\Content.IE5\index.dat scheduled to be deleted on reboot.
User's Temporary Internet Files folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
Network Service Temp folder emptied.
Network Service Temporary Internet Files folder emptied.
File delete failed. C:\windows\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\windows\temp\Perflib_Perfdata_564.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
FireFox cache emptied.
Temp folders emptied.

OTMoveIt3 by OldTimer - Version 1.0.11.0 log created on 05282009_192042

Files moved on Reboot...
File move failed. C:\windows\temp\_avast4_\Webshlock.txt scheduled to be moved on reboot.
File C:\windows\temp\Perflib_Perfdata_564.dat not found!
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
28 mai 2009 à 19:42
Bien ...


dans l'ordre :


1-Télécharge ToolsCleaner (de A.Rothstein) sur ton Bureau.
http://pc-system.fr/

Déconnecte toi et ferme bien toutes tes applications en cours .

Lances le .
*Clique sur Recherche et laisse le scan se terminer (cela peut être long).
*Clique sur Suppression pour finaliser.
*Clique sur "quitter" pour générer un rapport ( et pas sur la croix rouge !) :
--> Poste ce rapport : il se trouve à la racine de ton disque dur -> C:\TCleaner.txt .

======================================

2- Refais un coup de CCleaner ( registre compris ) .

======================================

3- Important :
Purge de la restauration système
*Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/décoche la case désactiver la restauration, appliquer, OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ).


======================================

4- retentes la mise à niveau vers le SP3 et dis moi si cela a fonctionné cette fois ci ...


0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
28 mai 2009 à 19:52
Voila je poste le rapport de Toolscleaner2.
Rapport:


[ Rapport ToolsCleaner version 2.3.5 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

C:\Combofix.txt: trouvé !
C:\Qoobox: trouvé !
C:\_OtMoveIt: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Florian\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Florian\Bureau\OTMoveIt3.exe: trouvé !
C:\Documents and Settings\Florian\Bureau\Rsit.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\hijackthis.log: trouvé !

---------------------------------
--> Suppression:

C:\Documents and Settings\Florian\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\Florian\Bureau\OTMoveIt3.exe: supprimé !
C:\Documents and Settings\Florian\Bureau\Rsit.exe: supprimé !
C:\Program Files\Trend Micro\hijackthis.log: supprimé !
C:\Qoobox: supprimé !
C:\_OtMoveIt: supprimé !
C:\Rsit: supprimé !
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
28 mai 2009 à 20:05
Bon j'ai fait ce que tu m'a demandé et je vais donc retenter le SP3, je te tien au courant.
Alors maintenant mon MP3 et mon MP4 sont bien désinfectés je peux m'en servir normalement???
Je dois peut-etre maintenant réactiver les "fichiers cachés " sur mon disque dur?
Et je dois peut-etre aussi supprimer ToolsCleaner?
Merci de m'aider.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
28 mai 2009 à 20:27
MP3 et MP4 ok normalement ...

( ne fais pas la mise à niveau pour le moment )

mais pour être sur sur , laisse les branchés tout deux au PC et fais ceci :

Télécharge UsbFix ( de C_XX, Chimay8 & Chiquitine29 ) sur ton bureau :

> http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

! Déconnecte toi d'internet et ferme toutes applications en cours !

--> Double-clique sur l' .exe pour lancer l'installation de l'outil ( ne touche pas aux paramètres d'installe ) .


Impératif :
Branche toutes tes unités externes à ton PC (clé USB, DD externe, flash disk, lecteur MP3,carte SD, etc...) succeptibles d'avoir été infectés ( mais sans les ouvrir ! ) .


# Double clique sur le raccourci UsbFix présent sur ton bureau pour lancer l'outil.

# Choisis l' option 1 ( Recherche )

# Laisse travailler l'outil et ne touche à rien pendant le scan .

# Une fois terminé, poste le rapport UsbFix.txt qui apparaitra.

Le rapport est en outre sauvegardé à la racine du disque maitre ( C:\UsbFix.txt ).

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


Note :
"Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


Site de l'auteur > http://pagesperso-orange.fr/NosTools/usbfix.html

0
est-ce que une mannette de jeu pc rentre dans la listes des périphériques a brancher? Je ne pense pas.
0
Je viens d'y penser y fodrait peut-etre ke je branche ma carte memoire de psp aussi.
0
Ainsi qu'une carte mémoire SD d'appareil photo je pense?
0
Bon j'ai fait usbfix en ajoutant une carte mémoire SD d'appareil photo ainsi qu'une memory stick pro duo de psp que j'avais oublié et je m'en excuse. ( je crois ke c encore infecte :s)
Voici le rapport usbfix:




############################## [ UsbFix V3.026 | Scan ]

# User : Florian (Administrateurs) # WINDOWS-114128D
# Update on 26/05/09 by Chiquitine29, C_XX & Chimay8
# WebSite : http://pagesperso-orange.fr/NosTools/usbfix.html
# Start at: 20:59:31 | 28/05/2009

#
#
# Internet Explorer 7.0.5730.13
# Windows Firewall Status : Enabled



############################## [ Processus actifs ]

C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\Program Files\Windows Defender\MsMpEng.exe
C:\windows\System32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\windows\system32\svchost.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\windows\system32\Ati2evxx.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\windows\Explorer.EXE
C:\windows\system32\lxdxcoms.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\windows\system32\PnkBstrA.exe
C:\windows\system32\PnkBstrB.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
C:\windows\system32\slserv.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
C:\windows\system32\svchost.exe
C:\windows\system32\ctfmon.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\windows\System32\alg.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\windows\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.orange.fr/portail"
HKLM_logon: "Userinit"="C:\\windows\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="Florian"
HKLM_logon: "AltDefaultUserName"="Florian"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""
HKLM_Run: avast!=C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
HKLM_Run: lxdxmon.exe="C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"
HKLM_Run: lxdxamon="C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"
HKLM_Run: FaxCenterServer="C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: msnmsgr="C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
HKCU_Run: swg=C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
HKCU_Run: ctfmon.exe=C:\windows\system32\ctfmon.exe
HKCU_Run: IncrediMail=C:\Program Files\IncrediMail\bin\IncMail.exe /c

################## [ Fichiers # Dossiers infectieux ]


################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]


################## [ Informations # Fichier Suspect ]


################## [ Cracks # Keygens # Serials ]

# -> Nothing found !

################## [ ! Fin du rapport # UsbFix V3.026 ! ]
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
28 mai 2009 à 21:36
RAS pour UsbFix ... ^^


Qu'est-ce qui te fait croire que c'est infecté ? ... Y a un prb particulier avec ces unités externes ? ...

0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
28 mai 2009 à 21:40
Ba en fait quand usbfix faisait l'analyse et ba il y a des fichiers qui apparaissent en "vert" et certains j'ai vu aparaissent en "rouge".Je me trompe peut etre sinon alors tout est bon la mes unités externes sont saines? Je peux les utiliser? Ya plus ka retester SP3 et y fo peut etre que je réactive les fichiers cachés sur mon disque dur nn?
Merci pour l'aide que tu m'apporte.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
28 mai 2009 à 21:56
bon ...

remets l'option des fichiers comme avant et re-tente la mise à niveau vers le sp3 ...

0
Bon, je verrai demain pour le SP3 et je te remercie encore beaucoup pour toute l'aide que tu m'apporte^^.
Et (je sais que je suis embetant avec ca )maintenant tout mon pc et toutes mes unités externes sont désinfectée a ce que je comprends je peux les utiliser maintenant?
Merci.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
28 mai 2009 à 22:43
Pour moi tout est Ok ...

reste le sp3 ...

A demain ... ;)
0
flo-91 Messages postés 5646 Date d'inscription mardi 19 mai 2009 Statut Contributeur sécurité Dernière intervention 31 octobre 2019 1 118
29 mai 2009 à 18:41
Nouvel échec pour le SP3 je fais quoi maintenant, il faut peut-être que j'enleve UsbFix???
Merci.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
29 mai 2009 à 18:54
écoute ... la je suis à court d'idée ...


pour virer UsbFix :

# Double clique sur le raccourci UsbFix présent sur ton bureau .

# Choisis l' option 5 ( Désinstaller ) et laisse toi guider ...

( au prochain démarrage du PC , tu pourras aussi supprimer ce dossier > C:\usbfix )



===================

on peut re-tenter Dial-a-fix pour voir :

> http://www.commentcamarche.net/faq/sujet 8150 echec d installation des mises a jour windows update

tiens moi au courant ...
0
Bon je te dis j'ai retenté le SP3 meme avec dial a fix rien n'y fait, il ne s'installe toujours pas.
Je te remercie quand meme pour toute l'aide que tu m'a apporté et si tu as une idée poue le SP3 dit le moi.
Merci.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
30 mai 2009 à 00:00
re,


ote moi d'un petit doute : ta version de Windows est légitime ou non ?

0
Ba en fait quelq'un m'a déja réinstaller windows une fois a cause d'un probleme mais je crois que il avait dit qu'elle était bien légale en plus j'ai windows defender et pour l'avoir il faut un déclaration de confidentialité Windows et c'était OK, de plus, j'ai toujours réussi a mettre des mises a jour sur mon pc quelle qu'elle soit.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
30 mai 2009 à 18:40
Désolé mais je ne vois plus trop là ...

tu n'as pas le CD original de ce Windows par hasard ?

0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
30 mai 2009 à 18:42
Attends voir ! ....


je vois peut-être d'où vien le prb !


refait un scan Hijackthis et poste le rapport stp ....

0
Non je n'ai pas le cd de windows mais l'ami qui me l'a réinstallé le possède surement.
0
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 464
30 mai 2009 à 19:02
refais un scan Hijackthis et poste le nouveau rapport obtenu ... je crois voire d'ou cela proviens ....



0