help svp ! rootkit win32/cryptorFermé

Question

Bonsoir, 

quelqu'un aurait la gentillesse de m'aider svp ?, je traîne le rootkit WIN32/CRYPTOR depuis plus de 2 semaines. 

AVG et MALWAREBYTES sont censés me l'avoir supprimé, trojans y compris, cependant je garde toujours cette page noire au démarrage concernant les BIOS cachés m'indiquant que l'ordi est corrompu...( je presse echap 2 fois afin d'arriver sous windows normalement). 
L'ordi rame très légèrement et je n'ai plus de redirections google et autres, mais il est forcément toujours là...

J'ai réellement envie de conserver le maximum de données, je suis néophyte en cette matière, merci infiniment pour votre aide.

Voici 2 rapports avant suppression (suite quarantaine), si cela peut vous aider...


Scanner de ligne de commande Anti-Virus AVG 8.5 
Copyright (c) 1992 - 2009 AVG Technologies
Version du programme 8.0.401, moteur 8.0.408
Base de données virale : version 270.13.97/2370 2009-09-14

\?\globalroot\systemroot\system32\UACnqtbayxjgk.dll Virus identifié Win32/Cryptor L'objet a été déplacé dans Quarantaine.
\?\globalroot\systemroot\system32\UAClxmoirxday.dll Cheval de Troie : FakeAlert.MN L'objet a été déplacé dans Quarantaine.
C:\WINDOWS\system32\svchost.exe (720) Cheval de Troie : FakeAlert.MN L'objet a été déplacé dans Quarantaine.
\?\globalroot\systemroot\system32\UACparqjxjrud.dll Cheval de Troie : FakeAlert.MN L'objet a été déplacé dans Quarantaine.
C:\WINDOWS\explorer.exe (924) Cheval de Troie : FakeAlert.MN L'objet a été déplacé dans Quarantaine.
\?\globalroot\systemroot\system32\UACparqjxjrud.dll Cheval de Troie : FakeAlert.MN L'objet a été déplacé dans Quarantaine.
C:\Program Files\Internet Explorer\IEXPLORE.EXE (1324) Cheval de Troie : FakeAlert.MN L'objet a été déplacé dans Quarantaine.
C:\Documents and Settings\florent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Fichier verrouillé. Non analysé. 
C:\Documents and Settings\florent\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Fichier verrouillé. Non analysé. 
C:\Documents and Settings\florent
tuser.dat Fichier verrouillé. Non analysé. 
C:\Documents and Settings\florent
tuser.dat.LOG Fichier verrouillé. Non analysé. 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Fichier verrouillé. Non analysé. 
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Fichier verrouillé. Non analysé. 
C:\Documents and Settings\NetworkService\NTUSER.DAT Fichier verrouillé. Non analysé. 
C:\Documents and Settings\NetworkService
tuser.dat.LOG Fichier verrouillé. Non analysé. 
C:\pagefile.sys Fichier verrouillé. Non analysé. 
C:\System Volume Information\ Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\default Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\default.LOG Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\SAM Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\SAM.LOG Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\SECURITY Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\SECURITY.LOG Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\software Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\software.LOG Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\system Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\config\system.LOG Fichier verrouillé. Non analysé. 
C:\WINDOWS\system32\drivers\sptd.sys Fichier verrouillé. Non analysé. 

------------------------------------------------------------
Objets analysés : 241828
Infections trouvées :    7
PUP trouvés :    0
Infections réparées :    7
PUP réparés :    0
Avertissements :    0

/////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 2775
Windows 5.1.2600 Service Pack 2

15/09/2009 19:24:19
mbam-log-2009-09-15 (19-24-19).txt

Type de recherche: Examen rapide
Eléments examinés: 110586
Temps écoulé: 5 minute(s), 17 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 2

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
\?\globalroot\systemroot\system32\UACparqjxjrud.dll (Rootkit.TDSS) -> Delete on reboot.

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\UAC (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\UACd.sys (Trojan.Agent) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
\?\globalroot\systemroot\system32\UACparqjxjrud.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\uacinit.dll (Trojan.Agent) -> Delete on reboot.


Merci :)

Narco!4 · Accepted Answer

Bonjour,

télécharge GenProc http://www.genproc.com/GenProc.exe

double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre

Help svp ! rootkit win32/cryptor

1 réponse

Discussions similaires

Newsletters