Rootkit
Résolu
gubi2910
Messages postés
72
Statut
Membre
-
sKe69 Messages postés 21955 Statut Contributeur sécurité -
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour,
Je suis sous Vista et mon AVG m'a trouvé un virus -pilote masqué qui change toujours de nom. je ne peux pas le supprimer. Comment faire? Merci de votre aide.
Je suis sous Vista et mon AVG m'a trouvé un virus -pilote masqué qui change toujours de nom. je ne peux pas le supprimer. Comment faire? Merci de votre aide.
A voir également:
- Rootkit
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
130 réponses
re,
désactive AVG avant de faire la manipe pour voir .... dis moi si cela foire aussi ...
sinon fait ce que je t'ai demandé ici avant > https://forums.commentcamarche.net/forum/affich-14599396-rootkit?page=3#60
désactive AVG avant de faire la manipe pour voir .... dis moi si cela foire aussi ...
sinon fait ce que je t'ai demandé ici avant > https://forums.commentcamarche.net/forum/affich-14599396-rootkit?page=3#60
la reponse est Windows es à jour, ne marche bitdefender parsque IE8 n'etais pas mon navigateure Web par default.
Je n'ai pas SP3 comment le telecharger?
Je n'ai pas SP3 comment le telecharger?
Re,
ne marche bitdefender parsque IE8 n'etais pas mon navigateure Web par default.
> donc il faut le mettre par défaut :
* ouvre IE 8 , va sur l'onglet "outil"
* clique ensuite sur "option internet" > dans la fenètre qui apparait , va sur l'onglet " programme" .
* là tu modifies le réglage dans "navigateur par défaut" de façon à ce que se soit IE 8 .
* Puis clique en bas sur "appliquer" , puis "valider" pour enregistrer la modif ...
Une fois fait , le scan en ligne avec IE 8 devrait fonctionner .... poste moi le rapport obtenu au final ....
ne marche bitdefender parsque IE8 n'etais pas mon navigateure Web par default.
> donc il faut le mettre par défaut :
* ouvre IE 8 , va sur l'onglet "outil"
* clique ensuite sur "option internet" > dans la fenètre qui apparait , va sur l'onglet " programme" .
* là tu modifies le réglage dans "navigateur par défaut" de façon à ce que se soit IE 8 .
* Puis clique en bas sur "appliquer" , puis "valider" pour enregistrer la modif ...
Une fois fait , le scan en ligne avec IE 8 devrait fonctionner .... poste moi le rapport obtenu au final ....
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai mis IE8 par default j'ai desactiver AVG et j'ai la même reponse :
BitDefender n'a pas pu mettre à jour la definition du virus
bien qu'il soit possible de rechercher de virus, le resultat sera problamement imprecis
Si j'apuis sur demarrer j'ai Scan Failed
BitDefender n'a pas pu mettre à jour la definition du virus
bien qu'il soit possible de rechercher de virus, le resultat sera problamement imprecis
Si j'apuis sur demarrer j'ai Scan Failed
re,
autant pour moi ... Vista est au SP2 .... ^^
essaye cet autre scan en ligne :
https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan
tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368
poste moi le rapport obtenu pour analyse ...
--
"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
autant pour moi ... Vista est au SP2 .... ^^
essaye cet autre scan en ligne :
https://www.pandasecurity.com/?ref=www.pandasoftware.com/products/activescan
tuto :
https://www.malekal.com/scan-antivirus-ligne-nod32/#mozTocId237368
poste moi le rapport obtenu pour analyse ...
--
"Baby, I'm going on an airplane, And I don't know if I'll be back again"
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne
vous l'a pas dit !
resultat de panda:
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-10-04 15:40:15
PROTECTIONS: 1
MALWARE: 9
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AVG Anti-Virus Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Local\temp\Low\Cookies\emma@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\emma@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\emma@atdmt[3].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@atdmt[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@xiti[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\emma@ad.yieldmanager[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@weborama[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@advertising[2].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@bluestreak[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@smartadserver[1].txt
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Users\EMMA\Desktop\Nettoyage\UsbFix.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No C:\Program Files\Navilog1\gnc.exe
No C:\Users\EMMA\Desktop\Nettoyage\ToolBarSD.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
;***********************************************************************************************************************************************************************************
ANALYSIS: 2009-10-04 15:40:15
PROTECTIONS: 1
MALWARE: 9
SUSPECTS: 2
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
AVG Anti-Virus Yes Yes
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Local\temp\Low\Cookies\emma@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\emma@atdmt[2].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\emma@atdmt[3].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@atdmt[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@xiti[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\emma@ad.yieldmanager[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@weborama[1].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@advertising[2].txt
00173520 Cookie/Bluestreak TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@bluestreak[1].txt
00273339 Cookie/Smartadserver TrackingCookie No 0 Yes No C:\Users\EMMA\AppData\Roaming\Microsoft\Windows\Cookies\Low\emma@smartadserver[1].txt
03074964 Trj/CI.A Virus/Trojan No 0 Yes No C:\Users\EMMA\Desktop\Nettoyage\UsbFix.exe
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
No C:\Program Files\Navilog1\gnc.exe
No C:\Users\EMMA\Desktop\Nettoyage\ToolBarSD.exe
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
maintenant AVG m'a trouve deux Rotkit:
C:\Windows\System32\Drivers\RkPavproc 1.sys
et
C:\Windows\System32\Drivers\anmdrtsd.SYS
C:\Windows\System32\Drivers\RkPavproc 1.sys
et
C:\Windows\System32\Drivers\anmdrtsd.SYS
bon ...
fait ceci alors :
Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
! Déconnecte toi et ferme toutes tes applications en cours !
Clique droit / "executer entant quadmin..." sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Services
RkPavproc1
anmdrtsd
:Files
C:\Windows\System32\Drivers\RkPavproc 1.sys
C:\Windows\System32\Drivers\RkPavproc1.sys
C:\Windows\System32\Drivers\anmdrtsd.sys
C:\Windows\System32\Drivers\anmdrtsd.SYS
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
fait ceci alors :
Télécharge OTM (de Old_Timer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
! Déconnecte toi et ferme toutes tes applications en cours !
Clique droit / "executer entant quadmin..." sur "OTM.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous,
:Services
RkPavproc1
anmdrtsd
:Files
C:\Windows\System32\Drivers\RkPavproc 1.sys
C:\Windows\System32\Drivers\RkPavproc1.sys
C:\Windows\System32\Drivers\anmdrtsd.sys
C:\Windows\System32\Drivers\anmdrtsd.SYS
:Commands
[purity]
[emptytemp]
[Reboot]
et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
je ne sais pas si j'ai bien posté l'analyse, alors encore une fois ici:
All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver RkPavproc1 not found.
Service\Driver RkPavproc1 not found.
Service\Driver anmdrtsd not found.
Service\Driver key anmdrtsd deleted successfully.
========== FILES ==========
File/Folder C:\Windows\System32\Drivers\RkPavproc 1.sys not found.
File/Folder C:\Windows\System32\Drivers\RkPavproc1.sys not found.
File/Folder C:\Windows\System32\Drivers\anmdrtsd.sys not found.
File/Folder C:\Windows\System32\Drivers\anmdrtsd.SYS not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: EMMA
->Temp folder emptied: 3036 bytes
->Temporary Internet Files folder emptied: 8617620 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40633975 bytes
->Google Chrome cache emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 86016 bytes
File delete failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be deleted on reboot.
Windows Temp folder emptied: 109080 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 47,16 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10042009_173332
Files moved on Reboot...
DllUnregisterServer procedure not found in C:\Windows\temp\logishrd\LVPrcInj01.dll
C:\Windows\temp\logishrd\LVPrcInj01.dll NOT unregistered.
File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.
Registry entries deleted on Reboot...
All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver RkPavproc1 not found.
Service\Driver RkPavproc1 not found.
Service\Driver anmdrtsd not found.
Service\Driver key anmdrtsd deleted successfully.
========== FILES ==========
File/Folder C:\Windows\System32\Drivers\RkPavproc 1.sys not found.
File/Folder C:\Windows\System32\Drivers\RkPavproc1.sys not found.
File/Folder C:\Windows\System32\Drivers\anmdrtsd.sys not found.
File/Folder C:\Windows\System32\Drivers\anmdrtsd.SYS not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
User: EMMA
->Temp folder emptied: 3036 bytes
->Temporary Internet Files folder emptied: 8617620 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 40633975 bytes
->Google Chrome cache emptied: 0 bytes
User: Public
->Temp folder emptied: 0 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 86016 bytes
File delete failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be deleted on reboot.
Windows Temp folder emptied: 109080 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 47,16 mb
OTM by OldTimer - Version 3.0.0.6 log created on 10042009_173332
Files moved on Reboot...
DllUnregisterServer procedure not found in C:\Windows\temp\logishrd\LVPrcInj01.dll
C:\Windows\temp\logishrd\LVPrcInj01.dll NOT unregistered.
File move failed. C:\Windows\temp\logishrd\LVPrcInj01.dll scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Bien ....
maintenant , tu va faire un analyse complète de ton PC avec AVG en mode sans échec !
Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
Tu mets tout ce qu'il peux trouver en "quarantaine" et sauvegarde le rapport du scan ...
Redémarre ton PC ( retour au mode normal) et poste moi le contenu du rapport obtenu ...
maintenant , tu va faire un analyse complète de ton PC avec AVG en mode sans échec !
Comment aller en Mode sans échec :
1) Redémarre ton ordi .
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" .
3) Tu tapotes jusqu' à l'apparition de l'écran avec les options de démarrage .
4) Choisis la première option : Sans Échec , et valide en tapant sur [Entrée] .
5) Choisis ton compte habituel ( et pas Administrateur ).
Tu mets tout ce qu'il peux trouver en "quarantaine" et sauvegarde le rapport du scan ...
Redémarre ton PC ( retour au mode normal) et poste moi le contenu du rapport obtenu ...
J'ai fini l'analyse et le fichier c'est avgrep.txt mais je ne sais pas ou le trouver
Avez vous une idée?
Merci
Avez vous une idée?
Merci
J'ai enregistré un fichier avec l'extension csv mai je ne peux pas l'envoyer avec ci-joint car n'est pas accepté
Comment faire?
Comment faire?
?????
le rapport est clean et il détectes des rootkits ????
tu vas faire ignorer l'alerte et garder en mémoire la décision de fçoàn à ce qu'il t'emberde plus avec ces alertes bidons ... ;)
ensuite tu vas refaire ceci :
Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
le rapport est clean et il détectes des rootkits ????
tu vas faire ignorer l'alerte et garder en mémoire la décision de fçoàn à ce qu'il t'emberde plus avec ces alertes bidons ... ;)
ensuite tu vas refaire ceci :
Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
re,
analyse moi ces 3 fichiers sur VirusTotal :
C:\Applications Emma\Converter Master\Install\Mp3 Convert Master\Mp3ConvertMaster.exe
C:\Windows\System32\drivers\lvuvc.hs
C:\Windows\d3dx.dat
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Poste moi les 3 rapports obtenus stp ....
analyse moi ces 3 fichiers sur VirusTotal :
C:\Applications Emma\Converter Master\Install\Mp3 Convert Master\Mp3ConvertMaster.exe
C:\Windows\System32\drivers\lvuvc.hs
C:\Windows\d3dx.dat
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
Poste moi les 3 rapports obtenus stp ....
