TR/Rootkit.gen dans system32 drivers
Résolu
Kuronekoo
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Je dois dire que d'habitude, j'arrive toujours plus ou moins à me dépatouiller mais là franchement je cale.
Je vous expose le problème :
Antivir me détecte un rootkit dans le fichier gxqygrhg.sys et impossible de le virer, j'espère que vous pourrez m'aider voici un log combofix et hijack :
http://www.cijoint.fr/cjlink.php?file=cj201002/cij5sKWdXp.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cij4C6zoNa.txt
Merci d'avance de votre aide.
Je dois dire que d'habitude, j'arrive toujours plus ou moins à me dépatouiller mais là franchement je cale.
Je vous expose le problème :
Antivir me détecte un rootkit dans le fichier gxqygrhg.sys et impossible de le virer, j'espère que vous pourrez m'aider voici un log combofix et hijack :
http://www.cijoint.fr/cjlink.php?file=cj201002/cij5sKWdXp.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cij4C6zoNa.txt
Merci d'avance de votre aide.
A voir également:
- TR/Rootkit.gen dans system32 drivers
- Tous les drivers - Télécharger - Pilotes & Matériel
- Drivers cloud - Télécharger - Pilotes & Matériel
- Acer drivers - Télécharger - Pilotes & Matériel
- Lbp 2900 drivers - Télécharger - Pilotes & Matériel
- @System32\drivers\pci.sys, - Forum Windows
9 réponses
bonjour,
combofix n'ai rien trouvé !
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l’UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
• Télécharge GMER :
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe , Utilisateur vista, clique doit et le lancer en tant qu'administrateur.
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
combofix n'ai rien trouvé !
/!\ Utilisateur de Vista : Ne pas oublier de désactiver l’UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
• Télécharge GMER :
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe , Utilisateur vista, clique doit et le lancer en tant qu'administrateur.
* Le programme se lance et fait un auto scan
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
il y a une clé de registre ou un driver qui le lance, c'est pour ça qu'on arrive pas à le virer:
Télécharge ZHPDiag sur ton bureau
ftp://zebulon.fr/ZHPDiag%201.24.25.exe
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateur de Vista : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu’Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
/!\L’outil a créé 2 icônes ZHPDiag et ZHPFix
Clique sur la loupe pour lancer l'analyse.
Laisse l’outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d’analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
[est ajouté dans la page.
Copie ce lien dans ta réponse.
Télécharge ZHPDiag sur ton bureau
ftp://zebulon.fr/ZHPDiag%201.24.25.exe
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateur de Vista : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu’Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
/!\L’outil a créé 2 icônes ZHPDiag et ZHPFix
Clique sur la loupe pour lancer l'analyse.
Laisse l’outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d’analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
[est ajouté dans la page.
Copie ce lien dans ta réponse.
bizzare, j'avais posté un message !
bon, étant donné que dans le rapport Zhp, rien de visible non plus,
redemarre ton pc en mode sans echec avec la prise en charde du réseau et lance Combofix
poste son rapport sur ton prochain message
bon, étant donné que dans le rapport Zhp, rien de visible non plus,
redemarre ton pc en mode sans echec avec la prise en charde du réseau et lance Combofix
poste son rapport sur ton prochain message
Pas de soucis, c'est déjà gentil de votre part de m'aider.
Voici le rapport combofix en mode sans échec :
http://www.cijoint.fr/cjlink.php?file=cj201002/cijETjCbFj.txt
PS: A noter que le fichier en question (c:\windows\system32\drivers\gwqyghrg.sys) ne s'est pas recréé depuis le passage de zhpdiag (l'espoir fait vivre ^^)
Voici le rapport combofix en mode sans échec :
http://www.cijoint.fr/cjlink.php?file=cj201002/cijETjCbFj.txt
PS: A noter que le fichier en question (c:\windows\system32\drivers\gwqyghrg.sys) ne s'est pas recréé depuis le passage de zhpdiag (l'espoir fait vivre ^^)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Gmer a en effet trouvé une ligne rouge :
Type : Service Name: hidden Value: gxqyghrg
Mais impossible de la supprimer, lorsque j'essaye j'obtient l'erreur suivante:
0x0000010 service gxqyghrg was not deleted
Une solution ?