Comment supprimer ROOTKIT?

kaizermilou Messages postés 77 Statut Membre -  
jess57250 Messages postés 1 Statut Membre -
salut
mon pc n arrete pas de ramer des que je suis sur le net.j ai analyse avec kapersky ad aware spybot....il me reste toujours rootkit et rdriv .je suis sous xp pro.je laisse mon log n etant pas trop cale en informatique je ne sais plus trop quoi faire de mon cote.merci
Logfile of HijackThis v1.99.1
Scan saved at 17:09:42, on 21/07/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\WINDOWS\System32\msnupd.exe
C:\WINDOWS\smss.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Nouveau dossier\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Windows Gateway Access] msnupd.exe
O4 - HKLM\..\Run: [Services] C:\WINDOWS\smss.exe
O4 - HKLM\..\RunServices: [Windows Gateway Access] msnupd.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Configuration Loader - Unknown owner - C:\WINDOWS\svchost.exe
Configuration: xp pro

13 réponses

  1. Fisherprice Messages postés 1428 Date d'inscription   Statut Contributeur Dernière intervention   484
     
    Salut!!

    Fixe ces lignes, et supprime les fichiers mentionnés en gras (qui se trouvent dans C:/Windows).

    C:\WINDOWS\smss.exe

    C:\WINDOWS\svchost.exe

    R3 - Default URLSearchHook is missing

    O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c11.cab
    0
  2. kaizermilou Messages postés 77 Statut Membre
     
    salut fisher
    ok j essaye ca de suite
    0
  3. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut rajoute ceci
    a fixer O23 - Service: Windows Configuration Loader - Unknown owner - C:\WINDOWS\svchost.exe

    clik sur Démarrer->exécuter->tape: services.msc

    Double-clique: Windows Configuration Loader
    Règle-le sur "Arrêté" et "Désactivé".

    0
  4. kaizermilou Messages postés 77 Statut Membre
     
    salut balltrap
    je retire ca egalement
    mon pc se bloque 1 petite seconde toutes les minutes environ ,ça vient des trojans?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kaizermilou Messages postés 77 Statut Membre
     
    je refait un hijack mais le
    023/service windowx ....... n y etait plus
    voici mon nouveau log
    Logfile of HijackThis v1.99.1
    Scan saved at 17:57:40, on 21/07/2005
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
    C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    C:\WINDOWS\System32\RUNDLL32.EXE
    C:\WINDOWS\System32\msnupd.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\Nouveau dossier\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.free.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://fr.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/fr/*http://www.yahoo.com/ext/search/search.html
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
    O4 - HKLM\..\Run: [Windows Gateway Access] msnupd.exe
    O4 - HKLM\..\RunServices: [Windows Gateway Access] msnupd.exe
    O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
    O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet
    O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
    O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
    O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
    O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
    O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
    O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
    0
  7. kaizermilou Messages postés 77 Statut Membre
     
    voila
    This is a report processed by VirusTotal on 07/21/2005 at 18:06:42 (CET) after scanning the file "rundll32.exe" file.
    Antivirus Version Update Result
    AntiVir 6.31.1.0 07.21.2005 no virus found
    AVG 718 07.19.2005 no virus found
    Avira 6.31.1.0 07.21.2005 no virus found
    BitDefender 7.0 07.21.2005 no virus found
    CAT-QuickHeal 7.03 07.21.2005 no virus found
    ClamAV devel-20050712 07.21.2005 no virus found
    DrWeb 4.32b 07.21.2005 no virus found
    eTrust-Iris 7.1.194.0 07.21.2005 no virus found
    eTrust-Vet 11.9.1.0 07.21.2005 no virus found
    Fortinet 2.36.0.0 07.21.2005 no virus found
    F-Prot 3.16c 07.21.2005 no virus found
    Ikarus 2.32 07.21.2005 no virus found
    Kaspersky 4.0.2.24 07.21.2005 no virus found
    McAfee 4540 07.21.2005 no virus found
    NOD32v2 1.1174 07.20.2005 no virus found
    Norman 5.70.10 07.21.2005 no virus found
    Panda 8.02.00 07.21.2005 no virus found
    Sybari 7.5.1314 07.21.2005 no virus found
    Symantec 8.0 07.20.2005 no virus found
    TheHacker 5.8.2.074 07.20.2005 no virus found
    VBA32 3.10.4 07.20.2005 no virus found

    par contre je n ai pas trouver msnupd j ai fait analyser msnsspc

    This is a report processed by VirusTotal on 07/21/2005 at 18:12:29 (CET) after scanning the file "msnsspc.dll" file.
    Antivirus Version Update Result
    AntiVir 6.31.1.0 07.21.2005 no virus found
    AVG 718 07.19.2005 no virus found
    Avira 6.31.1.0 07.21.2005 no virus found
    BitDefender 7.0 07.21.2005 no virus found
    CAT-QuickHeal 7.03 07.21.2005 no virus found
    ClamAV devel-20050712 07.21.2005 no virus found
    DrWeb 4.32b 07.21.2005 no virus found
    eTrust-Iris 7.1.194.0 07.21.2005 no virus found
    eTrust-Vet 11.9.1.0 07.21.2005 no virus found
    Fortinet 2.36.0.0 07.21.2005 no virus found
    F-Prot 3.16c 07.21.2005 no virus found
    Ikarus 2.32 07.21.2005 no virus found
    Kaspersky 4.0.2.24 07.21.2005 no virus found
    McAfee 4540 07.21.2005 no virus found
    NOD32v2 1.1174 07.20.2005 no virus found
    Norman 5.70.10 07.21.2005 no virus found
    Panda 8.02.00 07.21.2005 no virus found
    Sybari 7.5.1314 07.21.2005 no virus found
    Symantec 8.0 07.20.2005 no virus found
    TheHacker 5.8.2.074 07.20.2005 no virus found
    VBA32 3.10.4 07.20.2005 no virus found
    0
  8. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    pourtant il y est fait ceci pour le voir
    Affiche tous les fichiers et dossiers :
    cliquer sur démarrer/panneau de configuration/option des dossiers/affichage
    Cocher afficher les dossiers cacher

    Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"

    Décocher masquer les extensions dont le type est connu
    Puis fais "Ok" pour valider les changements.

    Et appliquer
    et recommence sur le scan http://www.virustotal.com/xhtml/virustotal_en.html
    0
    1. kaizermilou Messages postés 77 Statut Membre
       
      scuze moi balltrap j ai du partir
      voila j ai trouve le fichier
      et tu as raison il y a un virus
      This is a report processed by VirusTotal on 07/21/2005 at 20:49:42 (CET) after scanning the file "msnupd.exe" file.
      Antivirus Version Update Result
      AntiVir 6.31.1.0 07.21.2005 no virus found
      AVG 718 07.19.2005 no virus found
      Avira 6.31.1.0 07.21.2005 no virus found
      BitDefender 7.0 07.21.2005 no virus found
      CAT-QuickHeal 7.03 07.21.2005 (Suspicious) - DNAScan
      ClamAV devel-20050712 07.21.2005 no virus found
      DrWeb 4.32b 07.21.2005 no virus found
      eTrust-Iris 7.1.194.0 07.21.2005 no virus found
      eTrust-Vet 11.9.1.0 07.21.2005 no virus found
      Fortinet 2.36.0.0 07.21.2005 no virus found
      F-Prot 3.16c 07.21.2005 no virus found
      Ikarus 2.32 07.21.2005 no virus found
      Kaspersky 4.0.2.24 07.21.2005 no virus found
      McAfee 4540 07.21.2005 W32/Sdbot.worm.gen.t
      NOD32v2 1.1174 07.20.2005 no virus found
      Norman 5.70.10 07.21.2005 no virus found
      Panda 8.02.00 07.21.2005 W32/Sdbot.EGA.worm
      Sybari 7.5.1314 07.21.2005 W32/Sdbot.worm.gen.t
      Symantec 8.0 07.21.2005 W32.Spybot.Worm
      TheHacker 5.8.2.074 07.20.2005 no virus found
      VBA32 3.10.4 07.21.2005 no virus found
      0
  9. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    salut fait ceci stp et donne le rapport

    ouvre le bloc note et fais un copier coller de ce qui est en gras ci-dessous:

    regedit /e log.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
    regedit /e log1.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
    regedit /e log2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices"
    regedit /e log3.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
    regedit /e log4.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    regedit /e log5.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
    regedit /e log6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"
    regedit /e log7.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
    regedit /e log8.txt "HKEY_CURRENT_USER\Software\Microsoft\OL E"
    type log.txt>>queud.txt
    if exist log.txt del log.txt
    type log1.txt>>queud.txt
    if exist log1.txt del log1.txt
    type log2.txt>>queud.txt
    if exist log2.txt del log2.txt
    type log3.txt>>queud.txt
    if exist log3.txt del log3.txt
    type log4.txt>>queud.txt
    if exist log4.txt del log4.txt
    type log5.txt>>queud.txt
    if exist log5.txt del log5.txt
    type log6.txt>>queud.txt
    if exist log6.txt del log6.txt
    type log7.txt>>queud.txt
    if exist log7.txt del log7.txt
    type log8.txt>>queud.txt
    if exist log8.txt del log7.txt
    notepad queud.txt
    if exist queud.txt del queud.txt
    exit

    clic sur enregistrer sous
    choisis le bureau pour l'endroit de sauvegarde
    Nom du fichier: tape search.cmd
    dans type de fichier choisis "tous les fichiers"
    valide
    0
    1. kaizermilou Messages postés 77 Statut Membre
       
      salut balltrap
      j ai fait ce que tu m as demande
      mais je comprends pas trop ce que tu me demandé de faire.copier coller ce que tu m a repondu ou est ce que je devais rechercher les fichiers?
      0
      1. Fisherprice Messages postés 1428 Date d'inscription   Statut Contributeur Dernière intervention   484 > kaizermilou Messages postés 77 Statut Membre
         
        0
  10. kaizermilou Messages postés 77 Statut Membre
     
    salut fisher ok
    mais je voulais dire je copie ce que balltrap a ecrit sur son message ,ou est ce que je dois rechercher dans regedit les lignes demandées ,les coller et les analyser?
    0
  11. balltrap34 Messages postés 16241 Statut Contributeur sécurité 332
     
    copier dans le bloc note ce qui est en gras

    regedit /e log.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run"
    regedit /e log1.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce"
    regedit /e log2.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices"
    regedit /e log3.txt "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
    regedit /e log4.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
    regedit /e log5.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce"
    regedit /e log6.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices"
    regedit /e log7.txt "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce"
    regedit /e log8.txt "HKEY_CURRENT_USER\Software\Microsoft\OL E"
    type log.txt>>queud.txt
    if exist log.txt del log.txt
    type log1.txt>>queud.txt
    if exist log1.txt del log1.txt
    type log2.txt>>queud.txt
    if exist log2.txt del log2.txt
    type log3.txt>>queud.txt
    if exist log3.txt del log3.txt
    type log4.txt>>queud.txt
    if exist log4.txt del log4.txt
    type log5.txt>>queud.txt
    if exist log5.txt del log5.txt
    type log6.txt>>queud.txt
    if exist log6.txt del log6.txt
    type log7.txt>>queud.txt
    if exist log7.txt del log7.txt
    type log8.txt>>queud.txt
    if exist log8.txt del log7.txt
    notepad queud.txt
    if exist queud.txt del queud.txt
    exit


    clic sur enregistrer sous
    choisis le bureau pour l'endroit de sauvegarde
    Nom du fichier: tape search.cmd
    dans type de fichier choisis "tous les fichiers"
    valide

    0
  12. kaizermilou Messages postés 77 Statut Membre
     
    salut balltrap
    de mon cote j ai passe stinger il m a virer sdbot.j ai plusieurs analyse avec kapersky et tune up 2004 apparrement je suis quasiment clean.il me restait un trjan win 32 pakes mais il a lair d etre bloquer ou kapersky me la virer .pour l instant tout va bien.si besoin je recontacte merci pour l aide
    0
  13. jess57250 Messages postés 1 Statut Membre
     
    HELP!!!!
    je souhaiterais savoir comment supprimer un rootkit...
    mon probleme c est que g appris kon m avait pirater msn messenger...
    suite a sa j fais un scann avec avast...
    et sa ma detecter un rootkit ( fichier:\ WINDOWS\system32\kdsda.exe) ( rootkit: fichiers cechés)
    nom du malware: win32:PolyCrypt.AV [Tij]
    avec un virus ki ma infecter 3 fichiers.... je voudrais savoir comment le supprimer DEFINITEVEMENT?????
    merci
    0