Un soucis avec virus Rootkit-gen - Page 2

Précédent
  • 1
  • 2
  • 3
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    OK,

    Cela a l'air tout bon.
    Ton antivirus ne devrait plus te donner des alertes.

    Relance gmer et poste le rapport.

    A+
    0
  2. justine0570 Messages postés 26 Statut Membre
     
    je n'arrive pas à lancer Gmer aloers que tout à l'heure il fonctionnait.
    Je le lance, il s'ouvre, commence à faire son analyse et au bout de quelques secondes, il se fige en ayant analyser seulement 5 lignes puis plus rien.

    J'ai redémarré l'ordi pensant que ça permettrait de relancer Gmer, mon antivirus est bien coupé...
    Je comprend pas mais je crois que tu as réussis à retirer ce fameux rootkit.
    0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    1/ On va enlever les logiciels qui ont été utilisés..
    Télécharge ToolsCleaner .sur le bureau
    http://pc-system.fr/

    Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
    Il est possible que ton bureau disparaisse.

    Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

    2/ retélécharge gmer comme dans le lien :
    https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1
    Lance le et poste le rapport.

    A+
    0
  4. justine0570 Messages postés 26 Statut Membre
     
    J'ai réussi à lancer Gmer.
    Dès l'analyse terminée, je te met le rapport et je ferai ensuite le nettoyage.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    justine,

    Du coup, si tu as réussi à passer gmer, attends avant d'utiliser ToolsCleaner.
    On le ferra à la fin.

    A+
    0
  7. justine0570 Messages postés 26 Statut Membre
     
    Bon, visiblement, le scan de Gmer n'a pas fonctionné car ça a été très long et une fois terminé, il ne m'a sorti aucun rapport....

    Je passe à la solution toolscleaner
    0
  8. justine0570 Messages postés 26 Statut Membre
     
    Voici le rapport de Toolscleaner :

    [ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

    --> Recherche:

    C:\Combofix.txt: trouvé !
    C:\!Killbox: trouvé !
    C:\Qoobox: trouvé !
    C:\Rsit: trouvé !
    C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: trouvé !
    C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: trouvé !
    C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: trouvé !
    C:\Program Files\Trend Micro\HijackThis: trouvé !
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
    C:\Qoobox\Quarantine\catchme.log: trouvé !
    C:\WINDOWS\mbr.exe: trouvé !

    ---------------------------------
    --> Suppression:

    C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
    C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
    C:\Combofix.txt: supprimé !
    C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: supprimé !
    C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
    C:\Qoobox\Quarantine\catchme.log: supprimé !
    C:\WINDOWS\mbr.exe: supprimé !
    C:\!Killbox: supprimé !
    C:\Qoobox: supprimé !
    C:\Rsit: supprimé !
    C:\Program Files\Trend Micro\HijackThis: supprimé !
    0
  9. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
    C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!

    Vérifie si Combofix et gmer sur ton bureau ont été supprimés, sinon fais-le.

    Ressaye gmer en le retéléchargeant, stp.
    https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1

    A+
    0
  10. justine0570 Messages postés 26 Statut Membre
     
    J'ai bien retiré manuellement Gmer et Combofix.
    Puis j'ai retéléchargé Gmer puis je l'ai lancé mais avec le me^me résultat..... l'analyse s'arrête après seulement quelques secondes.

    Désolé, je n'y arrive pas.

    Je pense néanmoins que le virus a bien été retiré non ?
    0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Oui, je pense aussi.

    Deux analyses pour vérifier que le PC est propre.

    1/ malwarebytes est présent sur le PC.

    Mets le à jour et lance un scan complet.

    # Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
    # Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
    # Clique sur lancer l’examen.

    # A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
    # Si des infections sont trouvées, clique sur Supprimer la sélection.
    Tu postes le rapport dans ton prochain message.

    Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.

    2/ Fais un scan en ligne.
    tuto : https://forum.pcastuces.com/default.asp
    Posté également le rapport.

    A+
    0
  12. justine0570 Messages postés 26 Statut Membre
     
    quand on fait un scan complet avec malawarebytes (par exemple), faut-il toujours déconnecter l'antivirus ?
    0
  13. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Non, ce n'est pas nécessaire de désactiver l'antivirus.

    A+
    0
  14. justine0570 Messages postés 26 Statut Membre
     
    Pas bon signe....

    Pendant mon analyse malawarebytes, Avast vient de me retrouver le même Rootkit + 1 Vers que je viens de mettre en quarantaine....

    Je vais pas m'en sortir de ce fichu rootkit-gen....

    J'attend la fin de l'analyse de malawarebytes
    0
    1. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 381
       
      nota :
      http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/mbamswissarmy-positif-detecte-sujet_200832_1.htm

      supprime les anciennes versions de java
      http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara

      adobe reader à mettre à jour v.9.x.x

      comment utilises tu spybot?
      0
  15. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Coriace.
    C'est le même chemin ? le même fichier ?
    0
  16. justine0570 Messages postés 26 Statut Membre
     
    C'est le même oui enfin il me semble.
    Il porte le même nom mais peut-être que le chemin n'est pas le même, j'ai pas fais gaffe quand Avast s'est déclenché
    0
  17. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    La prochaine fois, vérifie-le :
    C:\WINDOWS\system32\Drivers\isfby.sys

    A+
    0
  18. justine0570 Messages postés 26 Statut Membre
     
    Voici le rapport de Malwarebytes :

    Malwarebytes' Anti-Malware 1.44
    Version de la base de données: 3824
    Windows 5.1.2600 Service Pack 2
    Internet Explorer 8.0.6001.18702

    04/03/2010 22:10:03
    mbam-log-2010-03-04 (22-10-03).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 185186
    Temps écoulé: 28 minute(s), 42 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP23\A0008602.sys (HackTool.Agent) -> Quarantined and deleted successfully.
    0
  19. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Tu vas utiliser un autre antirootkit pour vérifier la présence du rootkit.

    · Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
    o http://ad13.geekstogo.com/RootRepeal.exe
    o https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe

    · Double clique sur RootRepeal.exe
    ( Si sous vista -> Choisir exécuter en tant qu’administrateur )
    · Clique sur l'onglet Report puis sur le bouton Scan.
    · Sélectionne ensuite chacune des cases ( Drivers, Files, processes, … )
    · Valide en cliquant sur Ok
    · Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
    · RootRepeal va maintenant scanner ton PC. .
    · Une fois les analyses terminées, clique sur le bouton Save Report .Sauvegarde le rapport sur ton bureau
    · Poste-le .

    A+
    0
  20. justine0570 Messages postés 26 Statut Membre
     
    Désolé Verni29, je suis parti au dodo hier soir mais je serai de retour ce soir pour tenter d'enrayer ce fichu rootkit vraiment coriace.

    En tout cas, merci de ce que tu fais pour moi, c'est vraiment gentil de ta part.

    Je repartirai ce soir avec le téléchargement de l'anti-rootkit dont tu m'as mis le lien hier soir.
    Je lancerai aussi Avast pour te donner le lien du rootkit pour vois si c'est toujours le même chemin.
    0
  21. Redbart Messages postés 20952 Date d'inscription   Statut Membre Dernière intervention   3 381
     
    Bsr
    après les scans
    supprimer les points de restauration
    supprimer les fichiers temporaires
    supprimer les fichiers de quarantaine (de tous les anti-...)
    nettoyer C:\windows\prefetch\xx..xx.pf
    chkdsk C:\f :r

    etc.
    0
Précédent
  • 1
  • 2
  • 3