Un soucis avec virus Rootkit-gen
justine0570
Messages postés
26
Statut
Membre
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
Depuis une semaine Avast 4.8 me détecte un rootkit-gen.
J'ai parcouru plusieurs forums et j'ai téléchargé un autre anti-virus pour être sur que ce n'était pas un faux-virus détecté par Avast mais non, mon autre anti-virus me détecte bien aussi ce Rootkit.
J'ai suivi plusieurs forums et plusieurs procédures pour tenter de le supprimer mais rien n'y fait.
Ces forums datent de 2008 alors je me dis que ce rootkit a peut-être évolué.
Etant hyper nul en procédure et anti-virus, je fais appel à vous pour trouver une ame charitable qui pourrait m'assister dans le retrait de ce Rootkit car j'ignore ce dont il est capable.
Pour infos, j'utilise AVAST 4.8 comme anti-virus, Spybot, C-Cleaner et le pare-feu de windows mais il est passé quand même.
Merci d'avance de venir à mon aide en essayant de rester très simple et très explicite dans votre aide car je le rappelle, je suis vraiment nul....
Depuis une semaine Avast 4.8 me détecte un rootkit-gen.
J'ai parcouru plusieurs forums et j'ai téléchargé un autre anti-virus pour être sur que ce n'était pas un faux-virus détecté par Avast mais non, mon autre anti-virus me détecte bien aussi ce Rootkit.
J'ai suivi plusieurs forums et plusieurs procédures pour tenter de le supprimer mais rien n'y fait.
Ces forums datent de 2008 alors je me dis que ce rootkit a peut-être évolué.
Etant hyper nul en procédure et anti-virus, je fais appel à vous pour trouver une ame charitable qui pourrait m'assister dans le retrait de ce Rootkit car j'ignore ce dont il est capable.
Pour infos, j'utilise AVAST 4.8 comme anti-virus, Spybot, C-Cleaner et le pare-feu de windows mais il est passé quand même.
Merci d'avance de venir à mon aide en essayant de rester très simple et très explicite dans votre aide car je le rappelle, je suis vraiment nul....
A voir également:
- Un soucis avec virus Rootkit-gen
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Win32pup-gen ✓ - Forum Linux / Unix
47 réponses
OK,
Cela a l'air tout bon.
Ton antivirus ne devrait plus te donner des alertes.
Relance gmer et poste le rapport.
A+
Cela a l'air tout bon.
Ton antivirus ne devrait plus te donner des alertes.
Relance gmer et poste le rapport.
A+
je n'arrive pas à lancer Gmer aloers que tout à l'heure il fonctionnait.
Je le lance, il s'ouvre, commence à faire son analyse et au bout de quelques secondes, il se fige en ayant analyser seulement 5 lignes puis plus rien.
J'ai redémarré l'ordi pensant que ça permettrait de relancer Gmer, mon antivirus est bien coupé...
Je comprend pas mais je crois que tu as réussis à retirer ce fameux rootkit.
Je le lance, il s'ouvre, commence à faire son analyse et au bout de quelques secondes, il se fige en ayant analyser seulement 5 lignes puis plus rien.
J'ai redémarré l'ordi pensant que ça permettrait de relancer Gmer, mon antivirus est bien coupé...
Je comprend pas mais je crois que tu as réussis à retirer ce fameux rootkit.
Re,
1/ On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.
Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.
2/ retélécharge gmer comme dans le lien :
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1
Lance le et poste le rapport.
A+
1/ On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/
Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.
Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.
2/ retélécharge gmer comme dans le lien :
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1
Lance le et poste le rapport.
A+
J'ai réussi à lancer Gmer.
Dès l'analyse terminée, je te met le rapport et je ferai ensuite le nettoyage.
Dès l'analyse terminée, je te met le rapport et je ferai ensuite le nettoyage.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
justine,
Du coup, si tu as réussi à passer gmer, attends avant d'utiliser ToolsCleaner.
On le ferra à la fin.
A+
Du coup, si tu as réussi à passer gmer, attends avant d'utiliser ToolsCleaner.
On le ferra à la fin.
A+
Bon, visiblement, le scan de Gmer n'a pas fonctionné car ça a été très long et une fois terminé, il ne m'a sorti aucun rapport....
Je passe à la solution toolscleaner
Je passe à la solution toolscleaner
Voici le rapport de Toolscleaner :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix.txt: trouvé !
C:\!Killbox: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\!Killbox: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix.txt: trouvé !
C:\!Killbox: trouvé !
C:\Qoobox: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: trouvé !
C:\Program Files\Trend Micro\HijackThis: trouvé !
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
C:\WINDOWS\mbr.exe: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
C:\Combofix.txt: supprimé !
C:\Documents and Settings\HP_Propriétaire\Bureau\dds.scr: supprimé !
C:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\WINDOWS\mbr.exe: supprimé !
C:\!Killbox: supprimé !
C:\Qoobox: supprimé !
C:\Rsit: supprimé !
C:\Program Files\Trend Micro\HijackThis: supprimé !
Re,
C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
Vérifie si Combofix et gmer sur ton bureau ont été supprimés, sinon fais-le.
Ressaye gmer en le retéléchargeant, stp.
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1
A+
C:\Documents and Settings\HP_Propriétaire\Bureau\Gmer.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\HP_Propriétaire\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
Vérifie si Combofix et gmer sur ton bureau ont été supprimés, sinon fais-le.
Ressaye gmer en le retéléchargeant, stp.
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen#1
A+
J'ai bien retiré manuellement Gmer et Combofix.
Puis j'ai retéléchargé Gmer puis je l'ai lancé mais avec le me^me résultat..... l'analyse s'arrête après seulement quelques secondes.
Désolé, je n'y arrive pas.
Je pense néanmoins que le virus a bien été retiré non ?
Puis j'ai retéléchargé Gmer puis je l'ai lancé mais avec le me^me résultat..... l'analyse s'arrête après seulement quelques secondes.
Désolé, je n'y arrive pas.
Je pense néanmoins que le virus a bien été retiré non ?
Oui, je pense aussi.
Deux analyses pour vérifier que le PC est propre.
1/ malwarebytes est présent sur le PC.
Mets le à jour et lance un scan complet.
# Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
# Clique sur lancer l’examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
2/ Fais un scan en ligne.
tuto : https://forum.pcastuces.com/default.asp
Posté également le rapport.
A+
Deux analyses pour vérifier que le PC est propre.
1/ malwarebytes est présent sur le PC.
Mets le à jour et lance un scan complet.
# Dans l’onglet Recherche, sélectionne Exécuter un examen complet.
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur.
# Clique sur lancer l’examen.
# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection.
Tu postes le rapport dans ton prochain message.
Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet Rapport/logs. Il y est. Clique dessus et choisir ouvrir.
2/ Fais un scan en ligne.
tuto : https://forum.pcastuces.com/default.asp
Posté également le rapport.
A+
quand on fait un scan complet avec malawarebytes (par exemple), faut-il toujours déconnecter l'antivirus ?
Pas bon signe....
Pendant mon analyse malawarebytes, Avast vient de me retrouver le même Rootkit + 1 Vers que je viens de mettre en quarantaine....
Je vais pas m'en sortir de ce fichu rootkit-gen....
J'attend la fin de l'analyse de malawarebytes
Pendant mon analyse malawarebytes, Avast vient de me retrouver le même Rootkit + 1 Vers que je viens de mettre en quarantaine....
Je vais pas m'en sortir de ce fichu rootkit-gen....
J'attend la fin de l'analyse de malawarebytes
nota :
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/mbamswissarmy-positif-detecte-sujet_200832_1.htm
supprime les anciennes versions de java
http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara
adobe reader à mettre à jour v.9.x.x
comment utilises tu spybot?
http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/Questions-techniques/mbamswissarmy-positif-detecte-sujet_200832_1.htm
supprime les anciennes versions de java
http://www.libellules.ch/dotclear/index.php?post/2008/07/13/2689-javara
adobe reader à mettre à jour v.9.x.x
comment utilises tu spybot?
C'est le même oui enfin il me semble.
Il porte le même nom mais peut-être que le chemin n'est pas le même, j'ai pas fais gaffe quand Avast s'est déclenché
Il porte le même nom mais peut-être que le chemin n'est pas le même, j'ai pas fais gaffe quand Avast s'est déclenché
Voici le rapport de Malwarebytes :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3824
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
04/03/2010 22:10:03
mbam-log-2010-03-04 (22-10-03).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 185186
Temps écoulé: 28 minute(s), 42 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP23\A0008602.sys (HackTool.Agent) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3824
Windows 5.1.2600 Service Pack 2
Internet Explorer 8.0.6001.18702
04/03/2010 22:10:03
mbam-log-2010-03-04 (22-10-03).txt
Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 185186
Temps écoulé: 28 minute(s), 42 second(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP23\A0008602.sys (HackTool.Agent) -> Quarantined and deleted successfully.
Tu vas utiliser un autre antirootkit pour vérifier la présence du rootkit.
· Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
o http://ad13.geekstogo.com/RootRepeal.exe
o https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe
· Double clique sur RootRepeal.exe
( Si sous vista -> Choisir exécuter en tant qu’administrateur )
· Clique sur l'onglet Report puis sur le bouton Scan.
· Sélectionne ensuite chacune des cases ( Drivers, Files, processes, … )
· Valide en cliquant sur Ok
· Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
· RootRepeal va maintenant scanner ton PC. .
· Une fois les analyses terminées, clique sur le bouton Save Report .Sauvegarde le rapport sur ton bureau
· Poste-le .
A+
· Télécharge RootRepeal à partir d'un des liens suivants et enregistre-le sur ton bureau.
o http://ad13.geekstogo.com/RootRepeal.exe
o https://download.bleepingcomputer.com/rootrepeal/RootRepeal.exe
· Double clique sur RootRepeal.exe
( Si sous vista -> Choisir exécuter en tant qu’administrateur )
· Clique sur l'onglet Report puis sur le bouton Scan.
· Sélectionne ensuite chacune des cases ( Drivers, Files, processes, … )
· Valide en cliquant sur Ok
· Une fenêtre va s'ouvrir. Sélectionne ton disque dur ( genéralement C: ), et valide.
· RootRepeal va maintenant scanner ton PC. .
· Une fois les analyses terminées, clique sur le bouton Save Report .Sauvegarde le rapport sur ton bureau
· Poste-le .
A+
Désolé Verni29, je suis parti au dodo hier soir mais je serai de retour ce soir pour tenter d'enrayer ce fichu rootkit vraiment coriace.
En tout cas, merci de ce que tu fais pour moi, c'est vraiment gentil de ta part.
Je repartirai ce soir avec le téléchargement de l'anti-rootkit dont tu m'as mis le lien hier soir.
Je lancerai aussi Avast pour te donner le lien du rootkit pour vois si c'est toujours le même chemin.
En tout cas, merci de ce que tu fais pour moi, c'est vraiment gentil de ta part.
Je repartirai ce soir avec le téléchargement de l'anti-rootkit dont tu m'as mis le lien hier soir.
Je lancerai aussi Avast pour te donner le lien du rootkit pour vois si c'est toujours le même chemin.
