Un soucis avec virus Rootkit-gen
justine0570
Messages postés
26
Statut
Membre
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
Depuis une semaine Avast 4.8 me détecte un rootkit-gen.
J'ai parcouru plusieurs forums et j'ai téléchargé un autre anti-virus pour être sur que ce n'était pas un faux-virus détecté par Avast mais non, mon autre anti-virus me détecte bien aussi ce Rootkit.
J'ai suivi plusieurs forums et plusieurs procédures pour tenter de le supprimer mais rien n'y fait.
Ces forums datent de 2008 alors je me dis que ce rootkit a peut-être évolué.
Etant hyper nul en procédure et anti-virus, je fais appel à vous pour trouver une ame charitable qui pourrait m'assister dans le retrait de ce Rootkit car j'ignore ce dont il est capable.
Pour infos, j'utilise AVAST 4.8 comme anti-virus, Spybot, C-Cleaner et le pare-feu de windows mais il est passé quand même.
Merci d'avance de venir à mon aide en essayant de rester très simple et très explicite dans votre aide car je le rappelle, je suis vraiment nul....
Depuis une semaine Avast 4.8 me détecte un rootkit-gen.
J'ai parcouru plusieurs forums et j'ai téléchargé un autre anti-virus pour être sur que ce n'était pas un faux-virus détecté par Avast mais non, mon autre anti-virus me détecte bien aussi ce Rootkit.
J'ai suivi plusieurs forums et plusieurs procédures pour tenter de le supprimer mais rien n'y fait.
Ces forums datent de 2008 alors je me dis que ce rootkit a peut-être évolué.
Etant hyper nul en procédure et anti-virus, je fais appel à vous pour trouver une ame charitable qui pourrait m'assister dans le retrait de ce Rootkit car j'ignore ce dont il est capable.
Pour infos, j'utilise AVAST 4.8 comme anti-virus, Spybot, C-Cleaner et le pare-feu de windows mais il est passé quand même.
Merci d'avance de venir à mon aide en essayant de rester très simple et très explicite dans votre aide car je le rappelle, je suis vraiment nul....
A voir également:
- Un soucis avec virus Rootkit-gen
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Win32pup-gen ✓ - Forum Linux / Unix
47 réponses
Salut, redbart
Tu veux prendre la suite ??
Sinon, je ne comprends pas trop le pourquoi de mettre ce genre de consignes.
@+
Tu veux prendre la suite ??
Sinon, je ne comprends pas trop le pourquoi de mettre ce genre de consignes.
@+
Bonsoir Verni29, je suis de retour du travail et je peux me remettre sur ce satané virus.
Pas de soucis me concernant, je continues uniquement avec toi.
Je télécharge l'anti-rootkit que tu m'as recommandé dans ton dernier Post d'hier soir.
Pas de soucis me concernant, je continues uniquement avec toi.
Je télécharge l'anti-rootkit que tu m'as recommandé dans ton dernier Post d'hier soir.
Voici le rapport de Rootrepeal :
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/03/05 18:47
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xA9881000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xBAE2A000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA856A000 Size: 49152 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a
Status: Locked to the Windows API!
SSDT
-------------------
#: 025 Function Name: NtClose
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec6b8
#: 041 Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec574
#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98eca52
#: 068 Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec14c
#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec64e
#: 122 Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec08c
#: 128 Function Name: NtOpenThread
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec0f0
#: 177 Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec76e
#: 204 Function Name: NtRestoreKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec72e
#: 247 Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec8ae
==EOF==
ROOTREPEAL (c) AD, 2007-2009
==================================================
Scan Start Time: 2010/03/05 18:47
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP2
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xA9881000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xBAE2A000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xA856A000 Size: 49152 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a
Status: Locked to the Windows API!
SSDT
-------------------
#: 025 Function Name: NtClose
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec6b8
#: 041 Function Name: NtCreateKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec574
#: 065 Function Name: NtDeleteValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98eca52
#: 068 Function Name: NtDuplicateObject
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec14c
#: 119 Function Name: NtOpenKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec64e
#: 122 Function Name: NtOpenProcess
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec08c
#: 128 Function Name: NtOpenThread
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec0f0
#: 177 Function Name: NtQueryValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec76e
#: 204 Function Name: NtRestoreKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec72e
#: 247 Function Name: NtSetValueKey
Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xa98ec8ae
==EOF==
Bonsoir, Justine
Rootrepeal ne révèle rien.
1/ Effectivement passe Avast.
Poste le rapport.
2/ fais également un scan en ligne comme sur le message :
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen?page=2#30
Je ne serais pas présent ce soir.
Je dois m'absenter.
A+
Rootrepeal ne révèle rien.
1/ Effectivement passe Avast.
Poste le rapport.
2/ fais également un scan en ligne comme sur le message :
https://forums.commentcamarche.net/forum/affich-16869084-un-soucis-avec-virus-rootkit-gen?page=2#30
Je ne serais pas présent ce soir.
Je dois m'absenter.
A+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Avast n'a rien détecté, le scan n'a trouvé aucun fichier infecté.
je lance le scan en ligne pour confirmation mais je pense que tu a dompté la bête !!!!
Si c'est bien le cas, je te remercie infiniment Verni29
je lance le scan en ligne pour confirmation mais je pense que tu a dompté la bête !!!!
Si c'est bien le cas, je te remercie infiniment Verni29
Voici le rapport de bitfinder :
BitDefender Online Scanner - Rapport virus en temps rel
Gnr : Fri, Mar 05, 2010 - 19:56:25
--------------------------------------------------------------------------------
Info d'analyse
Fichiers scanns
94946
Infects Fichiers
0
Virus Dtects
Aucun virus trouvé.
Bon boulot, je crois que tu as réussi à me sortir de l'embarras.
Si je peux quoiquecesoit pour te remercier, n'hésites pas.
Merci encore
BitDefender Online Scanner - Rapport virus en temps rel
Gnr : Fri, Mar 05, 2010 - 19:56:25
--------------------------------------------------------------------------------
Info d'analyse
Fichiers scanns
94946
Infects Fichiers
0
Virus Dtects
Aucun virus trouvé.
Bon boulot, je crois que tu as réussi à me sortir de l'embarras.
Si je peux quoiquecesoit pour te remercier, n'hésites pas.
Merci encore
Justine0570,
Bonnes nouvelles. :-)
Mets le PC à jour. Important pour éviter des failles de sécurité.
1/ Désinstalle la version actuelle d'acrobat reader ( v 7 )
Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/
2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/
* Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
* Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
* Choisis la langue ( français )
Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.
- Mise à jour :
* clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
* Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
* Si oui, clique sur Installer puis suis les invites.
Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp
- Suppression des anciennes versions :
* Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
* Suis les invites.
* Il te sera précisé de la suppression les versions trouvées et supprimées
Un rapport sera crée.Poste-le.
On termine ensuite.
A+
Bonnes nouvelles. :-)
Mets le PC à jour. Important pour éviter des failles de sécurité.
1/ Désinstalle la version actuelle d'acrobat reader ( v 7 )
Mets à jour Acrobat Reader. Il est la cible d'attaques et il est important d'avoir la dernière version sur son PC.
https://get2.adobe.com/fr/reader/otherversions/
2/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/
* Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
* Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
* Choisis la langue ( français )
Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.
- Mise à jour :
* clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
* Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
* Si oui, clique sur Installer puis suis les invites.
Note : Si tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp
- Suppression des anciennes versions :
* Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
* Suis les invites.
* Il te sera précisé de la suppression les versions trouvées et supprimées
Un rapport sera crée.Poste-le.
On termine ensuite.
A+
