Rootkit détecté par avast et malwarebytes
gpperrine
-
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
pimprenelle27 Messages postés 22182 Statut Contributeur sécurité -
Bonjour,
j'ai avast qui me détecte un rootkit mais il n'arrive pas a le supprimer.
j'ai donc passé malwarebytes, il me le trouve mais n'arrive pas à ma le supprimer non plus...
il s'agit de C:\WINDOWS\system32\drivers\tuuxsly.sys (Rootkit.Agent) -> Delete on reboot.
je ne sait plus quoi faire (j'avoue que je suis nulle en informatique ...)
pouvez vous m'aider ?
merci,
<config>Windows XP
j'ai avast qui me détecte un rootkit mais il n'arrive pas a le supprimer.
j'ai donc passé malwarebytes, il me le trouve mais n'arrive pas à ma le supprimer non plus...
il s'agit de C:\WINDOWS\system32\drivers\tuuxsly.sys (Rootkit.Agent) -> Delete on reboot.
je ne sait plus quoi faire (j'avoue que je suis nulle en informatique ...)
pouvez vous m'aider ?
merci,
<config>Windows XP
A voir également:
- Rootkit détecté par avast et malwarebytes
- Télécharger malwarebytes - Télécharger - Antivirus & Antimalwares
- Clé usb non detecté - Guide
- Désinstaller avast - Télécharger - Antivirus & Antimalwares
- Malwarebytes adwcleaner - Télécharger - Antivirus & Antimalwares
- Le logiciel amd a détecté un dépassement de délai du pilote ✓ - Forum Carte graphique
7 réponses
Bonjour,
Pour malwarebyte's c'est marqué : Delete on reboot.
Donc il sera supprimer au redémarage de l'ordi.
Peux tu me faire ceci afin de voir de quel rootkit il s'agit et ensuite me faire un diagnostic de ton pc :
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Ensuite :
==> Télécharge ZHPDiag (de Nicolas Coolman)
ou :ZHPDiag
==> Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,
==> Lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.
==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.
==> Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse,
==> Clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt
==> Clique sur Ouvrir.
==> Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
==> Copie ce lien dans ta réponse.
Pour malwarebyte's c'est marqué : Delete on reboot.
Donc il sera supprimer au redémarage de l'ordi.
Peux tu me faire ceci afin de voir de quel rootkit il s'agit et ensuite me faire un diagnostic de ton pc :
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\
* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Ensuite :
==> Télécharge ZHPDiag (de Nicolas Coolman)
ou :ZHPDiag
==> Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,
==> Lance ZHPDiag.exe et clique sur suivant pour lancer l'installation dans la fenêtre qui s'ouvre.
==> Clique sur le tournevis en haut à droite (option) puis cocher toutes les cases des options.
==> Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse,
==> Clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
==> Clique sur Parcourir et cherche le fichier ZHPDiag.txt
==> Clique sur Ouvrir.
==> Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt
est ajouté dans la page.
==> Copie ce lien dans ta réponse.
Pour malwarebyte's c'est marqué : Delete on reboot.
Donc il sera supprimer au redémarage de l'ordi.
j'ai redémarré mais il est toujours là ...
Donc il sera supprimer au redémarage de l'ordi.
j'ai redémarré mais il est toujours là ...
bonjour,
voila le rapport de gmer...
je n'ai pas pu t'envoyer le lien car ci joint n'accepte pas le format .log (et je suis tellement nulle...)
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-05 17:27:38
Windows 5.1.2600 Service Pack 2
Running: gdn5gopd.exe; Driver: C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\kglcipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF54826B8] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF5482574] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF5482A52] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF548214C] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF548264E] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF548208C] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF54820F0] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF548276E] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF548272E] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF54828AE] <-- ROOTKIT !!!
---- Kernel code sections - GMER 1.0.15 ----
? tepdgomn.sys Le fichier spécifié est introuvable. !
? hvxfeby.sys Le fichier spécifié est introuvable. !
? wlalb.sys Le fichier spécifié est introuvable. !
.pak2 C:\WINDOWS\system32\drivers\tuuxsly.sys entry point in ".pak2" section [0xF736AB97]
? C:\WINDOWS\system32\drivers\tuuxsly.sys Un périphérique attaché au système ne fonctionne pas correctement.
PAGE Ntfs.sys F7203C55 4 Bytes CALL 85975131
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xEC275300, 0x3AE88, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7888300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[2240] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[700] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[700] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 859038A0
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] tuuxsly <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@Start 0
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@Group Boot Bus Extender
---- EOF - GMER 1.0.15 ----
voila le rapport de gmer...
je n'ai pas pu t'envoyer le lien car ci joint n'accepte pas le format .log (et je suis tellement nulle...)
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-05 17:27:38
Windows 5.1.2600 Service Pack 2
Running: gdn5gopd.exe; Driver: C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\kglcipow.sys
---- System - GMER 1.0.15 ----
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF54826B8] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF5482574] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF5482A52] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF548214C] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF548264E] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF548208C] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF54820F0] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF548276E] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF548272E] <-- ROOTKIT !!!
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF54828AE] <-- ROOTKIT !!!
---- Kernel code sections - GMER 1.0.15 ----
? tepdgomn.sys Le fichier spécifié est introuvable. !
? hvxfeby.sys Le fichier spécifié est introuvable. !
? wlalb.sys Le fichier spécifié est introuvable. !
.pak2 C:\WINDOWS\system32\drivers\tuuxsly.sys entry point in ".pak2" section [0xF736AB97]
? C:\WINDOWS\system32\drivers\tuuxsly.sys Un périphérique attaché au système ne fonctionne pas correctement.
PAGE Ntfs.sys F7203C55 4 Bytes CALL 85975131
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xEC275300, 0x3AE88, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF7888300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Mozilla Firefox\firefox.exe[2240] ntdll.dll!LdrLoadDll 7C925CBB 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)
---- User IAT/EAT - GMER 1.0.15 ----
IAT C:\WINDOWS\system32\services.exe[700] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
IAT C:\WINDOWS\system32\services.exe[700] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 859038A0
AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
---- Services - GMER 1.0.15 ----
Service (*** hidden *** ) [BOOT] tuuxsly <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@Type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@Start 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@ErrorControl 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\tuuxsly@Group Boot Bus Extender
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@Type 1
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@Start 0
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@ErrorControl 0
Reg HKLM\SYSTEM\ControlSet003\Services\tuuxsly@Group Boot Bus Extender
---- EOF - GMER 1.0.15 ----
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Fait moi ceci maintenant, attention ceci n'est pas à faire sr tout les Pc il est pour ce cas :
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
si combofix n'a pas installé la console de récupération, suivre ceci pour l'installe et relance combofix ensuite : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html
* Sous Vista : ▶ Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
▶ Clique sur Démarrer puis sur panneau de configuration
▶ Double Clique sur l'icône "Comptes d'utilisateurs"
▶ Clique ensuite sur désactiver et valide.
▶ Redémarre le PC
▶ Télécharge Combofix de sUBs
▶ et enregistre le sur le Bureau.
▶ désactive tes protections et ferme toutes tes applications(antivirus, parefeu, garde en temps réel de l'antispyware)
Voici le tutoriel officiel de Bleeping Computer pour savoir l utiliser :
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
▶ Je te conseille d'installer la console de récupération !!
ensuite envois le rapport stp
si combofix n'a pas installé la console de récupération, suivre ceci pour l'installe et relance combofix ensuite : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html
pour la deuxieme partie du premier message, j'ai lancé zhpdiag, mais il est bloqué depuis un bon moment toujours a cause de tuuxsly (en tout cas il est bloqué sur cette ligne.
pour ton deuxieme message, je ne suis pas sous vista mais sous xp.
dois je faire la meme manip ?
faut il attendre la fin du zhpdiag?
y a t il quelquechose à faire pour le débloquer ?
merci encore,
pour ton deuxieme message, je ne suis pas sous vista mais sous xp.
dois je faire la meme manip ?
faut il attendre la fin du zhpdiag?
y a t il quelquechose à faire pour le débloquer ?
merci encore,
