RootKit.gen

Résolu
Pas -  
 Pas -
Bonsoir,

je fais parti de ceux qui se sont fait prendre par cette cochonnerie. En parcourant le forum j'ai commencé a lancer une analyse ZHPDiag 1.25.14.

Voici le rapport que je suis incapable d'interpreter, quelqu'un peut m'aider

http://www.cijoint.fr/cjlink.php?file=cj201005/cijDTZXzK7.txt

45 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Une infection par logiciel malveillant est signalée et la demande porte sur l’interprétation d’un rapport ZHPDiag, afin d’identifier les éléments à supprimer et les actions à réaliser. Des conseils pratiques préconisent de désactiver temporairement l’UAC sur Vista ou Windows 7, puis d’utiliser Malwarebytes pour une analyse complète et une suppression fiable des éléments détectés. En parallèle, d’autres réponses suggèrent des outils spécialisés comme The Avenger, OT CleanIt et des procédures de nettoyage, avec des rapports à copier-coller et possibles redémarrages pour supprimer les fichiers tenaces. Par ailleurs, des messages mentionnent l’extraction et la consultation de rapports, l’utilisation de plusieurs outils et des redémarrages éventuels pour supprimer des éléments persistants et les étapes de nettoyage peuvent nécessiter plusieurs cycles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    OK. Tu as plusieurs infections.

    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Smart
    1
  2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Fais ceci:

    Télécharge The Avenger par Swandog46 sur ton Bureau:

    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    Click sur Avenger.zip pour ouvrir le fichier
    Extraire avenger.exe sur votre bureau

    . Maintenant, lance The Avenger en cliquant sur son icône du bureau.
    . Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Drivers to disable:
    jpssvlq

    Drivers to delete:
    jpssvlq

    Files to delete:
    C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe
    C:\Windows\System32\drivers\jpssvlq.sys


    . Colle ce texte (Ctrl+V) dans le cadre :Input script here

    . Appuie sur Execute

    . Le pc va redémarrer

    . Mets le rapport qui aparaitra dans ta réponse

    Smart
    1
  3. Pas
     
    voici le rapport de USBFix

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijztW45fr.txt
    0
  4. Pas
     
    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4093

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18904

    12/05/2010 21:35:49
    mbam-log-2010-05-12 (21-35-49).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|G:\|Z:\|)
    Elément(s) analysé(s): 300323
    Temps écoulé: 1 heure(s), 8 minute(s), 9 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 7

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\Program Files\List_Kill'em\catchme.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
    C:\Users\Pascal\AppData\Local\Temp\khvcol.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
    C:\Users\Pascal\AppData\Local\Temp\omxracnwse.exe (Rogue.APManager.Gen) -> Quarantined and deleted successfully.
    C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
    C:\Windows\System32\drivers\jpssvlq.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
    C:\Users\Pascal\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Pas
     
    A mon avis il est toujours là, mise a jour anti vir impossible et sir IE8 pas moyen d'ouvrir un site
    Par contre aucun PB avec le renard de feu
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Refais un rapport ZHPDiag et poste le

    Smart
    0
  8. Pas
     
    Et voili et voila

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijd3mh0aa.txt

    merci pour ton aide
    0
  9. Pas
     
    j'ai résolu le PB IE8, enfin je crois ...
    0
  10. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    On a bien avancé
    Vide la quarantaine de MBAM

    Je voudrais que tu scan ce fichier:

    C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe

    Va sur https://www.virustotal.com/gui/ et copie la ligne ci-dessous dans la case à côté de parcourir
    attends un instant car le scan est en file d'attente et poste le rapport dans ta réponse.

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  11. Pas
     
    peut pas ... dossier vide ... le répertoire est toujours là mais l'exe n'est plus là ... ou alors il arrive a "planquer" ses fichiers
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Est-ce que tu as mis cocher l'option afficher les dossiers et fichiers cachés

      Smart
      0
  12. Pas
     
    je pense que c'est dans
    c:Windows/system32/drivers/jpssvlq.sys
    mais j'arrive à le dénucléarisé
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Celui-ci on va s'en occuper. J'attends qq informations

      Smart
      0
  13. Pas
     
    Nouvelle bonne info, enfin je pense, j'arrive a mettre à jour AntiVir
    0
  14. archet9
     
    +²GReeeee je ne vois psd ou plus.......

    a+
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      ???????

      Smart
      0
  15. Pas
     
    Heu moi c'est Pas ... erreur de topic de la part archet9 ?
    Et il a fallu que je parte

    Voici le CR d'Avenger :
    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows Vista

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    Driver "jpssvlq" disabled successfully.
    Driver "jpssvlq" deleted successfully.

    Error: file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" not found!
    Deletion of file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    File "C:\Windows\System32\drivers\jpssvlq.sys" deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.
    0
  16. Pas
     
    Trés trés bonne nouvelle, et grâce a ton expertise, le "drivers" jpssvlq.sys n'est plus là.

    il semble qu'il reste une entrée dans la registry en Legacy_jpssvlq que je n'arrive pas à supprimer.

    Je vais lancer un scan d'antivir pour voir.
    0
  17. Pas
     
    Et j'ai enfin accès au paramétrage de la restoration système que je viens de décocher sur mon C:
    le dernier point était d'hier soir vers 18:00 donc a mon avis avec l'autre vacherie

    j'ai bon ?
    Et je vais attendre la fin du scan d'antivir pour la remettre

    Ton avis éclairé ?
    0
  18. Pas
     
    le CR d'antivir
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijCLgBYTs.txt

    il me reste une saloperie sur un disque externe dans le mbr
    je suis sur le coup et au pire je le formate
    0
  19. Pas
     
    Disque dur externe clean, formatage en cours des clés USB

    encore merci pour ton aide
    0
  20. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    ---> Télécharge OTM (OldTimer) sur ton Bureau :
    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    --->Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.

    ---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :

    :services
    jpssvlq

    :commands
    [purity]
    [emptytemp]
    [Reboot]


    ---> Colle (Ctrl+V) le texte précédemment copié dans le cadre:
    Paste Instructions for Items to be Moved.

    ---> Clique maintenant sur le bouton MoveIt!

    Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    Accepte en cliquant sur YES.

    ---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
    Le nom du rapport correspond au moment de sa création : date_heure.log

    Smart
    "Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
    0
  • 1
  • 2
  • 3