RootKit.gen
Résolu/Fermé45 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
12 mai 2010 à 20:02
12 mai 2010 à 20:02
OK. Tu as plusieurs infections.
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
12 mai 2010 à 23:35
12 mai 2010 à 23:35
Fais ceci:
Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to disable:
jpssvlq
Drivers to delete:
jpssvlq
Files to delete:
C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe
C:\Windows\System32\drivers\jpssvlq.sys
. Colle ce texte (Ctrl+V) dans le cadre :Input script here
. Appuie sur Execute
. Le pc va redémarrer
. Mets le rapport qui aparaitra dans ta réponse
Smart
Télécharge The Avenger par Swandog46 sur ton Bureau:
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
Click sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur votre bureau
. Maintenant, lance The Avenger en cliquant sur son icône du bureau.
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
Drivers to disable:
jpssvlq
Drivers to delete:
jpssvlq
Files to delete:
C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe
C:\Windows\System32\drivers\jpssvlq.sys
. Colle ce texte (Ctrl+V) dans le cadre :Input script here
. Appuie sur Execute
. Le pc va redémarrer
. Mets le rapport qui aparaitra dans ta réponse
Smart
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4093
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904
12/05/2010 21:35:49
mbam-log-2010-05-12 (21-35-49).txt
Type d'examen: Examen complet (C:\|D:\|E:\|G:\|Z:\|)
Elément(s) analysé(s): 300323
Temps écoulé: 1 heure(s), 8 minute(s), 9 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\List_Kill'em\catchme.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\khvcol.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\omxracnwse.exe (Rogue.APManager.Gen) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\jpssvlq.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
www.malwarebytes.org
Version de la base de données: 4093
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904
12/05/2010 21:35:49
mbam-log-2010-05-12 (21-35-49).txt
Type d'examen: Examen complet (C:\|D:\|E:\|G:\|Z:\|)
Elément(s) analysé(s): 300323
Temps écoulé: 1 heure(s), 8 minute(s), 9 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Program Files\List_Kill'em\catchme.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\khvcol.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\omxracnwse.exe (Rogue.APManager.Gen) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\jpssvlq.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
A mon avis il est toujours là, mise a jour anti vir impossible et sir IE8 pas moyen d'ouvrir un site
Par contre aucun PB avec le renard de feu
Par contre aucun PB avec le renard de feu
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
12 mai 2010 à 21:50
12 mai 2010 à 21:50
Refais un rapport ZHPDiag et poste le
Smart
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 12/05/2010 à 23:12
Modifié par Smart91 le 12/05/2010 à 23:12
On a bien avancé
Vide la quarantaine de MBAM
Je voudrais que tu scan ce fichier:
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe
Va sur https://www.virustotal.com/gui/ et copie la ligne ci-dessous dans la case à côté de parcourir
attends un instant car le scan est en file d'attente et poste le rapport dans ta réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Vide la quarantaine de MBAM
Je voudrais que tu scan ce fichier:
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe
Va sur https://www.virustotal.com/gui/ et copie la ligne ci-dessous dans la case à côté de parcourir
attends un instant car le scan est en file d'attente et poste le rapport dans ta réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
peut pas ... dossier vide ... le répertoire est toujours là mais l'exe n'est plus là ... ou alors il arrive a "planquer" ses fichiers
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
12 mai 2010 à 23:14
12 mai 2010 à 23:14
Est-ce que tu as mis cocher l'option afficher les dossiers et fichiers cachés
Smart
Smart
je pense que c'est dans
c:Windows/system32/drivers/jpssvlq.sys
mais j'arrive à le dénucléarisé
c:Windows/system32/drivers/jpssvlq.sys
mais j'arrive à le dénucléarisé
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
12 mai 2010 à 23:15
12 mai 2010 à 23:15
Celui-ci on va s'en occuper. J'attends qq informations
Smart
Smart
Utilisateur anonyme
13 mai 2010 à 01:19
13 mai 2010 à 01:19
+²GReeeee je ne vois psd ou plus.......
a+
a+
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
13 mai 2010 à 01:40
13 mai 2010 à 01:40
???????
Smart
Smart
Heu moi c'est Pas ... erreur de topic de la part archet9 ?
Et il a fallu que je parte
Voici le CR d'Avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "jpssvlq" disabled successfully.
Driver "jpssvlq" deleted successfully.
Error: file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" not found!
Deletion of file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\Windows\System32\drivers\jpssvlq.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Et il a fallu que je parte
Voici le CR d'Avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Driver "jpssvlq" disabled successfully.
Driver "jpssvlq" deleted successfully.
Error: file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" not found!
Deletion of file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist
File "C:\Windows\System32\drivers\jpssvlq.sys" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Trés trés bonne nouvelle, et grâce a ton expertise, le "drivers" jpssvlq.sys n'est plus là.
il semble qu'il reste une entrée dans la registry en Legacy_jpssvlq que je n'arrive pas à supprimer.
Je vais lancer un scan d'antivir pour voir.
il semble qu'il reste une entrée dans la registry en Legacy_jpssvlq que je n'arrive pas à supprimer.
Je vais lancer un scan d'antivir pour voir.
Et j'ai enfin accès au paramétrage de la restoration système que je viens de décocher sur mon C:
le dernier point était d'hier soir vers 18:00 donc a mon avis avec l'autre vacherie
j'ai bon ?
Et je vais attendre la fin du scan d'antivir pour la remettre
Ton avis éclairé ?
le dernier point était d'hier soir vers 18:00 donc a mon avis avec l'autre vacherie
j'ai bon ?
Et je vais attendre la fin du scan d'antivir pour la remettre
Ton avis éclairé ?
le CR d'antivir
http://www.cijoint.fr/cjlink.php?file=cj201005/cijCLgBYTs.txt
il me reste une saloperie sur un disque externe dans le mbr
je suis sur le coup et au pire je le formate
http://www.cijoint.fr/cjlink.php?file=cj201005/cijCLgBYTs.txt
il me reste une saloperie sur un disque externe dans le mbr
je suis sur le coup et au pire je le formate
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 22/05/2010 à 16:00
Modifié par Smart91 le 22/05/2010 à 16:00
---> Télécharge OTM (OldTimer) sur ton Bureau :
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
--->Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :
:services
jpssvlq
:commands
[purity]
[emptytemp]
[Reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre:
Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
--->Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :
:services
jpssvlq
:commands
[purity]
[emptytemp]
[Reboot]
---> Colle (Ctrl+V) le texte précédemment copié dans le cadre:
Paste Instructions for Items to be Moved.
---> Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)