RootKit.gen
Résolu/Fermé45 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
13 mai 2010 à 16:25
13 mai 2010 à 16:25
OK pas de problème. Profite de cjour férié :-)
Smart
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
13 mai 2010 à 23:13
13 mai 2010 à 23:13
Refais un rapport ZHPDiag
Smart
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
14 mai 2010 à 23:15
14 mai 2010 à 23:15
Il reste encore des traces:
Relance The avenger
Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
--------------------------------------------------------------------------------------
Files to delete:
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe
-------------------------------------------------------------------------------------
- Colle ce texte (Ctrl+V) dans le cadre :Input script here
- Appuie sur Execute
- Le PC va redémarrer
- Colle le rapport qui va apparaître dans ta réponse
Smart
Relance The avenger
Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):
--------------------------------------------------------------------------------------
Files to delete:
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe
-------------------------------------------------------------------------------------
- Colle ce texte (Ctrl+V) dans le cadre :Input script here
- Appuie sur Execute
- Le PC va redémarrer
- Colle le rapport qui va apparaître dans ta réponse
Smart
Il résiste le salopiaud ..
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open file "C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe"
Deletion of file "C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Completed script processing.
*******************
Finished! Terminate.
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Error: could not open file "C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe"
Deletion of file "C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
--> bad path / the parent directory does not exist
Completed script processing.
*******************
Finished! Terminate.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
14 mai 2010 à 23:36
14 mai 2010 à 23:36
On va essyer de faire autrement:
- Relance OTM
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:files
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe
:commands
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
- Relance OTM
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
---------------------------------------------------------------------------------
:files
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe
:commands
[emptytemp]
[Reboot]
----------------------------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
15 mai 2010 à 00:03
15 mai 2010 à 00:03
Bon. OTM ne trouve pas le fichier.
Fais ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
[HKLM\Software\avsoft]
[HKLM\Software\avsuite]
O53 - SMSR:HKLM\...\startupreg\disuglpb [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe----------------------------------------------------------
- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
Fais ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
[HKLM\Software\avsoft]
[HKLM\Software\avsuite]
O53 - SMSR:HKLM\...\startupreg\disuglpb [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe----------------------------------------------------------
- Clique sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
impossible créer fichier log ZHPFix (boite pop up) accès refusé
???
du coup pas d'exécution ... je n'ai pas trouvé ou changer le chemin d'enreg des rapport ?
help
???
du coup pas d'exécution ... je n'ai pas trouvé ou changer le chemin d'enreg des rapport ?
help
Utilisateur anonyme
15 mai 2010 à 15:01
15 mai 2010 à 15:01
Salut à vous deux .
Pour avancer.
Désactives le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html
ensuite fais ceci:
---> Télécharges ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> "Clique droit" sur Combofix.exe et choisis: "Exécuter en tant qu'administrateur"
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Acceptes en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
a+
Pour avancer.
Désactives le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html
ensuite fais ceci:
---> Télécharges ComboFix.exe de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\
---> "Clique droit" sur Combofix.exe et choisis: "Exécuter en tant qu'administrateur"
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...".
Acceptes en cliquant sur "Oui"
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
a+
Utilisateur anonyme
15 mai 2010 à 17:30
15 mai 2010 à 17:30
Relance Malwarebytes (mets le à jour) et fais cette fois
un "examen rapide"
Colle le rapport stp...
a+
un "examen rapide"
Colle le rapport stp...
a+
Utilisateur anonyme
15 mai 2010 à 18:22
15 mai 2010 à 18:22
Pour vérif car tout semble clean maintenant :
Télécharge RSIT (de random/random) sur le bureau :
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+
Télécharge RSIT (de random/random) sur le bureau :
- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+
Voila log RSIT
http://www.cijoint.fr/cjlink.php?file=cj201005/cijoK13cXC.txt
il reste juste ce "truc" qui m'interpelle dans
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ
http://www.cijoint.fr/cjlink.php?file=cj201005/cijoK13cXC.txt
il reste juste ce "truc" qui m'interpelle dans
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ
Utilisateur anonyme
Modifié par archet9 le 15/05/2010 à 19:50
Modifié par archet9 le 15/05/2010 à 19:50
Pour cette clé:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ
==> Le fichier et le driver qui lui sont associés ont été supprimés par
"The avenger" ici:
https://forums.commentcamarche.net/forum/affich-17707531-rootkit-gen#19
Driver "jpssvlq" disabled successfully.
Driver "jpssvlq" deleted successfully.
File "C:\Windows\System32\drivers\jpssvlq.sys" deleted successfully.
Si tu veux quand même la supprimer fait ceci :
Relance Avenger et dans le cadre :
Input script here copie/colle :
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ
Mets le rapport qui aparaitra dans ta réponse .
a+
........
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ
==> Le fichier et le driver qui lui sont associés ont été supprimés par
"The avenger" ici:
https://forums.commentcamarche.net/forum/affich-17707531-rootkit-gen#19
Driver "jpssvlq" disabled successfully.
Driver "jpssvlq" deleted successfully.
File "C:\Windows\System32\drivers\jpssvlq.sys" deleted successfully.
Si tu veux quand même la supprimer fait ceci :
Relance Avenger et dans le cadre :
Input script here copie/colle :
Registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ
Mets le rapport qui aparaitra dans ta réponse .
a+
........
Bingo
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Et la clé a bien disparu,
je crois donc que ce topic peut être déclaré RÉSOLU
merci à tous
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com
Platform: Windows Vista
*******************
Script file opened successfully.
Script file read successfully.
Backups directory opened successfully at C:\Avenger
*******************
Beginning to process script file:
Rootkit scan active.
No rootkits found!
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ" deleted successfully.
Completed script processing.
*******************
Finished! Terminate.
Et la clé a bien disparu,
je crois donc que ce topic peut être déclaré RÉSOLU
merci à tous