Virus détecté : Win32 : Rootkit Gen [Rtk]
Fermé
Hitsu_92
Messages postés
19
Date d'inscription
mardi 29 juillet 2008
Statut
Membre
Dernière intervention
27 mai 2010
-
24 mai 2010 à 16:43
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 26 mai 2010 à 10:54
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 26 mai 2010 à 10:54
A voir également:
- Virus détecté : Win32 : Rootkit Gen [Rtk]
- Usb non detecté - Guide
- Svchost.exe virus - Guide
- Faux message virus iphone ✓ - Forum iPhone
- Magibook non detecté - Forum Logiciels
- Altruistic virus ✓ - Forum Antivirus
7 réponses
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
24 mai 2010 à 16:58
24 mai 2010 à 16:58
Bonjour,
Pour deloger le rootkit, il faut des infos complémentaires.
Télécharge SEAF de C_XX.
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"
# Tape csjrhbb dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "
# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.
Copie/Colle le rapport qui s'ouvrira dans ton prochain message
A+
Pour deloger le rootkit, il faut des infos complémentaires.
Télécharge SEAF de C_XX.
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"
# Tape csjrhbb dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "
# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.
Copie/Colle le rapport qui s'ouvrira dans ton prochain message
A+
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
24 mai 2010 à 18:17
24 mai 2010 à 18:17
Hitsu_92
merci pour les infos.
Un autre outil de diagnostic et on s'attaque à la bestiole ensuite.
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
merci pour les infos.
Un autre outil de diagnostic et on s'attaque à la bestiole ensuite.
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Hitsu_92
Messages postés
19
Date d'inscription
mardi 29 juillet 2008
Statut
Membre
Dernière intervention
27 mai 2010
24 mai 2010 à 17:50
24 mai 2010 à 17:50
Merci pour ton aide ! Voici le rapport :
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:46:19 le 24/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. csjrhbb
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14. "c:\Users\Zakaria\AppData\Roaming\csjrhbb.dll" [ ----RASH---- | 162155 ]
15. TC: 04/04/2010,23:13:57 | TM: 10/04/2009,23:28:22 | DA: 04/04/2010,23:13:57
16. MD5: DENIED
17.
18.
19. =========================
20.
21. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
22.
23. Aucun dossier trouvé
24.
25.
26. ====== Entrée(s) du registre ======
27.
28.
29.
30. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
31. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
32.
33. [HKEY_USERS\S-1-5-21-762054491-1589712452-759671734-1000\Software\Microsoft\Windows\CurrentVersion\Run]
34. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
35.
36. =========================
37.
38. Fin à: 17:50:00 le 24/05/2010 ( E.O.F )
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:46:19 le 24/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. csjrhbb
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14. "c:\Users\Zakaria\AppData\Roaming\csjrhbb.dll" [ ----RASH---- | 162155 ]
15. TC: 04/04/2010,23:13:57 | TM: 10/04/2009,23:28:22 | DA: 04/04/2010,23:13:57
16. MD5: DENIED
17.
18.
19. =========================
20.
21. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
22.
23. Aucun dossier trouvé
24.
25.
26. ====== Entrée(s) du registre ======
27.
28.
29.
30. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
31. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
32.
33. [HKEY_USERS\S-1-5-21-762054491-1589712452-759671734-1000\Software\Microsoft\Windows\CurrentVersion\Run]
34. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
35.
36. =========================
37.
38. Fin à: 17:50:00 le 24/05/2010 ( E.O.F )
Hitsu_92
Messages postés
19
Date d'inscription
mardi 29 juillet 2008
Statut
Membre
Dernière intervention
27 mai 2010
25 mai 2010 à 23:48
25 mai 2010 à 23:48
Voila qui est fait !
Ci-dessous les deux liens en question !
OTL : http://www.cijoint.fr/cjlink.php?file=cj201005/cijbjfx4v4.txt
EXTRAS : http://www.cijoint.fr/cjlink.php?file=cj201005/cijsXjISwJ.txt
J'espère qu'on peut s'attaquer à cette bête maintenant !
Ci-dessous les deux liens en question !
OTL : http://www.cijoint.fr/cjlink.php?file=cj201005/cijbjfx4v4.txt
EXTRAS : http://www.cijoint.fr/cjlink.php?file=cj201005/cijsXjISwJ.txt
J'espère qu'on peut s'attaquer à cette bête maintenant !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
verni29
Messages postés
6699
Date d'inscription
dimanche 6 juillet 2008
Statut
Contributeur sécurité
Dernière intervention
26 décembre 2016
180
26 mai 2010 à 10:54
26 mai 2010 à 10:54
Re,
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+