Virus détecté : Win32 : Rootkit Gen [Rtk]
Hitsu_92
Messages postés
20
Statut
Membre
-
verni29 Messages postés 6805 Statut Contributeur sécurité -
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
Depuis un moment j'ai un gros souci. J'ai un virus sur mon ordinateur et après une analyse minutieuse de la part d'Avast, j'ai pu le trouver. Malheureusement, Avast n'arrive ni à le réparer, ni à le mettre en quarantaine, et je préfère ne pas le supprimer, au cas où il s'agirait de quelque chose d'important.
Avast m'indique que le virus est de haute sévérité. Il lui donne comme nom : " Win 32 : Rootkit-Gen [Rtk] " et indique qu'il se trouve à l'emplacement : " C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll ".
Maintenant à chaque démarrage de mon ordinateur ( sous vista ) j'ai une fenêtre qui s'affiche en me signalant que C:\Users\ ... \ csjrhbb.dll n'a pas pu démarrer car il est infecté par un virus.
Comment faire pour réparer cela ?
Merci d'avance !!
Depuis un moment j'ai un gros souci. J'ai un virus sur mon ordinateur et après une analyse minutieuse de la part d'Avast, j'ai pu le trouver. Malheureusement, Avast n'arrive ni à le réparer, ni à le mettre en quarantaine, et je préfère ne pas le supprimer, au cas où il s'agirait de quelque chose d'important.
Avast m'indique que le virus est de haute sévérité. Il lui donne comme nom : " Win 32 : Rootkit-Gen [Rtk] " et indique qu'il se trouve à l'emplacement : " C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll ".
Maintenant à chaque démarrage de mon ordinateur ( sous vista ) j'ai une fenêtre qui s'affiche en me signalant que C:\Users\ ... \ csjrhbb.dll n'a pas pu démarrer car il est infecté par un virus.
Comment faire pour réparer cela ?
Merci d'avance !!
A voir également:
- Virus détecté : Win32 : Rootkit Gen [Rtk]
- Clé usb non detecté - Guide
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
7 réponses
Bonjour,
Pour deloger le rootkit, il faut des infos complémentaires.
Télécharge SEAF de C_XX.
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"
# Tape csjrhbb dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "
# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.
Copie/Colle le rapport qui s'ouvrira dans ton prochain message
A+
Pour deloger le rootkit, il faut des infos complémentaires.
Télécharge SEAF de C_XX.
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
# Double clique sur SEAF.exe
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"
# Tape csjrhbb dans la zone de recherche.
# Pour l'option Calculer le checksum, choisis MD5
# Sélectionne l'option " Chercher également dans la base de registre "
# Valide en cliquant sur " lancer la recherche "
# Laisse l'outil scanner.
Copie/Colle le rapport qui s'ouvrira dans ton prochain message
A+
Hitsu_92
merci pour les infos.
Un autre outil de diagnostic et on s'attaque à la bestiole ensuite.
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
merci pour les infos.
Un autre outil de diagnostic et on s'attaque à la bestiole ensuite.
Télécharge OTL (de OldTimer) sur ton Bureau.
http://oldtimer.geekstogo.com/OTL.scr
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Double-clique sur OTL.scr pour le lancer.
Si Sous Vista/seven , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur.
* Sélectionne l'option tous les utilisateurs.
* Dans la partie Personnalisation, copie/colle la liste suivante.
netsvcs Drivers32 %SYSTEMDRIVE%\*.exe %systemroot%\*. /mp /s %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles CREATERESTOREPOINT
* Enfin, clique sur le bouton Analyse rapide.
* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)
Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.
A+
Merci pour ton aide ! Voici le rapport :
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:46:19 le 24/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. csjrhbb
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14. "c:\Users\Zakaria\AppData\Roaming\csjrhbb.dll" [ ----RASH---- | 162155 ]
15. TC: 04/04/2010,23:13:57 | TM: 10/04/2009,23:28:22 | DA: 04/04/2010,23:13:57
16. MD5: DENIED
17.
18.
19. =========================
20.
21. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
22.
23. Aucun dossier trouvé
24.
25.
26. ====== Entrée(s) du registre ======
27.
28.
29.
30. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
31. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
32.
33. [HKEY_USERS\S-1-5-21-762054491-1589712452-759671734-1000\Software\Microsoft\Windows\CurrentVersion\Run]
34. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
35.
36. =========================
37.
38. Fin à: 17:50:00 le 24/05/2010 ( E.O.F )
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 17:46:19 le 24/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. csjrhbb
8.
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13.
14. "c:\Users\Zakaria\AppData\Roaming\csjrhbb.dll" [ ----RASH---- | 162155 ]
15. TC: 04/04/2010,23:13:57 | TM: 10/04/2009,23:28:22 | DA: 04/04/2010,23:13:57
16. MD5: DENIED
17.
18.
19. =========================
20.
21. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
22.
23. Aucun dossier trouvé
24.
25.
26. ====== Entrée(s) du registre ======
27.
28.
29.
30. [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
31. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
32.
33. [HKEY_USERS\S-1-5-21-762054491-1589712452-759671734-1000\Software\Microsoft\Windows\CurrentVersion\Run]
34. "dmicpt"="rundll32.exe "C:\Users\Zakaria\AppData\Roaming\csjrhbb.dll",qchdysop"
35.
36. =========================
37.
38. Fin à: 17:50:00 le 24/05/2010 ( E.O.F )
Voila qui est fait !
Ci-dessous les deux liens en question !
OTL : http://www.cijoint.fr/cjlink.php?file=cj201005/cijbjfx4v4.txt
EXTRAS : http://www.cijoint.fr/cjlink.php?file=cj201005/cijsXjISwJ.txt
J'espère qu'on peut s'attaquer à cette bête maintenant !
Ci-dessous les deux liens en question !
OTL : http://www.cijoint.fr/cjlink.php?file=cj201005/cijbjfx4v4.txt
EXTRAS : http://www.cijoint.fr/cjlink.php?file=cj201005/cijsXjISwJ.txt
J'espère qu'on peut s'attaquer à cette bête maintenant !
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.
# Lance Combofix.exe et suis les invites.
Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers.
# Une fois le scan fini, un rapport va apparaitre.
Copie/colle ce rapport dans ta prochaine réponse.
Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.
A+
