Syssvc.exe - Win32:Rootkit-gen (Rtk)

Résolu
Tony -  
dédétraqué Messages postés 4522 Statut Contributeur sécurité -
Bonjour,
Je sais pas ce que j'ai pogné et j'ai besoin d'aide car je connais pas trop les logiciel, ce qui ferais planter mon ordi. Y aurais t-il une ame charitable qui pourrais m'aider avec mon probleme, j'ai lu un peu sur les forum mais j'ai besoin de quelqu'un avec moi étape par étape.
Merci beaucoup

39 réponses

  • 1
  • 2
Résumé de la discussion

Un utilisateur sous Windows Vista et Internet Explorer 7 recherche une aide pas à pas pour éviter les plantages et diagnostiquer une potentielle infection logicielle.
Plusieurs réponses proposent des outils et étapes clés, comme relancer un scan avec RSIT et partager le rapport, lancer HijackThis en administrateur et appliquer les correctifs, puis utiliser OTM pour supprimer les éléments détectés.
D'autres interventions mentionnent des scans en ligne, des rapports de logs et des procédures pour corriger des entrées de registre, des barres d'outils indésirables et des composants potentiellement malveillants.
En cas d'utilisation d'outils de désinfection, il est recommandé de sauvegarder les données et de redémarrer manuellement si nécessaire, car certains éléments retirés peuvent nécessiter un redémarrage pour finaliser la suppression.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Tony

    Bah, tu dois avoir pogné une gasto :-))

    On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
    http://images.malwareremoval.com/random/RSIT.exe

    - Double clique sur RSIT.exe qui est sur le bureau
    - Clique sur Continue dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Et fais la même chose avec l'autre rapport C:\rsit\info.txt

    @++ :)
    0
  2. Tony
     
    LOG.TXT http://cjoint.com/data/gjemTu2oNp.htm
    INFO.TXT http://cjoint.com/data/gjeqyLjW53.htm
    merci de ta réponse et oui ca minquiete un peu en autant que ca ne sorte pas des deux bord
    A plus d-tra-k @++ :)
    0
  3. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Tony

    Faire un scan de ce fichier byxvcmp.exe ici :

    https://www.virustotal.com/gui/

    Clique sur Parcourir et copie/colle ceci :
    C:\Users\Utilisateur\AppData\Local\vocgexidd\byxvcmp.exe
    Après tu clique sur Envoyer le fichier et attendre le résultat de l'analyse.

    Si il te dit que le fichier a déjà été analysé, sélectionne le bouton :
    Reanalyse le fichier maintenant et attendre le résultat de l'analyse, poste le résultat au complet.

    Poste le résultat au complet

    Aide : http://bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm

    @++ :)
    0
  4. Tony
     
    désolé si c'est log mon internt ne fourni pas comme d'habitude...
    voila le résultat
    Fichier byxvcmp.exe reçu le 2010.06.09 02:39:51 (UTC)Antivirus Version Dernière mise à jour Résultat
    a-squared 5.0.0.26 2010.06.09 Gen.Variant!IK
    AhnLab-V3 2010.06.09.00 2010.06.09 Trojan/Win32.FakeAV
    AntiVir 8.2.2.6 2010.06.08 -
    Antiy-AVL 2.0.3.7 2010.06.08 -
    Authentium 5.2.0.5 2010.06.09 -
    Avast 4.8.1351.0 2010.06.08 -
    Avast5 5.0.332.0 2010.06.08 -
    AVG 9.0.0.787 2010.06.08 -
    BitDefender 7.2 2010.06.09 Gen:Variant.TDss.17
    CAT-QuickHeal 10.00 2010.06.08 -
    ClamAV 0.96.0.3-git 2010.06.09 -
    Comodo 5033 2010.06.09 -
    DrWeb 5.0.2.03300 2010.06.09 -
    eSafe 7.0.17.0 2010.06.08 -
    eTrust-Vet 36.1.7621 2010.06.09 -
    F-Prot 4.6.0.103 2010.06.08 -
    F-Secure 9.0.15370.0 2010.06.08 Gen:Variant.TDss.17
    Fortinet 4.1.133.0 2010.06.08 -
    GData 21 2010.06.09 Gen:Variant.TDss.17
    Ikarus T3.1.1.84.0 2010.06.09 Gen.Variant
    Jiangmin 13.0.900 2010.06.08 -
    Kaspersky 7.0.0.125 2010.06.09 -
    McAfee 5.400.0.1158 2010.06.09 Generic PUP.z!cu
    McAfee-GW-Edition 2010.1 2010.06.08 Artemis!2358DA3AB287
    Microsoft 1.5802 2010.06.08 -
    NOD32 5183 2010.06.08 Win32/Adware.SpywareProtect2009
    Norman 6.04.12 2010.06.08 -
    nProtect 2010-06-08.01 2010.06.08 Gen:Variant.TDss.17
    Panda 10.0.2.7 2010.06.08 -
    PCTools 7.0.3.5 2010.06.09 RogueAntiSpyware.SpywareGuard2008
    Prevx 3.0 2010.06.09 High Risk Fraudulent Security Program
    Rising 22.51.01.04 2010.06.08 -
    Sophos 4.53.0 2010.06.09 Mal/FakeAV-DS
    Sunbelt 6421 2010.06.09 Trojan.Win32.Generic!VS
    Symantec 20101.1.0.89 2010.06.08 SpywareGuard2008
    TheHacker 6.5.2.0.295 2010.06.08 -
    TrendMicro 9.120.0.1004 2010.06.08 -
    TrendMicro-HouseCall 9.120.0.1004 2010.06.09 -
    VBA32 3.12.12.5 2010.06.08 -
    ViRobot 2010.6.8.2343 2010.06.08 -
    VirusBuster 5.0.27.0 2010.06.08 -

    Information additionnelle
    File size: 328816 bytes
    MD5   : 2358da3ab287eaca40d5902f2ff6e899
    SHA1  : 175a55fed1db0fdd1a919ef3db2fcec42b5776f3
    SHA256: 14d6315d41200dbf34780e7a255ea6d12aaf5f137f8f007e0e1ed9ecce66933e
    PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1018<BR>timedatestamp.....: 0x35E0B046 (Mon Aug 24 02:13:58 1998)<BR>machinetype.......: 0x14C (Intel I386)<BR><BR>( 6 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>CODE 0x1000 0x19C 0x200 4.79 14211cb2d740e34c8640477987f604c3<BR>BSS.rda 0x2000 0x183F 0x1A00 3.62 dd95e76dcd889be9ad45a41629edce98<BR>.rdata 0x4000 0x168 0x200 3.20 2527a2988b307b9c4d4dca5706476d6b<BR>.edata 0x5000 0xC0 0x200 1.75 1ffb5f2339486fed269b72f9643fd3a3<BR>.reloc 0x6000 0x24 0x200 0.49 8d6120500e4d9ad3080b1b3ecb03bff3<BR>.rsrc 0x7000 0x75D34 0x3E00 6.29 cc4f5d36cbc01887375a419bb89dd98d<BR><BR>( 2 imports )<BR><BR>> kernel32.dll: EnumDateFormatsW, FindAtomW, FindResourceA, GetLastError, GetModuleHandleA, GetTickCount, SetUnhandledExceptionFilter, VirtualProtect<BR>> user32.dll: CreateWindowExA, DispatchMessageA, GetDlgItem, SendMessageA<BR><BR>( 1 exports )<BR><BR>> KeluPa, IoxyRe, IopoDova, Kepydi, IoqoQaCahe, IocegoqyjejeWu
    TrID  : File type identification<BR>Win32 Dynamic Link Library (generic) (65.2%)<BR>Generic Win/DOS Executable (17.2%)<BR>DOS Executable Generic (17.2%)<BR>VXD Driver (0.2%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    ThreatExpert: <A href="https://www.symantec.com?md5=2358da3ab287eaca40d5902f2ff6e899" target=_blank>https://www.symantec.com?md5=2358da3ab287eaca40d5902f2ff6e899</A>
    Symantec reputation: Suspicious.Insight https://www.broadcom.com/support/security-center
    ssdeep: 6144:NiEgqHOrYwMttpjljDcJ/YVNhY53YDdQ4BNG4VHTBhxlh3d:HdOOjwJ6Y53YDS4O4VHthxnd
    sigcheck: publisher....: n/a<BR>copyright....: n/a<BR>product......: n/a<BR>description..: n/a<BR>original name: n/a<BR>internal name: n/a<BR>file version.: n/a<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>
    Prevx Info: <A href="http://info.prevx.com/aboutprogramtext.asp?PX5=D94B325B705974C9045A05461B31D80075A082D1" target=_blank>http://info.prevx.com/aboutprogramtext.asp?PX5=D94B325B705974C9045A05461B31D80075A082D1</A>
    PEiD  : -
    RDS   : NSRL Reference Data Set<BR>-
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Tony

    C'est comme je pensais, rootkit pas jolie :

    Télécharge combofix.exe (de sUBs) sur le bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp
    https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

    ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

    Double clique sur combofix.exe, clique sur OUI et valide par Entrée

    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    @++ :)
    0
  7. Tony
     
    je suis pas capable de te répondre ca marche pas
    0
  8. Tony
     
    désolé ca la boguer endant un bon bout
    0
  9. Tony
     
    je comprends pas ca fais genre 8 fois que jessaie denvoyer mon message et il sefface toujours??????
    jai fais un lien CJoint, p-e que ca va marché
    bye a plus
    antonio
    0
  10. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Tony

    Désolé pour interruption, mon PC m'avais lâché.

    Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse

    Le rapport est dans le dossier ici C:\rsit

    @++ :)
    0
  11. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut tony

    -Télécharge et installe MalwareByte's Anti-Malware
    http://www.malwarebytes.org/mbam/program/mbam-setup.exe

    - Mets le à jour

    ---

    - Redémarre en mode sans échec :

    Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec et choisis ta session habituelle.

    ---

    - Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
    - Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
    - clique sur Rechercher

    - Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur OK

    - Si MalwareByte's n'a rien détecté, clique sur OK Un rapport va apparaître ferme-le.

    - Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

    - Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

    Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur OK

    Tutoriel pour MalwareByte's ici :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    @++ :)
    0
  12. tony
     
    https://www.cjoint.com/?gpbYxfFT2y

    mais je nai pas été capable de mettre a jours il ne voulais rien savoir
    deplus jai du utiliser malaware en tant qu administrateur car je netais pas capable de le lancer normalment
    est ce normal
    merci d-d-traké
    0
  13. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut tony

    Télécharge la dernière mise a jour ici :
    http://mbam.malwarebytes.org/database/mbam-rules.exe

    Après la mise à jour, fais un scan rapide en mode normal

    @++ :)
    0
  14. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut tony

    Télécharge OTM (de Old_Timer) sur le bureau :

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    Double-clique sur OTM.exe sur le bureau

    - Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

    :processes

    :services
    Application Updater
    catchme

    :reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    "wmgcmmrh"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6AA40521-14E7-4B1D-B1B4-98528C1388C9}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9DFE2FE9-CF99-4ADF-A28E-9B5ADB8DC74F}]

    :files
    C:\Program Files\Application Updater
    C:\Program Files\DepositFiles

    :commands
    [emptytemp]


    - Clique sur MoveIt! pour lancer la suppression.
    - Ferme OTM

    Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

    Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.

    Comment va le PC?

    @++ :)
    0
  15. tony
     
    All processes killed
    ========== PROCESSES ==========
    ========== SERVICES/DRIVERS ==========
    Service Application Updater stopped successfully!
    Service Application Updater deleted successfully!
    Service catchme stopped successfully!
    Service catchme deleted successfully!
    ========== REGISTRY ==========
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\wmgcmmrh deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{6AA40521-14E7-4B1D-B1B4-98528C1388C9}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6AA40521-14E7-4B1D-B1B4-98528C1388C9}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9DFE2FE9-CF99-4ADF-A28E-9B5ADB8DC74F}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9DFE2FE9-CF99-4ADF-A28E-9B5ADB8DC74F}\ deleted successfully.
    ========== FILES ==========
    C:\Program Files\Application Updater folder moved successfully.
    C:\Program Files\DepositFiles\DF Manager\OperaPlugin\lng folder moved successfully.
    C:\Program Files\DepositFiles\DF Manager\OperaPlugin folder moved successfully.
    C:\Program Files\DepositFiles\DF Manager\Lang folder moved successfully.
    C:\Program Files\DepositFiles\DF Manager\ChromePlugin folder moved successfully.
    C:\Program Files\DepositFiles\DF Manager folder moved successfully.
    C:\Program Files\DepositFiles folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes

    User: Public
    ->Temp folder emptied: 0 bytes

    User: Utilisateur
    ->Temp folder emptied: 230389155 bytes
    ->Temporary Internet Files folder emptied: 428860306 bytes
    ->Java cache emptied: 70705 bytes
    ->Flash cache emptied: 5813 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 9604 bytes
    %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33170 bytes
    %systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 664 bytes
    RecycleBin emptied: 1105604878 bytes

    Total Files Cleaned = 1 683,00 mb

    OTM by OldTimer - Version 3.1.12.2 log created on 06142010_215557

    Files moved on Reboot...
    C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\YNP8N9H3\interAdV2[1].php moved successfully.
    C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\39B18BF5\ads[1].txt moved successfully.
    C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\39B18BF5\ads[2].txt moved successfully.
    C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\1C4B37GC\affich-18078832-syssvc-exe-win32-rootkit-gen-rtk[1].txt moved successfully.
    C:\Users\Utilisateur\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\MSIMGSIZ.DAT moved successfully.
    File move failed. C:\Windows\temp\_avast5_\Webshlock.txt scheduled to be moved on reboot.

    Registry entries deleted on Reboot...
    0
  16. tony
     
    il va bien avast ne sonne plus lalarme
    mais avec OTM mon pc a arreter de fonctionner le premier coup que jai fais MOVE IT
    mais le 2 coup ca a marcher et il a redemarrer tout seul comme un grand
    0
  17. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut tony

    On va vérifier si rien de caché :
    Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

    https://www.eset.com/int/home/online-scanner/

    (coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
    A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

    @++ :)
    0
  18. tony
     
    je ne suis pas capable de lancer le scan jessais dinstaller lactiveX quil me demande mais ca loade et ca ne fini jamais y a til une alternative?
    0
  • 1
  • 2