Rootkit.gen

Résolu
spide38 Messages postés 11 Statut Membre -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,


je suis infecte par TR/Rootkit.gen et impossible de m'en debarasser
merci a toutes aides

9 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt colle le rapport de l'antivirus pour voir le fichier infecté

    a plus
    0
    1. spide38 Messages postés 11 Statut Membre
       
      voila le rapport


      Avira AntiVir Personal
      Date de création du fichier de rapport : samedi 19 juin 2010 08:48

      La recherche porte sur 2227595 souches de virus.

      Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus
      Numéro de série : 0000149996-ADJIE-0000001
      Plateforme : Windows XP
      Version de Windows : (Service Pack 2) [5.1.2600]
      Mode Boot : Démarré normalement
      Identifiant : SYSTEM
      Nom de l'ordinateur : FRED-TW3Y9V6GDB

      Informations de version :
      BUILD.DAT : 9.0.0.75 21698 Bytes 22/01/2010 23:14:00
      AVSCAN.EXE : 9.0.3.10 466689 Bytes 10/01/2010 11:16:27
      AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 10:21:02
      LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 11:35:11
      LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 10:21:31
      VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 11:16:26
      VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 11:16:26
      VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 19:22:50
      VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 19:58:19
      VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 19:10:24
      VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 09:22:02
      VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 18:39:43
      VBASE007.VDF : 7.10.7.219 2048 Bytes 02/06/2010 18:39:44
      VBASE008.VDF : 7.10.7.220 2048 Bytes 02/06/2010 18:39:44
      VBASE009.VDF : 7.10.7.221 2048 Bytes 02/06/2010 18:39:44
      VBASE010.VDF : 7.10.7.222 2048 Bytes 02/06/2010 18:39:45
      VBASE011.VDF : 7.10.7.223 2048 Bytes 02/06/2010 18:39:45
      VBASE012.VDF : 7.10.7.224 2048 Bytes 02/06/2010 18:39:45
      VBASE013.VDF : 7.10.8.37 270336 Bytes 10/06/2010 17:40:51
      VBASE014.VDF : 7.10.8.69 138752 Bytes 14/06/2010 18:47:46
      VBASE015.VDF : 7.10.8.102 130560 Bytes 16/06/2010 18:34:04
      VBASE016.VDF : 7.10.8.103 2048 Bytes 16/06/2010 18:34:04
      VBASE017.VDF : 7.10.8.104 2048 Bytes 16/06/2010 18:34:04
      VBASE018.VDF : 7.10.8.105 2048 Bytes 16/06/2010 18:34:04
      VBASE019.VDF : 7.10.8.106 2048 Bytes 16/06/2010 18:34:05
      VBASE020.VDF : 7.10.8.107 2048 Bytes 16/06/2010 18:34:05
      VBASE021.VDF : 7.10.8.108 2048 Bytes 16/06/2010 18:34:05
      VBASE022.VDF : 7.10.8.109 2048 Bytes 16/06/2010 18:34:05
      VBASE023.VDF : 7.10.8.110 2048 Bytes 16/06/2010 18:34:05
      VBASE024.VDF : 7.10.8.111 2048 Bytes 16/06/2010 18:34:05
      VBASE025.VDF : 7.10.8.112 2048 Bytes 16/06/2010 18:34:05
      VBASE026.VDF : 7.10.8.113 2048 Bytes 16/06/2010 18:34:05
      VBASE027.VDF : 7.10.8.114 2048 Bytes 16/06/2010 18:34:05
      VBASE028.VDF : 7.10.8.115 2048 Bytes 16/06/2010 18:34:06
      VBASE029.VDF : 7.10.8.116 2048 Bytes 16/06/2010 18:34:06
      VBASE030.VDF : 7.10.8.117 2048 Bytes 16/06/2010 18:34:06
      VBASE031.VDF : 7.10.8.127 102912 Bytes 18/06/2010 18:32:57
      Version du moteur : 8.2.2.6
      AEVDF.DLL : 8.1.2.0 106868 Bytes 24/04/2010 08:52:43
      AESCRIPT.DLL : 8.1.3.31 1352058 Bytes 02/06/2010 18:41:27
      AESCN.DLL : 8.1.6.1 127347 Bytes 24/05/2010 17:02:21
      AESBX.DLL : 8.1.3.1 254324 Bytes 24/04/2010 08:52:43
      AERDL.DLL : 8.1.4.6 541043 Bytes 17/04/2010 09:22:11
      AEPACK.DLL : 8.2.1.1 426358 Bytes 19/03/2010 19:23:49
      AEOFFICE.DLL : 8.1.1.0 201081 Bytes 24/05/2010 17:02:21
      AEHEUR.DLL : 8.1.1.33 2724214 Bytes 04/06/2010 17:59:29
      AEHELP.DLL : 8.1.11.5 242038 Bytes 02/06/2010 18:40:09
      AEGEN.DLL : 8.1.3.10 377205 Bytes 02/06/2010 18:40:05
      AEEMU.DLL : 8.1.2.0 393588 Bytes 24/04/2010 08:52:42
      AECORE.DLL : 8.1.15.3 192886 Bytes 24/05/2010 17:02:20
      AEBB.DLL : 8.1.1.0 53618 Bytes 24/04/2010 08:52:42
      AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 08:47:30
      AVPREF.DLL : 9.0.3.0 44289 Bytes 10/01/2010 11:16:27
      AVREP.DLL : 8.0.0.7 159784 Bytes 17/02/2010 19:25:46
      AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 15:24:42
      AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 15:05:22
      AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 10:36:37
      SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 15:03:49
      SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 08:20:57
      NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 15:40:59
      RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 10/01/2010 11:16:25
      RCTEXT.DLL : 9.0.73.0 88321 Bytes 10/01/2010 11:16:25

      Configuration pour la recherche actuelle :
      Nom de la tâche...............................: Contrôle intégral du système
      Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp
      Documentation.................................: bas
      Action principale.............................: interactif
      Action secondaire.............................: ignorer
      Recherche sur les secteurs d'amorçage maître..: marche
      Recherche sur les secteurs d'amorçage.........: marche
      Secteurs d'amorçage...........................: C:, D:, E:, I:,
      Recherche dans les programmes actifs..........: marche
      Recherche en cours sur l'enregistrement.......: marche
      Recherche de Rootkits.........................: marche
      Contrôle d'intégrité de fichiers système......: arrêt
      Fichier mode de recherche.....................: Tous les fichiers
      Recherche sur les archives....................: marche
      Limiter la profondeur de récursivité..........: 20
      Archive Smart Extensions......................: marche
      Heuristique de macrovirus.....................: marche
      Heuristique fichier...........................: moyen

      Début de la recherche : samedi 19 juin 2010 08:48

      La recherche d'objets cachés commence.
      HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcjfjiu\type
      [INFO] L'entrée d'enregistrement n'est pas visible.
      HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcjfjiu\start
      [INFO] L'entrée d'enregistrement n'est pas visible.
      HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcjfjiu\errorcontrol
      [INFO] L'entrée d'enregistrement n'est pas visible.
      HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcjfjiu\group
      [INFO] L'entrée d'enregistrement n'est pas visible.
      HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcjfjiu\y2s4y6t0
      [INFO] L'entrée d'enregistrement n'est pas visible.
      HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcjfjiu\nj1hflcxc
      [INFO] L'entrée d'enregistrement n'est pas visible.
      HKEY_LOCAL_MACHINE\System\ControlSet002\Services\zcjfjiu\sll1f8g2
      [INFO] L'entrée d'enregistrement n'est pas visible.
      '32219' objets ont été contrôlés, '7' objets cachés ont été trouvés.

      La recherche sur les processus démarrés commence :
      Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'SuperCopier2.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'iTouch.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'NvMixerTray.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'nvsvc32.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'services.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés
      Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés
      '23' processus ont été contrôlés avec '23' modules

      La recherche sur les secteurs d'amorçage maître commence :
      Secteur d'amorçage maître HD0
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage maître HD1
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage maître HD2
      [INFO] Aucun virus trouvé !

      La recherche sur les secteurs d'amorçage commence :
      Secteur d'amorçage 'C:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'D:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'E:\'
      [INFO] Aucun virus trouvé !
      Secteur d'amorçage 'I:\'
      [INFO] Aucun virus trouvé !

      La recherche sur les renvois aux fichiers exécutables (registre) commence :
      Le registre a été contrôlé ( '46' fichiers).


      La recherche sur les fichiers sélectionnés commence :

      Recherche débutant dans 'C:\'
      C:\pagefile.sys
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      [REMARQUE] Ce fichier est un fichier système Windows.
      [REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.
      C:\Documents and Settings\fred\Application Data\Sun\Java\Deployment\cache\6.0\10\cfedf0a-6e63dd25
      [0] Type d'archive: ZIP
      --> dev/s/AdgredY.class
      [RESULTAT] Contient le modèle de détection de l'exploit EXP/Java.CVE-2009-3867.8861
      --> dev/s/DyesyasZ.class
      [RESULTAT] Contient le modèle de détection de l'exploit EXP/Java.2502
      --> dev/s/LoaderX.class
      [RESULTAT] Contient le modèle de détection de l'exploit EXP/Java.3243
      C:\WINDOWS\system32\drivers\zcjfjiu.sys
      [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
      [AVERTISSEMENT] Impossible d'ouvrir le fichier !
      Recherche débutant dans 'D:\' <MP3>
      D:\Led Zepellin\1990 - Atlantic Boxed Set\img.zip
      [0] Type d'archive: ZIP
      --> crack/keygen.exe
      [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.cez
      D:\Led Zepellin\1997 - BBC Sessions (live)\img.zip
      [0] Type d'archive: ZIP
      --> crack/crack.exe
      [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.cez
      D:\Led Zepellin\2003 - How The West Was Won\img.zip
      [0] Type d'archive: ZIP
      --> crack/keygen.exe
      [RESULTAT] Contient le cheval de Troie TR/Dldr.Bagle.cez
      Recherche débutant dans 'E:\' <Disque local>
      Recherche débutant dans 'I:\'

      Début de la désinfection :
      C:\Documents and Settings\fred\Application Data\Sun\Java\Deployment\cache\6.0\10\cfedf0a-6e63dd25
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c818182.qua' !
      C:\WINDOWS\system32\drivers\zcjfjiu.sys
      [RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen
      [AVERTISSEMENT] Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004
      [AVERTISSEMENT] Impossible de trouver le fichier source.
      [REMARQUE] Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c868181.qua' !
      D:\Led Zepellin\1990 - Atlantic Boxed Set\img.zip
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c83818e.qua' !
      D:\Led Zepellin\1997 - BBC Sessions (live)\img.zip
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4c83818f.qua' !
      D:\Led Zepellin\2003 - How The West Was Won\img.zip
      [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4decb288.qua' !


      Fin de la recherche : samedi 19 juin 2010 10:34
      Temps nécessaire: 1:45:39 Heure(s)

      La recherche a été effectuée intégralement

      9126 Les répertoires ont été contrôlés
      303499 Des fichiers ont été contrôlés
      7 Des virus ou programmes indésirables ont été trouvés
      0 Des fichiers ont été classés comme suspects
      0 Des fichiers ont été supprimés
      0 Des virus ou programmes indésirables ont été réparés
      5 Les fichiers ont été déplacés dans la quarantaine
      0 Les fichiers ont été renommés
      2 Impossible de contrôler des fichiers
      303490 Fichiers non infectés
      2328 Les archives ont été contrôlées
      2 Avertissements
      6 Consignes
      32219 Des objets ont été contrôlés lors du Rootkitscan
      7 Des objets cachés ont été trouvés
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok

    vire tes cracks

    colle un rapport de recherche avec findykill

    puis

    ______

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  3. Utilisateur anonyme
     
    salut jlpjlp :-)

    @spide38 :
    pour poster tes messages, utilise le carré vert sous le dernier message afin d'éviter les doublon, triplon ....

    les autres postes ont été supprimé.

    Meci et bonne continuation :-)
    0
  4. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt
    merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. spide38 Messages postés 11 Statut Membre
     
    j'ai poste tous les rapports mais pas de reponses alors il n'y en a peut etre pas!!dommage
    0
  7. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    vire tes cracks

    colle un rapport de recherche avec findykill

    puis

    ______

    Télécharge ici :

    http://images.malwareremoval.com/random/RSIT.exe

    random's system information tool (RSIT) par andom/random et sauvegarde-le sur le Bureau.

    Double-clique sur RSIT.exe afin de lancer RSIT.

    Clique Continue à l'écran Disclaimer.

    Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

    Poste le contenu de log.txt (<<qui sera affiché)
    ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

    NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    0
  8. spide38 Messages postés 11 Statut Membre
     
    lien hijack : http://www.cijoint.fr/cjlink.php?file=cj201006/cij3e6P3cc.txt

    lien RSIT : http://www.cijoint.fr/cjlink.php?file=cj201006/cijJaTGqwW.txt
    0
  9. spide38 Messages postés 11 Statut Membre
     
    j'ai resolu le pb merci
    0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    si tu le dis*mais au vu du rapport posté il en reste ....

    tu diras ....
    0