Virus type rootkit
Résolu
mimoire
-
gen-hackman -
gen-hackman -
Bonjour à tous,
sur un PC windows XP SP3 j'ai un virus rootkit qui m'interdit le demarage sans echec, bloque tous les antivirus que j'ai essayé. Pour en finir avec ce virus, je décide de réinstaller windows à partir du CD rom d'installation.J'ai eu la mauvaise surprise de voir que je n'ai plus acces à mes lecteurs de cd room. Que puis-je faire? Fdisk? mais cette commande DOS est elle encore disponible? si oui comment? à partir de Démarrer...exécuter? Quand j'aurais fais cela pourais-je accéder au lecteur de cd room?. merci de votre aide.
sur un PC windows XP SP3 j'ai un virus rootkit qui m'interdit le demarage sans echec, bloque tous les antivirus que j'ai essayé. Pour en finir avec ce virus, je décide de réinstaller windows à partir du CD rom d'installation.J'ai eu la mauvaise surprise de voir que je n'ai plus acces à mes lecteurs de cd room. Que puis-je faire? Fdisk? mais cette commande DOS est elle encore disponible? si oui comment? à partir de Démarrer...exécuter? Quand j'aurais fais cela pourais-je accéder au lecteur de cd room?. merci de votre aide.
A voir également:
- Virus type rootkit
- Virus mcafee - Accueil - Piratage
- Clear type - Guide
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
190 réponses
Refais ceci ( OTM ) en prenant soin de renommer OTM en CCM.exe avant le téléchargement ( dans " nom du fichier " -> ccm.exe )
Je viens de changer de PC car il semble que à partir du PC infecté je ne puisse plus te donner de réponse.
J'ai refais OTM et coller le texte que tu m'as envoyé ensuite moveit....j'obtiens un résultat dans la fenètre résultats puis OTM plante. j'ai donc relancer combo et j'obtiens un compte rendu. Est-ce que je peux sans risques le transferer du PC infecté vers celui-ci par une clef USB pour te l'envoyer?
merci
J'ai refais OTM et coller le texte que tu m'as envoyé ensuite moveit....j'obtiens un résultat dans la fenètre résultats puis OTM plante. j'ai donc relancer combo et j'obtiens un compte rendu. Est-ce que je peux sans risques le transferer du PC infecté vers celui-ci par une clef USB pour te l'envoyer?
merci
Sur l'ordinateur sain :
-+-+-+-+-> USBFix <-+-+-+-+-
[x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.
[x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.
[x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.
[x] Exécute USBfix sur ton bureau puis clique sur " Vacciner".
Ensuite tu peux transferer le rapport combofix et le poster ici
-+-+-+-+-> USBFix <-+-+-+-+-
[x] Télécharge USBfix ( d'El desaparecido et C_XX ) sur ton bureau.
[x] Si ton anvirus affiche une alerte, ignore le et désactive le momentanément.
[x] Branche tout tes médias amovibles à ton PC ( Clé USB, disque dur externe, carte SD etc.. ) sans les ouvrir.
[x] Exécute USBfix sur ton bureau puis clique sur " Vacciner".
Ensuite tu peux transferer le rapport combofix et le poster ici
J'espère t'avoir bien compris: sur l'ordi sain j'ai téléchargé USBfix, j'y ai placé mes clefs USB. USBfix ne se lance pas: peut etre parce que mon pc sain est un windows7 64bits. Tu comprend, je ne voudrais pas l'infecter à son tour!!!
mais, maintenant que j'y ai branché mes clefs USB......le risque est pris
mais, maintenant que j'y ai branché mes clefs USB......le risque est pris
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je viens de t'envoyer le rapport combo a partir du PC sain! je ne comprend pas je ne le vois pas dans la discution!!!
je comprend pas bien comment je peux t'envoyer un fichier alors que je n'ai pas ton adresse mail!!!!
findykill se referme avant la fin du scan, pendant le scan des fichiers zip environ 40% du scan effectué
On va essayer autre chose.
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
-+-+-+-+-> Malwarebytes' Anti-Malware <-+-+-+-+-
[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.
[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )
[x] A la fin de l'installation, MBAM se mettra à jour automatiquement puis s'exécutera.
[x] Une fois lancé, clique sur " Exécuter un examen complet " puis sur " Rechercher "
[x] Sélectionne tout tes disques locaux et amovibles
[x] Patiente pendant toute la durée du scan, puis clique sur " Ok " une fois l'analyse effectuée.
[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".
[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.
[x] Tu peux ensuite vider la quarantaine de MBAM.
[x] Note : MBAM t'invitera peut être à redémarrer ton PC, fais le. Le rapport se trouve dans la partie " Rapports/Logs " de MBAM.
[x] Si tu as des soucis, un tutoriel est disponible à cette adresse.
pour l'instant tout se passe bien (analyse en cours)...4 éléments infectés mais je crois que c'est loin d'etre terminé.Heureusement que j'avais assez peu de choses sur le PC. Encore merci de ton aide. Quand ce sera terminé je t'envoie le rapport mais je ne désinfecte pas, j'attend ta réponse
voila le rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4233
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
24/06/2010 17:48:39
mbam-log-2010-06-24 (17-48-39).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 165946
Temps écoulé: 53 minute(s), 41 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\FyK\Quarantine\C\Documents and Settings\jean terrien\Application Data\drivers\downld\78093.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\Documents and Settings\jean terrien\Application Data\m\flec006.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\WINDOWS\mdelk.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\WINDOWS\wintems.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013004.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013090.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013106.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013147.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013157.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013158.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013318.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013414.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013431.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013549.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013553.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013763.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013766.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013767.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013768.exe (Worm.Bagle) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4233
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512
24/06/2010 17:48:39
mbam-log-2010-06-24 (17-48-39).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 165946
Temps écoulé: 53 minute(s), 41 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 19
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\FyK\Quarantine\C\Documents and Settings\jean terrien\Application Data\drivers\downld\78093.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\Documents and Settings\jean terrien\Application Data\m\flec006.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\WINDOWS\mdelk.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\FyK\Quarantine\C\WINDOWS\wintems.exe.FindyKill (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013004.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013090.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013106.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013147.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013157.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013158.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013318.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013414.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013431.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013549.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013553.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013763.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013766.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013767.exe (Worm.Bagle) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{1C39B051-5BBB-4DCF-B64E-3F8E4FC87484}\RP65\A0013768.exe (Worm.Bagle) -> Quarantined and deleted successfully.
rapport findykill:
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 17:55:50 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,37 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,45 Mo free) # FAT
# E:\ # Disque amovible # 62,31 Mo (3,45 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32
################## | Eléments infectieux |
################## | Registre |
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
############################## | FindyKill V5.045 |
# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 17:55:50 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,37 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,45 Mo free) # FAT
# E:\ # Disque amovible # 62,31 Mo (3,45 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32
################## | Eléments infectieux |
################## | Registre |
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
l'option 2 s'est arretée comme précédemment (à 40% envion) du scan, mais peut etre est-ce normal.pas de rapport à l'écran
les choses vont nettement mieux..... pour ne pas dire "problème résolu" soyons prudent. Dans ce cas i me reste à réinstaller mes lecteurs de CD je pense.
-+-+-+-+-> OtMoveIt <-+-+-+-+-
[x] Télécharge OtMoveIt sur ton bureau.
[x] Lance le ( sous vista/7 -> clic droit puis " exécuter en tant qu'admin " ), puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".
[x] Clique maintenant sur " MoveIt! "
[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.
[x] Télécharge OtMoveIt sur ton bureau.
[x] Lance le ( sous vista/7 -> clic droit puis " exécuter en tant qu'admin " ), puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".
:reg [-HKCR\ed2k] [-HKCU\Software\Classes\ed2k] [-HKCU\Software\Local AppWizard-Generated Applications\key_generator] [-HKCU\Software\Local AppWizard-Generated Applications\winupgro] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator] [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro] :commands [emptytemp]
[x] Clique maintenant sur " MoveIt! "
[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.
