Rootkit supposé, problème de détection.
Gabriel
-
moment de grace Messages postés 30049 Statut Contributeur sécurité -
moment de grace Messages postés 30049 Statut Contributeur sécurité -
Bonjour,
Je poste sur ce forum parce que depuis 2 jours, après avoir cliqué sur un lien bien plus malveillant que je ne le pensais, mon PC ( Windows XP Familial ) subit d'importants freezes au démarrage, qui se terminent par un freeze total de la barre de tâche et du menu démarrer.
Si j'utilise les icônes affichées sur le bureau, c'est encore possible, mais à la moindre surcharge de travail, l'ordi plante totalement, et le reboot manuel est de vigueur.
J'ai DL un tas de logiciel de " rootkit remoal " sans succès, par exemple Gmer ne me donne aucune ligne en rouge. Les antivirus Avast et Antivir m'ont détecté quelques trojans ou worms, que j'ai supprimés, sans succès. D'une, ils reviennent au prochain reboot, de deux, le problème de freeze n'est pas arrangé.
Enfin, je ne sais trop à la suite de quelle manip particulière, mon PC s'est mis comme par magie à remarcher normalement, malheureusement, et je m'en doutais, au reboot suivant, tout était redevenu comme avant, buggé.
Tout cela me fait penser que j'ai affaire à un Rootkit, et j'ai grand besoin de votre aide pour le localiser, puis le *overdelete of the death of the mortal doom*
Merci d'avance pour votre compréhension, et votre génie !
(Je poste depuis le mac de mon frère)
Je poste sur ce forum parce que depuis 2 jours, après avoir cliqué sur un lien bien plus malveillant que je ne le pensais, mon PC ( Windows XP Familial ) subit d'importants freezes au démarrage, qui se terminent par un freeze total de la barre de tâche et du menu démarrer.
Si j'utilise les icônes affichées sur le bureau, c'est encore possible, mais à la moindre surcharge de travail, l'ordi plante totalement, et le reboot manuel est de vigueur.
J'ai DL un tas de logiciel de " rootkit remoal " sans succès, par exemple Gmer ne me donne aucune ligne en rouge. Les antivirus Avast et Antivir m'ont détecté quelques trojans ou worms, que j'ai supprimés, sans succès. D'une, ils reviennent au prochain reboot, de deux, le problème de freeze n'est pas arrangé.
Enfin, je ne sais trop à la suite de quelle manip particulière, mon PC s'est mis comme par magie à remarcher normalement, malheureusement, et je m'en doutais, au reboot suivant, tout était redevenu comme avant, buggé.
Tout cela me fait penser que j'ai affaire à un Rootkit, et j'ai grand besoin de votre aide pour le localiser, puis le *overdelete of the death of the mortal doom*
Merci d'avance pour votre compréhension, et votre génie !
(Je poste depuis le mac de mon frère)
A voir également:
- Rootkit supposé, problème de détection.
- Detection materiel pc - Guide
- Touslesdrivers detection - Télécharger - Pilotes & Matériel
- Atc4.detection ✓ - Forum Virus
- Rootkit - Télécharger - Antivirus & Antimalwares
- 2100 detection error on hddo (main hdd) - Forum PC portable
42 réponses
DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)
Télécharge ici :List_Kill'em et enregistre le sur ton bureau
http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe
ou
http://www.archive-host.com
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur le raccourci sur ton bureau pour lancer l'installation
Laisse coché :
Executer List_Kill'em
une fois terminée , clic sur "terminer" et le programme se lancera seul
choisis l'option Search
laisse travailler l'outil
il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"
à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.
Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"
NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Fais de même avec more.txt qui se trouve sur ton bureau
http://www.cijoint.fr/cjlink.php?file=cj201009/cijun73DTq.txt
Rapport Kill'em
http://www.cijoint.fr/cjlink.php?file=cj201009/cijew3g46z.txt
Fichier more
Je note que les symptômes ont disparu à la fin de ce scan, mais je n'insiniue rien de plus xD
Rapport Kill'em
http://www.cijoint.fr/cjlink.php?file=cj201009/cijew3g46z.txt
Fichier more
Je note que les symptômes ont disparu à la fin de ce scan, mais je n'insiniue rien de plus xD
Voilà plusieurs heures que l'ordinateur est sous tension sur la même session, toujours pas de rebug, ni d'alerte, j'attends tes conseils pour faire quoi que ce soit, pas envie de tout gâcher xD
mon collègue....
.............
Et comment expliquer la subite réparation ( très éphémère je pense ) de mon PC TT
éphémère surement car on a pas fait grand chose en fait
...............
1)
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
choisis l'option CLEAN
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
..................
2)
en normal toujours
mettre à jour MBAM
examen complet
poster le rapport
.............
Et comment expliquer la subite réparation ( très éphémère je pense ) de mon PC TT
éphémère surement car on a pas fait grand chose en fait
...............
1)
Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
choisis l'option CLEAN
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
colle le contenu dans ta reponse
..................
2)
en normal toujours
mettre à jour MBAM
examen complet
poster le rapport
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
http://www.cijoint.fr/cjlink.php?file=cj201009/cijJ9jfvCd.txt
Voilà le rapport de cleaning Killem
Je m'occupe de DL MBAM desuite !
Voilà le rapport de cleaning Killem
Je m'occupe de DL MBAM desuite !
Négatif, exactement les mêmes symptômes qu'au début...
Désespérant
J'ai 3 virus dans la quarantaine d'Antivir, des trojans, ça ne peut pas venir d'eux un tel problème non ?
Désespérant
J'ai 3 virus dans la quarantaine d'Antivir, des trojans, ça ne peut pas venir d'eux un tel problème non ?
Ça m'intrigue le fait que le PC de temps en temps au bout d'unmoment ou suite à une manip particulière se mette à marcher normalement, pour replanter au démarrage suivant, c'est vraiment louche
Télécharge SEAF ( de C__XX ) sur ton bureau :
ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :
sysrda32
* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "
* Au niveau des " options du registre " :
> coche " chercher également dans le registre "
( ne touche à aucun autre réglage )
* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).
--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )
ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil.
* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :
sysrda32
* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant " Afficher les ADS "
* Au niveau des " options du registre " :
> coche " chercher également dans le registre "
( ne touche à aucun autre réglage )
* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ).
--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Gabriel , il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\Gab'\Menu Démarrer\Programmes\Démarrage\sysrda32.exe"=-
[HKEY_USERS\S-1-5-21-790525478-1343024091-1801674531-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\Gab'\Menu Démarrer\Programmes\Démarrage\sysrda32.exe"=-
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\Gab'\Menu Démarrer\Programmes\Démarrage\sysrda32.exe"=-
[HKEY_USERS\S-1-5-21-790525478-1343024091-1801674531-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\Documents and Settings\Gab'\Menu Démarrer\Programmes\Démarrage\sysrda32.exe"=-
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe * Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
Voilà le compte rendu
http://www.cijoint.fr/cjlink.php?file=cj201009/cij52Vgf04.txt
J'ai effectué le scan en mode normal
http://www.cijoint.fr/cjlink.php?file=cj201009/cij52Vgf04.txt
J'ai effectué le scan en mode normal
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\config\systemprofile\Application Data\hngmfc.dat
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier :
c:\windows\system32\config\systemprofile\Application Data\hngmfc.dat
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si tu ne trouves pas le fichier alors
Affiche tous les fichiers et dossiers :
Pour cela :
Clique sur démarrer/panneau de configuration/option des dossiers/affichage
Cocher afficher les dossiers cachés
Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)"
Décocher masquer les extensions dont le type est connu
Puis fais «appliquer» pour valider les changements.
Et OK
tuto pour t'aider
http://www.bibou0007.com/scans-en-ligne-f75/tutorial-sur-virustotal-t190.htm
http://www.cijoint.fr/cjlink.php?file=cj201009/cijtnfubIp.txt
Le voilà
Mais c'est négatif, c'truc, selon eux, est pas méchant
Le voilà
Mais c'est négatif, c'truc, selon eux, est pas méchant
ok
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
puis fais un scan avec antivir voir ce qu'il en pense
Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse
puis fais un scan avec antivir voir ce qu'il en pense
Quand je corrige les erreurs, ça me demande si je veux créer une sauvegarde des clés du registre qui vont êtres supprimées, j'dis quoi ?
