Menace "Rootkit" avec avast! Fermé

Question

Bonjour tous. 

Voilà, j'étais tranquillement sur le net, quand avast! détecte une menace sur un site, sur Firefox : or j'étais sur Opera ... 

Bon je m'affole pas je ferme, et je continue ce que j'étais en train de faire. 

Puis là, avast! détecte une autre menace et m'en met une vingtaine à la suite "une menace a été détecté". "Rootkit Win32 C:\windows\system32\svchostexe " quelque chose comme ça, j'ai essayé de faire quelque chose mais l'ordi était super lent, je l'ai donc éteint manuellement. 

Au redémarrage, j'ai remarqué 2 choses: 
- tout d'abord l'affichage de l'écran est "plus gros", un genre de zoom, un problème d'affichage avec aero. Comme quand on ouvre Limewire et que les fenêtres changent d'apparence .. Enfin je sais pas si vous m'avez compris, je sais pas comment expliqué ^^" 
(j'ai réglé ce problème avec les propriétés d'affichage dans le panneau de configuration mais, ce problème m'intrigue toujours ..) 

- et mon ordi est un peu plus lent, quelques ptit bugs. 

Bon apparemment aucun gros problème mais je m'inquiète comme même. J'ai recherché "menace rootkit avast!" et apparament c'est un "Faux Virus", mais les topics datent de 2008, donc je sais pas trop si j'ai un réel virus sur mon système. 

Au passage, j'ai fais un scan avec Malwarebytes, et j'ai : 

- 2 Backdoor.Bot 
- 23 Rootkit.Bubnix 
- 5 Malware.Trace 
- 1 Trojan Downloader 
- 1 Hijack.StartPage 

J'ai lu qu'il ne fallait surtout pas supprimer les "Rootkit", il sont important pour Windows ou je sais trop quoi .. 
Donc là je suis perdu et j'ai peur pour mon ordi, donc je vous demande de l'aide s'il vous plaît ! 


Merci d'avance, bon après-midi !

moment de grace · Answer

bonjour

fais ceci pour un diagnostic complet du PC :

Télécharge ZHPDiag ( de? Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

 Double clique sur le fichier d'installation, puis installe le avec les? paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe? en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint :? http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Créer le lien cjoint " et copie/colle le dans ton prochain message

Negix · Answer

Merci, je vais essayer. Et que dois-je faire pour les malware, backdoor, trojan et hijack ?

moment de grace · Answer

ne fais que ZHPdiag et poste moi ce rapport MBAM sans refaire de scan

Negix · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijkxi8Fc5.txt

Je crois que c'est bon là

moment de grace · Answer

le rapport MBAM stp

Negix · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijg4joI4H.txt

moment de grace · Answer

tu n'avais rien supprimé, je comprends mieux

Attention, avant de commencer, lit attentivement la procédure, et imprime la 

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix



Télécharge ComboFix de sUBs en le renommant MDG.exe avant de l'enregistrer sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ 
---> Double-clique sur ComboFix.exe 
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter 

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION 
(si il te propose de l'installer remets  internet)

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

moment de grace · Answer

c'est ici que l'on cause

fais un nouveau rapport ZHPdiag

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Negix · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijzpbxBKE.txt

moment de grace · Answer

ok

redemarre en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

et refais combofix

Negix · Answer

Ok et comment je reviens en mode normal après ?

moment de grace · Answer

en redemarrant le pc

Negix · Answer

Très bien je redémarre > mode sans échec > Combofix > je redémarre quand le scan est terminé et je post le rapport ?

Negix · Answer

Cette fois-ci ça a fonctionné. Le rapport :
 http://www.cijoint.fr/cjlink.php?file=cj201009/cij5ApBUtz.txt

moment de grace · Answer

en mode normal

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Negix · Answer

Après le scan ComboFix j'ai fais un scan rapide Malwarebytes, il y a encore 1 Hijack, 1 Malware et 29 Rootkit. 

Je relance un scan complet et je suis tes instructions.

moment de grace · Answer

grrr

ne fais que ce que je te demande sinon je ne vais pas arriver à suivre

fais une pause à mbam et dans l'onglet rapport tu devrais retrouver ce que cherche

Negix · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijXaKqClm.txt

scan rapide

moment de grace · Answer

ok

tout est dans l'ordre des choses

évidement tu supprimes tout ce trouve MBAM

Negix · Answer

Bonjour, le scan complet est en cours, le rapide n'as "détecté aucun nuisibles".

Mais les Rootkis sont sous quarantaine. Je les laisse comme ça ? Ou je les supprimes définitivement ?

negix · Answer

Le scan vient tout juste de se terminer (3h30 minutes). Antivir vient ,à l'instant où j'écris, de détecter un Backdoor et Malwarebytes aussi. Je poste le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijkdYeY42.txt

Negix · Answer

Le scan vient tout juste de se terminer (3h30 minutes). Antivir vient ,à l'instant où j'écris, de détecter un Backdoor et Malwarebytes aussi. Je poste le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201009/cijkdYeY42.txt

moment de grace · Answer

ok

Fais un nouveau rapport ZHPdiag stp

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Negix · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijEa7zPqu.txt

moment de grace · Answer

Memo Joy tu connais ? ..................... Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) [HKCU\Software\AppDataLow\Toolbar] [HKCU\Software\LdShih] O43 - CFD:Common File Directory ----D- C:\Program Files\Ask.com O43 - CFD:Common File Directory ----D- C:\Program Files\Circle Developement O43 - CFD:Common File Directory ----D- C:\Program Files\Eggs funk safe O43 - CFD:Common File Directory ----D- C:\Program Files\RKFree O43 - CFD:Common File Directory ----D- C:\ProgramData\comp two long internet O43 - CFD:Common File Directory ----D- C:\ProgramData\Eggs funk safe O43 - CFD:Common File Directory ---AD- C:\ProgramData kfree O69 - SBI: C:\Users\Santiago\AppData\Roaming\Mozilla\Firefox\Profiles\v66qc2wy.default\searchplugins\askcom.xml O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis O67 - Shell Spawning: <.000> [HKLM\..\open\Command] (.Pas de propriétaire - Pas de description.) -- C:\Program Files\HachaPro\hacha.exe Puis Lance ZHPFix depuis le raccourci du bureau . * Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . * Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent . Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre. Clique sur " Ok " , puis " Tous " et enfin " Nettoyer ". Copie/Colle le rapport à l'écran dans ton prochain message le rapport se trouve dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

Negix · Answer

http://www.cijoint.fr/cjlink.php?file=cj201009/cijsVfHWPt.txt

moment de grace · Answer

ok

le pc doit être bien là

fais un tour complet avec avira et nous finaliserons ensuite

Menace "Rootkit" avec avast!

27 réponses

Discussions similaires