Rootkit ? Non-identifié...

Résolu
anekra -  
 anekra -
Bonjour,

Bonjour,
Besoin d'un conseil. Ai choppé Antimalware Doctor en sautant sur un site hacké. McAfee avec sa navigation sécurisée n'a rien vu. J'ai éliminé le rogue mais il m'a laissé ses petits.
- démarrage lent, parfois l'ordi refuse de s'arrêter
- Les icones des fichiers sur le Bureau portent un cercle rouge avec un point d'exclamation
- Les liens dans Firefox sont redirigés Gomeo, des pages non-sollicitées s'ouvrent
- Windows Updates est HS
- Les fenêtres « processus hôte pour les services windows a cessé de fonctionner »
Je n'arrive pas à identifier le ou les méchants. Essayé MBAM, Gmer, Superantispyware, Cleaner 2011, Trojan remover et encore une demi-douzaine de logiciels de ce type... ils ne détectent rien.
ComboFix a semblé détecter quelque chose, j'ai gardé le rapport.
Est-ce que quelqu'un peut me conseiller sur la manière de nettoyer ?
Merci d'avance

A voir également:

24 réponses

Précédent
  • 1
  • 2
Réponse 21 / 24
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

il y avait ceci dans le rapport Combofix :

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*ù*¹*%\OpenWithList]
@Class="Shell"

Les caractères .*ù*¹*% sont mal retranscrits.

Peux tu ouvrir le registre et voir ce qu'il en est.

Par ailleurs, relance MBAM par clic droit et exécuter en tant qu'administrateur, mets le à jour par l'onglet ad hoc et fais un scan complet (ça sera long).

Poste le rapport.
0
anekra
 
Il y a deux clés avec ces caractères, vides toutes les deux.

[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?]
[HKEY_USERS\S-1-5-21-1059758253-563987677-2854047822-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?\OpenWithList]

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ù¹?\OpenWithList]

Je m'occupe du scan complet.
0
anekra
 
Voici le rapport de MBAM sur les deux partitions. La base a été mise à jour juste avant le scan.

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4974

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18975

28/10/2010 16:08:51
mbam-log-2010-10-28 (16-08-51).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 377872
Temps écoulé: 1 heure(s), 57 minute(s), 25 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


C'est à croire que la chose a utilisé un procédé inconnu et sans traces pour modifier l'apparence des icônes sur le bureau. Ou au contraire, un procédé connu et pas tracé parce que réputé sans danger ?
0
anekra
 
Bonjour,

Je l'ai eu... cette histoire des icônes avec un petit sigle rouge et un point d'exclamation sur le bureau.
En cherchant parmi les possibilités de modifier les icônes sur le bureau, je suis tombé sur un logiciel qui s'appelle Tortoise SVN http://tortoisesvn.net/node/138
et dont le deuxième sigle sur la liste est la copie exacte de celui qui apparaissait sur mes icônes. Avec cette différence que le sigle de Tortoise était censé apparaitre dans le coin inférieur gauche de l'icône semble-t-il, et sur mon PC il apparaissait dans le coin droit.
De guerre lasse... j'ai téléchargé ce logiciel, je l'ai installé, il m'a demandé de redémarrer le PC - et au redémarrage il n'y avait plus de sigle sur les icônes !
Ce n'était peut-être pas une méthode très scientifique ;-) j'en suis conscient.

Merci pour ta patience et pour tes conseils qui m'ont beaucoup aidé, notamment en permettant d'éliminer nombre de fausses pistes.
0
Réponse 22 / 24
Lyonnais92 Messages postés 25159 Date d'inscription   Statut Contributeur sécurité Dernière intervention   1 537
 
Bonjour,

bravo.

Le logiciel sert à gérer les versions des "fichiers".

La marque indique que le fichier a été (ou va être) modifié.

Je ne sais pas si tu souhaites conserver ce logiciel.

Mais ma question est : que se passe-t-il si tu désinstalles ?
0
anekra
 
Après désinstallation de Tortoise, le sigle réapparait.
Là, je viens de réinstaller Tortoise - le sigle a disparu à nouveau...
Autre chose : en présence de Tortoise, le temps de démarrage - entre la validation du mot de passe de l'ordinateur et l'apparition de l'écran de sélection des utilisateurs - est réduit d'environ cinq - sept secondes, toutes conditions par ailleurs identiques.
Tortoise est installé pour tous utilisateurs.
Comme si sa présence empêchait « l'autre » de provoquer un conflit qui ralentissait le démarrage.
Est-ce qu'il y a un moyen d'enregistrer les conflits au démarrage ?
0
Réponse 23 / 24
Profil bloqué
 
bande de geek!!!!!!!!!!!! lol :) moi ji comprend rien a tout sa :)
-2
Réponse 24 / 24
Profil bloqué
 
formate.........
-4
anekra
 
j'en aurai pour des jours et des jours à tout réinstaller reconfigurer... si je pouvais l'éviter...
0

Discussions similaires

ORA-00904: identificateur non valide
gamp -
X-DBA -

2 réponses
Ethernet - Réseau non identifié
JackM01 -
JackM01 -

2 réponses
Pb ORA-00920: opérateur relationnel non valide
JsuisNul -
JsuisNul -

1 réponse
ORA-00911: caractère non valide
smailtun -
jee pee -

3 réponses
CPL (Ethernet): "Réseau non identifié, pas d'accès réseau"
MrTraan -
MrTraan -

9 réponses