Comment supprimer Rootkit-CO [Trj]

thalm Messages postés 14 Statut Membre -  
Excessimo Messages postés 2352 Statut Membre -
Bonjour,


Mon logiciel antivirus met fréquemment une alerte pour ce fichier. Comment faire pour supprimer ce virus?
Je sais qu'un rapport hijackthis est souvent utile: je l'ai édité mais je ne sais pas le lire.

Quelqu'un peut-il m'aider, s'il vous plait?

10 réponses

Réponse 1 / 10
Excessimo Messages postés 2352 Statut Membre 157
 
Salut,

Il faut être sur une session ADMINISTRATEUR pour désinfecter !!

Si tu utilise vista ou windows 7 et SEULEMENT pour vista et 7, désactive l'UAC :

VISTA :https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

7 : https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/

Laisse désactivé durant toute la désinfection, je te dirai quand réactiver

LIS BIEN LES INSTRUCTIONS :) et tant que je ne t'ai PAS confirmé la fin de la désinfection il FAUT revenir consulter REGULIEREMENT le forum même si les symptômes ont disparu :)

===============ZHPDIAG====================

On va faire un diagnostic du PC :

[*]Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

[*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

[*]Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
[*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
[*]Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

https://www.cjoint.com/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
0
Réponse 2 / 10
thalm Messages postés 14 Statut Membre
 
Merci de ton aide. J'ai fait le diagnostic. Voici le rapport.

https://www.cjoint.com/?0mvvZsvrTpp
0
Réponse 3 / 10
Excessimo Messages postés 2352 Statut Membre 157
 
=============AD-REMOVER==================

* Télécharge AD-Remover ici
ferme toutes les applications en cours !!!

Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur "Nettoyer"
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


############### Malwarebytes' Anti-Malware ###############

[x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

http://www.malwarebytes.org/mbam-download.php

[x] Désactive ton Antivirus pour éviter les conflits

[x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

[x] A la fin de l'installation, laisse les 2 cases pour l"éxécution et la mise à jour cochées.

[x] Une fois lancé, clique sur " Exécuter un examen rapide" puis sur " Rechercher "

[x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

[x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

[x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.
0
Réponse 4 / 10
thalm Messages postés 14 Statut Membre
 
Voici le rapport.
======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 08/12/10 à 10:40
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:58:48 le 21/12/2010, Mode normal

Microsoft Windows XP Professionnel Service Pack 3 (X86)
Administrateur@CHRYSTELLE ( )

============== ACTION(S) ==============



(!) -- Fichiers temporaires supprimés.


Clé supprimée: HKLM\Software\AskBarDis


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.13 (fr)] **

-- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\tv84gv0o.default\Prefs.js --
browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Mes documents\\Ecole
browser.startup.homepage, hxxp://www.google.com/ig?source=gama&hl=fr
browser.startup.homepage_override.mstone, rv:1.9.2.13

========================================

** Internet Explorer Version [7.0.5730.13] **

[HKCU\Software\Microsoft\Internet Explorer\Main]
AutoHide: no
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1

[HKLM\Software\Microsoft\Internet Explorer\Main]
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\WINDOWS\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 21/12/2010 (492 Octet(s))

Fin à: 22:00:19, 21/12/2010

============== E.O.F ==============
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
thalm Messages postés 14 Statut Membre
 
Voila le rapport Malwarebytes

Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 5367

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

21/12/2010 22:10:07
mbam-log-2010-12-21 (22-10-07).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 134807
Temps écoulé: 2 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 2
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 5
Elément(s) de données du Registre infecté(s): 4
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 14

Processus mémoire infecté(s):
c:\WINDOWS\gwdrive32.exe (Trojan.LVBP) -> 1348 -> Unloaded process successfully.
c:\WINDOWS\system32\msvmiode.exe (Trojan.Downloader) -> 3820 -> Unloaded process successfully.

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.LVBP) -> Value: Microsoft Driver Setup -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.LVBP) -> Value: Microsoft Driver Setup -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSODESNV7 (Trojan.Downloader) -> Value: MSODESNV7 -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-9599443981-0111252275-794686055-7333\csidrv.exe,C:\RECYCLER\S-1-5-21-3108925767-3948306950-444186200-4913\syscr.exe,explorer.exe,C:\Documents and Settings\Administrateur\Application Data\ltzqai.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\WINDOWS\gwdrive32.exe (Trojan.LVBP) -> Quarantined and deleted successfully.
c:\WINDOWS\system32\msvmiode.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\application data\ltzqai.exe (Trojan.Virtool) -> Delete on reboot.
c:\RECYCLER\s-1-5-21-5605492153-1771506941-148036544-1320\syscr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-0041550376-4459270277-090548557-7345\csidrv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\local settings\Temp\4867513.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\local settings\Temp\56895.exe (Trojan.LVBP) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\local settings\temporary internet files\Content.IE5\MD3745Z1\9[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
c:\documents and settings\administrateur\local settings\temporary internet files\Content.IE5\Y8HDZ4B2\a2[1].exe (Trojan.LVBP) -> Quarantined and deleted successfully.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3MZPKYPH\yzgh[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EW3BQNUB\yzgh[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\JAX4XZWI\dsar[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SLP9ZU1X\282[1].gif (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SLP9ZU1X\dsar[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 6 / 10
Excessimo Messages postés 2352 Statut Membre 157
 
nickel refait un zhpdiag pour contrôler ;)
0
Réponse 7 / 10
thalm Messages postés 14 Statut Membre
 
Voici le dernier rapport. https://www.cjoint.com/?0mvwuz7ocCQ

Avast trouve encore un virus/ver Win32:Trojan-gen

Je dois refaire les mêmes manip?
0
Excessimo Messages postés 2352 Statut Membre 157
 
attend :)
0
Excessimo Messages postés 2352 Statut Membre 157
 
désinstalle spybot et ad-aware, ils sont devenus obsolètes, avast! fera l'affaire (il faudra le mette à jour quand je te dirai), et active le pare feu windows. Dit moi quand tu auras fini.

https://www.commentcamarche.net/faq/1190-windows-xp-activer-ou-desactiver-le-firewall-pare-feu-de-xp
0
Réponse 8 / 10
thalm Messages postés 14 Statut Membre
 
J'ai désinstaller spybot et activer le pare-feu windows. Par contre je n'ai pas trouver ad-aware pour le désinstaller.
0
Réponse 9 / 10
Excessimo Messages postés 2352 Statut Membre 157
 
ok c'est bon ;)

===============COMBOFIX==================

Je te conseille de faire une sauvegarde tes documents importants.

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau impérativement !!

Désactive les logiciels de protection (Antivirus, Antispywares), déconnecte toi d'internet puis :

Double-clic sur combofix (si tu as Vista ou windows 7 => clic droit "executer en tant que....) , accepte la licence d'utilisation et laisse toi guider.

Installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé (ne touche à rien durant son travail !!), en fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

Un rapport sera créé, il se trouve ici C:\Combofix.txt.
Héberge le rapport sur https://www.cjoint.com/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

tutorial pour t'aider au cas où :) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Note : si Combofix ne se lance pas, renomme le fichier Combofix et réessaye

Si malgré tout ça ne fonctionne pas, tente en mode sans échec sans prise en charge du réseau : Redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.
0
Réponse 10 / 10
thalm Messages postés 14 Statut Membre
 
Ca va me prendre un bon moment pour sauvegarder mes fichiers. Je te tiens au courant dès que j'aurai fait ça, demain certainement.
Merci déjà pour ton aide.
0
Excessimo Messages postés 2352 Statut Membre 157
 
au fait, relance ad remover et fait désinstaller, ensuite ouvre mbam va dans la quarantaine et supprime tout ce qui s'y touve et passe à combofix (lis bien les instructions pour combofix !)
0

Discussions similaires

Supprimer compte Tendermeets.com
anonyme -
anonyme -

1 réponse