Comment supprimer Rootkit-CO [Trj]

thalm Messages postés 14 Statut Membre -  
Excessimo Messages postés 2352 Statut Membre -
Bonjour,

Mon logiciel antivirus met fréquemment une alerte pour ce fichier. Comment faire pour supprimer ce virus?
Je sais qu'un rapport hijackthis est souvent utile: je l'ai édité mais je ne sais pas le lire.

Quelqu'un peut-il m'aider, s'il vous plait?

10 réponses

  1. Excessimo Messages postés 2352 Statut Membre 157
     
    Salut,

    Il faut être sur une session ADMINISTRATEUR pour désinfecter !!

    Si tu utilise vista ou windows 7 et SEULEMENT pour vista et 7, désactive l'UAC :

    VISTA :https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    7 : https://www.commentcamarche.net/informatique/windows/261-desactiver-le-controle-de-compte-d-utilisateur-uac-de-windows/

    Laisse désactivé durant toute la désinfection, je te dirai quand réactiver

    LIS BIEN LES INSTRUCTIONS :) et tant que je ne t'ai PAS confirmé la fin de la désinfection il FAUT revenir consulter REGULIEREMENT le forum même si les symptômes ont disparu :)

    ===============ZHPDIAG====================

    On va faire un diagnostic du PC :

    [*]Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    [*]Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    [*]Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    [*]Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    [*]Héberge le rapport ZHPDiag.txt sur Cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :

    https://www.cjoint.com/

    tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    0
  2. Excessimo Messages postés 2352 Statut Membre 157
     
    =============AD-REMOVER==================

    * Télécharge AD-Remover ici
    ferme toutes les applications en cours !!!

    Note : Utilisateurs de vista/seven -> Clic droit sur "Ad-R.exe" puis " Exécuter en tant qu'administrateur "

    * Double-clique sur l'icône AD-Remover
    * Au menu principal, clique sur "Nettoyer"
    * Confirme le lancement de l'analyse et laisse l'outil travailler
    * Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    ############### Malwarebytes' Anti-Malware ###############

    [x] Télécharge Malwarebytes' Anti-malware sur ton bureau.

    http://www.malwarebytes.org/mbam-download.php

    [x] Désactive ton Antivirus pour éviter les conflits

    [x] Installe le en laissant les options par défaut ( Cocher seulement " Créer une icône sur le bureau " )

    [x] A la fin de l'installation, laisse les 2 cases pour l"éxécution et la mise à jour cochées.

    [x] Une fois lancé, clique sur " Exécuter un examen rapide" puis sur " Rechercher "

    [x] Clique ensuite sur " Afficher les résultats " puis sur " Supprimer la sélection ". Valide ensuite par " Ok ".

    [x] MBAM ouvrira un rapport, copie/colle son contenu dans ta prochaine réponse.

    [x] Note : Tu devra peut être redémarrer ton PC, accepte. Le rapport se trouve dans la partie " Rapports/Logs " du logiciel.
    0
  3. thalm Messages postés 14 Statut Membre
     
    Voici le rapport.
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,C | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 08/12/10 à 10:40
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 21:58:48 le 21/12/2010, Mode normal

    Microsoft Windows XP Professionnel Service Pack 3 (X86)
    Administrateur@CHRYSTELLE ( )

    ============== ACTION(S) ==============

    (!) -- Fichiers temporaires supprimés.

    Clé supprimée: HKLM\Software\AskBarDis

    ============== SCAN ADDITIONNEL ==============

    ** Mozilla Firefox Version [3.6.13 (fr)] **

    -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\FireFox\Profiles\tv84gv0o.default\Prefs.js --
    browser.download.lastDir, C:\\Documents and Settings\\Administrateur\\Mes documents\\Ecole
    browser.startup.homepage, hxxp://www.google.com/ig?source=gama&hl=fr
    browser.startup.homepage_override.mstone, rv:1.9.2.13

    ========================================

    ** Internet Explorer Version [7.0.5730.13] **

    [HKCU\Software\Microsoft\Internet Explorer\Main]
    AutoHide: no
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1

    [HKLM\Software\Microsoft\Internet Explorer\Main]
    Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/

    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 13 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 21/12/2010 (492 Octet(s))

    Fin à: 22:00:19, 21/12/2010

    ============== E.O.F ==============
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. thalm Messages postés 14 Statut Membre
     
    Voila le rapport Malwarebytes

    Malwarebytes' Anti-Malware 1.50
    www.malwarebytes.org

    Version de la base de données: 5367

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 7.0.5730.13

    21/12/2010 22:10:07
    mbam-log-2010-12-21 (22-10-07).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 134807
    Temps écoulé: 2 minute(s), 29 seconde(s)

    Processus mémoire infecté(s): 2
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 5
    Elément(s) de données du Registre infecté(s): 4
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 14

    Processus mémoire infecté(s):
    c:\WINDOWS\gwdrive32.exe (Trojan.LVBP) -> 1348 -> Unloaded process successfully.
    c:\WINDOWS\system32\msvmiode.exe (Trojan.Downloader) -> 3820 -> Unloaded process successfully.

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Microsoft Driver Setup (Trojan.LVBP) -> Value: Microsoft Driver Setup -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Microsoft Driver Setup (Trojan.LVBP) -> Value: Microsoft Driver Setup -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSODESNV7 (Trojan.Downloader) -> Value: MSODESNV7 -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Worm.Palevo) -> Value: Shell -> Delete on reboot.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman (Worm.Palevo) -> Value: Taskman -> Delete on reboot.

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\RECYCLER\S-1-5-21-9599443981-0111252275-794686055-7333\csidrv.exe,C:\RECYCLER\S-1-5-21-3108925767-3948306950-444186200-4913\syscr.exe,explorer.exe,C:\Documents and Settings\Administrateur\Application Data\ltzqai.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (PUM.Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSMHelp (PUM.Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\WINDOWS\gwdrive32.exe (Trojan.LVBP) -> Quarantined and deleted successfully.
    c:\WINDOWS\system32\msvmiode.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\documents and settings\administrateur\application data\ltzqai.exe (Trojan.Virtool) -> Delete on reboot.
    c:\RECYCLER\s-1-5-21-5605492153-1771506941-148036544-1320\syscr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\RECYCLER\s-1-5-21-0041550376-4459270277-090548557-7345\csidrv.exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\administrateur\local settings\Temp\4867513.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\documents and settings\administrateur\local settings\Temp\56895.exe (Trojan.LVBP) -> Quarantined and deleted successfully.
    c:\documents and settings\administrateur\local settings\temporary internet files\Content.IE5\MD3745Z1\9[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.
    c:\documents and settings\administrateur\local settings\temporary internet files\Content.IE5\Y8HDZ4B2\a2[1].exe (Trojan.LVBP) -> Quarantined and deleted successfully.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\3MZPKYPH\yzgh[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\EW3BQNUB\yzgh[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\JAX4XZWI\dsar[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SLP9ZU1X\282[1].gif (Extension.Mismatch) -> Quarantined and deleted successfully.
    c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\SLP9ZU1X\dsar[1].exe (Trojan.Agent) -> Quarantined and deleted successfully.
    0
  6. Excessimo Messages postés 2352 Statut Membre 157
     
    nickel refait un zhpdiag pour contrôler ;)
    0
  7. thalm Messages postés 14 Statut Membre
     
    Voici le dernier rapport. https://www.cjoint.com/?0mvwuz7ocCQ

    Avast trouve encore un virus/ver Win32:Trojan-gen

    Je dois refaire les mêmes manip?
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      attend :)
      0
    2. Excessimo Messages postés 2352 Statut Membre 157
       
      désinstalle spybot et ad-aware, ils sont devenus obsolètes, avast! fera l'affaire (il faudra le mette à jour quand je te dirai), et active le pare feu windows. Dit moi quand tu auras fini.

      https://www.commentcamarche.net/faq/1190-windows-xp-activer-ou-desactiver-le-firewall-pare-feu-de-xp
      0
  8. thalm Messages postés 14 Statut Membre
     
    J'ai désinstaller spybot et activer le pare-feu windows. Par contre je n'ai pas trouver ad-aware pour le désinstaller.
    0
  9. Excessimo Messages postés 2352 Statut Membre 157
     
    ok c'est bon ;)

    ===============COMBOFIX==================

    Je te conseille de faire une sauvegarde tes documents importants.

    Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau impérativement !!

    Désactive les logiciels de protection (Antivirus, Antispywares), déconnecte toi d'internet puis :

    Double-clic sur combofix (si tu as Vista ou windows 7 => clic droit "executer en tant que....) , accepte la licence d'utilisation et laisse toi guider.

    Installe la console de récupération comme cela est conseillé

    Attends que combofix ait terminé (ne touche à rien durant son travail !!), en fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    Un rapport sera créé, il se trouve ici C:\Combofix.txt.
    Héberge le rapport sur https://www.cjoint.com/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    tutorial pour t'aider au cas où :) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Note : si Combofix ne se lance pas, renomme le fichier Combofix et réessaye

    Si malgré tout ça ne fonctionne pas, tente en mode sans échec sans prise en charge du réseau : Redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuie sur la touche entrée du clavier.
    0
  10. thalm Messages postés 14 Statut Membre
     
    Ca va me prendre un bon moment pour sauvegarder mes fichiers. Je te tiens au courant dès que j'aurai fait ça, demain certainement.
    Merci déjà pour ton aide.
    0
    1. Excessimo Messages postés 2352 Statut Membre 157
       
      au fait, relance ad remover et fait désinstaller, ensuite ouvre mbam va dans la quarantaine et supprime tout ce qui s'y touve et passe à combofix (lis bien les instructions pour combofix !)
      0