Besoin d'aide pour supprimer un rootkit

orphee -  
 orphee -
Bonjour,

J'ai un rootkit sur mon pc, j'ai essayé de le supprimer via plusieurs utilitaires sans succès ils n'arrivent pas à me le détecter.

Est ce que quelqu'un pourrait m'aider à m'en débarrasser.

Merci d'avance.

24 réponses

  • 1
  • 2
  1. orphee
     
    Oui j'ai testé ces deux utilitaires et ils ne me les détectent pas.
    J'ai aussi essayé eei1unxg et stinger10101395.

    Stinger est pas mal il me détecte les virus mais il n'arrive visiblement pas à me supprimer le rootkit.

    Peut-être que je les utilise mal...
    0
  2. Utilisateur anonyme
     
    ☯ bienvenue sur CCM, nous allons essayer de résoudre ton problème.

    attentions, voici quelques règles:

    ▨ les helpers ici sont volontaire et peuvent traiter plusieurs sujets donc, si une réponse se fait trop attendre, pas de panique, nous reviendrons sur ton sujet. (si une réponse ce fait trop attendre, contacter le helper par MP.)

    il est important de suivre la procédure jusqu'au bout! même si le pc va mieux, ne pas partir tant que le helpers n'a pas dit que c'est fini... il pourrait rester des infections!

    ▨ si tu as des questions, n'hésite pas a me les poser, ne reste pas dans le doute.

    ☯ bonne désinfection.

    pour une analyse de ton système, fais ceci:

    ----->ZHPDIAG<-----

    /!\ utilisateur de vista et seven, désactiver l'UAC./!\

    /!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\

    ▶ Télécharge zhpdiag (de Nicolas Coolman)

    ▶ Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    > /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\

    ▶ Clique sur la petite loupe en haut à gauche pour débuter l'analyse :

    attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour

    ▶ Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette

    ▶ Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

    @++ --
    ▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

    Qualification Helper sur HELPER FORMATION.
    0
  3. orphee
     
    Voilà le lien

    http://cjoint.com/?1dcqnNliyhE
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Utilisateur anonyme
     
    pas trop infecter mais un petit peu...

    MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:

    MBAM :

    ▣ Télécharge MBAM

    ▣ Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    ▣ Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\

    ▣ A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»

    ▣ Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

    > L'analyse peut durer un plusieurs heures...

    ▣ Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    ▣ Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    ▣ Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI » » --
    ▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

    Qualification Helper sur HELPER FORMATION.
    0
  6. orphee
     
    Scan terminé, voilà le rapport

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 5932

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    02/03/2011 17:21:14
    mbam-log-2011-03-02 (17-21-14).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 198263
    Temps écoulé: 51 minute(s), 4 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 3

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    c:\documents and settings\cocotte\local settings\temporary internet files\content.ie5\sxyvg5iz\brlhfh[1].jpg (Extension.Mismatch) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{d3c56ab6-336f-4c9d-80ce-82d75c0f4508}\RP106\A0017583.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
    c:\system volume information\_restore{d3c56ab6-336f-4c9d-80ce-82d75c0f4508}\RP80\A0011193.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
    0
  7. Utilisateur anonyme
     
    Ce script va cibler certains éléments à supprimer :

    * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
    * Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).

    * Copie les lignes suivantes :
    ____________________________________________________________________________________________________________________________

    O1 - Hosts: 74.208.10.249 gs.apple.com

    SS - | Demand 10/06/2010 0 | (MEMSWEEP2) . (.Pas de propriétaire.) - C:\WINDOWS\system32\3.tmp

    __________________________________________________________________________________________________________________________________


    * Clique sur « Tous », puis sur « Nettoyer »
    * Copie/colle la totalité du rapport dans ta prochaine réponse. --
    ▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

    Qualification Helper sur HELPER FORMATION.
    0
  8. orphee
     
    Voilà

    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre : C:\ZHPExportRegistry-02-03-2011-17-34-37.txt
    Run by Cocotte at 02/03/2011 17:34:37
    Windows XP Professional Service Pack 2 (Build 2600)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    SS - | Demand 10/06/2010 0 | (MEMSWEEP2) . (.Pas de propriétaire.) - C:\WINDOWS\system32\3.tmp => Clé supprimée avec succès

    ========== Fichier(s) ==========
    c:\windows\system32\3.tmp => Fichier absent

    ========== Fichier HOSTS ==========
    Le fichier Hosts est sain

    ========== Récapitulatif ==========
    1 : Clé(s) du Registre
    1 : Fichier(s)
    1 : Fichier HOSTS

    End of the scan
    0
  9. Utilisateur anonyme
     
    tu n'es plus infecter cependant, tu as des restes de norton sur ton pc.
    pour les enlever:

    télécharge UninstallAV (de 91300)
    enregistre le sur ton BUREAU
    lance l'outils puis tape 4
    l'utilitaire norton va s'exécuter, laisse le travailler.

    préviens moi quand ce sera fait.
    ▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

    Qualification Helper sur HELPER FORMATION.
    0
  10. orphee
     
    C'est bon c'est fait. Le pc a redémarré.
    Par contre il m'a ouvert une page web avec : Réinstallation de votre produit Norton après l'exécution de l'outil Norton Removal Tool

    Je n'ai rien fait veux pas faire de bêtises.
    Le seul produit que je possède de Norton est Norton Ghost pour la sauvegarde de mon DD.
    0
  11. Utilisateur anonyme
     
    ne fais rien ;)

    EDIT: on continu

    Qualification Helper sur HELPER FORMATION.</signature>
    ▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀

    Qualification Helper sur HELPER FORMATION.
    0
  12. orphee
     
    Bon je viens d'avoir une alerte d'avast : win32:rootkit.gen
    Il est encore là... Help !!
    0
  13. Utilisateur anonyme
     
    avast te dit quel est le fichier en question?
    le nom du fichier?
    0
  14. Utilisateur anonyme
     
    avast ne te donne aucune autres précision?
    0
  15. Utilisateur anonyme
     
    ouvre la quarantaine de avast et regarde l'emplacement du fichier infecter.
    donne moi la ligne entière que tu auras.
    0
  16. Utilisateur anonyme
     
    bon, on va tenter quand même alors...


    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  17. orphee
     
    Est-ce qu'il faut que je désactive MBAM et avast ?
    0
  • 1
  • 2