Besoin d'aide pour supprimer un rootkit

Question

Bonjour, 

J'ai un rootkit sur mon pc, j'ai essayé de le supprimer via plusieurs utilitaires sans succès ils n'arrivent pas à me le détecter.

Est ce que quelqu'un pourrait m'aider à m'en débarrasser.

Merci d'avance.



Configuration: Windows XP / Firefox 3.6.13

Spylk · Answer

salut ! 

avez-vous essayé les "leader" du genre :

AVG Anti-Rootkit
https://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html

Sophos Anti-Rootkit
https://www.clubic.com/telecharger-fiche24143-sophos-anti-rootkit.html


???? comme vous ne citez pas les déja testé ..... ????

orphee · Answer

Oui j'ai testé ces deux utilitaires et ils ne me les détectent pas.
J'ai aussi essayé eei1unxg et stinger10101395.

Stinger est pas mal il me détecte les virus mais il n'arrive visiblement pas à me supprimer le rootkit.

Peut-être que je les utilise mal...

Utilisateur anonyme · Answer

&#9775 bienvenue sur CCM, nous allons essayer de résoudre ton problème.   

&#9775 attentions, voici quelques règles:  


&#9640 les helpers ici sont volontaire et peuvent traiter plusieurs sujets donc, si une réponse se fait trop attendre, pas de panique, nous reviendrons sur ton sujet. (si une réponse ce fait trop attendre, contacter le helper par MP.)  

&#9640 il est important de suivre la procédure jusqu'au bout! même si le pc va mieux, ne pas partir tant que le helpers n'a pas dit que c'est fini... il pourrait rester des infections!   

&#9640 si tu as des questions, n'hésite pas a me les poser, ne reste pas dans le doute.  



&#9775 bonne désinfection.  



pour une analyse de ton système, fais ceci: 

                              ----->ZHPDIAG<-----

/!\ utilisateur de vista et seven, désactiver l'UAC./!\  

/!\ utilisateur de vista et seven faite clique droit et "éxécuter en temps qu'administrateur/!\  

&#9654  Télécharge zhpdiag (de Nicolas Coolman)  

&#9654 Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.  

>  /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »/!\  

&#9654 Clique sur la petite loupe en haut à gauche pour débuter l'analyse :  

&#9654 attention, le scan peut durer un certain temps, ne touche a rien d'autre tant que le scan est en cour  

&#9654 Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette  

&#9654 Héberge le rapport ZHPDiag.txt sur cjoint, puis copie/colle le lien fourni                                          dans ta prochaine réponse sur le forum.  
    

@++  --
&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664 

Qualification Helper sur HELPER FORMATION.

orphee · Answer

ok je fais ça merci.

orphee · Answer

Voilà le lien 

http://cjoint.com/?1dcqnNliyhE

Utilisateur anonyme · Answer

pas trop infecter mais un petit peu...

MBAM est un scanner généraliste qui détecte et supprime beaucoup d'infections:   

MBAM :    

&#9635 Télécharge MBAM    


&#9635 Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.    


&#9635 Fais la mise à jour du logiciel /!\(elle se fait normalement à l'installation)/!\     


&#9635 A l'apparition de la fenêtre de MBAM, clique sur «exécuter un examen complet»    


&#9635 Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"    


> L'analyse peut durer un plusieurs heures...    


&#9635 Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"    


&#9635 Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"    


&#9635 Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum  > Si le logiciel te demande de redémarrer, fais le en cliquant sur « OUI »  »    --
&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664 

Qualification Helper sur HELPER FORMATION.

orphee · Answer

Scan terminé, voilà le rapport

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5932

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

02/03/2011 17:21:14
mbam-log-2011-03-02 (17-21-14).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 198263
Temps écoulé: 51 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\documents and settings\cocotte\local settings	emporary internet files\content.ie5\sxyvg5iz\brlhfh[1].jpg (Extension.Mismatch) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d3c56ab6-336f-4c9d-80ce-82d75c0f4508}\RP106\A0017583.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
c:\system volume information\_restore{d3c56ab6-336f-4c9d-80ce-82d75c0f4508}\RP80\A0011193.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

Utilisateur anonyme · Answer

Ce script va cibler certains éléments à supprimer :  


* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)  
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »).  

* Copie les lignes suivantes :  
____________________________________________________________________________________________________________________________

O1 - Hosts: 74.208.10.249 gs.apple.com  

SS - | Demand 10/06/2010 0 |  (MEMSWEEP2) . (.Pas de propriétaire.) - C:\WINDOWS\system32\3.tmp 

__________________________________________________________________________________________________________________________________  


* Clique sur « Tous », puis sur « Nettoyer »  
* Copie/colle la totalité du rapport dans ta prochaine réponse.  --
&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664 

Qualification Helper sur HELPER FORMATION.

orphee · Answer

Voilà

Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
Fichier d'export Registre : C:\ZHPExportRegistry-02-03-2011-17-34-37.txt
Run by Cocotte at 02/03/2011 17:34:37
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
SS - | Demand 10/06/2010 0 | (MEMSWEEP2) . (.Pas de propriétaire.) - C:\WINDOWS\system32\3.tmp  => Clé supprimée avec succès

========== Fichier(s) ==========
c:\windows\system32\3.tmp  => Fichier absent

========== Fichier HOSTS ==========
Le fichier Hosts est sain


========== Récapitulatif ==========
1 : Clé(s) du Registre
1 : Fichier(s)
1 : Fichier HOSTS


End of the scan

Utilisateur anonyme · Answer

tu n'es plus infecter cependant, tu as des restes de norton sur ton pc. 
pour les enlever: 

télécharge UninstallAV (de 91300)
enregistre le sur ton BUREAU 
lance l'outils puis tape 4 
l'utilitaire norton va s'exécuter, laisse le travailler.  

préviens moi quand ce sera fait. 
&#9654&#9654&#9654 CONTRIBUTEUR SÉCURITÉ &#9664&#9664&#9664  

Qualification Helper sur HELPER FORMATION.

orphee · Answer

C'est bon c'est fait. Le pc a redémarré.
Par contre il m'a ouvert une page web avec : Réinstallation de votre produit Norton après l'exécution de l'outil Norton Removal Tool 

Je n'ai rien fait veux pas faire de bêtises.
Le seul produit que je possède de Norton est Norton Ghost pour la sauvegarde de mon DD.

Utilisateur anonyme · Answer

ne fais rien ;) EDIT: on continu Qualification Helper sur HELPER FORMATION. ▶▶▶ CONTRIBUTEUR SÉCURITÉ ◀◀◀ Qualification Helper sur HELPER FORMATION.

orphee · Answer

Bon je viens d'avoir une alerte d'avast : win32:rootkit.gen
Il est encore là... Help !!

Utilisateur anonyme · Answer

avast te dit quel est le fichier en question? 
le nom du fichier?

orphee · Answer

Celui-ci   win32:rootkit.gen

Utilisateur anonyme · Answer

avast ne te donne aucune autres précision?

orphee · Answer

Non il le met juste en quarantaine

Utilisateur anonyme · Answer

ouvre la quarantaine de avast et regarde l'emplacement du fichier infecter. 
donne moi la ligne entière que tu auras.

orphee · Answer

Oups je l'ai supprimé...

Utilisateur anonyme · Answer

bon, on va tenter quand même alors... /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

orphee · Answer

Est-ce qu'il faut que je désactive MBAM et avast ?

Utilisateur anonyme · Answer

oui, désactive AVAST.
si MBAM est en version payante (en temps réel donc) désactive le également.

orphee · Answer

Bonjour,

J'ai fait ce que tu m'as dit (rapport ci dessous).
Par contre j'ai eu un message que la console de récupération n'était pas installée sur le pc et il m'a demandé de le télécharger. J'ai dis non je ne savais pas quoi faire.

Le rapport : 

ComboFix 11-03-02.04 - Cocotte 03/03/2011  10:24:06.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.2.1252.33.1036.18.1023.459 [GMT 1:00]
Lancé depuis: c:\documents and settings\Cocotte\Mes documents\Téléchargements\Sandrine.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Cocotte\Local Settings\Application Data\wget.exe
c:\windows\OPTIONS\CABS\_desktop.ini

.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-02-03 au 2011-03-03  ))))))))))))))))))))))))))))))))))))
.

2011-03-02 15:26 . 2011-03-02 15:26	--------	d-----w-	c:\documents and settings\Cocotte\Application Data\Malwarebytes
2011-03-02 15:26 . 2010-12-20 17:09	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-03-02 15:26 . 2011-03-02 15:26	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2011-03-02 15:26 . 2011-03-02 15:26	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-03-02 15:26 . 2010-12-20 17:08	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-03-02 15:10 . 2011-03-02 15:10	512	----a-w-	C:\PhysicalDisk0_MBR.bin
2011-03-02 15:07 . 2011-03-02 16:34	--------	d-----w-	c:\program files\ZHPDiag
2011-02-26 16:06 . 2011-02-26 16:06	--------	d-----w-	c:\program files\Sophos
2011-02-23 17:53 . 2011-02-23 17:53	--------	d-----w-	c:\program files\iPod
2011-02-23 17:53 . 2011-02-23 17:54	--------	d-----w-	c:\program files\iTunes
2011-02-23 17:48 . 2011-02-23 17:48	--------	d-----w-	c:\documents and settings\LocalService\Application Data\Apple Computer
2011-02-23 17:38 . 2011-02-23 17:38	--------	d-----w-	c:\program files\Safari
2011-02-15 20:09 . 2011-02-15 20:09	--------	d-----w-	c:\program files\Fichiers communs\Java
2011-02-15 17:27 . 2011-02-15 18:04	--------	d-----w-	c:\documents and settings\Cocotte\Application Data\TeamViewer
2011-02-15 17:27 . 2011-02-15 17:27	--------	d-----w-	c:\program files\TeamViewer
2011-02-15 17:12 . 2011-02-15 17:12	--------	d-----w-	c:\windows\system32\NtmsData
2011-02-04 17:02 . 2004-08-19 15:09	21504	-c--a-w-	c:\windows\system32\dllcache\hidserv.dll
2011-02-04 17:02 . 2004-08-19 15:09	21504	----a-w-	c:\windows\system32\hidserv.dll

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-02 20:40 . 2010-10-29 15:22	472808	----a-w-	c:\windows\system32\deployJava1.dll
2011-02-02 18:19 . 2010-10-29 15:22	73728	----a-w-	c:\windows\system32\javacpl.cpl
2011-01-13 08:47 . 2010-10-08 15:32	38848	----a-w-	c:\windows\avastSS.scr
2011-01-13 08:47 . 2010-10-08 15:32	188216	----a-w-	c:\windows\system32\aswBoot.exe
2011-01-13 08:41 . 2010-10-08 15:32	294608	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-01-13 08:40 . 2010-10-08 15:32	47440	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-01-13 08:40 . 2010-10-08 15:32	100176	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-01-13 08:39 . 2010-10-08 15:32	94544	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-01-13 08:37 . 2010-10-08 15:32	23632	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-01-13 08:37 . 2010-10-08 15:32	29392	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-01-13 08:37 . 2011-01-19 17:32	17744	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2010-12-14 17:51 . 2010-10-13 16:25	41984	----a-w-	c:\windows\system32\drivers\usbaapl.sys
2010-12-14 17:51 . 2010-10-13 16:25	4184352	----a-w-	c:\windows\system32\usbaaplrc.dll
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-01-13 3396624]
"AudioDeck"="c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe" [2007-08-09 528384]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]
"EEventManager"="c:\progra~1\EPSONS~1\EVENTM~1\EEventManager.exe" [2008-05-07 591696]
"MessengerPlus3"="c:\program files\MessengerPlus! 3\MsgPlus.exe" [2010-10-14 190024]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-10-29 249064]
"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-11-29 421888]
"AppleSyncNotifier"="c:\program files\Fichiers communs\Apple\Mobile Device Support\AppleSyncNotifier.exe" [2010-12-14 47904]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-01-25 421160]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-19 15360]

c:\documents and settings\Cocotte\Menu D'marrer\Programmes\D'marrage\
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-11 3746856]

c:\documents and settings\Cocotte\Menu D'marrer\Programmes\D'marrage\
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-11 3746856]

c:\documents and settings\Cocotte\Menu D'marrer\Programmes\D'marrage\
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-11 3746856]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Acrobat Assistant.lnk - c:\program files\Adobe\Acrobat 5.0\Distillr\AcroTray.exe [2010-10-28 49254]
ATI CATALYST System Tray.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-8-12 45056]
Logiciel notes Post-it©.lnk - c:\program files\3M\PSNotes\PSNOTES.EXE [2010-11-6 1530880]

c:\documents and settings\Cocotte\Menu D'marrer\Programmes\D'marrage\
Yahoo! Widgets.lnk - c:\program files\Yahoo!\Widgets\YahooWidgets.exe [2007-12-11 3746856]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Documents and Settings\Cocotte\Bureau\Files Iphone\Umbrella\umbrella-4.1.6.exe"=
"c:\Program Files\TeamViewer\Version6\TeamViewer.exe"=
"c:\Program Files\TeamViewer\Version6\TeamViewer_Service.exe"=
"c:\Program Files\iTunes\iTunes.exe"=

R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [08/10/2010 16:32 294608]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [19/01/2011 18:32 17744]
S0 PQV2i;PQV2i; [x]
S1 PQIMount;PQIMount; [x]
S3 ASPI;Advanced SCSI Programming Interface Driver;c:\windows\system32\drivers\ASPI32.SYS [04/01/2011 17:55 16512]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [10/06/2010 15:57 271728]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - HTTPFILTER
.
Contenu du dossier 'Tâches planifiées'

2011-02-14 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 09:50]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Cocotte\Application Data\Mozilla\Firefox\Profiles\mf80b1tx.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-ShockwaveFlash - c:\windows\System32\Macromed\Flash\FlashUtil9b.exe
AddRemove-{AFE83615-88BE-47F6-B3E4-A3FEF8B7B57F}_is1 - c:\documents and settings\Cocotte\Mes documents\Xrecode II\xrecode II\unins000.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-03 10:37
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  AudioDeck = c:\program files\VIA\VIAudioi\SBADeck\ADeck.exe 1???????????????????????????????????????????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(868)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2011-03-03  10:41:52
ComboFix-quarantined-files.txt  2011-03-03 09:41

Avant-CF: 25 289 068 544 octets libres
Après-CF: 26 433 699 840 octets libres

- - End Of File - - 075182E9C3A3162AE008094F9F615FFE

orphee · Answer

Bonjour,

Je n'ai pas eu de nouvelles concernant mon rapport...
Après une semaine tranquille, le rootkit est revenu.

Voici ce qu'affiche la ligne dans la zone quarantaine d'avast :

Emplacment d'origine         Virus
C:\WINDOWS\System32    Win32:Rootkit-gen [Rtk]

Si quelqu'un pouvait m'aider à m'en débarrasser définitivement.
Merci.

Besoin d'aide pour supprimer un rootkit

24 réponses

Votre réponse

Discussions similaires

Newsletters