Problème de rootkit

Résolu/Fermé
patricializa - 11 avril 2011 à 08:27
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 11 avril 2011 à 21:50
Bonjour,


depuis quelques jours avast a détecté un rootkit, j'ai effectué 2 scanners au démarrage et rien, mais depuis hier mon ordi est bloqué, je ne peux plus accéder à internet et je ne peux plus ouvrir mes logiciels que puis-je faire pour y remédier ?
pouvez vous m'aider ?
A voir également:

34 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 08:46
salut

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

▶ Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEUREUX /!\

tutoriel combofix

▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et ARRÊTE TES LOGICIELS DE PROTECTION /!\

▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

▶ ▶ SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

▶ Mets-le en langue française F

▶ Tape sur la touche 1 (Yes) pour démarrer le scan.


▶ Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC


En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

▶ Note : Le rapport se trouve également là : C:\ComboFix.txt
1
patricializa
11 avril 2011 à 09:26
rebonjour, mon ordi est sous windowx XP et je ne peux pas me connecter à internet et pour l'instant quand j'essaye la touche f8 j'ai une boite de dialogue qui me propose en anglais boot menu et select a boot first device (floppy, hard disk, cdrom,realteck boot agent) que dois je faire ? je suis sur un autre ordi
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 11:15
re

essaye avec F5

pour télécharger combofix tu le prends de ton autre ordi et tu transfère par clé usb
0
patricializa
11 avril 2011 à 12:10
avec f5 ça marche , l'odi me demande choisissez le système d'exploitation à démarrer:
microsoft windows xp édition familiale
console de récupération microsoft windows xp
que dois-je choisir
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 12:14
le premier choix.
ensuite "mode sans échec"
tu transfère combofix et tu le lance.
0
patricializa
11 avril 2011 à 12:31
j'ai un message qui dit
limitation de garanti du logiciel
les sites web suivants ne sont en aucune façon affiliés à Combofix
aurais-je oublié quelque chose ?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 12:31
non non pas de soucis, l analyse va débuter, clique sur Ok
0
patricializa
11 avril 2011 à 12:44
je ne sais pas ou désactiver les antivirus oups!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 12:45
avast : clic droit sur le logo avast de la barre des tâches, désactiver le résident
0
patricializa
11 avril 2011 à 13:24
je voulais envoyer le compte rendu de combofix, mais j'ai des soucis avec la manoeuvre
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 13:25
c est à dire ?
s'il ne passe pas ici, envoie le sur http://www.cijoint.fr/

puis copie le lien obtenu ici ;-)
0
patricializa
11 avril 2011 à 13:39
http://cjoint.com/?1elnJXVGdiq
désolé il m'a fallu du temps pour comprendre
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 13:46
Ok vu, la suite :

▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

▶ Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

KillAll::

Driver::
BOONTY_GAMES
USNJSVC

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{30F9B915-B755-4826-820B-08FBA6BD249D}"=-

File::
c:\program files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL
c:\program files\ConduitEngine\ConduitEngin0.dll

Reboot::


▶ Enregistre ce fichier sous le nom CFScript

▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

▶ Combofix se lance, laisse toi guider..

▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

===============================

On vérifie le travail de combofix :

▶ Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
▶ Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur)
▶ Clique sur Start Scan
▶ Si l'outil a trouvé des éléments, choisi Cure,
puis sur Reboot Now
▶ Le PC va redémarrer, et un rapport va s'ouvrir
▶ Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt
)

===============================

Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
OU
https://www.androidworld.fr/ ( Miroir )

/!\ Ferme toutes applications en cours /!\

▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
▶ Sur la page, clique sur le bouton « Nettoyer »
▶ Confirme lancement du scan
▶ Laisse travailler l'outil.
▶ Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

===============================

DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

▶ Télécharge ici :List_Kill'em de gen-hackman

et télécharge Pre_scan de gen-hackman

et enregistre les sur ton bureau

▶ Exécute Pre_scan. Sii l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

♦ Colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.

Puis:

Exécute List_Kill'em_Instal.exe sur ton bureau pour lancer l'installation

Laisse coché :

♦ Exécuter List_Kill'em

une fois terminée , clic sur "terminer"

▶ ▶ Une fois le programme lancé choisis l'option Recherche

▶ laisse travailler l'outil

▶ Envoie list'em.txt sur ton bureau

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier List'em.txt sur ton bureau

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

▶ Fais de même avec more.txt qui se trouve sur ton bureau

▶ Copie ces liens dans ta réponse.

A+
0
patricializa
11 avril 2011 à 15:25
voici le rapport AD
http://cjoint.com/?0elpyzCfzgz
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
Modifié par juju666 le 11/04/2011 à 15:28
vu

reste à faire pre scan et list'em

où est tdsskiller ?
0
patricializa
11 avril 2011 à 15:30
rapport tdss
http://cjoint.com/?0elpDbg8Er
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 15:32
j ai bien fait de lancer tdsskiller ^^
0
patricializa
11 avril 2011 à 15:49
rapport list me
http://cjoint.com/?0elpW9IYrIG
0
patricializa
11 avril 2011 à 15:52
pre scan
http://cjoint.com/?0elp4fYFvzo

more
http://cjoint.com/?0elpY68IDFO

j'espère que ça marche
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 15:55
cool tu as un XP avec un MBR de windows 98 :P

attends je reviens ;)
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 16:02
As tu ton CD de windows ?
0
patricializa
11 avril 2011 à 16:04
non
tout ce que j'ai c'est le cd de restauration packard bell
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 16:07
on va tenter mais sans conviction ...

desactive tes protections

telecharge ici :

MBR_Repair

enregistre-le sur ton bureau ,

lance-le , choisis "Repair"

choisis "Windows XP"

ton pc va redemarrer

à ton retour , relance MBR_Repair puis fais l'option "Verify"

MBR_Verify.txt se mettra sur ton bureau poste ici son contenu
0
patricializa
11 avril 2011 à 16:26
voici le rapport de mbr j'espère que ça a fonctionné
http://cjoint.com/?1elqzFcTyEx
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
11 avril 2011 à 16:27
eh non ^^

bref la suite, on reviendra au mbr plus tard :

▶ Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau.

▶ ▶ Miroir 1 si inaccessible

▶ ▶ Miroir 2 si inaccessible

▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
Une fois la mise à jour terminée
▶ rends-toi dans l'onglet Recherche
▶ Sélectionne Exécuter un examen complet
▶ Clique sur Rechercher
▶ ▶ Le scan démarre.
▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur Ok pour poursuivre.
▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
▶ Tu clique dessus pour l'afficher, une fois affiché
▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

▶ ▶ Si tu n'arrive pas à le mettre à jour, télécharge ce fichier
0
patricializa
11 avril 2011 à 17:51
voila la suite.
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6333

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

11/04/2011 17:38:03
mbam-log-2011-04-11 (17-38-03).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 300098
Temps écoulé: 56 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Qoobox\quarantine\C\program files\winsudate\gibidl.dll.vir (Adware.Gibmedia) -> Quarantined and deleted successfully.
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org

Version de la base de données: 6333

Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

11/04/2011 16:39:03
mbam-log-2011-04-11 (16-39-03).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 45738
Temps écoulé: 5 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0