Ordinateur très lent, Root-Kit detecté
Résolu
Th0m45
Messages postés
81
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
j'ai eu ce matin un petit coup de fils de ma Möman ( alias Madame Michu) pour me dire que son anti-virus ( avast ) lancé l'alerte rouge en disant qu'il avait trouvé un RootKit.
Je suis donc en possession de la dite machine.
Quelqu'un pourrait il m'aider pour voir le niveau de l'infection et éradiqué toute présente menace.
(Le pc en question est un peu vieux , je n'ai pas de disque de re-installe du système.)
Thomas
j'ai eu ce matin un petit coup de fils de ma Möman ( alias Madame Michu) pour me dire que son anti-virus ( avast ) lancé l'alerte rouge en disant qu'il avait trouvé un RootKit.
Je suis donc en possession de la dite machine.
Quelqu'un pourrait il m'aider pour voir le niveau de l'infection et éradiqué toute présente menace.
(Le pc en question est un peu vieux , je n'ai pas de disque de re-installe du système.)
Thomas
A voir également:
- Ordinateur très lent, Root-Kit detecté
- Pc tres lent - Guide
- Ordinateur - Guide
- Réinitialiser ordinateur - Guide
- Clé usb non detecté - Guide
- Mon mac est lent comment le nettoyer - Guide
36 réponses
Télécharge TDSSKiller sur ton bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans
Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les, et clique sur Dele
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans
Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les, et clique sur Dele
ok, je te tien au courant, est il possible que le pc ai d'autre infection qu'avast n'aurait pas vu ?
Une erreur ne devient pas vérité parce que tout le monde y croit.
Une erreur ne devient pas vérité parce que tout le monde y croit.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Select Action for found objects:
kernel driver, c:\Windows\system32\driver\sptd.sys
c'est grave ca ?
kernel driver, c:\Windows\system32\driver\sptd.sys
c'est grave ca ?
Non, c'est un pilote d'un logiciel émulateur
On va vérifier si le PC est réellement infecté
* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
On va vérifier si le PC est réellement infecté
* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI
Excuse moi pour tout à l'heure, je croyais que c'était un autre internaute qui venait polluer le topic
J'ai pu faire passer le lien
Y'a pas de rootkit apparemment, c'est un émulateur qui installe un hook sur
le secteur d'amorçage du disque dur
Par contre, il y a des restants d'autres infections
Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )
[b]Désactive l'anti-virus[/b]
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Scanner[/b].
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans [b]C:\Ad-Remover-SCAN[1].txt[/b]
J'ai pu faire passer le lien
Y'a pas de rootkit apparemment, c'est un émulateur qui installe un hook sur
le secteur d'amorçage du disque dur
Par contre, il y a des restants d'autres infections
Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )
[b]Désactive l'anti-virus[/b]
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Scanner[/b].
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans [b]C:\Ad-Remover-SCAN[1].txt[/b]
C'est bon
Pourrais tu me poster un nouveau rapport ZHPDiag, en hébergeant le
rapport et en me donnant le lien
Pourrais tu me poster un nouveau rapport ZHPDiag, en hébergeant le
rapport et en me donnant le lien
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service) .(...) - LEGACY_QUESTBROWSE_SERVICE => Infection BT (Adware.QuestBrowse)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754}] => Infection BT (Adware.SmartShopper)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939}] => Infection BT (Adware.ShoppingReport2)
O4 - HKLM\..\Run: [NWEReboot] Clé orpheline => Orphean Key not necessary
O41 - Driver: (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.) => Fichier absent
O41 - Driver: (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) => Fichier absent
O44 - LFC:[MD5.EF55FA3B3B435B8E5BA81C0DFEE4B377] - 30/04/2011 - 14:15:40 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [2640]
O44 - LFC:[MD5.E5EA4B92DDDA9FF9910784C18DED8944] - 30/04/2011 - 14:08:47 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt [2655]
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe (.not file.) => Fichier absent
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Redémarre ton PC
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier
O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service) .(...) - LEGACY_QUESTBROWSE_SERVICE => Infection BT (Adware.QuestBrowse)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754}] => Infection BT (Adware.SmartShopper)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939}] => Infection BT (Adware.ShoppingReport2)
O4 - HKLM\..\Run: [NWEReboot] Clé orpheline => Orphean Key not necessary
O41 - Driver: (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.) => Fichier absent
O41 - Driver: (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) => Fichier absent
O44 - LFC:[MD5.EF55FA3B3B435B8E5BA81C0DFEE4B377] - 30/04/2011 - 14:15:40 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [2640]
O44 - LFC:[MD5.E5EA4B92DDDA9FF9910784C18DED8944] - 30/04/2011 - 14:08:47 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt [2655]
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe (.not file.) => Fichier absent
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe (.not file.) => Fichier absent
* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Redémarre ton PC
Rapport de ZHPFix 1.12.3279 par Nicolas Coolman, Update du 27/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-30-04-2011-15-52-43.txt
Run by Thomas at 30/04/2011 15:52:43
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service) .(...) - LEGACY_QUESTBROWSE_SERVICE => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} => Clé non supprimée
O41 - Driver: (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.) => Clé supprimée avec succès
O41 - Driver: (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [NWEReboot] Clé orpheline => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe" [Enabled] .(.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe (.not file.) => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe" [Enabled] .(.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe (.not file.) => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
c:\ad-report-scan[1].txt => Supprimé et mis en quarantaine
e:\easy php\easyphp1-8-modgsi\apache\apache.exe => Fichier absent
e:\easy php\easyphp1-8-modgsi\mysql\bin\mysqld.exe => Fichier absent
========== Récapitulatif ==========
5 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Fichier(s)
End of the scan
Fichier d'export Registre : C:\ZHPExportRegistry-30-04-2011-15-52-43.txt
Run by Thomas at 30/04/2011 15:52:43
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service) .(...) - LEGACY_QUESTBROWSE_SERVICE => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754} => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939} => Clé non supprimée
O41 - Driver: (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.) => Clé supprimée avec succès
O41 - Driver: (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.) => Clé supprimée avec succès
========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [NWEReboot] Clé orpheline => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe" [Enabled] .(.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe (.not file.) => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe" [Enabled] .(.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe (.not file.) => Valeur supprimée avec succès
========== Fichier(s) ==========
c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
c:\ad-report-scan[1].txt => Supprimé et mis en quarantaine
e:\easy php\easyphp1-8-modgsi\apache\apache.exe => Fichier absent
e:\easy php\easyphp1-8-modgsi\mysql\bin\mysqld.exe => Fichier absent
========== Récapitulatif ==========
5 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Fichier(s)
End of the scan
Télécharge USBFix (de El Desaparecido, C_XX) sur ton bureau
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html (miroir)
# Double clic sur UsbFix présent sur ton bureau, et clique sur
exécuter pour lancer l'installation qui se fera automatiquement
# Clique sur Suppression
# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK
# La suppression est lancée. Le bureau va disparaitre, c'est normal
# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me
# Clique sur Parcourir pour aller chercher le fichier
compressé qui se trouve à la racine du disque
# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier
# Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .
# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html (miroir)
# Double clic sur UsbFix présent sur ton bureau, et clique sur
exécuter pour lancer l'installation qui se fera automatiquement
# Clique sur Suppression
# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK
# La suppression est lancée. Le bureau va disparaitre, c'est normal
# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me
# Clique sur Parcourir pour aller chercher le fichier
compressé qui se trouve à la racine du disque
# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier
# Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .
# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
On va faire un scan généraliste
Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller
Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller