Rootkit.gen // Plus rien sur mon DD

Florian -  
 g3n-h@ckm@n -
Bonjour,

Depuis hier, j'avais des fenêtres de pub intempestives qui s'ouvraient.
J'ai donc lancé un scan avec Antivir qui détecté "TR/Rootkit.gen".
Aprés quelques recherches en ligne, j'ai installe GMER. J'ai alors lancé un scan sans surveiller et à mon retour, GMER était fermé et de nombreuses fenêtres de pub s'étaient ouvertes. J'ai fermé ces fenêtre, l'ordinateur a décidé de se redémarrer tout seul et au redémarrage : surprise!

Plus rien sur le bureau, plus rien dans "Mes documents" et mon C:/ ne contient plus qu'un seul fichier, "BOOTSECT.BAK" ( il m'indique néanmoins que mon disque dur est toujours à moitié plein...)

Je n'ai donc plus accès aux programmes et je n'ai plus accès à internet depuis ce poste étant donné que le logiciel qui gère ma clé USB wifi ne s'éxécute plus...

Que dois-faire?

D'avance merci

36 réponses

  • 1
  • 2
Résumé de la discussion

Le récit décrit une infection complexe sur Windows Vista après des symptômes tels que des fenêtres publicitaires, un scan détectant TR/Rootkit.gen et un redémarrage, avec disparition partielle des données.
Plusieurs outils et étapes de détection ont été évoqués, notamment Pre_Scan, Combofix, Defogger et RogueKiller, mais des incompatibilités et des précautions ont été soulignées régulièrement.
D'autres échanges mentionnent l'apparition d'un dossier nommé Kill'em et des rapports de scan externes, avec des conseils sur la sauvegarde et la restauration des données et des paramètres système.
En complément, la discussion note qu'une piste liée à un fichier autorun.inf d'imprimante HP a été évoquée, soulignant des causes multiples et non homogènes potentielles.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    tu vas rire j'ai trouvé le beug je l'ai coorigé y'a une heure
    2
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok donc si on écoute gen tu vires ton pré-scan et retélécharges le et relances le comme dit.
      Gen a fait des modifs sur son outil , merci à lui !!
      0
    2. Florian
       
      merci beaucoup, je vais tester ça de suite
      0
    3. gen-hackman
       
      c'est malekal qu'il faut remercier
      0
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, essais de télécharger pré-scan depuis un autre pc et transfére le sur l'autre avec une clés usb et tu le mets bien sur le bureau !!

    desactive tes protections puis enregistre ceci sur ton bureau

    Pre_Scan

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan puis colle le contenu de "Pre_scan.txt" qui apparaitra à son terme , sur le bureau.

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon ou change son extension en .com ou .scr

    0
  3. Florian
     
    Merci,

    alors j'ai exécuté Pre_Scan, il m'a tout récupéré sur le bureau mais pas dans C:/

    Quand j'ouvre C:/ j'ai désormais, en plus de mon BOOTSECT.BAK, un dossier nommé "Kill'em" :S
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, alors la je te conseillerais de ne toucher à rien je contact gen hacman il saura nous guider c'est son outil !! je préfère le contacter que de te faire faire une connerie !!
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Florian
     
    voici le rapport de scan
    http://cjoint.com/data3/3FbvKxSnZO8.htm

    merci beaucoup
    0
  6. gen-hackman
     
    tu entendsz quoi par :

    "il m'a tout récupéré sur le bureau mais pas dans C:/ "
    0
  7. Florian
     
    Mon bureau etait vide à l'exception de la corbeille et aprés execution de Pre_Scan, mes icones et fichiers sont réapparus sur le bureau.

    De même, avant d'executer Pre_Scan, "Mes Document" etait vide et désormais je peux de nouveau accéder à mes fichiers

    Et quand je vais dans C:/, je n'ai pas 'Program Files', 'Utilisateurs', etc...
    0
  8. Florian
     
    une petit image pour illustrer

    http://imageshack.us/photo/my-images/830/98668937.jpg/
    0
  9. gen-hackman
     
    ok jacques fais-lui faire l option 6 ddee la derniere version de roguekiller apparement j'approfondis pas assez les attributs je vais bosser ca ce soir :)
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      ok gen merci d'être passer si vite !!

      florian tu va donc faire l'option 6 de roguekiller !!

      Télécharger sur le bureau RogueKiller (par Tigzy)
      - Quitter tous les programmes en cours
      - Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
      - Sinon lancer simplement RogueKiller.exe
      - Lorsque demandé, taper 6 et valider
      - Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
      - Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
      0
    2. Florian
       
      ok, je vais faire ça.

      J'en profite pour vous demander ce que vous conseillez comme logiciels et pratiques à adopter pour protéger son ordi...jusqu'a présent je comptais uniquement sur antivir
      0
  10. Florian
     
    J'ai omis de préciser que j'ai deux comptes d'utilisateurs.

    J'ai suivi vos instructions pour la session Utilsateur1, tout c'est bien passé

    Par contre pour l'utilisateur2, le programme Pre_Scan s'interrompt sur un message d'erreur au bout de 3 minutes.
    En voici une capture d'écran http://imageshack.us/photo/my-images/233/erreurr.jpg/

    J'ai donc tenté l'exécution de RogueKiller et voici le rapport
    http://cjoint.com/data/0FclDhxKeY5.htm

    J'ai de nouveau accés au contenu de mon C: mais dès que je reconnecte mon poste au réseau Wifi, Antivir s'affole et m'annonce que j'ai toujours Rootkit.gen
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, consernant la procédure de l'utilisateur 1 on a pas vue le rapport de roguekiller option 6 ??
      pour l'autre session la roguekiller tu as fais quoi que l'option 1 !! donc aucune désinfection , et si tu nous postais un zhpdiag de sur cette session on y verrais surement plus claire
      0
  11. gen-hackman
     
    hello bah c'est sur que si t'as un rootkit pre_scan a du mal ^^
    0
  12. gen-hackman
     
    bonsoir supprime pre_scan , retelecharge-le et relance-le voir
    G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
    0
  13. Florian
     
    ca se bloque au même moment qu'avec la version antérieure
    0
  14. Florian
     
    J'ai encore eu le même plantage. Je t'ai mis les détails
    http://cjoint.com/data3/3FdvOIT8cCg.htm
    0
  15. gen-hackman
     
    ah le probleme vient d'autre part là
    0
  16. gen-hackman
     
    poste pre_scan.txt dans C:\ ?
    0
    1. Florian
       
      Je ne comprends pas bien ce que tu veux dire
      0
    2. gen-hackman
       
      dans ton disque C:\tu as Pre_scan.txt poste-le via cijoint.fr
      0
    3. Florian
       
      voila
      http://cjoint.com/data3/3FdwjMFzDHK.htm
      0
  17. gen-hackman
     
    antivir n'est pas desactivé ?
    0
    1. Florian
       
      non, mais j'ai essayé avec antivir désactivé et le résultat le même...
      0
    2. gen-hackman
       
      quand ?
      0
    3. Florian
       
      juste avant de poster ma réponse.
      Tu veux que je te poste Pre_Scan.txt avec Antivir déssactivé?
      0
  18. Florian
     
    voici

    http://cjoint.com/11jn/AFewOHRneGf.htm
    0
  • 1
  • 2