Rootkit.gen // Plus rien sur mon DD
Florian
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis hier, j'avais des fenêtres de pub intempestives qui s'ouvraient.
J'ai donc lancé un scan avec Antivir qui détecté "TR/Rootkit.gen".
Aprés quelques recherches en ligne, j'ai installe GMER. J'ai alors lancé un scan sans surveiller et à mon retour, GMER était fermé et de nombreuses fenêtres de pub s'étaient ouvertes. J'ai fermé ces fenêtre, l'ordinateur a décidé de se redémarrer tout seul et au redémarrage : surprise!
Plus rien sur le bureau, plus rien dans "Mes documents" et mon C:/ ne contient plus qu'un seul fichier, "BOOTSECT.BAK" ( il m'indique néanmoins que mon disque dur est toujours à moitié plein...)
Je n'ai donc plus accès aux programmes et je n'ai plus accès à internet depuis ce poste étant donné que le logiciel qui gère ma clé USB wifi ne s'éxécute plus...
Que dois-faire?
D'avance merci
Depuis hier, j'avais des fenêtres de pub intempestives qui s'ouvraient.
J'ai donc lancé un scan avec Antivir qui détecté "TR/Rootkit.gen".
Aprés quelques recherches en ligne, j'ai installe GMER. J'ai alors lancé un scan sans surveiller et à mon retour, GMER était fermé et de nombreuses fenêtres de pub s'étaient ouvertes. J'ai fermé ces fenêtre, l'ordinateur a décidé de se redémarrer tout seul et au redémarrage : surprise!
Plus rien sur le bureau, plus rien dans "Mes documents" et mon C:/ ne contient plus qu'un seul fichier, "BOOTSECT.BAK" ( il m'indique néanmoins que mon disque dur est toujours à moitié plein...)
Je n'ai donc plus accès aux programmes et je n'ai plus accès à internet depuis ce poste étant donné que le logiciel qui gère ma clé USB wifi ne s'éxécute plus...
Que dois-faire?
D'avance merci
A voir également:
- Rootkit.gen // Plus rien sur mon DD
- Cloner dd - Guide
- Test dd - Télécharger - Informations & Diagnostic
- Fichier .dd - Forum Windows
- Mergefield date @ dd/mm/yyyy ✓ - Forum Word
- Fichier dd ✓ - Forum Matériel & Système
36 réponses
selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\ProgramData\2E86CD8D0E.sys
C:\ProgramData\KGyGaAvL.sys
C:\Users\Manon\AppData\Local\Temp\Qwl.exe
C:\Windows\Qzavua.exe
___________________________________________________
copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau
colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
___________________________________________________
file::
C:\ProgramData\2E86CD8D0E.sys
C:\ProgramData\KGyGaAvL.sys
C:\Users\Manon\AppData\Local\Temp\Qwl.exe
C:\Windows\Qzavua.exe
___________________________________________________
copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau
colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
regarde dans le dossier C:\Qoobox tu dois avoir un fichier Autorun.inf.vir quelque part , ouvre-le avec le bloc notes et colle son contenu ici dans ta reponse
ca marche pas quand je colle le contenu, c'est trop important apparemment
http://cjoint.com/?3Fiu0koRmkl
http://cjoint.com/?3Fiu0koRmkl
bonjour
tu pourrais me reposter C:\Combofix.txt via cjoint.com stp l'autre n'est plus accessif
(ne relance pas combofix , poste juste son rapport comme precedemment)
tu pourrais me reposter C:\Combofix.txt via cjoint.com stp l'autre n'est plus accessif
(ne relance pas combofix , poste juste son rapport comme precedemment)
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"HP Software Update"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvBE4]
RegLockDel::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srvBE4]
Driver::
srvBE4
Netsvc::
srvBE4
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
"TrojanDownloader:Win32/Renos.PM" ...ça fait plaisir!
Voici le dernier rapport de scan
http://cjoint.com/11jn/AFgv5lSBDu7.htm
@gen: oups, je te poste ça de suite
http://cjoint.com/11jn/AFhhSobdro1.htm