Pc infecté par un rootkit
Résolu
bjk72
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
A voir également:
- Pc infecté par un rootkit
- Réinitialiser un pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Télécharger instagram pc - Télécharger - Divers Communication
16 réponses
dans C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
c'est le rootkit qui revient le plus souvent!
c'est le rootkit qui revient le plus souvent!
C'est pas un fichier malicieux...
Il fume l'antirootkit d'Avast!.
M'enfin bon fais ça pour voir :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Il fume l'antirootkit d'Avast!.
M'enfin bon fais ça pour voir :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le rapport du premier scan tdsskiller :
[InfectedObject]
Type: Service
Name: sptd
Type: Kernel driver (0x1)
Start: Boot (0x0)
ImagePath: System32\Drivers\sptd.sys
Suspicious states: Locked file;
[InfectedFile]
Type: Raw image
Src: C:\Windows\system32\Drivers\sptd.sys
md5: a80cd850d69d996c832bea37e3a6aa1e
merci de bien vouloir m'aider, j'apprécie!!!!
[InfectedObject]
Type: Service
Name: sptd
Type: Kernel driver (0x1)
Start: Boot (0x0)
ImagePath: System32\Drivers\sptd.sys
Suspicious states: Locked file;
[InfectedFile]
Type: Raw image
Src: C:\Windows\system32\Drivers\sptd.sys
md5: a80cd850d69d996c832bea37e3a6aa1e
merci de bien vouloir m'aider, j'apprécie!!!!
voici le rapport de malwarbytes :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7455
Windows 6.1.7600
Internet Explorer 9.0.8112.16421
13/08/2011 15:37:40
mbam-log-2011-08-13 (15-37-40).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 174835
Temps écoulé: 5 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7455
Windows 6.1.7600
Internet Explorer 9.0.8112.16421
13/08/2011 15:37:40
mbam-log-2011-08-13 (15-37-40).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 174835
Temps écoulé: 5 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
voici le fichier OTL.Txt : http://pjjoint.malekal.com/files.php?id=q6u15x10o9h13w11t14e5u10r9o10g5h11j6c11w15b126n11r5
et le fichier Extras.txt : http://pjjoint.malekal.com/files.php?id=z15z15f858j13p12x15s14d6o15n14v12d7l9h15c14i13k5l10
et le fichier Extras.txt : http://pjjoint.malekal.com/files.php?id=z15z15f858j13p12x15s14d6o15n14v12d7l9h15c14i13k5l10
Ce qui m'a alerté c'est qu'un écran bleu apparaissait de temps en temps me disant que Windows devait fermer pour éviter des dégâts! j'ai donc pensé qu'il y avait un lien entre le soit disant rootkit et ce fameux écran bleu!!
Les rapports sont correctes.
Pas infecté!
Au fait Ad-Aware et Spybot sont dépassés.
Tu as des écrans bleu régulièrement ?
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Pas infecté!
Au fait Ad-Aware et Spybot sont dépassés.
Tu as des écrans bleu régulièrement ?
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Tous les 3-4 jours avant que je fasse les mises à jour de mon pc avec Windows update le 11 aout!! Les mises a jour ne semblaient plus automatiques. Les mises à jours sont désormais faites.
Concernant la sécurité, que dois-je faire?? j'ai avast +(spybot et ad aware) et je nettoie de temps en temps le pc avec ccleaner
Concernant la sécurité, que dois-je faire?? j'ai avast +(spybot et ad aware) et je nettoie de temps en temps le pc avec ccleaner
J'ai fait un scan minutieux avec avast et il me trouve encore la même menace :
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
je ne peux pas mettre en quarantaine ce fichier
que dois-je faire? (le supprimer, le réparer,ignorer...)
j'ai également exécuté un scan complet avec malwarbytes : aucun élément infectés
Encore MERCI pour votre aide!!!!!!!
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
je ne peux pas mettre en quarantaine ce fichier
que dois-je faire? (le supprimer, le réparer,ignorer...)
j'ai également exécuté un scan complet avec malwarbytes : aucun élément infectés
Encore MERCI pour votre aide!!!!!!!
Le fichier détecté n'est pas malicieux.
Spybot et Ad-aware sont à désinstaller, sont inefficaces.
Malwarebyte suffit.
Spybot et Ad-aware sont à désinstaller, sont inefficaces.
Malwarebyte suffit.
Que dois-je donc faire? il me reste le choix entre :
-supprimer
-ne rien faire
-réparer
C'est ma dernière question!!
Après votre réponse j'indiquerai que le problème est résolu!!
Merci pour tout et bonne continuation!!!
-supprimer
-ne rien faire
-réparer
C'est ma dernière question!!
Après votre réponse j'indiquerai que le problème est résolu!!
Merci pour tout et bonne continuation!!!
juste une dernière (pour de bon) question:
C:\Windows\Prefetch\SEARCHTERHOST.EXE-77482212.pf
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
C:\Windows\System32\FNTCACHE.DAT
C:\Windows\Prefetch\AgAppLaunch.db
Ces 4 fichiers sont les menaces que Avast m'a détecté récemment!
Que sont exactement ces fichiers et sont ils indispensable au bon fonctionnement du pc????
Merci
C:\Windows\Prefetch\SEARCHTERHOST.EXE-77482212.pf
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
C:\Windows\System32\FNTCACHE.DAT
C:\Windows\Prefetch\AgAppLaunch.db
Ces 4 fichiers sont les menaces que Avast m'a détecté récemment!
Que sont exactement ces fichiers et sont ils indispensable au bon fonctionnement du pc????
Merci
Prefetch c'est un cache pour le lancement d'application.
Ce sont pas des executables qui sont dedans.
Le second c'est un fichier SQL Manager - c'est aussi un cache : https://docs.microsoft.com/en-us/dotnet/framework/network-programming/pnrp-caches?redirectedfrom=MSDN
le 3e, c'est un .dat dont un fichier Data.
Le dernier, c'est un prefet donc mm réponse que le premier.
Les 4 fichier que tu cites ne sont pas des executables.
Donc Avast! fume.
Comme c'est du cache, tu peux les supprimer mais ils vont être recréés puisque le mécanisme de cache fonctionne tjrs.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Ce sont pas des executables qui sont dedans.
Le second c'est un fichier SQL Manager - c'est aussi un cache : https://docs.microsoft.com/en-us/dotnet/framework/network-programming/pnrp-caches?redirectedfrom=MSDN
le 3e, c'est un .dat dont un fichier Data.
Le dernier, c'est un prefet donc mm réponse que le premier.
Les 4 fichier que tu cites ne sont pas des executables.
Donc Avast! fume.
Comme c'est du cache, tu peux les supprimer mais ils vont être recréés puisque le mécanisme de cache fonctionne tjrs.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now