Pc infecté par un rootkit
Résolu/Fermé
bjk72
-
13 août 2011 à 13:28
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 août 2011 à 17:51
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 14 août 2011 à 17:51
A voir également:
- Pc infecté par un rootkit
- Test performance pc - Guide
- Réinitialiser un pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Double ecran pc - Guide
16 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
13 août 2011 à 13:35
13 août 2011 à 13:35
Salut,
Avast! détecte un rootkit dans quel fichier/élément ?
Avast! détecte un rootkit dans quel fichier/élément ?
dans C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
c'est le rootkit qui revient le plus souvent!
c'est le rootkit qui revient le plus souvent!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
13 août 2011 à 14:44
13 août 2011 à 14:44
C'est pas un fichier malicieux...
Il fume l'antirootkit d'Avast!.
M'enfin bon fais ça pour voir :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Il fume l'antirootkit d'Avast!.
M'enfin bon fais ça pour voir :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
voici le rapport du premier scan tdsskiller :
[InfectedObject]
Type: Service
Name: sptd
Type: Kernel driver (0x1)
Start: Boot (0x0)
ImagePath: System32\Drivers\sptd.sys
Suspicious states: Locked file;
[InfectedFile]
Type: Raw image
Src: C:\Windows\system32\Drivers\sptd.sys
md5: a80cd850d69d996c832bea37e3a6aa1e
merci de bien vouloir m'aider, j'apprécie!!!!
[InfectedObject]
Type: Service
Name: sptd
Type: Kernel driver (0x1)
Start: Boot (0x0)
ImagePath: System32\Drivers\sptd.sys
Suspicious states: Locked file;
[InfectedFile]
Type: Raw image
Src: C:\Windows\system32\Drivers\sptd.sys
md5: a80cd850d69d996c832bea37e3a6aa1e
merci de bien vouloir m'aider, j'apprécie!!!!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
13 août 2011 à 15:24
13 août 2011 à 15:24
Passe à la suite :)
voici le rapport de malwarbytes :
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7455
Windows 6.1.7600
Internet Explorer 9.0.8112.16421
13/08/2011 15:37:40
mbam-log-2011-08-13 (15-37-40).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 174835
Temps écoulé: 5 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org
Version de la base de données: 7455
Windows 6.1.7600
Internet Explorer 9.0.8112.16421
13/08/2011 15:37:40
mbam-log-2011-08-13 (15-37-40).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 174835
Temps écoulé: 5 minute(s), 32 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
voici le fichier OTL.Txt : http://pjjoint.malekal.com/files.php?id=q6u15x10o9h13w11t14e5u10r9o10g5h11j6c11w15b126n11r5
et le fichier Extras.txt : http://pjjoint.malekal.com/files.php?id=z15z15f858j13p12x15s14d6o15n14v12d7l9h15c14i13k5l10
et le fichier Extras.txt : http://pjjoint.malekal.com/files.php?id=z15z15f858j13p12x15s14d6o15n14v12d7l9h15c14i13k5l10
Ce qui m'a alerté c'est qu'un écran bleu apparaissait de temps en temps me disant que Windows devait fermer pour éviter des dégâts! j'ai donc pensé qu'il y avait un lien entre le soit disant rootkit et ce fameux écran bleu!!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 13/08/2011 à 19:53
Modifié par Malekal_morte- le 13/08/2011 à 19:53
Les rapports sont correctes.
Pas infecté!
Au fait Ad-Aware et Spybot sont dépassés.
Tu as des écrans bleu régulièrement ?
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Pas infecté!
Au fait Ad-Aware et Spybot sont dépassés.
Tu as des écrans bleu régulièrement ?
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Tous les 3-4 jours avant que je fasse les mises à jour de mon pc avec Windows update le 11 aout!! Les mises a jour ne semblaient plus automatiques. Les mises à jours sont désormais faites.
Concernant la sécurité, que dois-je faire?? j'ai avast +(spybot et ad aware) et je nettoie de temps en temps le pc avec ccleaner
Concernant la sécurité, que dois-je faire?? j'ai avast +(spybot et ad aware) et je nettoie de temps en temps le pc avec ccleaner
J'ai fait un scan minutieux avec avast et il me trouve encore la même menace :
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
je ne peux pas mettre en quarantaine ce fichier
que dois-je faire? (le supprimer, le réparer,ignorer...)
j'ai également exécuté un scan complet avec malwarbytes : aucun élément infectés
Encore MERCI pour votre aide!!!!!!!
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
je ne peux pas mettre en quarantaine ce fichier
que dois-je faire? (le supprimer, le réparer,ignorer...)
j'ai également exécuté un scan complet avec malwarbytes : aucun élément infectés
Encore MERCI pour votre aide!!!!!!!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 août 2011 à 14:52
14 août 2011 à 14:52
Le fichier détecté n'est pas malicieux.
Spybot et Ad-aware sont à désinstaller, sont inefficaces.
Malwarebyte suffit.
Spybot et Ad-aware sont à désinstaller, sont inefficaces.
Malwarebyte suffit.
Que dois-je donc faire? il me reste le choix entre :
-supprimer
-ne rien faire
-réparer
C'est ma dernière question!!
Après votre réponse j'indiquerai que le problème est résolu!!
Merci pour tout et bonne continuation!!!
-supprimer
-ne rien faire
-réparer
C'est ma dernière question!!
Après votre réponse j'indiquerai que le problème est résolu!!
Merci pour tout et bonne continuation!!!
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
14 août 2011 à 15:06
14 août 2011 à 15:06
Ne rien faire.
juste une dernière (pour de bon) question:
C:\Windows\Prefetch\SEARCHTERHOST.EXE-77482212.pf
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
C:\Windows\System32\FNTCACHE.DAT
C:\Windows\Prefetch\AgAppLaunch.db
Ces 4 fichiers sont les menaces que Avast m'a détecté récemment!
Que sont exactement ces fichiers et sont ils indispensable au bon fonctionnement du pc????
Merci
C:\Windows\Prefetch\SEARCHTERHOST.EXE-77482212.pf
C:\Windows\ServicesProfiles\LocalService\AppData\Local\PnrpSqm\PnrpResolveSession0.sqm
C:\Windows\System32\FNTCACHE.DAT
C:\Windows\Prefetch\AgAppLaunch.db
Ces 4 fichiers sont les menaces que Avast m'a détecté récemment!
Que sont exactement ces fichiers et sont ils indispensable au bon fonctionnement du pc????
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 660
Modifié par Malekal_morte- le 14/08/2011 à 17:52
Modifié par Malekal_morte- le 14/08/2011 à 17:52
Prefetch c'est un cache pour le lancement d'application.
Ce sont pas des executables qui sont dedans.
Le second c'est un fichier SQL Manager - c'est aussi un cache : https://docs.microsoft.com/en-us/dotnet/framework/network-programming/pnrp-caches?redirectedfrom=MSDN
le 3e, c'est un .dat dont un fichier Data.
Le dernier, c'est un prefet donc mm réponse que le premier.
Les 4 fichier que tu cites ne sont pas des executables.
Donc Avast! fume.
Comme c'est du cache, tu peux les supprimer mais ils vont être recréés puisque le mécanisme de cache fonctionne tjrs.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Ce sont pas des executables qui sont dedans.
Le second c'est un fichier SQL Manager - c'est aussi un cache : https://docs.microsoft.com/en-us/dotnet/framework/network-programming/pnrp-caches?redirectedfrom=MSDN
le 3e, c'est un .dat dont un fichier Data.
Le dernier, c'est un prefet donc mm réponse que le premier.
Les 4 fichier que tu cites ne sont pas des executables.
Donc Avast! fume.
Comme c'est du cache, tu peux les supprimer mais ils vont être recréés puisque le mécanisme de cache fonctionne tjrs.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now