'TR/Rootkit.Gen' [trojan] a été détecté

Résolu
Mat -  
 Mat -
Bonjour,

Je suis infecté. Malwarebytes ne trouve rien. J'ai déjà installé CBFix sur mon ordi.
voici l'info d'Avira:
Dans le fichier 'C:\WINDOWS\Temp\clfoexid.sys'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Autoriser l'accès

Aussi, ma licence d'Avira a expiré, avez-vous une suggestion d'antivirus gratuit.

Merci !

44 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Le sujet décrit une suspicion d’infection sur Windows XP avec Malwarebytes qui ne détecte rien et une alerte TR/Rootkit.Gen signalée dans C:\WINDOWS\Temp\clfoexid.sys, Avira étant expiré. Des réponses recommandent des outils et procédures variées, notamment SEAF, une recherche de fichiers et registre, puis GMER et l’analyse des logs pour détecter et supprimer les éléments suspects. D'autres réponses indiquent des tests avec Malwarebytes et vérifications complémentaires, constatant des blocages possibles et des difficultés à démarrer en mode sans échec, tandis que des liens vers des rapports et outils externes sont partagés. En dernier lieu, plusieurs participants évoquent l’éventualité de recourir à un antivirus gratuit tant que l’antivirus expiré est remplacé, et de partager des rapports via des liens pour analyse.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. sherred Messages postés 8605 Statut Membre 351
     
    salut mat
    avira EST un antivirus gratuit

    pour l'infection fait nous ce rapport

    * Télécharge ZHPDiag (de Nicolas Coolman). https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    Rend toi sur Cijoint http://www.cijoint.fr/
    et indique l'emplacement du rapport à l'aide du bouton "Parcourir..." Ensuite Clique sur "Cliquez ici pour déposer le fichier"
    Un lien sera généré, copie et colle-le dans ta prochaine réponse.

    si les outils de désinfections que je te recommande ne fonctionnent pas
    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection) :
    Aller dans démarrer puis panneau de configuration
    Double Cliquer sur l'icône "Comptes d'utilisateurs"
    Cliquer ensuite sur désactiver et valider.
    puis
    clic droit sur le raccourci du programme d'analyse ou de desinfection et choisir démarrer en tant qu'administrateur
    0
  2. mat
     
    Voilà !

    http://www.cijoint.fr/cjlink.php?file=cj201110/cijpUIrSUs.txt
    0
  3. sherred Messages postés 8605 Statut Membre 351
     
    Télécharge combofix.exe sur ton bureau
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    double clique combofix.exe.
    touche 1 (Yes) pour démarrer le scan.
    une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve également ici : C:\Combofix.txt

    Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.

    arrête provisoirement les anti virus et autres protections pendant l'analyse

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    durant la durée de l'analyse ne te sert pas de ton pc

    une fois l'analyse terminé ,remet toutes tes protections antivirus et antispywares
    0
  4. mat
     
    Voilà !

    http://www.cijoint.fr/cjlink.php?file=cj201110/cijMFLWGX8.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. sherred Messages postés 8605 Statut Membre 351
     
    tu a Malwarebyte's ?

    redémarre ton pc en mode sans echec

    ensuite démarre Malwarebyte

    Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

    Puis click sur "rechercher".

    Laisse le scanner le pc...

    Si des éléments on été trouvés > click sur supprimer la sélection.

    si il t'es demandé de redémarrer > click sur "yes".

    A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

    redemarre en mode normal

    Copie et colle le rapport stp.

    PS : les rapport sont aussi rangé dans l onglet rapport/log
    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
    1. g3n-h@ckm@n
       
      tu as beau script à faire avec Combofix , pourquoi ne le fais-tu pas ?
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      je ne maitrise pas , :(
      0
    3. sherred Messages postés 8605 Statut Membre 351
       
      mais si toi si tu veux
      0
  7. mat
     
    Impossible de redémarrer en mode sans échec.

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4733

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    2011-10-15 16:00:44
    mbam-log-2011-10-15 (16-00-44).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 151384
    Temps écoulé: 10 minute(s), 57 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
    1. sherred Messages postés 8605 Statut Membre 351
       
      refait moi un ZHPDiag stp
      0
    2. mat
       
      revoilà !

      http://www.cijoint.fr/cjlink.php?file=cj201110/cijcJhDATf.txt

      dsl pour le doublon
      0
  8. sherred Messages postés 8605 Statut Membre 351
     
    passes adw-cleaner mode SUPPRESSION

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    puis
    Télécharges AD-Remover ( de Cyrildu17 / C_XX ) sur ton bureau :
    http://www.teamxscript.org/too/AD-R.exe
    /!\ Déconnectes toi et fermes toutes applications en cours

    ? Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
    ? Double clique sur l'icône Ad-remover située sur ton bureau

    au menu principal choisi l'option "nettoyage" .

    --> le programme va travailler ...

    * Postes le rapport qui apparait à la fin
    ( le rapport est sauvegardé aussi sous C:\Ad-report.log ) adreport(clean)

    /!\ Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tapes explorer.exe et valides) /!\

    si les outils de désinfections que je te recommande ne fonctionnent pas
    sur vista Désactiver le contrôle des comptes utilisateurs (le réactiver à la fin de la désinfection)
    Quand les bornes sont franchies, il n'y a plus de limite
    Ce que j'ai écrit, je l'ai écrit
    0
    1. g3n-h@ckm@n
       
      et ensuite ,pour aider :

      desinstalle RegCleanPro c'est nul

      ==============================


      __________________________________________________
      =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
      =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
      ----------------------------------------------------------------------------


      Toujours avec toutes les protections désactivées, fais ceci :

      ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
      ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

      ----------------------------------------------------------
      KillAll::

      File::
      c:\program files\x86.exe
      C:\uaehebmq.exe
      c:\program files\bin.exe
      c:\documents and settings\Mathieu\Menu Démarrer\Programmes\Démarrage\uaehebmq.exe
      c:\documents and settings\Default User\Menu Démarrer\Programmes\Démarrage\uaehebmq.exe
      c:\windows\Tasks\RegClean Pro_DEFAULT.job
      c:\windows\Tasks\RegClean Pro_UPDATES.job

      Folder::
      c:\program files\mtputbda

      Registry::
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
      "Userinit"="c:\windows\system32\userinit.exe,"

      Driver::
      MICORSOFT_WINDOWS_SERVICE
      MICORSOFT WINDOWS SERVICE

      Firefox::
      FF - prefs.js: network.proxy.type - 2



      ------------------------------------------------------------------

      ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
      ▶ Quitte le Bloc Notes

      ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

      ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
      ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
      ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

      ========================================

      ▶ Télécharge ici : USBFIX sur ton bureau

      branche tous tes periphériques USB sans les ouvrir

      /!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

      si tu as XP => double clique
      si tu as Vista ou windows 7 => clic droit "executer en tant que...."


      sur l'icône Usbfix située sur ton Bureau.
      Sur la page, clique sur le bouton :

      ▶ choisi l option Suppression

      ▶ UsbFix scannera ton pc , laisse travailler l outil.

      ▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

      ▶ Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

      ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
      0
    2. mat
       
      1-http://www.cijoint.fr/cjlink.php?file=cj201110/cijtyxGgbt.txt
      2-http://www.cijoint.fr/cjlink.php?file=cj201110/cij1NszlPU.txt
      0
    3. mat
       
      combo fix : http://www.cijoint.fr/cjlink.php?file=cj201110/cijaHTzoC6.txt
      0
    4. mat
       
      USB fix : http://www.cijoint.fr/cjlink.php?file=cj201110/cijIY9oeLU.txt
      0
    5. g3n-h@ckm@n
       
      j'ai besoin de faire une comparaison de fichier et pour cela :

      mets-toi sur ce fichier :

      c:\windows\system32\drivers\pcouffin.sys

      clic droit => envoyer vers => dossiers compressés , puis envoie l'archive via cijoint.fr
      0
  9. g3n-h@ckm@n
     
    ok il me faudrait l'autre du meme nom et pas au meme endroit

    Télécharge SEAF.exe de C_XX

    *Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

    *Une fenêtre va s'ouvrir .

    *Tape pcouffin.sys

    dans cette fenêtre

    confirme la recherche "aussi" dans le registre et [Entrée].

    *Patiente pendant la recherche.

    *Une fenêtre avec un log.txt va s'afficher.

    *Copie/colle ce rapport dans ta prochaine réponse.
    0
  10. mat
     
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijmjH82cZ.txt
    0
  11. g3n-h@ckm@n
     
    tu peux m'envoyer celui-ci comme le precedent zippé via cijoint ?

    C:\Documents and Settings\Mathieu\Application Data\pcouffin.sys
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  12. mat
     
    Quand je tappe la commande j'arrive à sendspace wizard Auto-update. Il me demande si je veux mettre à jour sendspace et ensuite ouvre le programme.
    0
  13. mat
     
    Quand je tappe la commande j'arrive à sendspace wizard Auto-update.
    Il est écrit A new version of sendspace wizard is available. Click Yes to perform (strongly recommended) or No to continue loading your older version.

    Alors je click No et puis le programme sendspace wizard ouvre.
    0
    1. mat
       
      Je peux désinstaller le programme si tu veux.
      0
    2. mat
       
      Ok, ça marche

      http://www.cijoint.fr/cjlink.php?file=cj201110/cijNmQOFB9.zip
      0
  14. g3n-h@ckm@n
     
    non

    Quand je tappe la commande j'arrive

    tu parles de quelle commande ?
    0
  15. mat
     
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijNmQOFB9.zip
    0
    1. mat
       
      Je parlais de cette commande
      C:\Documents and Settings\Mathieu\Application Data\pcouffin.sys
      Alors j'ai juste tappé C:\Documents and Settings\Mathieu\Application Data\ et je suis allez manuellement après.
      0
  16. g3n-h@ckm@n
     
    j'étudie ca , je te remercie grandement pour ta cooperation , je vous laisse continuer :)
    0
  17. sherred Messages postés 8605 Statut Membre 351
     
    je vois que g3n-h@ckm@n t'a pris en main

    bon boulot ;)

    tu peu refaire un rapport zhpdiag en attendant ses resultats , que je vois l'etat de ton pc
    0
  18. mat
     
    http://www.cijoint.fr/cjlink.php?file=cj201110/cijVsxpiN4.txt
    0
  19. sherred Messages postés 8605 Statut Membre 351
     
    je ne comprend pas ce lancement internet ?
    Userinit.exe,,C:\Program Files\mtputbda\uaehebmq.exe
    avec en plus
    MigrateProxy = 1
    Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107
    Services\Tcpip\Parameters: NameServer = 93.188.163.72,93.188.166.107

    il va falloir voir ca
    0
    1. g3n-h@ckm@n
       
      mbam le degage tout ca
      0
    2. sherred Messages postés 8605 Statut Membre 351
       
      mbam n'a rien trouvé meme en sans echec
      0
  • 1
  • 2
  • 3