Virus détecté TR/Rootkit gen2
Sunshyne
-
juju666 Messages postés 38404 Statut Contributeur sécurité -
juju666 Messages postés 38404 Statut Contributeur sécurité -
Bonjour,
Hier soir j'ai apparemment été attaquée par un virus nommé Rootkit gen2 ce dernier a été detecté par mon antivirus Avira.
Double problème : mon écran est tout noir avec plusieurs messages d'alerte et d'erreur venant de Windows ainsi que d'Avira.
Tout mes dossiers/fichiers sont introuvables, et mon menu démarrer est vide ! Du jamais vu :(
Du coup je ne n'ai plus aucune ressource, et surtout plus d'accès à internet . Du moins, ne m'y connaissant pas, je ne sais pas comment retrouver l'intégralité de mes applications/dossiers/fichiers pour accéder à Internet.
J'ai besoin urgemment de mon PC qui est mon outil de travail quotidien, alors si une aimable personne pourrait me venir en aide, je lui serais très reconnaissante :)
Je suis disponible pour tout complément d'information
Bien à vous
Melle S.
Hier soir j'ai apparemment été attaquée par un virus nommé Rootkit gen2 ce dernier a été detecté par mon antivirus Avira.
Double problème : mon écran est tout noir avec plusieurs messages d'alerte et d'erreur venant de Windows ainsi que d'Avira.
Tout mes dossiers/fichiers sont introuvables, et mon menu démarrer est vide ! Du jamais vu :(
Du coup je ne n'ai plus aucune ressource, et surtout plus d'accès à internet . Du moins, ne m'y connaissant pas, je ne sais pas comment retrouver l'intégralité de mes applications/dossiers/fichiers pour accéder à Internet.
J'ai besoin urgemment de mon PC qui est mon outil de travail quotidien, alors si une aimable personne pourrait me venir en aide, je lui serais très reconnaissante :)
Je suis disponible pour tout complément d'information
Bien à vous
Melle S.
A voir également:
- Virus détecté TR/Rootkit gen2
- Clé usb non detecté - Guide
- Virus mcafee - Accueil - Piratage
- Tr signification - Forum Mail
- Le logiciel amd a détecté un dépassement de délai du pilote ✓ - Forum Carte graphique
- Virus facebook demande d'amis - Accueil - Facebook
101 réponses
(merci tigzy)
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : https://forum.pcastuces.com/default.asp
et https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
~~
Windows Defender : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
♦ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
♦ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
♦ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
♦ Le rapport se trouve également là : C:\ComboFix.txt
♦ tutoriel combofix
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : https://forum.pcastuces.com/default.asp
et https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
~~
Windows Defender : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
♦ SI TU ES SOUS WINDOWS XP, SURTOUT INSTALLES LA CONSOLE DE RÉCUPÉRATION [Si tu travailles avec Vista ou seven ne tiens pas compte de cet avertissement]
♦ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s''afficher : Poste son contenu
♦ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
♦ Le rapport se trouve également là : C:\ComboFix.txt
♦ tutoriel combofix
Hello Juju, j'espère que tu vas bien ! :)
Ci joint le rapport Combofix :
http://pjjoint.malekal.com/files.php?id=20111128_p12u6q15s12l6
Par ailleurs,
J'ai réactivé mon Pare-Feu Windows : OK
Mais pour
Avira : un message apparait me disant " ce programme ne sera pas exécuté, le programme que Antivir Desktop a fournit à Windows pour corriger ce problème ne s'est pas exécuté"à
Windows Defender : quand je clique dessus "Tentative d'opération non autorisée sur une clef du Registre marquée pour Supression."
Merci de ton aide
Ci joint le rapport Combofix :
http://pjjoint.malekal.com/files.php?id=20111128_p12u6q15s12l6
Par ailleurs,
J'ai réactivé mon Pare-Feu Windows : OK
Mais pour
Avira : un message apparait me disant " ce programme ne sera pas exécuté, le programme que Antivir Desktop a fournit à Windows pour corriger ce problème ne s'est pas exécuté"à
Windows Defender : quand je clique dessus "Tentative d'opération non autorisée sur une clef du Registre marquée pour Supression."
Merci de ton aide
salut je sais que c est du zero access :)
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
Si le lien ne fonctionne pas, utilise celui-ci
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan.
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Si l'outil est bloqué, utilise cette version
Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"
▶ Une fois qu'il aura fini, un rapport s'ouvrira.
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Tutoriel Pre_Scan : http://forums-fec.be/entraide/viewtopic.php?f=55&t=47
désactive ton antivirus
désactive Windows defender si présent
désactive ton pare-feu
Télécharge Pre_scan (de gen-hackman)
Si le lien ne fonctionne pas, utilise celui-ci
♦ Enregistre le sur ton bureau
s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau
▶ Exécute Pre_scan.
Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
Si l'outil est bloqué, utilise cette version
Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"
▶ Une fois qu'il aura fini, un rapport s'ouvrira.
♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
Tutoriel Pre_Scan : http://forums-fec.be/entraide/viewtopic.php?f=55&t=47
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Mais si je relance combofix je vais plus rien pouvoir exécuter comme hier, si ??
en tout cas je te poste le rapport PRE SCAN en attendant : en revance le site cijoint.fr affiche une page blank pour moi donc je l'ai posté sur l'autre site que tu m'avais donné :
http://pjjoint.malekal.com/files.php?id=20111129_f9x11z11w10s11
en tout cas je te poste le rapport PRE SCAN en attendant : en revance le site cijoint.fr affiche une page blank pour moi donc je l'ai posté sur l'autre site que tu m'avais donné :
http://pjjoint.malekal.com/files.php?id=20111129_f9x11z11w10s11
en fait avec combofix t'avais "clé du registre marquée pour suppression" suffisait de redémarrer ton pc ...
Bin je l'avais redémarré aujourd'hui lorsque je l'ai rallumé ! mais j'avais le même message à chaque fois, je relance combofix ?
Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"
▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)
▶ Durant le scan, accepte l'installation de SigCheck
▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.
Voici comment procéder
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015
▶ Copie le lien dans ta prochaine réponse.
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13
A bientôt.
▶ Télécharge ZHPDiag
▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"
▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)
▶ Durant le scan, accepte l'installation de SigCheck
▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.
Voici comment procéder
▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015
▶ Copie le lien dans ta prochaine réponse.
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=13
A bientôt.
Ci joint le rapport ZHPDiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111129_v12v12h9p10f11
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111129_v12v12h9p10f11
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12
[HKCU\Software\AppDataLow\Software\ShoppingReport2] => Infection BT (Adware.ShoppingReports)
O43 - CFD: 16/01/2011 - 18:39:10 - [0] ----D- C:\Users\hp\AppData\Roaming\iWin => Infection BT (Adware.BHO)
[HKLM\Software\Classes\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c}] => Infection BT (Adware.SmartShopper)
C:\Users\hp\AppData\Roaming\iWin => Infection BT (Adware.BHO)
C:\Users\hp\AppData\LocalLow\ShoppingReport2 => Infection BT (Adware.ShoppingReports)
[HKLM\Software\SweetIM] => Toolbar.SweetIM
[HKLM\Software\SweetIM] => Toolbar.SweetIM
EMPTYTEMP
EMPTYFLASH
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Tutoriel : http://forums-fec.be/entraide/viewtopic.php?f=55&t=12
Voici le rapport ZHPFix :
Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre :
Run by hp at 29/11/2011 10:50:41
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\ShoppingReport2
SUPPRIME Key: HKLM\Software\Classes\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c}
SUPPRIME Key: HKLM\Software\SweetIM
========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\hp\AppData\Roaming\iWin
SUPPRIME Folder: c:\users\hp\appdata\locallow\shoppingreport2
SUPPRIME Temporaires Windows: : 88
SUPPRIME Flash Cookies: 275
========== Fichier(s) ==========
ABSENT Folder/File: c:\users\hp\appdata\roaming\iwin
SUPPRIME Temporaires Windows: : 30
SUPPRIME Flash Cookies: 135
========== Récapitulatif ==========
3 : Clé(s) du Registre
4 : Dossier(s)
3 : Fichier(s)
End of clean in 00mn 04s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/11/2011 10:50:41 [1053]
Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011
Fichier d'export Registre :
Run by hp at 29/11/2011 10:50:41
Windows 7 Home Premium Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\ShoppingReport2
SUPPRIME Key: HKLM\Software\Classes\Interface\{a1f1ecd3-4806-44c6-a869-f0dadf11c57c}
SUPPRIME Key: HKLM\Software\SweetIM
========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\hp\AppData\Roaming\iWin
SUPPRIME Folder: c:\users\hp\appdata\locallow\shoppingreport2
SUPPRIME Temporaires Windows: : 88
SUPPRIME Flash Cookies: 275
========== Fichier(s) ==========
ABSENT Folder/File: c:\users\hp\appdata\roaming\iwin
SUPPRIME Temporaires Windows: : 30
SUPPRIME Flash Cookies: 135
========== Récapitulatif ==========
3 : Clé(s) du Registre
4 : Dossier(s)
3 : Fichier(s)
End of clean in 00mn 04s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 29/11/2011 10:50:41 [1053]
Re, desolée j'avais du taf, le virus a été effacé alors ? Je ne peux toujours plus me connecter à internet
essaie ça :
▶ Cliques sur >> Démarrer (bouton windows sous Vista/7) >
XP : clique sur exécuter puis tapes cmd.exe et valide
Vista/7 : tape dans la barre de recherche cmd.exe et quand il apparaît clique droit dessus et "Exécuter en tant qu''administrateur"
▶ ▶ Une fois que cmd est ouvert:
▶ tapes: netsh int ip reset all
puis valide par > enter
▶ tapes : netsh winsock reset
puis valide par > enter
▶ tapes : ipconfig /release
puis valide par > enter
▶ tapes : ipconfig /renew
puis valide par > enter
▶ tapes : ipconfig /flushdns
puis valide par > enter
▶ ▶ Redémarres ton PC
▶ Cliques sur >> Démarrer (bouton windows sous Vista/7) >
XP : clique sur exécuter puis tapes cmd.exe et valide
Vista/7 : tape dans la barre de recherche cmd.exe et quand il apparaît clique droit dessus et "Exécuter en tant qu''administrateur"
▶ ▶ Une fois que cmd est ouvert:
▶ tapes: netsh int ip reset all
puis valide par > enter
▶ tapes : netsh winsock reset
puis valide par > enter
▶ tapes : ipconfig /release
puis valide par > enter
▶ tapes : ipconfig /renew
puis valide par > enter
▶ tapes : ipconfig /flushdns
puis valide par > enter
▶ ▶ Redémarres ton PC
Alors au moment de taper ipconfig/release ça me met :
Configuration IP de Windows
Aucune opération ne peut être effectuée sur Connexion réseau Bluetooth lorsque son média est déconnecté.
une erreur s'est produite lors de la libération de l'interface connexion réseau sans fil : le serveur RPC n'est pas disponible .
Configuration IP de Windows
Aucune opération ne peut être effectuée sur Connexion réseau Bluetooth lorsque son média est déconnecté.
une erreur s'est produite lors de la libération de l'interface connexion réseau sans fil : le serveur RPC n'est pas disponible .
Je restaure a une date antérieure à la venue du Rootkit ? Il ne reviendra pas ? Merci juju t génialll
