Rootkit + autres virus
kingofperse57
Messages postés
146
Statut
Membre
-
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184348 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour à tous
Bon en fait voilà un pote a moi m'a conseillée de venir sur ce forum pour désinfecter mon pc car il m'a dit que j'avais des rootkit et d'autres infections .
J'ai fait un diagnostic avec ZHPdiag voici le résultat :
http://dl.free.fr/getfile.pl?file=/WOSz6FxK
Merci d'avance
Bon en fait voilà un pote a moi m'a conseillée de venir sur ce forum pour désinfecter mon pc car il m'a dit que j'avais des rootkit et d'autres infections .
J'ai fait un diagnostic avec ZHPdiag voici le résultat :
http://dl.free.fr/getfile.pl?file=/WOSz6FxK
Merci d'avance
A voir également:
- Rootkit + autres virus
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Virus informatique - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
9 réponses
Salut,
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.
ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
S'il détecte des choses règles bien comme c'est expliqué sur la page
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.
ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
S'il détecte des choses règles bien comme c'est expliqué sur la page
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
ActiveX: {DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D} - C:\Documents and Settings\HP_Administrateur\Application Data\ssp.exe
[2008/06/12 22:36:49 | 001,659,648 | ---- | C] () -- C:\WINDOWS\System32\aorfxzis.dat
[2008/06/12 22:36:49 | 000,633,600 | ---- | C] () -- C:\WINDOWS\System32\slvseess.dat
[2008/06/12 22:36:49 | 000,152,320 | ---- | C] () -- C:\WINDOWS\System32\unnmtjsc.dat
[2008/06/12 22:36:49 | 000,151,296 | ---- | C] () -- C:\WINDOWS\System32\recfrjmp.dat
[2008/06/12 22:36:49 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\ipmerkfj.dat
[2008/06/12 22:36:49 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\yfhwgfxc.dat
[2008/06/12 22:36:49 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\yfjfmezo.dat
[2008/06/12 22:36:49 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\tqnnocef.dat
* redemarre le pc sous windows et poste le rapport ici
~~
Malwarebyte a viré plein de malwares qui sont pour la majorité des RATs.
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été récupérés.
Faire attention à ce que vous téléchargez
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
o sous Personnalisation, copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction, un rapport apparraitra, copie/colle le contenu ici:
:OTL
ActiveX: {DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D} - C:\Documents and Settings\HP_Administrateur\Application Data\ssp.exe
[2008/06/12 22:36:49 | 001,659,648 | ---- | C] () -- C:\WINDOWS\System32\aorfxzis.dat
[2008/06/12 22:36:49 | 000,633,600 | ---- | C] () -- C:\WINDOWS\System32\slvseess.dat
[2008/06/12 22:36:49 | 000,152,320 | ---- | C] () -- C:\WINDOWS\System32\unnmtjsc.dat
[2008/06/12 22:36:49 | 000,151,296 | ---- | C] () -- C:\WINDOWS\System32\recfrjmp.dat
[2008/06/12 22:36:49 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\ipmerkfj.dat
[2008/06/12 22:36:49 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\yfhwgfxc.dat
[2008/06/12 22:36:49 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\yfjfmezo.dat
[2008/06/12 22:36:49 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\tqnnocef.dat
* redemarre le pc sous windows et poste le rapport ici
~~
Malwarebyte a viré plein de malwares qui sont pour la majorité des RATs.
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été récupérés.
Faire attention à ce que vous téléchargez
SHUT THE F*C*K UP, WE HAVE OTHER SONGS TOO !!
https://pjjoint.malekal.com/files.php?id=20111201_l11j12d8x13n6
(Pour le rapport OTL)
http://dl.free.fr/getfile.pl?file=/JM30s04n
(Pour le rapport TDSSKILLER)
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8283
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
01/12/2011 14:05:48
mbam-log-2011-12-01 (14-05-48).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 185168
Temps écoulé: 8 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\skxkuorx (Rootkit.Agent.BO) -> Delete on reboot.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\drivers\skxkuorx.sys (Rootkit.Agent.BO) -> Delete on reboot.
c:\WINDOWS\system32\javacpl.cpl (Trojan.Dropper.pws) -> Quarantined and deleted successfully.
c:\WINDOWS\Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
Et voila pour MALWAREBYTES cependant il n'a pas pu tout supprimer ...
(Pour le rapport OTL)
http://dl.free.fr/getfile.pl?file=/JM30s04n
(Pour le rapport TDSSKILLER)
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8283
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
01/12/2011 14:05:48
mbam-log-2011-12-01 (14-05-48).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 185168
Temps écoulé: 8 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\skxkuorx (Rootkit.Agent.BO) -> Delete on reboot.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\WINDOWS\system32\drivers\skxkuorx.sys (Rootkit.Agent.BO) -> Delete on reboot.
c:\WINDOWS\system32\javacpl.cpl (Trojan.Dropper.pws) -> Quarantined and deleted successfully.
c:\WINDOWS\Keygen.exe (RiskWare.Tool.CK) -> Quarantined and deleted successfully.
Et voila pour MALWAREBYTES cependant il n'a pas pu tout supprimer ...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Error: Unable to interpret <ActiveX: {DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D} - C:\Documents and Settings\HP_Administrateur\Application Data\ssp.exe> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 001,659,648 | ---- | C] () -- C:\WINDOWS\System32\aorfxzis.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,633,600 | ---- | C] () -- C:\WINDOWS\System32\slvseess.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,152,320 | ---- | C] () -- C:\WINDOWS\System32\unnmtjsc.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,151,296 | ---- | C] () -- C:\WINDOWS\System32\recfrjmp.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\ipmerkfj.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\yfhwgfxc.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\yfjfmezo.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\tqnnocef.dat > in the current context!
OTL by OldTimer - Version 3.2.31.0 log created on 12012011_170631
Je redémarre
Error: Unable to interpret <[2008/06/12 22:36:49 | 001,659,648 | ---- | C] () -- C:\WINDOWS\System32\aorfxzis.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,633,600 | ---- | C] () -- C:\WINDOWS\System32\slvseess.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,152,320 | ---- | C] () -- C:\WINDOWS\System32\unnmtjsc.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,151,296 | ---- | C] () -- C:\WINDOWS\System32\recfrjmp.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,050,432 | ---- | C] () -- C:\WINDOWS\System32\ipmerkfj.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,047,360 | ---- | C] () -- C:\WINDOWS\System32\yfhwgfxc.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,039,680 | ---- | C] () -- C:\WINDOWS\System32\yfjfmezo.dat> in the current context!
Error: Unable to interpret <[2008/06/12 22:36:49 | 000,034,560 | ---- | C] () -- C:\WINDOWS\System32\tqnnocef.dat > in the current context!
OTL by OldTimer - Version 3.2.31.0 log created on 12012011_170631
Je redémarre
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ not found.
C:\WINDOWS\system32\aorfxzis.dat moved successfully.
C:\WINDOWS\system32\slvseess.dat moved successfully.
C:\WINDOWS\system32\unnmtjsc.dat moved successfully.
C:\WINDOWS\system32\recfrjmp.dat moved successfully.
C:\WINDOWS\system32\ipmerkfj.dat moved successfully.
C:\WINDOWS\system32\yfhwgfxc.dat moved successfully.
C:\WINDOWS\system32\yfjfmezo.dat moved successfully.
C:\WINDOWS\system32\tqnnocef.dat moved successfully.
OTL by OldTimer - Version 3.2.31.0 log created on 12012011_171257
C'est le bon désolé j'avais fait une erreur
Mais par rapport au rat, il y'a 6 mois j'ai utilisé quelques logiciels de RAT pour voir comment ça fonctionner, j'étais obligé de désactiver mon anti virus pour pouvoir l'utiliser est ce a cause de ça ?
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{DDED4EC6-EECD-EC7D-FBBE-DACEDDEB2D4D}\ not found.
C:\WINDOWS\system32\aorfxzis.dat moved successfully.
C:\WINDOWS\system32\slvseess.dat moved successfully.
C:\WINDOWS\system32\unnmtjsc.dat moved successfully.
C:\WINDOWS\system32\recfrjmp.dat moved successfully.
C:\WINDOWS\system32\ipmerkfj.dat moved successfully.
C:\WINDOWS\system32\yfhwgfxc.dat moved successfully.
C:\WINDOWS\system32\yfjfmezo.dat moved successfully.
C:\WINDOWS\system32\tqnnocef.dat moved successfully.
OTL by OldTimer - Version 3.2.31.0 log created on 12012011_171257
C'est le bon désolé j'avais fait une erreur
Mais par rapport au rat, il y'a 6 mois j'ai utilisé quelques logiciels de RAT pour voir comment ça fonctionner, j'étais obligé de désactiver mon anti virus pour pouvoir l'utiliser est ce a cause de ça ?
Merci d'avoir répondu et après une analyse avec avira version gratuite il me détecte un seul virus JAVA/Runner.1458
