Infection rootkit
Fermé
julien
-
6 déc. 2011 à 14:06
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 17 déc. 2011 à 08:55
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 17 déc. 2011 à 08:55
A voir également:
- Infection rootkit
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Anti rootkit gratuit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Malwarebytes anti-rootkit - Télécharger - Antivirus & Antimalwares
16 réponses
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 déc. 2011 à 17:37
6 déc. 2011 à 17:37
Bonjour,
As tu Avast! comme antivirus ?
Quel est le nom du fichier ?
1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
As tu Avast! comme antivirus ?
Quel est le nom du fichier ?
1. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
2. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
merci à toi !
oui mon anti-virus est avast.
voila le lien du rapport (que j'avais déja effectué en lisant un de tes commentaires sur une autre discussion)
http://textup.fr/10813Ce
et voila le rapport OTL si cela t'interresse ?
http://textup.fr/10814Ad
le OTL Complet et extra
http://textup.fr/10815X2
http://textup.fr/10816Sg
encore merci à toi ...
oui mon anti-virus est avast.
voila le lien du rapport (que j'avais déja effectué en lisant un de tes commentaires sur une autre discussion)
http://textup.fr/10813Ce
et voila le rapport OTL si cela t'interresse ?
http://textup.fr/10814Ad
le OTL Complet et extra
http://textup.fr/10815X2
http://textup.fr/10816Sg
encore merci à toi ...
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
6 déc. 2011 à 23:15
6 déc. 2011 à 23:15
Bonsoir julien,
TDSSKiller semble avoir supprimé le rootkit zaccess
1. Vérifie sa suppression avec cet outil Webroot ZeroAccess/Sirefef remover
aide : https://www.malekal.com/zeroaccesssirefef-remover/
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
3. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression
4. Héberge les rapports et donne moi les liens.
A +
TDSSKiller semble avoir supprimé le rootkit zaccess
1. Vérifie sa suppression avec cet outil Webroot ZeroAccess/Sirefef remover
aide : https://www.malekal.com/zeroaccesssirefef-remover/
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle
:OTL
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Low Rights present
O33 - MountPoints2\{097a41e7-a97f-11df-a807-001fc68a64ae}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL F:\jEs.exE
O33 - MountPoints2\{ee38d3f1-46ff-11de-82f4-001fc68a64ae}\Shell\AutoRun\command - "" = J:\ReCycLEr\S-1-5-21-1482276501-1663491937-6831267430-1013\svchost.exe
O33 - MountPoints2\{ee38d3f1-46ff-11de-82f4-001fc68a64ae}\Shell\OpEN\cOMMaND - "" = J:\ReCycLEr\S-1-5-21-1482276501-1663491937-6831267430-1013\svchost.exe
@Alternate Data Stream - 126 bytes -> C:\ProgramData\TEMP:9D718DA3
[2011/12/02 11:39:41 | 000,000,000 | -HSD | C] -- C:\Windows\System32\%APPDATA%
[2011/12/02 11:35:44 | 000,000,000 | -HSD | C] -- C:\Users\Kro & Ju\AppData\Local\877d451b
:Files
ipconfig /flushdns /c
:Commands
[emptytemp]
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
3. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression
4. Héberge les rapports et donne moi les liens.
A +
voila le rapport otl
http://textup.fr/10890Zv
et celui mbam
http://textup.fr/10891SU
@+
http://textup.fr/10890Zv
et celui mbam
http://textup.fr/10891SU
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
8 déc. 2011 à 22:27
8 déc. 2011 à 22:27
Bonsoir julien,
Pour Avast! il faudra sans soute le réinstaller.
Cette infection faisant pas mal de dégâts sur le système.
Par contre je n'ai pas compris la phrase suivante.
windows bloque des logiciels au démarrage mais je ne peut pas y acceder
A +
Pour Avast! il faudra sans soute le réinstaller.
Cette infection faisant pas mal de dégâts sur le système.
Par contre je n'ai pas compris la phrase suivante.
windows bloque des logiciels au démarrage mais je ne peut pas y acceder
A +
Bonjour
Tout d'abord merci à toi de me dépanner . J'ai réinstallé avast tout est ok où presque ....
Dans la barre à côté de l'heure lorsque l'ordinateur démarre windows bloque des programmes et me l'annonce via un icône mais je n'ai pas accès au détail en cliquant sur cette icône . Je pense que sa correspond à tous les virus qu'avast à trouvé et à mis en quarantaine( plusieurs fichiers) ??? Que faire ??
Tout d'abord merci à toi de me dépanner . J'ai réinstallé avast tout est ok où presque ....
Dans la barre à côté de l'heure lorsque l'ordinateur démarre windows bloque des programmes et me l'annonce via un icône mais je n'ai pas accès au détail en cliquant sur cette icône . Je pense que sa correspond à tous les virus qu'avast à trouvé et à mis en quarantaine( plusieurs fichiers) ??? Que faire ??
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
12 déc. 2011 à 12:44
12 déc. 2011 à 12:44
Bonjour,
As tu modifier quelque chose dans MSConfig ?
Je n'ai plus accès aux rapports hébergés, peux tu refaire une analyse rapide OTL avec ces instructions :
A +
As tu modifier quelque chose dans MSConfig ?
Je n'ai plus accès aux rapports hébergés, peux tu refaire une analyse rapide OTL avec ces instructions :
msconfig /md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe CREATERESTOREPOINT
A +
J'ai réinstallé avast , tout est ok . Et j'ai résolu le soucis de programme bloque
Au démarrage . Par contre j'ai l'impression que le root kit est encore la?! Par moment j'ai une page de redirection internet vers une adresse bizard comme au début des manip . Mais par contre tdskiller détecte rien ainsi que avast et malware non plus .serait-ce possible que le root kit est résiste et qu'il se cache quelque part????
Merci a toi .
Au démarrage . Par contre j'ai l'impression que le root kit est encore la?! Par moment j'ai une page de redirection internet vers une adresse bizard comme au début des manip . Mais par contre tdskiller détecte rien ainsi que avast et malware non plus .serait-ce possible que le root kit est résiste et qu'il se cache quelque part????
Merci a toi .
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
15 déc. 2011 à 07:35
15 déc. 2011 à 07:35
Bonjour,
Je n'ai jamais dit que la désinfection était terminé et que tu étais sorti d'affaire.
J'attends le denier rapport demandé pour la suite.
A +
Je n'ai jamais dit que la désinfection était terminé et que tu étais sorti d'affaire.
J'attends le denier rapport demandé pour la suite.
A +
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
15 déc. 2011 à 21:05
15 déc. 2011 à 21:05
Bonsoir,
Toujours des redirections ? avec n'importe quel navigateur ?
A +
Toujours des redirections ? avec n'importe quel navigateur ?
A +
j'ai ai eu 1 ou 2 avec mozilla mais ce n'est pas tout le temps .. avec internet explorer apparemment non.
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
15 déc. 2011 à 21:53
15 déc. 2011 à 21:53
ok,
On va regarder si zaccess est toujours là ou s'il a des amis sur ton pc.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
On va regarder si zaccess est toujours là ou s'il a des amis sur ton pc.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! )
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
bonsoir ,
je vais sauvegarder toutes mes données et je fais la manip après.
Je te tiens au courant.
@ +
je vais sauvegarder toutes mes données et je fais la manip après.
Je te tiens au courant.
@ +
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
17 déc. 2011 à 08:55
17 déc. 2011 à 08:55
ok,
A + avec le rapport de ComboFix
A + avec le rapport de ComboFix
