Désinfection rookit réfractaire
searcher41
-
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,
J'ai été récemment infecté par un rootkit et aurais besoin de quelques conseils au sujet de cette petite bête. je m'explique :
Au démarrage, mon antivirus avira m'ouvre une alerte de rootkit, pour laquelle je refuse l'accès (paramètre par défaut). L'UAC me demande alors d'accorder les droits admin à une invite de commande pour une appli au nom généré automatiquement, type rootkit dernière génération (info trouvée sur le web). Prudent je refuse, mais l'UAC réhitère sa demande en boucle de telle sorte que le seul moyen d'arrêter ca soit d'accepter, pendant qu'en arrière plan de la demande, mon antivirus me submerge d'alertes, comme si plein de virus apparaissaient simultanément (surement un trojan). J'ai donc du accepter, car le pc était tout simplement inutilisable.
Une fois accepté, le pc reprend une allure "normale", ce qui est logique. en parallèle, cette ptite bête a eu le temps de me couper mon antivirus, pendant que moi je coupais ma carte wifi -_- ... résultat : un pc sans le web (pour limiter les dégâts), mais dont je sais qu'il est infecté, et bien !
Je lance un mbam offline, déjà installé auparavant : il me trouve seulement un trojan "trolan.fakealert.h", et me demande bien sûr de redémarrer le pc pour l'éliminer.
Mais au redémarrage, une chance sur deux pour que mbam soit bloqué ... bonne pioche, mon rootkit me redemande de lui filer les droits avec l'UAC pendant que mon antivirus me bombarde d'alertes de nouveau ... donc mbam bloqué au démarrage, MAJ des softs impossible, pages de téléchargement des antirootkits type gmer bloquées aussi ...
Après cette longue explication mes questions :
- un rootkit est-il néfaste hors ligne ?
- vu que maintenant il a l'air bien installé, est ce que le fait de redémarrer le pc plusieurs fois va aggraver les choses ?
- je vais essayer de dl gmer sur une clé usb et de lui administrer comme ca : ma clé usb sera-t-elle à son tour infestée ? y a-t-il des chances pour que mon appli soit bloquée direct sur la clé ?
- j'ai trouvé des tutos de désinfection mais s'il m'est impossible d'accéder au dl des applis ou à leur execution (gmer, outil kespersky ...) comment faire ?
Conscient du problème mais totalement démuni, je vous remercie par avance pour votre aide
J'ai été récemment infecté par un rootkit et aurais besoin de quelques conseils au sujet de cette petite bête. je m'explique :
Au démarrage, mon antivirus avira m'ouvre une alerte de rootkit, pour laquelle je refuse l'accès (paramètre par défaut). L'UAC me demande alors d'accorder les droits admin à une invite de commande pour une appli au nom généré automatiquement, type rootkit dernière génération (info trouvée sur le web). Prudent je refuse, mais l'UAC réhitère sa demande en boucle de telle sorte que le seul moyen d'arrêter ca soit d'accepter, pendant qu'en arrière plan de la demande, mon antivirus me submerge d'alertes, comme si plein de virus apparaissaient simultanément (surement un trojan). J'ai donc du accepter, car le pc était tout simplement inutilisable.
Une fois accepté, le pc reprend une allure "normale", ce qui est logique. en parallèle, cette ptite bête a eu le temps de me couper mon antivirus, pendant que moi je coupais ma carte wifi -_- ... résultat : un pc sans le web (pour limiter les dégâts), mais dont je sais qu'il est infecté, et bien !
Je lance un mbam offline, déjà installé auparavant : il me trouve seulement un trojan "trolan.fakealert.h", et me demande bien sûr de redémarrer le pc pour l'éliminer.
Mais au redémarrage, une chance sur deux pour que mbam soit bloqué ... bonne pioche, mon rootkit me redemande de lui filer les droits avec l'UAC pendant que mon antivirus me bombarde d'alertes de nouveau ... donc mbam bloqué au démarrage, MAJ des softs impossible, pages de téléchargement des antirootkits type gmer bloquées aussi ...
Après cette longue explication mes questions :
- un rootkit est-il néfaste hors ligne ?
- vu que maintenant il a l'air bien installé, est ce que le fait de redémarrer le pc plusieurs fois va aggraver les choses ?
- je vais essayer de dl gmer sur une clé usb et de lui administrer comme ca : ma clé usb sera-t-elle à son tour infestée ? y a-t-il des chances pour que mon appli soit bloquée direct sur la clé ?
- j'ai trouvé des tutos de désinfection mais s'il m'est impossible d'accéder au dl des applis ou à leur execution (gmer, outil kespersky ...) comment faire ?
Conscient du problème mais totalement démuni, je vous remercie par avance pour votre aide
A voir également:
- Désinfection rookit réfractaire
- Désinfection du linge - Guide
- Aide pour désinfection - Forum Virus
- Fichier réfractaire impossible à supprimer - Forum Windows 10
- Demande de désinfection SVP !!! - Forum Virus
- Prévention et désinfection ✓ - Forum Virus
7 réponses
slt
colle le rapport de ton antivirus
et
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
colle le rapport de ton antivirus
et
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur Cjoint : http://www.cijoint.fr/
Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Bonjour, et merci pour votre réponse ;
Il ne m'est plus possible d'utiliser mon anti-virus, le rootkit le bloquant dès le démarrage. Je vais essayer d'aller télécharger votre outil de diagnostic en espérant que le site ne sera pas non plus bloqué par ce truc.
Je vous tiens informé en fin d'après-midi (je dois quand même finir ma journée de travail malheureusement ...).
Pensez-vous que je puisse laisser le pc allumé, déconnecté au web, sans que le root-kit ne corrompe mes données ?
Il ne m'est plus possible d'utiliser mon anti-virus, le rootkit le bloquant dès le démarrage. Je vais essayer d'aller télécharger votre outil de diagnostic en espérant que le site ne sera pas non plus bloqué par ce truc.
Je vous tiens informé en fin d'après-midi (je dois quand même finir ma journée de travail malheureusement ...).
Pensez-vous que je puisse laisser le pc allumé, déconnecté au web, sans que le root-kit ne corrompe mes données ?
rebonjour,
le rapport zhpdiag est disponible ici :
http://dl.free.fr/ffLXEGYDz
en attente de vos instructions et en vous remerciant pour votre aide
le rapport zhpdiag est disponible ici :
http://dl.free.fr/ffLXEGYDz
en attente de vos instructions et en vous remerciant pour votre aide
information supplémentaire :
lorsque mon AV devient fou au démarrage du pc, ce sont des fichiers infectés par Ramnit.E qu'il me trouve, environ toutes les deux secondes ...
vu que mbam m'a trouvé un trojan "fakealert" avant d'être définitivement bloqué par le rootkit, je pensais que ces 10aines d'alertes au démarrage n'étaient que des fakes imposés par le rootkit. mais je viens de voir un topic de ce forum traitant du fameux Ramnit, où la personne infestée avait un ordinateur se comportant exactement pareil que le mien.
Je ne sais pas si ce Ramnit est donc bien réel sur ma machine, et si oui, laisser le pc allumé, même hl, ne va-t-il pas aggraver l'infection de fichers système ?
je ne sais pas quoi faire, comment me débarasser de ce truc sans détruire un composant vital de l'OS qui me conduirait à formater :( ...
lorsque mon AV devient fou au démarrage du pc, ce sont des fichiers infectés par Ramnit.E qu'il me trouve, environ toutes les deux secondes ...
vu que mbam m'a trouvé un trojan "fakealert" avant d'être définitivement bloqué par le rootkit, je pensais que ces 10aines d'alertes au démarrage n'étaient que des fakes imposés par le rootkit. mais je viens de voir un topic de ce forum traitant du fameux Ramnit, où la personne infestée avait un ordinateur se comportant exactement pareil que le mien.
Je ne sais pas si ce Ramnit est donc bien réel sur ma machine, et si oui, laisser le pc allumé, même hl, ne va-t-il pas aggraver l'infection de fichers système ?
je ne sais pas quoi faire, comment me débarasser de ce truc sans détruire un composant vital de l'OS qui me conduirait à formater :( ...
faut pas non plus le laissé connecté avec les autres pc qui ont du se faire infecté aussi certainement ...;
LiveCD (vérifier le contenu cdrom d'abord .
(certain malin on réussi à faire de faux "lecteur cdrom" de sorte a infecté chaque fois le contenu cdrom0 boot cdrom1
telecharger tout les softs d'un autre pc hors domaine oui oui; plus possible de s'en débarasser proprement en reseau maintenant;
Prenons exemple: Alueron cette saloperie reste sur le local et infecté les autres pc. [ouioui pas gentil et vraiment collant la bête]
LiveCD (vérifier le contenu cdrom d'abord .
(certain malin on réussi à faire de faux "lecteur cdrom" de sorte a infecté chaque fois le contenu cdrom0 boot cdrom1
telecharger tout les softs d'un autre pc hors domaine oui oui; plus possible de s'en débarasser proprement en reseau maintenant;
Prenons exemple: Alueron cette saloperie reste sur le local et infecté les autres pc. [ouioui pas gentil et vraiment collant la bête]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
slt ramnit c'est pas gagné...
passe drweb live cd
https://forum.malekal.com/viewtopic.php?t=21820&start=
pour info c'est ceci:
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit#q=ramnit&cur=1&url=%2F
passe drweb live cd
https://forum.malekal.com/viewtopic.php?t=21820&start=
pour info c'est ceci:
https://www.commentcamarche.net/faq/30960-comment-se-debarrasser-de-ramnit#q=ramnit&cur=1&url=%2F
ok j'ai bien reçu, je vais essayer ca. le problème étant que l'accès aux pages avec les mots malekal, gmer, kaspersky etc. m'est tout simplement refusé avec la bête infectée :s
malgré les symptômes et le nom du fichier admin qui correspond bien au rootkit, j'ai réussi à passer TDSSkiller, sans succès. Idem pour combofix -_- ...
là je m'apprête aussi à passer le rescue disk de kaspersky, tout en live cd.
question : quid des périphériques amovibles ? j'en avais un de connecté au moment de l'infection, il a du être en contact une dizaine de minutes tout au plus. Infecté alors :( ?
malgré les symptômes et le nom du fichier admin qui correspond bien au rootkit, j'ai réussi à passer TDSSkiller, sans succès. Idem pour combofix -_- ...
là je m'apprête aussi à passer le rescue disk de kaspersky, tout en live cd.
question : quid des périphériques amovibles ? j'en avais un de connecté au moment de l'infection, il a du être en contact une dizaine de minutes tout au plus. Infecté alors :( ?
