Rootkit zaro access!
Frenchi
-
Frenchi -
Frenchi -
Bonjour,
Depuis plus d'un mois, mon ordinateur a de gros problèmes:connexion lente, redirection google vers sites dangereux, etc..
J'ai effectué des scans, mais rien n'a été détecté. Aujourd'hui, Roguekiller me trouve le rootkit zero access, comment puis-je m'en débarrasser? (je n'y connais presque rien en informatique)
Merci d'avance pour votre aide!
Depuis plus d'un mois, mon ordinateur a de gros problèmes:connexion lente, redirection google vers sites dangereux, etc..
J'ai effectué des scans, mais rien n'a été détecté. Aujourd'hui, Roguekiller me trouve le rootkit zero access, comment puis-je m'en débarrasser? (je n'y connais presque rien en informatique)
Merci d'avance pour votre aide!
34 réponses
1. Télécharge http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ par Swandog46 sur ton Bureau.
* Décompresse le fichier
* avenger.exe sur le bureau
2. Copie le contenu en gras ci-dessous (CTRL+C),
Files to delete:
C:\Windows\SysNative\consrv.dll
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.
* Faites un clic droit sur la fenêtre sous "Input Script There":, Et choisissez Coller.A présent du dois avoir le script dans la fenétre blanche d' Avenger.
* Clique sur Exécuter
* Réponds "Yes" quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
* Il va Redémarrer le système.
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
* Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html
* Décompresse le fichier
* avenger.exe sur le bureau
2. Copie le contenu en gras ci-dessous (CTRL+C),
Files to delete:
C:\Windows\SysNative\consrv.dll
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.
* Faites un clic droit sur la fenêtre sous "Input Script There":, Et choisissez Coller.A présent du dois avoir le script dans la fenétre blanche d' Avenger.
* Clique sur Exécuter
* Réponds "Yes" quand demandé.
4. The Avenger va automatiquement faire ce qui suit:
* Il va Redémarrer le système.
* Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
* Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html
J'ai fait tout comme vous m'avez dit, seulement il n'y a pas de fenêtre noire qui s'est ouverte et le fichier C:\avenger.txt reste introuvable!
Tu peux refaire ce qui suit
Double cliquez sur le aswMBR.exe pour l'exécuter
* Cliquez sur le bouton «Scan» pour commencer le balayage
* Cliquez sur Save log pour sauvegarder le rapport
* Enregistrez le aswASW.log sur le bureau
* Poster le rapport sur le forum.
========================================
+nouveau rapport OTL
Double cliquez sur le aswMBR.exe pour l'exécuter
* Cliquez sur le bouton «Scan» pour commencer le balayage
* Cliquez sur Save log pour sauvegarder le rapport
* Enregistrez le aswASW.log sur le bureau
* Poster le rapport sur le forum.
========================================
+nouveau rapport OTL
voila le rapport OTL :
http://pjjoint.malekal.com/files.php?id=OTL_20111222_j12b6i11h12s13
le rapport aswASW:
http://pjjoint.malekal.com/files.php?id=20111222_w15z6w6o13z12
http://pjjoint.malekal.com/files.php?id=OTL_20111222_j12b6i11h12s13
le rapport aswASW:
http://pjjoint.malekal.com/files.php?id=20111222_w15z6w6o13z12
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f285e398000000000000701a0444970a&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18026&q="
[2009/07/14 02:39:46 | 000,054,272 | ---- | M] (Microsoft Corporation) MD5=63E99B675A1337DB6D8430195EA3EFD2 -- C:\Windows\SysNative\consrv.dll
[2011/12/22 11:56:37 | 000,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\ualausp.sys
[2011/12/22 11:36:00 | 000,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\xddglbb.sys
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
FF - prefs.js..keyword.URL: "http://search.babylon.com/?babsrc=SP_ss&mntrId=f285e398000000000000701a0444970a&tlver=1.4.19.19&instlRef=sst&ss=1&affID=18026&q="
[2009/07/14 02:39:46 | 000,054,272 | ---- | M] (Microsoft Corporation) MD5=63E99B675A1337DB6D8430195EA3EFD2 -- C:\Windows\SysNative\consrv.dll
[2011/12/22 11:56:37 | 000,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\ualausp.sys
[2011/12/22 11:36:00 | 000,061,440 | ---- | C] () -- C:\Windows\SysWow64\drivers\xddglbb.sys
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
On va devoir passer par OTLPE.
Tu dois démarrer ton pc avec le cd gravé OTLPE.
Une fois chargé clic sur le petit drapeau bleu en bas a gauche.
Clic sur all programs ===> double clic sur Regedit ===> double clic sur local registry
Positionnes toi sur HKEY_LOCAL_MACHINE (Le cadre se noircit)
Cliques sur le menu File et Load Hive
En bas positionnes Files of Type sur All files, puis navigues dans tes dossiers pour aller dans C:\Windows\System32\config
Tu dois avoir une liste de fichiers
Double-cliquez sur SYSTEM (celui sans extension à la fin).
Inscris un nom dans l'encadré blanc par exemple désinfection nanard , ce sera le nom du dossier contenant la ruche de ton Windows.
Clic sur ok.
Déroules l'arborescence de désinfection nanard avec les petites fléches pour avoir Control001 puis Control ===> Session Manager et enfin SubSystems .
Un clic sur SubSystems et a droite, tu dois avoir Windows comme valeur, double-cliques dessus.
La value date est très longue, cherches ServerDll=consrv:ConServerDllInitialization
Remplacer le premier consrv par winsrv pour avoir ServerDll=winsrv:ConServerDllInitialization
Valides toutes les fenêtres.
Éventuellement supprimes C:\Windows\system32\consrv.dll toujours depuis le CD Live
Redémarres l'ordinateur. (Sans le cd OTLPE)
Postes un nouveau rapport aswMBR
Tu dois démarrer ton pc avec le cd gravé OTLPE.
Une fois chargé clic sur le petit drapeau bleu en bas a gauche.
Clic sur all programs ===> double clic sur Regedit ===> double clic sur local registry
Positionnes toi sur HKEY_LOCAL_MACHINE (Le cadre se noircit)
Cliques sur le menu File et Load Hive
En bas positionnes Files of Type sur All files, puis navigues dans tes dossiers pour aller dans C:\Windows\System32\config
Tu dois avoir une liste de fichiers
Double-cliquez sur SYSTEM (celui sans extension à la fin).
Inscris un nom dans l'encadré blanc par exemple désinfection nanard , ce sera le nom du dossier contenant la ruche de ton Windows.
Clic sur ok.
Déroules l'arborescence de désinfection nanard avec les petites fléches pour avoir Control001 puis Control ===> Session Manager et enfin SubSystems .
Un clic sur SubSystems et a droite, tu dois avoir Windows comme valeur, double-cliques dessus.
La value date est très longue, cherches ServerDll=consrv:ConServerDllInitialization
Remplacer le premier consrv par winsrv pour avoir ServerDll=winsrv:ConServerDllInitialization
Valides toutes les fenêtres.
Éventuellement supprimes C:\Windows\system32\consrv.dll toujours depuis le CD Live
Redémarres l'ordinateur. (Sans le cd OTLPE)
Postes un nouveau rapport aswMBR
Au risque de paraître bête, je ne sais pas ce qu'est ce cd. Du coup, je ne fais pas la démarche avec OTL?
OTLPE est un Live CD qui permet de démarrer sur un système d'exploitation lorsque Windows est planté ou si vous n'arrivez plus à faire tourner de programmes de diagnostic dessus.
OTLPE contient plusieurs programmes de diagnostics ou réparation qui ne seront pas détaillés, OTLPE contient aussi OTL qui permet de scanner l'ordinateur et généré un rapport de diagnostic afin d'éventuellement déterminer si l'ordinateur est infecté.
Il faut bien sûr pour cela avoir un minimum de connaissances.
Lien de téléchargement :
Version Standard:
http://oldtimer.geekstogo.com/OTLPEStd.exe
http://ottools.noahdfear.net/OTLPEStd.exe
tu dois le graver sur un cd et une fois gravé tu fais ceci.
https://forums.commentcamarche.net/forum/affich-23947388-rootkit-zaro-access?page=2#26
OTLPE contient plusieurs programmes de diagnostics ou réparation qui ne seront pas détaillés, OTLPE contient aussi OTL qui permet de scanner l'ordinateur et généré un rapport de diagnostic afin d'éventuellement déterminer si l'ordinateur est infecté.
Il faut bien sûr pour cela avoir un minimum de connaissances.
Lien de téléchargement :
Version Standard:
http://oldtimer.geekstogo.com/OTLPEStd.exe
http://ottools.noahdfear.net/OTLPEStd.exe
tu dois le graver sur un cd et une fois gravé tu fais ceci.
https://forums.commentcamarche.net/forum/affich-23947388-rootkit-zaro-access?page=2#26
J'ai un problème, je n'arrive pas à extraire OTLPE, c'est bloqué à 0%. J'ai essayé plusieurs fois mais rien à faire!
Télécharges ce programme
https://www.clubic.com/telecharger-fiche25151-imgburn.html
installes le programme et extrais OTLPE
https://www.clubic.com/telecharger-fiche25151-imgburn.html
installes le programme et extrais OTLPE
Désolé de répondre longtemps après, j'ai eu des soucis d'internet depuis vendredi! Je n'ai pas réussi la dernière procédure mais j'ai remarqué que mon ordi fonctionne nouveau normalement, j'ai effectué un scan avec roguekiller et il ne me détecte plus d'infection !
Alors un grand merci pour votre aide!
Alors un grand merci pour votre aide!
Voila le rapport http://pjjoint.malekal.com/files.php?id=20111227_u7w8y14s6b12
En espérant que je n'ai pas crié victoire trop vite
En espérant que je n'ai pas crié victoire trop vite
