AVG 10 fichiers système attaqués par rootkits
n
-
Rems 69 Messages postés 378 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Rems 69 Messages postés 378 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Voici le résultat de mon dernier scan anti rootkit d'AVG :
"Nom de la détection";
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0xBC8, taille 8 octets"
-"Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x5454, taille 14 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x6690, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x66DC, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x6798, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x860C, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x9470, taille 8 octets"
-"Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0xE024, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x13CD8, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x15708, taille 8 octets"
Par ailleurs on me signale une erreur non spécifique sur AVG avec demande de référence au contrôle technique..
J'ai CCleaner avec lequel je fais un nettoyage complet à chaque lancement
et Avast... qui commence à planter aussi
Mon PC plante trés régulièrement dès que je vais sur les réseaux sociaux ou mon mail en particulier..
Quelqu'un pourrait il m'aider à nettoyer ces fichiers systèmes et m'aider à ieux me protéger contre ce type spécifique d'attaque ?
Merci d'avance
Voici le résultat de mon dernier scan anti rootkit d'AVG :
"Nom de la détection";
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0xBC8, taille 8 octets"
-"Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x5454, taille 14 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x6690, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x66DC, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x6798, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x860C, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x9470, taille 8 octets"
-"Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0xE024, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x13CD8, taille 8 octets"
- "Section endommagée win32k.sys[.text] XLATEOBJ_hGetColorTransform+0x15708, taille 8 octets"
Par ailleurs on me signale une erreur non spécifique sur AVG avec demande de référence au contrôle technique..
J'ai CCleaner avec lequel je fais un nettoyage complet à chaque lancement
et Avast... qui commence à planter aussi
Mon PC plante trés régulièrement dès que je vais sur les réseaux sociaux ou mon mail en particulier..
Quelqu'un pourrait il m'aider à nettoyer ces fichiers systèmes et m'aider à ieux me protéger contre ce type spécifique d'attaque ?
Merci d'avance
A voir également:
- AVG 10 fichiers système attaqués par rootkits
- Restauration systeme windows 10 - Guide
- Clé d'activation windows 10 - Guide
- Avg free - Télécharger - Antivirus & Antimalwares
- Vérificateur des fichiers système - Guide
- Supprimer fichiers temporaires windows 10 - Guide
4 réponses
bonsoir,
désinstalle AVG, il va nous géner pour le nettoyage !
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
désinstalle AVG, il va nous géner pour le nettoyage !
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
* Télécharge TDSSKiller sur ton bureau :
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
* Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )
* Clique sur [Start Scan] pour démarrer l'analyse.
* Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]
* Un rapport s'ouvrira au redémarrage du PC.
* Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
note :
Conserve l'action proposée par défaut par l'outil :
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
* Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )
* Clique sur [Start Scan] pour démarrer l'analyse.
* Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]
* Un rapport s'ouvrira au redémarrage du PC.
* Copie/Colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.
note :
Conserve l'action proposée par défaut par l'outil :
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D
ok,
on passe à l'étape supèrieur speciale Rootkit !
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► ferme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
on passe à l'étape supèrieur speciale Rootkit !
* /!\Avertissement :
Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
Ne pas utiliser en dehors de ce cas de figure : dangereux!
► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
ou ici :
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► ferme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
merci de ta réponse,
je viens de procéder ;)
voici le rapport du scan :
RogueKiller V7.6.3 [08/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: MôM [Droits d'admin]
Mode: Recherche -- Date: 15/07/2012 19:39:33
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 2 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NON CHARGE] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] b3549ede13d55a4c2a9b011735b8704c
[BSP] 786d9366ae7adbdfa9d3ed38b6e95652 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 12291 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 25173855 | Size: 101 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 25382700 | Size: 464545 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Cross fingers pour me débarrasser de ce truc et qu'il ne revienne jamais :)
Encore merci,