[Rootkit inconnu] Difficile a se debarrasser

Résolu/Fermé
bendede Messages postés 75 Date d'inscription lundi 5 février 2007 Statut Membre Dernière intervention 8 juillet 2008 - 5 févr. 2007 à 15:25
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 5 févr. 2007 à 19:37
Bonjour,

Voilà je suis infecté par un rootkit, mais je ne peux pas vous dire le nom.. arf.
Je n'ai pas et n'ai jamais eu d'antivirus sur mon ordinateur et me contente de faire des analyse en ligne et de gerer mes connexions reseau avec Kerio.
Aussi les antivirus en ligne n'ont pas detecté mon rootkit (Panda aurai du reussir) mais qlq analyses de Rootkit Revealer, Sophos Anti-Rootkit et Gmer, arrivent à la meme conclusion.

Un processus caché dans le windows/system32 : khlqurvcec.exe
Les recherches google n'ont rien données sur son nom...

Il y a 3 de ses amis ds le system32 avec l'extansion .dat et 1 autre ami dans le prefetch.

Ils sont dit tous les 5 supprimable par Sophos mais non recommandés.
De plus y'a son processus caché en execution qui ne peux pas etre arrete et une clé registre caché dans le run, dont j'ignore le moyen de la supprimer.. (j'ignorais que ça existé d'ailleurs...)

Quel demarche me conseillez vous? Je n'ai pas l'habitude des rootkits..??

Merci.

4 réponses

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
5 févr. 2007 à 16:27
Bonjour,

comment sais tu que tu as un rootkit ?

Quel est l''outil qui te le détecte et où ?

Le mieux est que tu postes les logs.
@+
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
5 févr. 2007 à 16:32
Re,

après avoir répondu à mon post précédent, tu ouvres ce lien et tu exécutes, dans l'ordre, les 4 manipulations (CCleaner, AVG as, Bitdefender et HijackThis) qu'il te propose.

@+
0
bendede Messages postés 75 Date d'inscription lundi 5 février 2007 Statut Membre Dernière intervention 8 juillet 2008 5
5 févr. 2007 à 17:35
Il ressemble bcp a un rootkit, aucune infos du programme, caché, ...

C'est bon je m'en suis arrangé avec Sophos anti-rootkit à supprimer les differentes occurences et j'ai reactivé les clés cachées du registre en suivant une manip sur CCC pour pouvoir supprimer manuellement la clé de lancement presente dans le RUN.

Merci.
0
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 537
5 févr. 2007 à 19:37
Re,

OK, tu marques résolu.

Merci.

Bonne continuation.
0