Je suis infecté par un rootkit

Fermé
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013 - 20 avril 2013 à 19:25
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013 - 21 avril 2013 à 20:09
slt je sui infecter par un rootkit et un adwar il vole tt ma connection jai formater ordi 2 foi mai toujour la il doi etre dans le system . jai du essaillier tt les logiciel a par se avc fichier ou il fo connaitre mai il narrive pas a le detecte a par sophos mai lui oci narrive pas a le supprimer sai la galere ^^ si quelqun avait la gentillesse de maider se serait cool

131 réponses

heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 21:10
re je trouve pas le raport en supression de rogue killer je sai je sui pas douer ^^
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 21:11
à côté de l'exécutable et du dossier RKQuarantine qu'il a créé

genre si tu l'as mis sur le bureau ben c'est sur le bureau :)
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 21:12
RogueKiller V8.5.4 _x64_ [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : hauron [Droits d'admin]
Mode : Suppression -- Date : 20/04/2013 20:51:46
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 6 ¤¤¤
[BLACKLIST] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]
[BLACKLIST] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]
[RESIDUE] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]
[RESIDUE] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]
[RESIDUE] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]
[RESIDUE] BrowserProtect.exe -- C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Yontoo Desktop ("C:\Users\hauron\AppData\Roaming\Yontoo\YontooDesktop.exe") [x] -> SUPPRIMÉ
[Services][BLACKLIST] HKLM\[...]\ControlSet001\Services\BrowserProtect (C:\ProgramData\BrowserProtect\2.6.1125.80\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe) [7] -> SUPPRIMÉ
[TASK][ROGUE ST] 0 : c:\program files (x86)\internet explorer\iexplore.exe -> SUPPRIMÉ
[TASK][ROGUE ST] 4834 : wscript.exe C:\Users\hauron\AppData\Local\Temp\launchie.vbs //B -> SUPPRIMÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REMPLACÉ (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK5065GSX ATA Device +++++
--- User ---
[MBR] 8656bdd15144d66c7a88d848232e19ac
[BSP] 59cb27ecc7253d7b5695e715ccdfc6ea : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 237466 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 486537216 | Size: 237317 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 972562432 | Size: 2048 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_20042013_205146.txt >>
RKreport[1]_S_20042013_202205.txt ; RKreport[2]_S_20042013_204803.txt ; RKreport[3]_D_20042013_205146.txt
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 21:13
jai 3 fichier si sai pas selui la jen ai dautre ( o le boulet que je sui merci detre cool )
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 21:18
lol c'est le bon t'inquiète :)

▶ Télécharge et lance TDSSKiller.

▶ Clique sur Change parameters
● Cocher la case Loaded modules. Le message Reboot is required s'affiche.
● Il faut le valider en cliquant sur Reboot now.
● Le système redémarre. Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
● L'outil TDSSKiller se relance.

▶ Cliquer de nouveau sur Change parameters.
● Cocher dans Additionnal options, les cases Verify file digital signatures et Detect TDLFS file system.
● Valider par OK

▶ Cliquer sur Start scan pour lancer l'analyse. Laisser travailler l'outil sans l'interrompre.

● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
● Si TDSS File System est détecté, sélectionner l'option Delete
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.

▶ Si l'outil te le demande, redémarre pour finir le nettoyage.

▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 21:19
re jespre k ta pas mal interpreter mon dernier message je voulait juste dire k je sui pas douer et k sai cool k tu maide
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 21:25
mais non pas du tout :)
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 21:41
TDSSKiller.2.8.16.0_20.04.2013_21.25.17_log.txt
Taille: 625.74 KB
Description:
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 21:45
Clique sur "Envoyer" il est pas parti là le fichier :)
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 21:46
a oui dsl
sai bn sai fait ^^
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 21:47
Lien de téléchargement: https://forums-fec.be/upload/www/?a=d&i=5695186932
Lien de suppression: https://forums-fec.be/upload/www/?a=r&i=5695186932&r=4812394124
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 21:50
t'as de la chance que c'est mon site, j'ai pu récupérer le fichier, mais si tu copie/colle pas le lien de téléchargement comment veux-tu que je lise le rapport si c'est pas mon site ? ^^

Soit, y'avait rien.

Sophos disjoncte, désinstalle-le il sert à rien

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.

▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique donc sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

Si MBAM demande à redémarrer le pc : ▶ fais-le.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 22:00
re oki lanalyse a commencer oki pas tt compri le copier coller du telechargement mai oki je recommencerai plus ^^
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 22:03
J'ai été trop vite, j'avais pas vu que tu as posté 2 fois en suivant :)
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 22:09
^^^^^ je sen k quand le rapord malwarbite fini je sen k je vais galere a faire se que tu ma dit ^^ sa fait 1 an k mon ordi ai comme ca et josai pas venir ici sur fofo prck je sui pas douer mai je vai arriver sai cool qui ia des gen comme toi prck mare de voir des virus hacker la je pense k se rootkit et autre etai la pour piquer a ma connection javais rien pouvai meme pas jouer a mes jeu en ligne sa ramai tro jespere quon va i arriver k je puisse kill du light trenquille ps je parle de shaiya ^^
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 22:12
Tout le monde ne peut pas être un Dieu de l'orthographe, ni de l'informatique ;)
Mais tu n'as pas de rootkit, Sophos dit des âneries ! Si tu ne l'as pas encore désinstallé, fais-le !
D'ailleurs, le truc qu'a détecté TDSSKiller .... c'était un composant de Sophos !

Pour les jeux, je suis plutôt WOW :)
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 22:14
oui sai fait je lai desinstaller a WOW sai cool si ordi marche jirais petetre faire un tour prck shaiya france viellit mal en + sai un boufe fric ^^
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 22:19
WOW c'est pareil :/
Faudrait que je réapprovisionne mon compte, ça fait bien 1 mois que j'y ai pas joué :/
0
heraclese Messages postés 87 Date d'inscription samedi 20 avril 2013 Statut Membre Dernière intervention 21 avril 2013
20 avril 2013 à 22:24
^ je sui aller voir ma connection toujour pareille jai rien sai tro bissar ps annalise pas encore finit
0
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
20 avril 2013 à 22:26
ça vient pas forcément de l'ordi.

0