Problème de retrait d'un rootkit. Fermé

Question

Bonjour, 
Oui, de retour. Et pas d'insultes cette fois-ci! (blague)
J'ai pris ma retraire de CCM il y a à peu près trois ans, alors..

Plus sérieusement

Mon ami a de sérieux problèmes avec un virus que j'ai immédiatement reconnu comme rootkit.
explorer.exe fait de drôles de bugs et parfois après sa fin de processus dues à ces erreurs ça fait un BSOD...
Mon premier réflexe a été Gmer, croyant à un MBR infectée. Rien.
De deux, je passe un ZHP via TeamViewver d'où dans les 044 on peut voir les fichiers C:\WINDOWS\Zip.exe ainsi que grep.exe, sed.exe et PID.exe
Là j'ai du me rappeler de mauvais souvenirs en passant ComboFix. RRRRRR..
Il bloque à Tentative de création d'un point de restauration après m'avoir dit:

SYSTEM FILE IS INFECTED!!! ATTEMPTING TO RESTORE
C:\WINDOWS\SYSTEM32\USERINIT.EXE

Pas de CD de Windows en main. Ça va mal.

Par la suite j'ai pris ZHPFix et fait le HELPER des lignes infectées du 044. Dès la suppression explorer va BEAUCOUP mieux, jusqu'au redémarrage. C'était évident.
Les fichiers sont revenus. Et explorer plante encore.

Mon ami a cruellement besoin de ce PC (un Dell Latitude D820 sous XP SP3.)
Dès que je peux je fournis les rapports de ZHPDiag et ZHPFix mais pour l'instant on a pas accès au PC.

Des idées?

billmaxime · Answer

salut

en mode sans echec avec prise en charge de réseau, ça fonctionne?

@+

alhuno1 · Answer

Ah oui.
Juste comme détail, mon ami que j'aide dans ce topic est aveugle et utilise NVDA comme lecteur d'écran (c'est pourquoi je l'aide avec TeamViewver)

billmaxime · Answer

salut

je ne sais pas si ça va être possible du fait que tu dépannes ton ami à distance, mais 

si le pc ne démarre sous aucun mode, tu vas devoir passer par 1 cd live

je te joins tout de même le lien du cd live de Malékal

https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/

en espérant que ça t'aide....

@+

alhuno1 · Answer

Je vais donner un peu plus de détails.
L'Internet fonctionne encore à merveille, inclus Skype, uTorrent et TeamViewver. Même en mode normal.
Pas plus de pubs que d'habitude.
Il utilise en général Internet Explorer 8.
Les codes d'erreur que donne explorer sont souvent sous la forme "l'opération xxxxx n'a pas pu aboutir xxx. la mémoire ne peut pas être writen."
Lorsque l'on fait un clic droit sur le Bureau ce message apparait 4 fois sr 5.
Il utilise Utorrent à des fins illégales mais s'y connaît très bien en matière d'arnaques (ex. ta taille du fichier est souvent un bon indice) et je l'aide au besoin. Il croît même savoir exactement d'où vient l'infection, apparemment d'un site Web douteux qu'il a ouvert par accident et qu'il s'agit d'une cellule dormante.
Il n'a jamais eu de ce type de nuisible avant, les autres fois où il a formaté c'était pour des logiciels récalcitrants.

billmaxime · Answer

re

sans en savoir plus vis a vis de son problème, il est difficile de le conseiller

L'Internet fonctionne encore à merveille, inclus Skype, uTorrent et TeamViewver. Même en mode normal.

donc le pc fonctionne en mode normal?

Il utilise en général Internet Explorer 8. donc il est sous xp? sinon son pc n'est pas a jour

 Il croît même savoir exactement d'où vient l'infection, apparemment d'un site Web douteux qu'il a ouvert par accident et qu'il s'agit d'une cellule dormante. 

je pencherai pour 1 exécutable, et dans ce cas je ferai passe roguekiller

 prends le classique (32 bits) où le 64 bits suivant ton système

Télécharge roguekiller sur ton bureau 

Le lien https://www.luanagames.com/index.fr.html 

Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html 

Quitte tous taes programmes en cours 

Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit) 

Laisse faire le prescan 

Clique sur scan 

Le rapport s'affichera sur ton bureau et dans C:\ RKReport[#].txt 

Poste le rapport via 1 copier/coller 

@+

alhuno1 · Answer

Je connais bien roguekiller, mais le prob c'est qu'il n'y pas vrament de processus nuisibles, en tout cas selon taskmgr, parce que dans celui-ci il n'y a pas ni dans le rapport de ZHP que je lui ai fait passer.

billmaxime · Answer

re

poste le rapport zhp s'il te plaît

merci

@+

Problème de retrait d'un rootkit.

7 réponses

Discussions similaires