Problème de retrait d'un rootkit.
alhuno1
Messages postés
2079
Statut
Contributeur
-
billmaxime Messages postés 51947 Date d'inscription Statut Contributeur Dernière intervention -
billmaxime Messages postés 51947 Date d'inscription Statut Contributeur Dernière intervention -
Bonjour,
Oui, de retour. Et pas d'insultes cette fois-ci! (blague)
J'ai pris ma retraire de CCM il y a à peu près trois ans, alors..
Plus sérieusement
Mon ami a de sérieux problèmes avec un virus que j'ai immédiatement reconnu comme rootkit.
explorer.exe fait de drôles de bugs et parfois après sa fin de processus dues à ces erreurs ça fait un BSOD...
Mon premier réflexe a été Gmer, croyant à un MBR infectée. Rien.
De deux, je passe un ZHP via TeamViewver d'où dans les 044 on peut voir les fichiers C:\WINDOWS\Zip.exe ainsi que grep.exe, sed.exe et PID.exe
Là j'ai du me rappeler de mauvais souvenirs en passant ComboFix. RRRRRR..
Il bloque à Tentative de création d'un point de restauration après m'avoir dit:
SYSTEM FILE IS INFECTED!!! ATTEMPTING TO RESTORE
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Pas de CD de Windows en main. Ça va mal.
Par la suite j'ai pris ZHPFix et fait le HELPER des lignes infectées du 044. Dès la suppression explorer va BEAUCOUP mieux, jusqu'au redémarrage. C'était évident.
Les fichiers sont revenus. Et explorer plante encore.
Mon ami a cruellement besoin de ce PC (un Dell Latitude D820 sous XP SP3.)
Dès que je peux je fournis les rapports de ZHPDiag et ZHPFix mais pour l'instant on a pas accès au PC.
Des idées?
Oui, de retour. Et pas d'insultes cette fois-ci! (blague)
J'ai pris ma retraire de CCM il y a à peu près trois ans, alors..
Plus sérieusement
Mon ami a de sérieux problèmes avec un virus que j'ai immédiatement reconnu comme rootkit.
explorer.exe fait de drôles de bugs et parfois après sa fin de processus dues à ces erreurs ça fait un BSOD...
Mon premier réflexe a été Gmer, croyant à un MBR infectée. Rien.
De deux, je passe un ZHP via TeamViewver d'où dans les 044 on peut voir les fichiers C:\WINDOWS\Zip.exe ainsi que grep.exe, sed.exe et PID.exe
Là j'ai du me rappeler de mauvais souvenirs en passant ComboFix. RRRRRR..
Il bloque à Tentative de création d'un point de restauration après m'avoir dit:
SYSTEM FILE IS INFECTED!!! ATTEMPTING TO RESTORE
C:\WINDOWS\SYSTEM32\USERINIT.EXE
Pas de CD de Windows en main. Ça va mal.
Par la suite j'ai pris ZHPFix et fait le HELPER des lignes infectées du 044. Dès la suppression explorer va BEAUCOUP mieux, jusqu'au redémarrage. C'était évident.
Les fichiers sont revenus. Et explorer plante encore.
Mon ami a cruellement besoin de ce PC (un Dell Latitude D820 sous XP SP3.)
Dès que je peux je fournis les rapports de ZHPDiag et ZHPFix mais pour l'instant on a pas accès au PC.
Des idées?
A voir également:
- Problème de retrait d'un rootkit.
- Les textes ne doivent pas être en retrait à droite et à gauche - Guide
- Demande de retenue pour retrait ups - Forum Consommation & Internet
- Alexander casino retrait ✓ - Forum Consommation & Internet
- Cresus casino retrait avis - Forum Consommation & Internet
- Alexander casino jamais reçu le virement. - Forum Consommation & Internet
7 réponses
salut
je ne sais pas si ça va être possible du fait que tu dépannes ton ami à distance, mais
si le pc ne démarre sous aucun mode, tu vas devoir passer par 1 cd live
je te joins tout de même le lien du cd live de Malékal
https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
en espérant que ça t'aide....
@+
je ne sais pas si ça va être possible du fait que tu dépannes ton ami à distance, mais
si le pc ne démarre sous aucun mode, tu vas devoir passer par 1 cd live
je te joins tout de même le lien du cd live de Malékal
https://www.malekal.com/malekal-live-cd-reparer-depanner-pc-windows/
en espérant que ça t'aide....
@+
alhuno1
Messages postés
2079
Statut
Contributeur
226
Je voulais dire que les plantages d'explorer sont toujours présents en mode sans échec, l'ordi démarre même en mode normal. Désolé.
re
sans en savoir plus vis a vis de son problème, il est difficile de le conseiller
L'Internet fonctionne encore à merveille, inclus Skype, uTorrent et TeamViewver. Même en mode normal.
donc le pc fonctionne en mode normal?
Il utilise en général Internet Explorer 8. donc il est sous xp? sinon son pc n'est pas a jour
Il croît même savoir exactement d'où vient l'infection, apparemment d'un site Web douteux qu'il a ouvert par accident et qu'il s'agit d'une cellule dormante.
je pencherai pour 1 exécutable, et dans ce cas je ferai passe roguekiller
prends le classique (32 bits) où le 64 bits suivant ton système
Télécharge roguekiller sur ton bureau
Le lien https://www.luanagames.com/index.fr.html
Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html
Quitte tous taes programmes en cours
Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit)
Laisse faire le prescan
Clique sur scan
Le rapport s'affichera sur ton bureau et dans C:\ RKReport[#].txt
Poste le rapport via 1 copier/coller
@+
sans en savoir plus vis a vis de son problème, il est difficile de le conseiller
L'Internet fonctionne encore à merveille, inclus Skype, uTorrent et TeamViewver. Même en mode normal.
donc le pc fonctionne en mode normal?
Il utilise en général Internet Explorer 8. donc il est sous xp? sinon son pc n'est pas a jour
Il croît même savoir exactement d'où vient l'infection, apparemment d'un site Web douteux qu'il a ouvert par accident et qu'il s'agit d'une cellule dormante.
je pencherai pour 1 exécutable, et dans ce cas je ferai passe roguekiller
prends le classique (32 bits) où le 64 bits suivant ton système
Télécharge roguekiller sur ton bureau
Le lien https://www.luanagames.com/index.fr.html
Le tuto http://tigzyrk.blogspot.be/2012/10/fr-roguekiller-tutoriel-officiel.html
Quitte tous taes programmes en cours
Lance roguekiller (utilisateurs vista-w7-w8 exécuter en tant qu'administrateur- clic droit)
Laisse faire le prescan
Clique sur scan
Le rapport s'affichera sur ton bureau et dans C:\ RKReport[#].txt
Poste le rapport via 1 copier/coller
@+
Ah oui.
Juste comme détail, mon ami que j'aide dans ce topic est aveugle et utilise NVDA comme lecteur d'écran (c'est pourquoi je l'aide avec TeamViewver)
Juste comme détail, mon ami que j'aide dans ce topic est aveugle et utilise NVDA comme lecteur d'écran (c'est pourquoi je l'aide avec TeamViewver)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je vais donner un peu plus de détails.
L'Internet fonctionne encore à merveille, inclus Skype, uTorrent et TeamViewver. Même en mode normal.
Pas plus de pubs que d'habitude.
Il utilise en général Internet Explorer 8.
Les codes d'erreur que donne explorer sont souvent sous la forme "l'opération xxxxx n'a pas pu aboutir xxx. la mémoire ne peut pas être writen."
Lorsque l'on fait un clic droit sur le Bureau ce message apparait 4 fois sr 5.
Il utilise Utorrent à des fins illégales mais s'y connaît très bien en matière d'arnaques (ex. ta taille du fichier est souvent un bon indice) et je l'aide au besoin. Il croît même savoir exactement d'où vient l'infection, apparemment d'un site Web douteux qu'il a ouvert par accident et qu'il s'agit d'une cellule dormante.
Il n'a jamais eu de ce type de nuisible avant, les autres fois où il a formaté c'était pour des logiciels récalcitrants.
L'Internet fonctionne encore à merveille, inclus Skype, uTorrent et TeamViewver. Même en mode normal.
Pas plus de pubs que d'habitude.
Il utilise en général Internet Explorer 8.
Les codes d'erreur que donne explorer sont souvent sous la forme "l'opération xxxxx n'a pas pu aboutir xxx. la mémoire ne peut pas être writen."
Lorsque l'on fait un clic droit sur le Bureau ce message apparait 4 fois sr 5.
Il utilise Utorrent à des fins illégales mais s'y connaît très bien en matière d'arnaques (ex. ta taille du fichier est souvent un bon indice) et je l'aide au besoin. Il croît même savoir exactement d'où vient l'infection, apparemment d'un site Web douteux qu'il a ouvert par accident et qu'il s'agit d'une cellule dormante.
Il n'a jamais eu de ce type de nuisible avant, les autres fois où il a formaté c'était pour des logiciels récalcitrants.
