PC infecter par rootkit et autres...

Résolu/Fermé
Utilisateur anonyme - 14 nov. 2013 à 00:29
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 - 20 nov. 2013 à 00:39
Bonjour,
j'ai des problème avec mon PC fixe car il y a une semaine une analyse avast à détecter 21 menaces de (win32:Rootkit-gen [Rtk] ) dont 1 qui a était mise en quarantaine, pour les autres il y a : "erreur: l'opération n'est pas supportée pour ce type d'archive (42111) il ne veut donc pas se mettre en quarantaine.

En plus de ça avast trouve plein de fichier ou il indique dans état: Erreur, le fichier est une bombe de décompression (décompression Bomb) (42110).


Mon PC est aussi très lent. Aujourd'hui un fond d'écran bleu est apparu avec un message en anglais. Impossible de faire quoi que se soit donc j'ai appuyer sur le bouton marche/arrêt du PC pour l'éteindre je l'ai rallumé et pour l'instant sa peut allé.


J'ai aussi un DD externe de 320 GO qui je pense est contaminé car j'ai transférer des fichiers dernièrement.
Est-ce que je peux le branché pour le désinfecter en même temps que le PC ?

J'ai fais une analyse de MBAM dont voici le rapport https://www.cjoint.com/?3KoawfYCTNz

Voila si non Je ne m'y connais pas trop en info mais j'ai déjà était très bien guidé sur ce forum.

Merci de votre aide



A voir également:

75 réponses

kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 13:05
Par contre j'ai 3 application du nom de SOS virus forum facebook et SOS virus sur facebook et USB fix faire un don
il ne sont pas installer ? je peux donc faire clic droit suppr


a la fin on va tu supprimer ;)

fais ceci =>


==> Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir. Double-cliquez sur "UsbFix.exe".

Cliquez sur [Suppression].

Laissez travailler l'outil.
L'analyse va alors commencer puis un rapport s'affichera à la fin du scan.
Poste son rapport / stp

Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
0
Utilisateur anonyme
15 nov. 2013 à 13:12
alors pendant le scan j'ai un message du pare feux Windows qui dit qu'il à bloqué certaine fonctionnalités de Go sur tous les réseaux publics et privés il est coché sur "réseaux publics, tels..."
je fais "autoriser l'accès" ?

Merci
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 13:16
redémarrage de ton pc tapote sur la touche "F8" où "F5" dans le menu qui s'affiche choisis "mode sans échec avec prise en charge de réseau"

=> Comment rebooter en mode sans échec

puis tu fais la suppression avec usbfix ;)
0
donc je fais annulé sur ce dernier message et je ferme usbfix pour aprés redémarrer sur le mode sans echec ?
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 13:29
oui ;)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Utilisateur anonyme
15 nov. 2013 à 13:33
dsl encore un truc quand je fais f5 ou f8 j'ai une fenêtre bleu avec tous mes disques dures et cdrom on diré que ces pour démarrer sur l'un ou l'autre ce n'est pas une autre touche que f8 ou f5 ? que dois-je faire? stp

Merci
0
Utilisateur anonyme
15 nov. 2013 à 13:39
c'est bon je suis en mode sans echec avec prise en charge reseau par contre usbfix demande à être exécuter pour temps je l'ai exécuter en mode normale es ce que je le reinstalle donc ?

merci
0
Utilisateur anonyme
15 nov. 2013 à 13:47
https://www.cjoint.com/?3KpnUYerMT0 voila c'est bon dsl du retard
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 13:51
ok ce bon :)

fais ceci =>


/!\Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage/!\

Utilisation de l'outil ZHPFix : Suis cette procédure dans l'ordre indiqué :

Ce script va cibler certains éléments à supprimer
:

==> Sélectionne et copie les lignes en gras ci-après situées entre les deux lignes :
==> Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier(tu surlignes avec la souris puis clic droit copier de Script ZHPFix jusqu'à la fin Emptytemp)
__________________________________________________________

Script ZHPFix
ShortcutFix
O4 - HKLM\..\Wow6432Node\Run: [Adobe ARM] C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe (.not file.)
O4 - HKUS\S-1-5-21-654374818-3826766152-4220011996-1000\..\Run: [BitComet] C:\Program Files (x86)\BitComet\BitComet.exe (.not file.) =>P2P.BitComet
O4 - HKLM\..\Wow6432Node\Run: [RemoteControl] C:\Program Files (x86)\CyberLink\PowerDVD\PDVDServ.exe (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [LanguageShortcut] C:\Program Files (x86)\CyberLink\PowerDVD\Language\Language.exe (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [LGODDFU] Clé orpheline
O4 - HKLM\..\Wow6432Node\Run: [SunJavaUpdateSched] C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe (.not file.) =>.Oracle Corporation
O4 - HKCU\..\Run: [BitComet] C:\Program Files (x86)\BitComet\BitComet.exe (.not file.) =>P2P.BitComet
O4 - HKLM\..\Wow6432Node\Run: [StartCCC] C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe (.not file.)
O4 - HKLM\..\Wow6432Node\Run: [HDAudDeck] C:\Program Files (x86)\VIA\VIAudioi\VDeck\VDeck.exe (.not file.)
SysRestore
EmptyFlash
EmptyTemp

__________________________________________________________
==>Lance ZHPFix (icône seringue) à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit ==> Exécuter en tant qu'administrateur)
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
==> Clique sur l'Icône représentant le presse-papier ("coller le presse-papier")
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) image ici
==> Clique sur le bouton "GO" pour lancer le nettoyage
==> Copie/colle la totalité du rapport dans ta prochaine réponse.
==> https://www.cjoint.com/ Copie le lien dans ta prochaine réponse.

==> laisse travailler l'outil et ne touche à rien ...

==> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )


Redémarre le PC et poste le rapport stp.

>>> tutorial ZHPFix, Comment s'en servir <<<
0
Utilisateur anonyme
15 nov. 2013 à 14:13
alors juste pour précisé que j'ai fais l'opération sur le mode sans échec voila le rapport https://www.cjoint.com/?3Kpokfa98YR

Merci
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 14:22
redemarre normalement le pc

==>et dit moi si t'as encore des soucis? - sinon on passe phase finale "Désinstallation des outils de désinfection"
0
Utilisateur anonyme
15 nov. 2013 à 15:34
j'ai beaucoup moins de bombe de décompression mais il en reste encore
et il y a aussi des fichiers ou il y à: "L'archive est protégée par mot de passe. (42056)"
Mais c'est quand même mieux

Voici le rapport de avast

http://cjoint.com/data3/3KppxbMNEdV_scan_performant_2.txt
0
Utilisateur anonyme
15 nov. 2013 à 16:11
Je suis vraiment content des résultat car il est bien plus rapide que se soit pour la bureautique ou internet, c'est dommage qui reste encore de ces bombes de décompression et archive protégée que pense-tu que je devrais faire ensuite stp?
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 16:17
Oui c'est normale que l'av ne puisse pas analyser une archive protégée par MDP :)
"A quoi correspondait ces fichiers avec des mots de passe? "
Certaines infections crées parfois ces fichiers pour éviter d'être détectés par les antivirus.
_____________________________________________________________

=> Note Sur la page de RogueKiller - "Prendre Lien de téléchargement" - avec les cercles violets. En cliquant sur ces cercles le programme se télécharge.

=> Télécharge sur le bureau => RogueKiller

=> Quitte tous tes programmes en cours.

=> Sous Vista/Seven et windows 8 , clique droit -> lancer en tant qu'administrateur

=> Sinon lance simplement RogueKiller.exe

NOTE: Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe

=> Patiente pendant le pre-scan, puis clique sur le bouton Scan

=> Un rapport RKreport.txt a du se créer sur le bureau, poste-le.

=> Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

"Le problème serait-il résolu?"
Disons qu'on s'en rapproche, mais je te le dirais le moment venu ;)
0
Utilisateur anonyme
15 nov. 2013 à 16:37
https://www.cjoint.com/?3KpqIGph3jt

c'est sympa
merci pour le temps que tu consacre.
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 16:42
(re)lancez RogueKiller.exe et attendre la fin du Prescan.

Cliquez sur [Scan].

Attendez la fin du scan,


Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Le rapport a été généré sur le bureau. On peut également l'ouvrir avec le bouton [Rapport].
0
Utilisateur anonyme
15 nov. 2013 à 16:49
on me dit que "aucun éléments n'a été suppr, voulez vous quitter ?"

je dit oui ou je fais suppression merci de ton aide
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 16:52
suppression + tu clic sur Host RAZ. et tu me poste le 2 rapport stp
0
Utilisateur anonyme
15 nov. 2013 à 16:57
argg erreur dsl je viens de fermer en cliquant oui
j'ai refais la procédure
voila donc le meme rapport refais https://www.cjoint.com/?3Kpq2VbxIDV
0
Utilisateur anonyme
15 nov. 2013 à 17:10
2 ed rapport
Je viens d'en avoir 3:

https://www.cjoint.com/?3KprfRSEcpA

https://www.cjoint.com/?3KprgDnDGrQ

https://www.cjoint.com/?3Kprhx4suSP

es ce que je fais suppression et Host RAZ

Merci
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 17:13
es ce que je fais suppression et Host RAZ

ce bon tu la fait ;)

pour contrôle refais un nouveau log ZHPDiag: stp
regarde l'image ici =>
https://www.cjoint.com/c/CJukFzALKYy
Poste moi ensuite le rapport généré, dans ton prochain message. :). => Pour héberger le rapport Rendez vous sur le site Cjoint ==> https://www.cjoint.com/
0
Utilisateur anonyme
15 nov. 2013 à 17:24
0