PC infecter par rootkit et autres...

Résolu/Fermé
Utilisateur anonyme - 14 nov. 2013 à 00:29
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 - 20 nov. 2013 à 00:39
Bonjour,
j'ai des problème avec mon PC fixe car il y a une semaine une analyse avast à détecter 21 menaces de (win32:Rootkit-gen [Rtk] ) dont 1 qui a était mise en quarantaine, pour les autres il y a : "erreur: l'opération n'est pas supportée pour ce type d'archive (42111) il ne veut donc pas se mettre en quarantaine.

En plus de ça avast trouve plein de fichier ou il indique dans état: Erreur, le fichier est une bombe de décompression (décompression Bomb) (42110).


Mon PC est aussi très lent. Aujourd'hui un fond d'écran bleu est apparu avec un message en anglais. Impossible de faire quoi que se soit donc j'ai appuyer sur le bouton marche/arrêt du PC pour l'éteindre je l'ai rallumé et pour l'instant sa peut allé.


J'ai aussi un DD externe de 320 GO qui je pense est contaminé car j'ai transférer des fichiers dernièrement.
Est-ce que je peux le branché pour le désinfecter en même temps que le PC ?

J'ai fais une analyse de MBAM dont voici le rapport https://www.cjoint.com/?3KoawfYCTNz

Voila si non Je ne m'y connais pas trop en info mais j'ai déjà était très bien guidé sur ce forum.

Merci de votre aide



A voir également:

75 réponses

kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
15 nov. 2013 à 17:57
>>>Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage !<<<

=> Copie tout le texte existant dans le fichier hébergé :
<<< ouvre le fiches ICI >>> http://cjoint.com/data3/3Kpr5weHCvh.htm (Sélectionne-le, clique droit dessus et choisis "tout sélectionner").

=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.(icône seringue)
(Sous Vista/Win7/Win8, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)

=> Une fois ZHPFix ouvert

=> clique sur "importer" Vérifie bien que toutes les lignes se collent automatiquement dans ZHPFix. image ici

clic sur "GO" en bas de page et confirme par oui pour lancer le nettoyage des données


==> laisse travailler l'outil et ne touche à rien ...

==> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

le rapport s'affichera sur ton bureau et dans C:\zhpfix.txt .


==> Copie/colle la totalité du rapport dans ta prochaine réponse.
==> : https://www.cjoint.com/ Copie le lien dans ta prochaine réponse.


( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

Redémarre le PC et poste le rapport stp.

tuto ici ==> ZHPFi
0
Utilisateur anonyme
15 nov. 2013 à 18:29
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
Modifié par kingk06 le 15/11/2013 à 18:41
on vas (re)installer avast !

1) Au redémarrage de ton pc tapote sur la touche F8 où F5 dans le menu qui s'affiche choisis mode sans échec avec prise en charge de réseau (avec la flèche de direction du haut)

2) telecharger avast ici => http://www.commentcamarche.net/download/telecharger-151-avast-antivirus

3) puis vas ici => https://www.avast.com/fr-fr/uninstall-utility
exécuter l'utilitaire de avast pour désinstaller l'antivirus .

4 ) puis redémarre le pc normalement et installer a nouveau avast

à te lire ;)

=> Comment rebooter en mode sans échec Sous XP/Vista/Win7/Win8

** Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés **
0
Utilisateur anonyme
16 nov. 2013 à 01:33
dsl du retard

j'ai fais un nouveau rapport avast et ça à l'air d'aller de mieux en mieux

https://www.cjoint.com/?3KqbFuEyLjR
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
En faite sa à pas l'air mieux depuis l'analyse du 15 novembre à 1 h00 http://cjoint.com/data3/3KpbpprJzoo_scan_performant.txt

les résultat on l'air similaire dois-je demander à un autre Helper ?
je m'inquiète car les bombes de décompressions sont quand même des logiciels malveillant.

Merci de ton temps passé en tous cas

Bonne nuit
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
Modifié par kingk06 le 16/11/2013 à 03:47
Re,

les résultat on l'air similaire dois-je demander à un autre Helper ?
je m'inquiète car les bombes de décompressions sont quand même des logiciels malveillant.

pas de panique ce rien de tous on vas y a rive !

tu a (re)installer avast ?

Tu as des fichier protéger par un mot de passe sur ton pc, et avast ne peut pas les analyser car ils sont protéger par un mot de passe, sur avast regarde sur le rapport pour trouver le chemin du fichier. =>
la plus part de fiche viens des => D: Hard drive, Flash drive, Thumb drive (Free 342 Go of 932 Go)

ex:=> D:\1- Nouveau fichier ajouté\Programmes de Logiciel\install_reader11_fr_mssd_aaa_aih.exe|>images\bgbutton.png [E] L'archive est protégée par mot de passe. (42056)


puis ceci =>


Reparamètres tes navigateurs WEB (page de démarrage, moteur de recherche etc) mais aussi supprimer/désactiver les extensions inutiles/parasites :
Internet Explorer et modules complémentaires / moteurs de recherche

tu vas réinitialiser internet-explorer =>
https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

tu vas réinitialiser Firefox comme ceci : http://www.forum-entraide-informatique.com/support/comment-reinitialiser-mozilla-firefox-t7746.html

Puis tu vas faire pareil pour Chrome même si tu ne t'en sers pas ! : http://www.forum-entraide-informatique.com/support/supprimer-des-profils-google-chrome-t7744.html


3) ==> puis faire un clic droit sur les icônes de raccourcis de lancement des navigateurs puis "propriétés"
dans "cible", à la fin, une adresse http a été ajoutée (même chose pour Firefox et Chrome exemple dans l'image ici) => https://www.cjoint.com/c/CJpkgE5ob7X pour que le site s'ouvre au démarrage du navigateur, supprimer cette adresse http seulement celui-ci.

Pour Firefox et Google Chrome - si ça marche pas possibilité de les désinstaller/réinstaller.

Sur Google Chrome : Menu en haut à droite puis Outils / Extensions
Donne la liste.

Sur Firefox : Menu Outils / Modules complémentaires
Onglet Extension.
Donne la liste.
______________________________________________________

ensuite fais ceci => Dr.Web CureIt
0
Utilisateur anonyme
16 nov. 2013 à 15:32
Salut,

dsl pour le retard

Alors Avast est réinstaller comme décrit,

par contre j'aurais quelques suggestions:

Pour les archives protégé par MDP et les bombes de décomp, ces fichiers sont tous ou presque dans le même dossier, et en faite ces des applications que j'avais garder pour installer divers logiciel (adobe, java vlc winrar ext...) qui ne me serve donc strictement à rien à part peut être MM26_FR qui est un Package Windows Installer (si tu pouvais me dire si c'est important ou pas ?) Donc si simplement en cliquant droit sur le dossier "programme de logiciel" suppr sa effacerai automatiquement au moins 90 % de ces foutus fichier de décompression et MDP d'archive.

Ensuite, pour les navigateur dois-je le désinstaller/réinstaller en mode sans échec ?

Pour chrome je ne l'ai pas, je l'avais désinstaller je crois y a longtemps, peut être qu'il reste quelques fichiers,
je ne pense que ce soit une obligation de l'avoir à l'image de Internet explorer qu'il faut conserver ?

Merci pour tes réponses.
0
Utilisateur anonyme
16 nov. 2013 à 17:42
j'ai fais l'étape pour le dossier programme de logiciel voici le rapport d'avast https://www.cjoint.com/?3KqrxLSsyHi

Je suis content du résultat mais il en reste encore pas mal et j'ai vérifier le chemin d'accès comme recommander et il se trouve que les dossiers originaux sont deux sauvegarde de donnée créé du nom de "mon nom-PC"et il n'y en a un autre qui se nomme "PC-7" j'aurai donc aimer supprimer ces deux sauvegarde de donnée et l'image système pour me débarrassé des bombes de décompression et archive de mot de passe restante quitte à recrée une image système quand mon PC sera désinfecté.

Comment supprimé entièrement ces deux sauvegarde de données et l'image système stp ?

Merci
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
16 nov. 2013 à 21:13
désolé j'ai te pas là aujourd'hui...

strictement à rien à part peut être MM26_FR qui est un Package Windows Installer (si tu pouvais me dire si c'est important ou pas ?)
tu peux tt supprimer

Ensuite, pour les navigateur dois-je le désinstaller/réinstaller en mode sans échec ?
non tu peux le faire normalement ;)

je ne pense que ce soit une obligation de l'avoir à l'image de Internet explorer qu'il faut conserver ?

internet explorer indispensable pour faire le mise a jour du système Windows
et viens de sortir la nouvelle version que tu peux installer ici => https://support.microsoft.com/en-us/topic/download-internet-explorer-11-offline-installer-99d492a1-3a62-077b-c476-cf028aff9a7f

y a ça aussi a voire Nero\Nero 7 =>

C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\BackItUp_ImageTool\root.img|>root.img [E] Le fichier est une bombe de décompression ("Decompression Bomb")

il se trouve que les dossiers originaux sont deux sauvegarde de donnée créé du nom de "mon nom-PC"et il n'y en a un autre qui se nomme "PC-7" j'aurai donc aimer supprimer ces deux sauvegarde de donnée et l'image système

tu va faire ceci => https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/ (Sous 7)

puis ceci => https://www.pcastuces.com/pratique/astuces/2867.htm

puis tu fais ceci => 1)Désinstallation des outils de désinfection
Télécharges Delfix ici Delfix

Exécutes le en tant qu'administrateur(si tu es sous xp double clic sur le fichier téléchargé) puis une fois sur l'interface coches les cases suivantes


=> Réactive l'Uac (juste pour Vista, Seven et W8)
=> Supprimer les outils de désinfection (coché par défaut)
=> Réinitialisation des paramètres système
=> purger la restauration du système


Cliques ensuite sur Exécuter puis patientes pendant le processus de suppression.

Le rapport sera enregistré dans le presse-papier et sur le disque dur (C:\DelFix.txt).
Poste le rapport ==> https://www.cjoint.com/
0
Utilisateur anonyme
18 nov. 2013 à 12:58
Salut,
je suis dsl du retard

Alors, la dernière fois j'ai supprimer toutes les sauvegardes de données et l'image système et j'ai désactiver la planification.
Car quand y aura plus de virus je pensais graver l'image système sur DVD et créé un cd de restauration, puis désinfecter mon pc régulièrement et transférer mes données tous les mois sur DD externe.
je me demander si quand les dvds de l'image système avais par ex plus de 2 ans es ce que les dernière mise à jour de win 7 sont ré-installable en cas d'utilisation de celui-ci ou faudra a- -til en créé d'autres tous les ans.

Pour la bombe de décompression trouvé dans nero7 j'ai trouvé "root.img" ou (on me demande pour lancer la gravure de l'image disque cliqué sur graver) et je peux pas accéder à "root.img [E] " dois-je faire suppr "root.img" et faudra t il le remplacer ?

Merci de ton aide
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
18 nov. 2013 à 17:46
Re,

fais Delfix et poste le rapport stp

celui-ci ou faudra a- -til en créé d'autres tous les ans.

oui
_____________________________________________________________
Je ne pense pas que la détection soit un virus ...

Je pense qu'il plante juste sur une image de sauvegarde du logiciel qu'il n'arrive pas à décompresser pour lire.

Niveau détection d'avast, tu n'as rien à faire, comme je le disais c'est une détection heuristique sur la méthode de compression de l'image de sauvegarde iso de nero, il n'arrive pas à lire le fichier et/ou estime qu'il peut endommagé le système après décompression
Tu peux la mettre en exception si tu préfères ne plus la voir :
(Réglage agent de fichiers -> Exclusions)

à lire :
http://forum.telecharger.01net.com/forum/

Voilà la vrai définition, ce qui n'est pas le cas avec ton fichier issue d'une sauvegarde nero :
http://fr.wikipedia.org/wiki/Bombe_de_d%C3%A9compressio...


0
Utilisateur anonyme
18 nov. 2013 à 19:31
Pour internet explorer et firefox c'est réinitialisé.
Pour l'adresse https à la fin du raccourcis de ces deux navigateur il n'y a rien donc c'est bon.

Voici la liste des extension firefox: https://www.cjoint.com/?3Kssp4u5Q9H
j'ai aussi un dossier sur le bureau du nom de "Anciennes données de firefox", es ce que je peux le supprimé ? je peux remettre AD Block Plus ?

Ensuite rapport DrWeb: https://www.cjoint.com/?3KsstXpEoF7
c'est quoi les 147 virus c'est ce logiciel qui les à enlever ? merci pour tes précision

je comprend pas trop pour la procédure dans regedit j'ai atteins le dossier advanced mais HideFileExt existe déja sous le type REG_DWORD et il est déja sur la valeur "0" et quand j'en créé un autre de type "chaîne" il me dit "L'éditeur du registre ne peut pas renommer Nouvelle valeur # 1. Le nom de valeur spécifié existe déjà. Essayer à nouveau en tapant un autre nom." je met quoi alors à la place? Que doi-je faire stp?

Pour la suppression des point de restauration par nettoyage de disque le tuto indique de le faire pour chacun de mes disques durs donc je peux le faire sur mes 2 disques interne mais est-ce que je peux le faire sur le DD externe?
Et y a t-il aussi un risque à faire ces nettoyage de disque pour le système merci pour tes réponses.

Un détail par rapport à l'effacement des sauvegardes de données et de l'image système j'ai 2 logiciels qui se sont supprimer Bitcomet et HTC, je penser qu'ils étaient installé sur le disque C, mais bon c'est pas très grave. je me demande pourquoi.

Est-ce que je peux supprimer cette application stp: 12-10_vista_win7_win8_64_dd_ccc_whql_net4.exe

En tous cas merci encore de ton attention, et tes réponses précises.

dsl ma ligne déconne sa fais 2 heures.
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
18 nov. 2013 à 20:01
Re,

Voici la liste des extension firefox
ça ce bon ;)

j'ai aussi un dossier sur le bureau du nom de "Anciennes données de firefox", es ce que je peux le supprimé ?
oui

je peux remettre AD Block Plus

oui

Ensuite rapport DrWeb:
c'est quoi les 147 virus c'est ce logiciel qui les à enlever ? merci pour tes précision


et la fais sont travail ;) =>

Nombre de 5874769323 octets dans des fichiers numérisés 22823 (40283 objets)
Nombre de 22792 fichiers (40245 objets) sont propres
Il n'y a pas d'objets infectés détectés
Total 34 dossiers sont soulevées condition d'erreur
Temps de balayage est 00:03:45.250


je comprend pas trop pour la procédure dans regedit
ça ce bon ;)

interne mais est-ce que je peux le faire sur le DD externe?

oui bien sur

Et y a t-il aussi un risque à faire ces nettoyage de disque pour le système merci pour tes réponses.

non pas de risque

Est-ce que je peux supprimer cette application stp: 12-10_vista_win7_win8_64_dd_ccc_whql_net4.exe
non regarde ici => http://systemexplorer.net/file-database/file/12-10_vista_win7_win8_64_dd_ccc_whql_net4%5B1%5D-exe

puis fais ceci =>

Téléchargez (créé par El Desaparecido) sur votre Bureau.

Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.

Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

Double cliquez sur "UsbFix.exe".
Cliquez sur [Recherche].
Laissez travailler l'outil.
L'analyse va alors commencer puis un rapport s'affichera à la fin du scan.

poste-lé ici => https://www.cjoint.com/ et donne le lien

Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

Note: => Si ça marche pas en mode normal passe en mode sans échec
Au redémarrage de ton pc tapote sur la touche "F8" où "F5" dans le menu qui s'affiche choisis "mode sans échec avec prise en charge de réseau"
=> Comment rebooter en mode sans échec
0
Utilisateur anonyme
18 nov. 2013 à 21:38
Re

j'ai configurer (afficher les extensions et les fichiers caché sous Windows) et avec https://www.pcastuces.com/pratique/astuces/2867.htm j'ai fais le nettoyage disque sur D la ou normalement y a Les dossiers Backup set mais sa ne fais rien et pareille sur disque C.
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
Modifié par kingk06 le 18/11/2013 à 21:53
fais usbfix en suppression

puis fais ceci =>


Télécharges Delfix ici Delfix

Exécutes le en tant qu'administrateur(si tu es sous xp double clic sur le fichier téléchargé) puis une fois sur l'interface coches les cases suivantes


=> Réactive l'Uac (juste pour Vista, Seven et W8)
=> Supprimer les outils de désinfection (coché par défaut)
=> Réinitialisation des paramètres système
=> purger la restauration du système


Cliques ensuite sur Exécuter puis patientes pendant le processus de suppression.

Le rapport sera enregistré dans le presse-papier et sur le disque dur (C:\DelFix.txt).
Poste le rapport ==> https://www.cjoint.com/


** Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés **
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
Modifié par kingk06 le 18/11/2013 à 22:49
je tes marque de faire la suppression avec usbfix => https://forums.commentcamarche.net/forum/affich-29103864-pc-infecter-par-rootkit-et-autres?page=3#62

si tu la plus sur le pc => Téléchargez (créé par El Desaparecido) sur votre Bureau.

et fais ceci =>


==> Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir. Double-cliquez sur "UsbFix.exe".

Cliquez sur [Suppression].

Laissez travailler l'outil.
L'analyse va alors commencer puis un rapport s'affichera à la fin du scan.
Poste son rapport / stp

Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

** Allez jusqu'au bout de votre désinfection, même si vous notez une amélioration après les premiers outils passés **
0
Utilisateur anonyme
18 nov. 2013 à 22:54
comment supprimer tous mes point de restauration backup set
stp car si non mon problème ne pourra pas être résolu.

Merci
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
18 nov. 2013 à 23:01
fais usbfix stp et Cliquez sur [Suppression]. Poste son rapport
0
kingk06 Messages postés 10277 Date d'inscription mercredi 12 juin 2013 Statut Membre Dernière intervention 17 mars 2015 536
18 nov. 2013 à 23:14
comment supprimer tous mes point de restauration backup

si tu veux supprimer cette sauvegarde il faut déjà que tu désactives la sauvegarde automatique (sur Seven) :
Panneau de configuration --> Système et sécurité --> Centre de Maintenance
Tu déroules "maintenance" puis tu vas dans "sauvegarde". Normalement tu as un bouton "désactiver la planification" ou quelque chose comme ça.

regarde ici => https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

ou là => https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
0
Utilisateur anonyme
18 nov. 2013 à 23:55
justement pour ça je voudrai en faite rentrer dans "mon nom_PC" qui est sur mon Disque "D" et faire clic droit sur les dossiers backup set et de cette façon la tous les supprimer
es ce que c'est possible sur Disque dur interne car je crois que c'est juste sur DD externe qu'on fais sa

merci
0