Sujet Précédent Sujet Suivant

Rootkit

Résolu/Fermé
stephllica1 Messages postés 4 Date d'inscription vendredi 14 mars 2014 Statut Membre Dernière intervention 14 mars 2014 - 14 mars 2014 à 21:25
 Utilisateur anonyme - 14 mars 2014 à 23:38
Bonjour à tous,
voilà c'est ma première utilisation de ce site en tant que membre. Depuis quelque temps, je crois que mon ordinateur est infecté par un Rootkit. J'ai utilisé le logiciel Malwarebytes qui à détecté plusieurs Pup.optional. Ensuite, j'ai utilisé le logiciel ADW cleaner. Et dernièrement, j'ai utilisé le logiciel Rogue Killer qui a également trouvé des fichier infectés. Je suis pas très bon en matière informatique et j'aimerais savoir s'il y a un moyen de savoir si mon ordinateur est sécuritaire. Je possède le rapport de Rogue Killer que je vais mettre à la fin de ce message. Comment un rootkit à pu s'installer sur mon ordinateur? Je vous remercie d'avance pour votre aide.

Rapport 1:
RogueKiller V8.8.10 [Feb 28 2014] par Adlice Software
mail : https://www.adlice.com/contact/
Remontees : https://forum.adlice.com/
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : STEPHLLICA [Droits d'admin]
Mode : Suppression -- Date : 03/12/2014 21:26:05
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[84] : NtCreateSection @ 0x8323103D -> HOOKED (Unknown @ 0x90F88C66)
[Address] SSDT[299] : NtRequestWaitReplyPort @ 0x8324BA0A -> HOOKED (Unknown @ 0x90F88C70)
[Address] SSDT[316] : NtSetContextThread @ 0x832EB637 -> HOOKED (Unknown @ 0x90F88C6B)
[Address] SSDT[347] : NtSetSecurityObject @ 0x8320F725 -> HOOKED (Unknown @ 0x90F88C75)
[Address] SSDT[368] : NtSystemDebugControl @ 0x832935E2 -> HOOKED (Unknown @ 0x90F88C7A)
[Address] SSDT[370] : NtTerminateProcess @ 0x83268B9D -> HOOKED (Unknown @ 0x90F88C07)
[Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x90F88C8E)
[Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x90F88C93)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD16 00AAJS-00PSA SCSI Disk Device +++++
--- User ---
[MBR] 8c114692c6b9c2905b994b05bda24b72
[BSP] 4d22a86e43b0b64489a6150000251f24 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 40873 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 83914752 | Size: 111652 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

Termine : << RKreport[0]_D_03122014_212605.txt >>
RKreport[0]_S_03122014_212522.txt

Rapport 2:
RogueKiller V8.8.10 [Feb 28 2014] par Adlice Software
mail : https://www.adlice.com/contact/
Remontees : https://forum.adlice.com/
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : STEPHLLICA [Droits d'admin]
Mode : Recherche -- Date : 03/12/2014 21:25:22
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[84] : NtCreateSection @ 0x8323103D -> HOOKED (Unknown @ 0x90F88C66)
[Address] SSDT[299] : NtRequestWaitReplyPort @ 0x8324BA0A -> HOOKED (Unknown @ 0x90F88C70)
[Address] SSDT[316] : NtSetContextThread @ 0x832EB637 -> HOOKED (Unknown @ 0x90F88C6B)
[Address] SSDT[347] : NtSetSecurityObject @ 0x8320F725 -> HOOKED (Unknown @ 0x90F88C75)
[Address] SSDT[368] : NtSystemDebugControl @ 0x832935E2 -> HOOKED (Unknown @ 0x90F88C7A)
[Address] SSDT[370] : NtTerminateProcess @ 0x83268B9D -> HOOKED (Unknown @ 0x90F88C07)
[Address] Shadow SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x90F88C8E)
[Address] Shadow SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x90F88C93)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) WDC WD16 00AAJS-00PSA SCSI Disk Device +++++
--- User ---
[MBR] 8c114692c6b9c2905b994b05bda24b72
[BSP] 4d22a86e43b0b64489a6150000251f24 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 40873 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 83914752 | Size: 111652 Mo
User = LL1 ... OK!
Error reading LL2 MBR! ([0x1] Fonction incorrecte. )

Termine : << RKreport[0]_S_03122014_212522.txt >>
A voir également:

6 réponses

Réponse 1 / 6
Utilisateur anonyme
14 mars 2014 à 22:17
Bonsoir

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://general-changelog-team.fr/fr/downloads/viewdownload/49-outils-de-nicolas-coolman/124-zhpdiag

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé,

Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »


Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"

Clique sur la loupe en bas à gauche avec le signe plus pour lancer l'analyse.


Laisse l'outil travailler, il peut être assez long.

Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau

Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload
https://www.cjoint.com/


Regarde sur le bureau

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci

@+

0
Réponse 2 / 6
stephllica1 Messages postés 4 Date d'inscription vendredi 14 mars 2014 Statut Membre Dernière intervention 14 mars 2014
14 mars 2014 à 23:15
Bonjour et merci Guillaume 5188,
voici le lien du rapport de ZHPDiag:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20140314_i14k8m7u7z5
0
Réponse 3 / 6
Utilisateur anonyme
14 mars 2014 à 23:21
Re

Rien de particulier

on nettoie et finalise

1) Tu vides la quarantaine de Malwaresbytes

2) Télécharge DelFix de Xplode

Lance le.
Tu as 5 choix :

Réactiver l'UAC
Supprimer les outils de désinfection (cocher par défaut)
Effectuer une sauvegarde du registre
Purger la restauration de système
Réinitialisation des paramètres usine

Tu coches ceux qui sont en gras
et tu exécutes
Le rapport se trouve ici généralement
C:\DelFix.txt



Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


@+
0
Réponse 4 / 6
stephllica1 Messages postés 4 Date d'inscription vendredi 14 mars 2014 Statut Membre Dernière intervention 14 mars 2014
14 mars 2014 à 23:27
re
voilà c'est fait. Tout est o.k. ? Voici le rapport:
# DelFix v10.6 - Rapport créé le 14/03/2014 à 18:25:32
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : STEPHLLICA - STEPHLLICA-PC
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (32 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Users\STEPHLLICA\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Users\STEPHLLICA\Desktop\mbar
Supprimé : C:\Users\STEPHLLICA\Desktop\RK_Quarantine
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\logFileUI.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\STEPHLLICA\Desktop\RKreport[0]_D_03132014_143926.txt
Supprimé : C:\Users\STEPHLLICA\Desktop\RKreport[0]_S_03132014_143852.txt
Supprimé : C:\Users\STEPHLLICA\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\STEPHLLICA\Desktop\ZHPDiag.txt
Supprimé : C:\Users\STEPHLLICA\Desktop\ZHPFix.lnk
Supprimé : C:\Users\STEPHLLICA\Downloads\adwcleaner.exe
Supprimé : C:\Users\STEPHLLICA\Downloads\RogueKiller.exe
Supprimé : C:\Users\STEPHLLICA\Downloads\zhpdiag2(1).exe
Supprimé : C:\Users\STEPHLLICA\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...


Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 6
Utilisateur anonyme
14 mars 2014 à 23:29
Re

Je te propose donc de mettre ce sujet en résolu

@+
0
Réponse 6 / 6
stephllica1 Messages postés 4 Date d'inscription vendredi 14 mars 2014 Statut Membre Dernière intervention 14 mars 2014
14 mars 2014 à 23:30
Merci beaucoup Guillaume 5188. Ce site est très efficace.
0
Utilisateur anonyme
14 mars 2014 à 23:38
Bonne soirée et bonne continuation

@+
0

Discussions similaires

Rootkit détecté par AVG mais ne fait rien?
Hakayami -
hellodu95 -

11 réponses
hacker defender 100 rootkit
andros -
andros -

22 réponses
Avast détecte un rootkit
Marie12345 -
Marie12345 -

2 réponses
win32 Rootkit
Mary -
plopus -

8 réponses
hacktool.rootkit
fabnok -
fabnok -

67 réponses