Sujet Précédent Sujet Suivant

Infection au virus "r00t3r"

Résolu/Fermé
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 - 7 août 2014 à 23:39
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 - 9 août 2014 à 10:20
Bonjour,
Suite à une infection, le message "C:\kernel\r00t3r" s'affiche toujours au démarrage de mon PC. Un scan avec RogueKiller me donne ceci comme rapport . Pourriez m'aider à éradiquer ce message de mon PC ? 


RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : LEIDGER
Mode : Recherche -- Date : 08/07/2014  21:42:59

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 9 ¤¤¤
[PUP] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Run | cacaoweb : "C:\Users\LEIDGER\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer  -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : localhost:8123  -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{68E523E3-0011-48DA-91B1-109069DA1493} | DhcpNameServer : 41.206.65.1 196.47.182.1  -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{68E523E3-0011-48DA-91B1-109069DA1493} | DhcpNameServer : 41.206.65.1 196.47.182.1  -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{68E523E3-0011-48DA-91B1-109069DA1493} | DhcpNameServer : 41.206.65.1 196.47.182.1  -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> TROUVÉ
[PUM.StartMenu] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0  -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 8 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtCreateSection[84] : Unknown @ 0x9196aaee
[SSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : Unknown @ 0x9196aaf8
[SSDT:Addr(Hook.SSDT)] NtSetContextThread[316] : Unknown @ 0x9196aaf3
[SSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : Unknown @ 0x9196aafd
[SSDT:Addr(Hook.SSDT)] NtSystemDebugControl[368] : Unknown @ 0x9196ab02
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : Unknown @ 0x9196aa8f
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0x9196ab16
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : Unknown @ 0x9196ab1b

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 0ec7fe48c00a136279d40f56a0589be9
[BSP] f7caa2050438da60af734fb1ab9cec01 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 50000 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 102606848 | Size: 150000 MB
3 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 409806848 | Size: 276838 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Generic- Multi-Card USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_DEL_08062014_194307.log - RKreport_SCN_08062014_191844.log

Au vue de ce rapport, quelles sont les lignes à supprimer ?
Merci pour l'aide que vous m'apporterez.

Cordialement.
A voir également:

7 réponses

Réponse 1 / 7
Utilisateur anonyme
7 août 2014 à 23:43
Salut,

Quitte tous les programmes en cours

▶ Relance RogueKiller.exe. sur ton bureau.

▶ Attends la fin du Prescan...

▶ Clique sur Scan.

▶ À la fin du scan, clique sur Suppression, coche bien toutes les cases au préalable dans les onglets :

Processus; Registre; Tâches; Hosts; Antirootkits; Fichiers; MBR; Navigateur Web.

▶ Laisse cocher toutes les lignes en Rouge et en Orange

Note: Sous l'onglet: Hosts: Clique sur "Host Raz"

▶ Patiente...

▶ À la fin de la suppression, clique sur Rapport Clic sur Fichier, puis Enregistrer sous ... et enregistre le sur ton bureau !

▶ Héberge le rapport RKreport_SCN_xxxxxxxx_xxxxxx.log présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

➔ Tutoriel RogueKiller
0
Réponse 2 / 7
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 33
8 août 2014 à 01:29
Salut,
J'ai fait une suppression. Par-contre dans la partie Antirootkits, la possibilité de cocher les lignes en orange. Voici le rapport de suppression:
http://cjoint.com/14au/DHibBWv4lIA.htm
Qu'en pensez-vous ?
0
Réponse 3 / 7
Utilisateur anonyme
8 août 2014 à 01:30
Re,

Bne tu es rootkités donc le chemin est encore long, plus quelques adwares très certainement.


Télécharge TDSS Killer (de Kaspersky) sur ton Bureau.

- Lance TDSS,

Note: Sous Windows : 7/8 et Vista, clique droit sur l'icône "Exécuter en tant qu'administrateur"

- Clique sur Change parameters

- Coche Loaded modules

- Clique sur Ok

- Clique sur Reboot now

Note : après le redémarrage de ton PC

Une message pour éxécuter l'outil va apparaître, clique sur Oui

- Clique sur Change parameters

- Coche les cases suivante

- Verify file digital signatures

- Detect TDLFS file system

- Clique sur Ok

- Clique sur Start scan


Si aucune menace n'est détectée :

Dit le moi simplement dans ta réponse.


Si des menaces sont détectées :

- Vérifie que les options suivantes sont bien appliqués:

Si TDSS.tdl2 est détecté, l'option par défaut est delete
Si TDSS.tdl3 est détecté, l'option par défaut est Cure
Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
Si Suspicious object est indiqué, l'option par défaut est Skip

Puis, clique sur Reboot now.

Une fois le scan terminé rends toi dans ton disque dur (en général C:\...), le fichier TDSSKiller.¤¤¤¤ log.txt à été créé.

- Héberge le rapport TDSSKiller.¤¤¤¤ log.txt au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?

Tutoriel TDSSKiller de Kaspersky


0
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 33
8 août 2014 à 10:10
Bonjour,
J'ai fait le scan à plusieurs reprises, mais j'ai seulement deux "SKIP" : 
Scan finished
08:58:38.0297 0x2530  ============================================================
08:58:38.0297 0x2528  Detected object count: 2
08:58:38.0297 0x2528  Actual detected object count: 2
09:00:02.0303 0x2528  MsgPlusService ( UnsignedFile.Multi.Generic ) - skipped by user
09:00:02.0303 0x2528  MsgPlusService ( UnsignedFile.Multi.Generic ) - User select action: Skip 
09:00:02.0303 0x2528  RealPlayerUpdateSvc ( UnsignedFile.Multi.Generic ) - skipped by user
09:00:02.0303 0x2528  RealPlayerUpdateSvc ( UnsignedFile.Multi.Generic ) - User select action: Skip

Que dois-je faire ?
0
Réponse 4 / 7
Utilisateur anonyme
8 août 2014 à 10:15
Re,

Clique sur "continue" et si demande de redémarrage du PC, tu le fais et fais ce qui suit.

- Télécharge ZHPDiag sur ton bureau

- Laisse-toi guider lors de l'installation.

- Ouvre ZHPDiag (icône parchemin)

- Clique sur Complet.

Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",

- Héberge le rapport ZHPDiag.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

- Aide : Comment utiliser Cjoint ?

Tutoriel ZHPDiag

+
0
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 33
8 août 2014 à 11:20
Re,
c'est fait
http://cjoint.com/14au/DHiltkKl40K.htm
Qu'est ce qu'on y trouve ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Utilisateur anonyme
8 août 2014 à 11:30
Re,

Ben des cracks et keygens => ATTENTION, cela t'apporte que des ennuis cela :)

- Copie les lignes qui sont dans le lien ci-dessous:

https://textup.fr/101338BP

- Ouvre ZHPfix, (icône seringue)

Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",

- Clique sur Importer, puis colle les lignes dans la partie prévue pour,

- Clique sur Go.

- Clique sur Oui pour confirmer le nettoyage des données et celui de la corbeille.

- Héberge le rapport ZHPFix.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.

Aide : Comment utiliser Cjoint ?


P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalement réapparaître.

/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\
0
Réponse 6 / 7
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 33
8 août 2014 à 12:38
Re,
L'importation des lignes ne se suppriment pas dans le ZHPFix.
J'ai fait une nouvelle analyse et voici le rapport ci-joint :

http://cjoint.com/data3/3HimGVyeNFX.htm
Pourriez-vous m'indiquer les lignes à supprimer?

J'ai également lancer le RogueKiller.
Que pensez-vous de ces lignes :


¤¤¤ Entrées de registre : 10 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mbr -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mbr -> TROUVÉ

¤¤¤ Antirootkit : 8 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtCreateSection[84] : Unknown @ 0x914881f6
[SSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : Unknown @ 0x91488200
[SSDT:Addr(Hook.SSDT)] NtSetContextThread[316] : Unknown @ 0x914881fb
[SSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : Unknown @ 0x91488205
[SSDT:Addr(Hook.SSDT)] NtSystemDebugControl[368] : Unknown @ 0x9148820a
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : Unknown @ 0x91488197
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0x9148821e
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : Unknown @ 0x91488223

En m'excusant d'avance pour cette nouvelle analyse.
0
Réponse 7 / 7
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 33
Modifié par Leidger le 8/08/2014 à 14:34
Bonjour,
La première ligne du script devait commencer par Script ZHPFix et non Script ZHPDiag
Voici le rapport du nettoyage : http://cjoint.com/data3/3Hiom5c81fi.htm

Merci .
0
Utilisateur anonyme
8 août 2014 à 19:52
Re,

Oui me suis rendu compte après ...

Comment va le PC
0
Leidger Messages postés 65 Date d'inscription jeudi 28 février 2013 Statut Membre Dernière intervention 28 février 2017 33
9 août 2014 à 10:20
Bonjour,
Finalement c'est résolu. Merci à vous V - X -
Cordialement
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
Virus détecté
Koony -
MisteryBean -

6 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses