Infection au virus "r00t3r"
Résolu
Leidger
Messages postés
65
Date d'inscription
Statut
Membre
Dernière intervention
-
Leidger Messages postés 65 Date d'inscription Statut Membre Dernière intervention -
Leidger Messages postés 65 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Suite à une infection, le message "C:\kernel\r00t3r" s'affiche toujours au démarrage de mon PC. Un scan avec RogueKiller me donne ceci comme rapport . Pourriez m'aider à éradiquer ce message de mon PC ?
Au vue de ce rapport, quelles sont les lignes à supprimer ?
Merci pour l'aide que vous m'apporterez.
Cordialement.
Suite à une infection, le message "C:\kernel\r00t3r" s'affiche toujours au démarrage de mon PC. Un scan avec RogueKiller me donne ceci comme rapport . Pourriez m'aider à éradiquer ce message de mon PC ?
RogueKiller V9.2.6.0 [Jul 11 2014] par Adlice Software
Mail : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/
Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : LEIDGER
Mode : Recherche -- Date : 08/07/2014 21:42:59
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrées de registre : 9 ¤¤¤
[PUP] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Run | cacaoweb : "C:\Users\LEIDGER\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer -> TROUVÉ
[PUM.Proxy] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings | ProxyServer : localhost:8123 -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{68E523E3-0011-48DA-91B1-109069DA1493} | DhcpNameServer : 41.206.65.1 196.47.182.1 -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{68E523E3-0011-48DA-91B1-109069DA1493} | DhcpNameServer : 41.206.65.1 196.47.182.1 -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{68E523E3-0011-48DA-91B1-109069DA1493} | DhcpNameServer : 41.206.65.1 196.47.182.1 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ
[PUM.StartMenu] HKEY_USERS\S-1-5-21-629202924-1280932958-3180383902-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_TrackProgs : 0 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Fichiers : 0 ¤¤¤
¤¤¤ Fichier HOSTS : 0 ¤¤¤
¤¤¤ Antirootkit : 8 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtCreateSection[84] : Unknown @ 0x9196aaee
[SSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : Unknown @ 0x9196aaf8
[SSDT:Addr(Hook.SSDT)] NtSetContextThread[316] : Unknown @ 0x9196aaf3
[SSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : Unknown @ 0x9196aafd
[SSDT:Addr(Hook.SSDT)] NtSystemDebugControl[368] : Unknown @ 0x9196ab02
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : Unknown @ 0x9196aa8f
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0x9196ab16
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : Unknown @ 0x9196ab1b
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: ST9500325AS +++++
--- User ---
[MBR] 0ec7fe48c00a136279d40f56a0589be9
[BSP] f7caa2050438da60af734fb1ab9cec01 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 50000 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 102606848 | Size: 150000 MB
3 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 409806848 | Size: 276838 MB
User = LL1 ... OK
User = LL2 ... OK
+++++ PhysicalDrive1: Generic- Multi-Card USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )
============================================
RKreport_DEL_08062014_194307.log - RKreport_SCN_08062014_191844.log
Au vue de ce rapport, quelles sont les lignes à supprimer ?
Merci pour l'aide que vous m'apporterez.
Cordialement.
A voir également:
- Infection au virus "r00t3r"
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
7 réponses
Salut,
Quitte tous les programmes en cours
▶ Relance RogueKiller.exe. sur ton bureau.
▶ Attends la fin du Prescan...
▶ Clique sur Scan.
▶ À la fin du scan, clique sur Suppression, coche bien toutes les cases au préalable dans les onglets :
Processus; Registre; Tâches; Hosts; Antirootkits; Fichiers; MBR; Navigateur Web.
▶ Laisse cocher toutes les lignes en Rouge et en Orange
Note: Sous l'onglet: Hosts: Clique sur "Host Raz"
▶ Patiente...
▶ À la fin de la suppression, clique sur Rapport Clic sur Fichier, puis Enregistrer sous ... et enregistre le sur ton bureau !
▶ Héberge le rapport RKreport_SCN_xxxxxxxx_xxxxxx.log présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
Aide : Comment utiliser Cjoint ?
➔ Tutoriel RogueKiller
Quitte tous les programmes en cours
▶ Relance RogueKiller.exe. sur ton bureau.
▶ Attends la fin du Prescan...
▶ Clique sur Scan.
▶ À la fin du scan, clique sur Suppression, coche bien toutes les cases au préalable dans les onglets :
Processus; Registre; Tâches; Hosts; Antirootkits; Fichiers; MBR; Navigateur Web.
▶ Laisse cocher toutes les lignes en Rouge et en Orange
Note: Sous l'onglet: Hosts: Clique sur "Host Raz"
▶ Patiente...
▶ À la fin de la suppression, clique sur Rapport Clic sur Fichier, puis Enregistrer sous ... et enregistre le sur ton bureau !
▶ Héberge le rapport RKreport_SCN_xxxxxxxx_xxxxxx.log présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
Aide : Comment utiliser Cjoint ?
➔ Tutoriel RogueKiller
Salut,
J'ai fait une suppression. Par-contre dans la partie Antirootkits, la possibilité de cocher les lignes en orange. Voici le rapport de suppression:
http://cjoint.com/14au/DHibBWv4lIA.htm
Qu'en pensez-vous ?
J'ai fait une suppression. Par-contre dans la partie Antirootkits, la possibilité de cocher les lignes en orange. Voici le rapport de suppression:
http://cjoint.com/14au/DHibBWv4lIA.htm
Qu'en pensez-vous ?
Re,
Bne tu es rootkités donc le chemin est encore long, plus quelques adwares très certainement.
Télécharge TDSS Killer (de Kaspersky) sur ton Bureau.
- Lance TDSS,
Note: Sous Windows : 7/8 et Vista, clique droit sur l'icône "Exécuter en tant qu'administrateur"
- Clique sur Change parameters
- Coche Loaded modules
- Clique sur Ok
- Clique sur Reboot now
Note : après le redémarrage de ton PC
Une message pour éxécuter l'outil va apparaître, clique sur Oui
- Clique sur Change parameters
- Coche les cases suivante
- Verify file digital signatures
- Detect TDLFS file system
- Clique sur Ok
- Clique sur Start scan
Si aucune menace n'est détectée :
Dit le moi simplement dans ta réponse.
Si des menaces sont détectées :
- Vérifie que les options suivantes sont bien appliqués:
Si TDSS.tdl2 est détecté, l'option par défaut est delete
Si TDSS.tdl3 est détecté, l'option par défaut est Cure
Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
Si Suspicious object est indiqué, l'option par défaut est Skip
Puis, clique sur Reboot now.
Une fois le scan terminé rends toi dans ton disque dur (en général C:\...), le fichier TDSSKiller.¤¤¤¤ log.txt à été créé.
- Héberge le rapport TDSSKiller.¤¤¤¤ log.txt au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
Aide : Comment utiliser Cjoint ?
Tutoriel TDSSKiller de Kaspersky
Bne tu es rootkités donc le chemin est encore long, plus quelques adwares très certainement.
Télécharge TDSS Killer (de Kaspersky) sur ton Bureau.
- Lance TDSS,
Note: Sous Windows : 7/8 et Vista, clique droit sur l'icône "Exécuter en tant qu'administrateur"
- Clique sur Change parameters
- Coche Loaded modules
- Clique sur Ok
- Clique sur Reboot now
Note : après le redémarrage de ton PC
Une message pour éxécuter l'outil va apparaître, clique sur Oui
- Clique sur Change parameters
- Coche les cases suivante
- Verify file digital signatures
- Detect TDLFS file system
- Clique sur Ok
- Clique sur Start scan
Si aucune menace n'est détectée :
Dit le moi simplement dans ta réponse.
Si des menaces sont détectées :
- Vérifie que les options suivantes sont bien appliqués:
Si TDSS.tdl2 est détecté, l'option par défaut est delete
Si TDSS.tdl3 est détecté, l'option par défaut est Cure
Si TDSS.tdl4 (mbr) est détecté, l'option par défaut est Cure
Si Suspicious object est indiqué, l'option par défaut est Skip
Puis, clique sur Reboot now.
Une fois le scan terminé rends toi dans ton disque dur (en général C:\...), le fichier TDSSKiller.¤¤¤¤ log.txt à été créé.
- Héberge le rapport TDSSKiller.¤¤¤¤ log.txt au redémarrage de ton PC sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
Aide : Comment utiliser Cjoint ?
Tutoriel TDSSKiller de Kaspersky
Bonjour,
J'ai fait le scan à plusieurs reprises, mais j'ai seulement deux "SKIP" :
Que dois-je faire ?
J'ai fait le scan à plusieurs reprises, mais j'ai seulement deux "SKIP" :
Scan finished
08:58:38.0297 0x2530 ============================================================
08:58:38.0297 0x2528 Detected object count: 2
08:58:38.0297 0x2528 Actual detected object count: 2
09:00:02.0303 0x2528 MsgPlusService ( UnsignedFile.Multi.Generic ) - skipped by user
09:00:02.0303 0x2528 MsgPlusService ( UnsignedFile.Multi.Generic ) - User select action: Skip
09:00:02.0303 0x2528 RealPlayerUpdateSvc ( UnsignedFile.Multi.Generic ) - skipped by user
09:00:02.0303 0x2528 RealPlayerUpdateSvc ( UnsignedFile.Multi.Generic ) - User select action: Skip
Que dois-je faire ?
Re,
Clique sur "continue" et si demande de redémarrage du PC, tu le fais et fais ce qui suit.
- Télécharge ZHPDiag sur ton bureau
- Laisse-toi guider lors de l'installation.
- Ouvre ZHPDiag (icône parchemin)
- Clique sur Complet.
Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",
- Héberge le rapport ZHPDiag.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
- Aide : Comment utiliser Cjoint ?
Tutoriel ZHPDiag
+
Clique sur "continue" et si demande de redémarrage du PC, tu le fais et fais ce qui suit.
- Télécharge ZHPDiag sur ton bureau
- Laisse-toi guider lors de l'installation.
- Ouvre ZHPDiag (icône parchemin)
- Clique sur Complet.
Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",
- Héberge le rapport ZHPDiag.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
- Aide : Comment utiliser Cjoint ?
Tutoriel ZHPDiag
+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Re,
Ben des cracks et keygens => ATTENTION, cela t'apporte que des ennuis cela :)
- Copie les lignes qui sont dans le lien ci-dessous:
https://textup.fr/101338BP
- Ouvre ZHPfix, (icône seringue)
Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",
- Clique sur Importer, puis colle les lignes dans la partie prévue pour,
- Clique sur Go.
- Clique sur Oui pour confirmer le nettoyage des données et celui de la corbeille.
- Héberge le rapport ZHPFix.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
Aide : Comment utiliser Cjoint ?
P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalement réapparaître.
/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\
Ben des cracks et keygens => ATTENTION, cela t'apporte que des ennuis cela :)
- Copie les lignes qui sont dans le lien ci-dessous:
https://textup.fr/101338BP
- Ouvre ZHPfix, (icône seringue)
Note: Pour les utilisateurs de Vista/Seven/8, cliquer droit sur l'icône et "Exécuter en tant qu'administrateur",
- Clique sur Importer, puis colle les lignes dans la partie prévue pour,
- Clique sur Go.
- Clique sur Oui pour confirmer le nettoyage des données et celui de la corbeille.
- Héberge le rapport ZHPFix.txt présent sur ton bureau sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse.
Aide : Comment utiliser Cjoint ?
P.S. Si le bureau disparaît, fais Ctrl + Alt + Suppr afin d'ouvrir le gestionnaire des tâches puis dans Applications, clique sur Nouvelle tâche puis tape explorer.exe. Le bureau devrait normalement réapparaître.
/!\ Attention, ta corbeille va être vidée. Vérifie qu'il n'y ait aucun fichier supprimé par mégarde à l'intérieur. /!\
Re,
L'importation des lignes ne se suppriment pas dans le ZHPFix.
J'ai fait une nouvelle analyse et voici le rapport ci-joint :
http://cjoint.com/data3/3HimGVyeNFX.htm
Pourriez-vous m'indiquer les lignes à supprimer?
J'ai également lancer le RogueKiller.
Que pensez-vous de ces lignes :
¤¤¤ Entrées de registre : 10 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mbr -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mbr -> TROUVÉ
¤¤¤ Antirootkit : 8 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtCreateSection[84] : Unknown @ 0x914881f6
[SSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : Unknown @ 0x91488200
[SSDT:Addr(Hook.SSDT)] NtSetContextThread[316] : Unknown @ 0x914881fb
[SSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : Unknown @ 0x91488205
[SSDT:Addr(Hook.SSDT)] NtSystemDebugControl[368] : Unknown @ 0x9148820a
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : Unknown @ 0x91488197
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0x9148821e
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : Unknown @ 0x91488223
En m'excusant d'avance pour cette nouvelle analyse.
L'importation des lignes ne se suppriment pas dans le ZHPFix.
J'ai fait une nouvelle analyse et voici le rapport ci-joint :
http://cjoint.com/data3/3HimGVyeNFX.htm
Pourriez-vous m'indiquer les lignes à supprimer?
J'ai également lancer le RogueKiller.
Que pensez-vous de ces lignes :
¤¤¤ Entrées de registre : 10 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\mbr -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mbr -> TROUVÉ
¤¤¤ Antirootkit : 8 (Driver: CHARGE) ¤¤¤
[SSDT:Addr(Hook.SSDT)] NtCreateSection[84] : Unknown @ 0x914881f6
[SSDT:Addr(Hook.SSDT)] NtRequestWaitReplyPort[299] : Unknown @ 0x91488200
[SSDT:Addr(Hook.SSDT)] NtSetContextThread[316] : Unknown @ 0x914881fb
[SSDT:Addr(Hook.SSDT)] NtSetSecurityObject[347] : Unknown @ 0x91488205
[SSDT:Addr(Hook.SSDT)] NtSystemDebugControl[368] : Unknown @ 0x9148820a
[SSDT:Addr(Hook.SSDT)] NtTerminateProcess[370] : Unknown @ 0x91488197
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWindowsHookEx[585] : Unknown @ 0x9148821e
[ShwSSDT:Addr(Hook.Shadow)] NtUserSetWinEventHook[588] : Unknown @ 0x91488223
En m'excusant d'avance pour cette nouvelle analyse.
