Fiasco suite à un rootkit balaise (driver caché Prohlp02.sys)
alibabs
Messages postés
45
Date d'inscription
Statut
Membre
Dernière intervention
-
alibabs Messages postés 45 Date d'inscription Statut Membre Dernière intervention -
alibabs Messages postés 45 Date d'inscription Statut Membre Dernière intervention -
Bonjour,
Je me prends la tête depuis hier pour virer un rootkit qui m'avait saboté mes paramètres réseau. Des menus disparaissaient etc. Plus d'internet, j'ai tenté de réinstaller le pilote de la carte réseau sans fil, mais tout ceci était en fait empêché par un processus malveillant. N'étant pas un grand spécialiste je me suis mis à rechercher sur le net, et à utiliser des logiciels comme GMER, adwcleaner, combofix, OTL, RootRepeal... j'arrivais à détecter des processus que je "killais" avec GMER mais ils réapparaissaient avec les infos toujours cachées. Des objects cachés aussi (drivers). Je regardais bien les PID etc... et j'ai trouvé un driver caché "Prohlp02.sys". En recherchant à nouveau sur le net j'ai lu que ce processus pouvait être dangereux et dans mon cas il l'était. Bref j'ai "killé" le driver comme un con et là c'est la merde, mon pc après redémarrage n'arrive plus à Windows, il "charge les fichiers" , n'y arrive pas, me lance l'outil de réparation qui n'y arrive pas non plus. Y'a-t-il une âme charitable qui va pouvoir m'aider ?
Je me prends la tête depuis hier pour virer un rootkit qui m'avait saboté mes paramètres réseau. Des menus disparaissaient etc. Plus d'internet, j'ai tenté de réinstaller le pilote de la carte réseau sans fil, mais tout ceci était en fait empêché par un processus malveillant. N'étant pas un grand spécialiste je me suis mis à rechercher sur le net, et à utiliser des logiciels comme GMER, adwcleaner, combofix, OTL, RootRepeal... j'arrivais à détecter des processus que je "killais" avec GMER mais ils réapparaissaient avec les infos toujours cachées. Des objects cachés aussi (drivers). Je regardais bien les PID etc... et j'ai trouvé un driver caché "Prohlp02.sys". En recherchant à nouveau sur le net j'ai lu que ce processus pouvait être dangereux et dans mon cas il l'était. Bref j'ai "killé" le driver comme un con et là c'est la merde, mon pc après redémarrage n'arrive plus à Windows, il "charge les fichiers" , n'y arrive pas, me lance l'outil de réparation qui n'y arrive pas non plus. Y'a-t-il une âme charitable qui va pouvoir m'aider ?
A voir également:
- Fiasco suite à un rootkit balaise (driver caché Prohlp02.sys)
- Hiberfil sys - Guide
- Realtek audio driver - Télécharger - Pilotes & Matériel
- Le fichier à télécharger contient un mot caché. quel est le format du fichier ? quel est le mot caché ? - Guide
- Jeux google caché - Guide
- Message caché whatsapp - Guide
10 réponses
Résumé de la discussion
Une infection rootkit a saboté les paramètres réseau et bloqué le pilote de la carte réseau sans fil, empechant l’accès à Internet et rendant le système vulnérable après l’échec des tentatives de suppression. Des outils comme GMER, adwcleaner, combofix, OTL et RootRepeal ont été employés pour détecter des processus et des objets cachés, notamment un driver Prohlp02.sys considéré comme dangereux, mais la suppression a déclenché des dysfonctionnements. Le redémarrage a échoué après la suppression du fichier Prohlp02.sys, le système bloquant le chargement des fichiers et les réparations, et des pistes ont été évoquées, comme l’emploi d’un CD live ou une restauration usine.
Salut,
Prohlp02.sys c'est Starforce...
Redémarre en mode sans échec pour voir, et essaye de le virer.
Prohlp02.sys c'est Starforce...
Redémarre en mode sans échec pour voir, et essaye de le virer.
alibabs
Messages postés
45
Date d'inscription
Statut
Membre
Dernière intervention
Salut amar et merci de me répondre. Mode sans échec c'est mort il me fait pareil. Restauration système j'ai fait aussi...
alibabs
Messages postés
45
Date d'inscription
Statut
Membre
Dernière intervention
>
alibabs
Messages postés
45
Date d'inscription
Statut
Membre
Dernière intervention
Starforce c'est grave ? C'est connu ?
alibabs,
Voici un article et un lien de téléchargement d'un CD live qui te permet de démarrer sur un CD ou une clé USB.
A partir de là tu peux accéder à tes fichiers perso et les sauvegarder.
Note que sur CD tu as RogueKiller que tu peux lancer et qui sait "virer" certains RootKits.
Bien sur il faut que ton BIOS soit configuré pour booter d'abord sur le CD ou la clé USB.
A+
Voici un article et un lien de téléchargement d'un CD live qui te permet de démarrer sur un CD ou une clé USB.
A partir de là tu peux accéder à tes fichiers perso et les sauvegarder.
Note que sur CD tu as RogueKiller que tu peux lancer et qui sait "virer" certains RootKits.
Bien sur il faut que ton BIOS soit configuré pour booter d'abord sur le CD ou la clé USB.
A+
Merci Cabrier, par contre je ne vois pas de lien c'est peut-être à cause de mon phone ou bien j'suis miro... Sinon y'a du nouveau j'ai réussi à négocier une tour dans laquelle j'ai placé mon disque dur en esclave pour copier mes données. Est ce que si je m'en sert aussi pour nettoyer le rootkit (qui logiquement devrait être plus facile à détecter puisque inactif) j'aurais des chances que mon Windows remarche comme avant ? Merci de ta réponse
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
alibabs,
Autant pour moi, j'ai oublié le lien !!!
Oui tu peux essayer de nettoyer ce RootKit avec GMER.
Essaie aussi RogueKiller :
Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)
Je te laisse faire la suite, tu as l'air d'en connaitre un rayon !
A+
Autant pour moi, j'ai oublié le lien !!!
Oui tu peux essayer de nettoyer ce RootKit avec GMER.
Essaie aussi RogueKiller :
Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)
Je te laisse faire la suite, tu as l'air d'en connaitre un rayon !
A+
Rebonjour, alors j'ai réussi à nettoyer une partie du rootkit en mettant mon disque dur en esclave, en fouillant manuellement dans les drivers etc... Et beaucoup de lecture et de patience. À ma grande surprise j'ai réussi à redémarrer mon disque dur et mon système ! Mais en mode sans échec seulement car le mode normal m'affiche un message comme quoi mon Windows a été modifié et que ça restreint les droits ou je ne sais plus quoi. Dans GMER il reste un processus actif caché (beaucoup moins agressif qu'avant) et GMER ne le localise pas. Donc il peut pas le traiter. Rootrepeal lui me détecte un driver caché écrit en chinois (en mode esclave j'en avais débusqué pas mal) voilà quoi je crois que j'ai atteint la limite de les compétences dans ce domaine. Merci beaucoup d'avance à ceux qui m'aideront.
et j'ai trouvé un driver caché "Prohlp02.sys". En recherchant à nouveau sur le net j'ai lu que ce processus pouvait être dangereux et dans mon cas il l'était. Bref j'ai "killé" le driver comme un con et là c'est la merde, mon pc après redémarrage n'arrive plus à Windows
Le driver n'est pas malicieux.
Fallait pas toucher.
Tu ne devrais pas utiliser GMER.
Le driver n'est pas malicieux.
Fallait pas toucher.
Tu ne devrais pas utiliser GMER.
Rootrepeal m'a détecté un mbr rootkit et il me propose de restaurer et redémarrer immédiatement je fais ou pas ?
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
Lol. Malekal_morte ne fais pas des tutos si on n'a pas le droit de s'en servir. Gmer me détecte un "hidden" processus en rouge mais il est incapable de le localiser et quand je le kill il revient toujours. J'ai un rootkit qui m'a shooté ma connexion internet qui a masqué mes propriétés connexion internet (tcp/ip inaccessible)... Même si le prohlp02 n'est pas le rootkit il n'est pas vital à Windows il appartient à Starforce et je n'ai pas confiance. Et j'ai viré pas mal de fichiers cachés écrits en chinois.
