Pb de rootkit

Résolu
elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   -  
elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour, j'ai un rootkit sur mon ordi et je souhaite le supprimer, j'ai déjà eu ce pb y'a environ 1 mois et j'avais réussi à le régler mais je ne trouve plus le site où j'avais trouvé l'info et je ne trouve plus le papier où j'avais noté la méthode.

Je me rappelle d'une partie mais pas de tout. Aidez moi.

- Au départ, je sais qu'il faut télécharger "gmer".
- Ensuite, télécharger "Hijack this".
- Faire un scan et trouver le virus espion.
- Eteindre son ordi, appuyer sur F8 et aller en mode "sans échec".
- Après ouvrir "Administrateur".
- Taper deux fois "cd.."
- Ensuite taper "cd windows".
- Puis "cd system32".

Et après je ne sais plus quelle étape il faut faire aidez moi svp.

Je sais qu'après cette étape faut repérer le virus et les suprimer 1 par 1, et ensuite faire les vérifications.
Rallumer son ordi et cocher la casse correspondante dans "Hijackthis".

Merci.

Configuration: Windows XP
Internet Explorer 7.0

10 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Trouver un rootkit avec hijackthis, beh pourquoi pas hein ..

    On peut savoir de quel rootkit il s'agit ?
    0
  2. elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   26
     
    il s'agt du rootkit "nuqihtyvuf".

    Merci de m'aider boulepate.
    0
  3. elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   26
     
    J'ai réussi a supprimer quelque pages de pub avec AVG-Anti rootkit mais ça ne semble pas être suffisant pour ttes les supprimer. Merci de m'aider svp.
    0
  4. elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   26
     
    C'est la crise AVG-Anti rootkit ne semble pas les supprimer aidez moi svp.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Que dit le rapport hijackthis ?
    0
  7. elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   26
     
    Il me dit ca

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\taskswitch.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
    C:\Program Files\Lexmark 2400 Series\ezprint.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

    sinon tu ne connais pas la méthode que je t"ai expliqué plus haut, car je suis allé sur plusieurs forum et je comprend rien aux autres méthodes. merci
    0
  8. Utilisateur anonyme
     
    Désinstalle :

    - SweetIM (saloperie)
    - jre1.5.0_02 (pas à jour complétement obsoléte)
    - tu as deux anti-virus, c'est mauvais, désinstalle en un
    - ton rapport hijackthis est incomplet

    J'vois pas ce que tu souhaites dire par ta méthode ..

    Refais :

    Télécharge Gmer
    ---> http://www2.gmer.net/gmer.zip

    Déconnecte toi d'internet si possible et ferme tous les programmes.
    Décompresse le fichier zip et double-clic sur gmer.exe
    IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    Clic sur l'onglet "rootkit"
    A droite, coche "Files" et "Services"
    Clic sur Scan
    Lorsque le scan est terminé, clic sur "copy"

    Ouvre le bloc-note et clic sur le Menu Edition puis Coller
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau puis copie et colle le contenu ici.
    0
  9. elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   26
     
    Désolé j'avais pas fait attention, donc si j'ai bien compris je retire un anti virus et sweet IM de mon ordi
    voila le nouveau scan de l'ordi

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\Explorer.EXE
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\WINDOWS\system32\taskswitch.exe
    C:\WINDOWS\system32\hkcmd.exe
    C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
    C:\Program Files\Lexmark 2400 Series\lxcrmon.exe
    C:\Program Files\Lexmark 2400 Series\ezprint.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\rundll32.exe
    C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
    C:\Program Files\Neuf\Kit\WiFi\9wifi.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\MSN Messenger\msnmsgr.exe
    C:\WINDOWS\system32\lxcrcoms.exe
    C:\Program Files\eMule\emule.exe
    C:\Program Files\CyberLink\Shared files\RichVideo.exe
    C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
    C:\Program Files\Internet Explorer\iexplore.exe
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    C:\Program Files\GRISOFT\AVG Free\avgwb.dat
    C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
    C:\Program Files\Hijackthis Version Française\hijackthis vf.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = https://actus.sfr.fr
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.neuf.fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://actus.sfr.fr
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = https://actus.sfr.fr
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
    O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\PROGRA~1\MACROG~1\SWEETI~1\toolbar.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: Lexmark Barre d'outils - {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - C:\Program Files\Lexmark Toolbar\toolband.dll
    O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar.dll
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\system32\taskswitch.exe
    O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
    O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [lxcrmon.exe] "C:\Program Files\Lexmark 2400 Series\lxcrmon.exe"
    O4 - HKLM\..\Run: [EzPrint] "C:\Program Files\Lexmark 2400 Series\ezprint.exe"
    O4 - HKLM\..\Run: [FaxCenterServer] "C:\Program Files\Lexmark Fax Solutions\fm3032.exe" /s
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
    O4 - HKLM\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
    O4 - HKLM\..\Run: [Autoconfigurateur WiFi Neuf] "C:\Program Files\Neuf\Kit\WiFi\9wifi.exe"
    O4 - HKLM\..\Run: [LXCRCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCRtime.dll,_RunDLLEntry@16
    O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
    O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
    O4 - HKLM\..\Run: [LanguageShortcut] "C:\Program Files\CyberLink\PowerDVD\Language\Language.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\mnyexpr.exe"
    O4 - HKCU\..\Run: [msnmsgr] ~"C:\Program Files\MSN Messenger\msnmsgr.exe" /background
    O4 - HKCU\..\Run: [SweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe
    O4 - HKCU\..\Run: [eMuleAutoStart] C:\Program Files\eMule\emule.exe -AutoStart
    O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
    O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Lancement rapide de Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE
    O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_02\bin\npjpi150_02.dll
    O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab
    O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
    O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
    O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: lxcr_device - - C:\WINDOWS\system32\lxcrcoms.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
    0
  10. elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   26
     
    Voila j'ai supprimer AVG et Sweet IM de mon ordi.

    Le rapport de Gmer me dit :

    ADS C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\pupuce2brest@hotmail.fr\SharingMetadata\galactik29@hotmail.fr\DFSR\Staging\CS{7A08B4E5-0B8B-0DF1-4597-A67F18C50915}\01\16-{7A08B4E5-0B8B-0DF1-4597-A67F18C50915}-v1-{65734BE8-F33B-4A1D-A6F2-4DF8659B1E16}-v16-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
    ADS C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\pupuce2brest@hotmail.fr\SharingMetadata\galactik29@hotmail.fr\DFSR\Staging\CS{7A08B4E5-0B8B-0DF1-4597-A67F18C50915}\13\413-{71340B69-39DA-4BC7-AC7C-5D33399FB1B8}-v413-{71340B69-39DA-4BC7-AC7C-5D33399FB1B8}-v413-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.1
    ADS C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\pupuce2brest@hotmail.fr\SharingMetadata\galactik29@hotmail.fr\DFSR\Staging\CS{7A08B4E5-0B8B-0DF1-4597-A67F18C50915}\13\413-{71340B69-39DA-4BC7-AC7C-5D33399FB1B8}-v413-{71340B69-39DA-4BC7-AC7C-5D33399FB1B8}-v413-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.rdc.2
    ADS C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\pupuce2brest@hotmail.fr\SharingMetadata\galactik29@hotmail.fr\DFSR\Staging\CS{7A08B4E5-0B8B-0DF1-4597-A67F18C50915}\13\413-{71340B69-39DA-4BC7-AC7C-5D33399FB1B8}-v413-{71340B69-39DA-4BC7-AC7C-5D33399FB1B8}-v413-Partial.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
    ADS C:\Documents and Settings\Fred\Local Settings\Application Data\Microsoft\Messenger\pupuce2brest@hotmail.fr\SharingMetadata\laurenzo666@hotmail.fr\DFSR\Staging\CS{FB59D7DA-255D-2865-8D05-8A7FE4D60B44}\01\14-{FB59D7DA-255D-2865-8D05-8A7FE4D60B44}-v1-{65734BE8-F33B-4A1D-A6F2-4DF8659B1E16}-v14-Downloaded.frx:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS
    File C:\WINDOWS\Prefetch\NUQIHTYVUF.EXE-2C87C42A.p_
    File C:\WINDOWS\system32\nuqihtyvuf.dat
    File C:\WINDOWS\system32\nuqihtyvuf.exe
    File C:\WINDOWS\system32\nuqihtyvuf_nav.dat
    File C:\WINDOWS\system32\nuqihtyvuf_navps.dat

    J'avais déja repérer que c'était ce type de rootkit, et en fait ma méthode citée plus haut me permettait d'aller en mode sans échec pour supprimer les rootkit manuellement
    0
  11. elgambino Messages postés 390 Date d'inscription   Statut Membre Dernière intervention   26
     
    Il semble que j'ai réussi à supprimer le rootkit comment je peux faire pour le vérifier par un autre moyen que Gmer. Merci de m'avoir aider boulepate.
    0