Cidox-C Rootkit

Résolu
Hedgehog0 Messages postés 291 Statut Membre -  
afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour, j'ai récemment eu un rapport de scan d'avast concernant un rootkit : MBR:Cidox-C [Rtk] situé dans E:/pagefile.sys (mon disque E: n'est qu'un disque virtuel nommé HP_RECOVERY pour réinstaller windows en cas de besoin), ce scan a été fait pour un problème sur mon PC mais là n'est pas le problème, Avast! a bien supprimé le rootkit mais je vous demande s'il vous plait, un nettoyage complémentaire si cela est nécessaire, on est jamais sur de rien, merci d'avance et bonne journée.



N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Faut faire un nettoyage TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Si tu veux vérifier qu'Avast! l'a bien supprimé.

    Like the angel you are, you laugh creating a lightness in my chest,
    Your eyes they penetrate me,
    (Your answer's always 'maybe')
    That's when I got up and left
    1
  2. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, On va faire un diagnostic de ton PC pour plus de renseignements
    • Télécharge ZHPDiag sur le site officiel de Nicolas Coolman : https://nicolascoolman.eu
    • lance le cela va te créer un icône sur ton bureau et faire apparaître l'interface.
    • Cliquez sur « Scanner » pour démarrer la recherche.
    • En cours de recherche, un compteur indique le nombre de détections.
    • Laisser s »effectuer la recherche jusqu'à ce que la barre de progression atteigne le 100%
    • A la fin de la recherche, un clic sur le bouton « Rapport » permet d'afficher le rapport dans le bloc-notes.


    "Pour annuler la recherche, cliquez sur la touche « Echap »."
    • Héberge le rapport ZHPDiag.txt présent sur ton bureau sur l'un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :


    https://www.cjoint.com/

    http://pjjoint.malekal.com/

    0
  3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    System drive C: has 17 GB () free of 111 GB  =>Alerte espace disque inférieur à 20 Go


    bonjour, il faudra voire pour faire de la place sur le disque système !!
    tu connais se logiciel WINDOWS LOADER ??

    tu fais zhpfix comme expliqué , tu postes le rapport, suivi d'un nouveau zhpdiag , merci

    télécharge et installes zhpfix: https://nicolascoolman.eu

    ou ici https://nicolascoolman.eu

    - Copie les lignes en GRAS ci dessous :


    Script ZHPFix
    SysRestore
    ShortcutFix
    ProxyFix
    FirewallRAZ
    EmptyCLSID
    EmptyTemp
    EmptyFlash
    EmptyPrefetch
    O45 - LFCP:[MD5.9DC66ADAD9FD9B14F4FAA98E2BB56367] 15/11/2015 A -- C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf
    O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.desc", "this is my first firefox searchEngine");
    O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.ptid", "dae");
    O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.uid", "WDCXWD2500JS-60NCB1_WD-WMANK371102111021");
    O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("extensions.defsearchp@gmail.com.install-event-fired", true);
    O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("extensions.deskCutv2@gmail.com.install-event-fired", true);
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\WdsManPro_RASAPI32
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\WdsManPro_RASMANCS
    C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf



    - Cliquer sur le raccourci ZHPFix sur le Bureau.

    - Cliquer sur le bouton "IMPORTER" pour coller le contenu du Presse-Papier de Windows.

    - Vérifier que toutes les lignes du script sont présentes,

    - Cliquer sur le bouton "GO" pour démarrer le nettoyage des lignes du script.

    - Une confirmation de nettoyage des lignes est demandée à l'utilisateur,

    - Une confirmation du nettoyage de la corbeille est demandée à l'utilisateur,

    . Copie/colle la totalité du rapport dans ta prochaine réponse si trop long postes par le biais de cjoint , merci

    tu le trouveras sur ton bureau et dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

    0
    1. Hedgehog0 Messages postés 291 Statut Membre 4
       
      Oui je connais Windows Loader aucun problème la dessus, les lignes "O45 - LFCP:[MD5.9DC66ADAD9FD9B14F4FAA98E2BB56367] 15/11/2015 A -- C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf" et " C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf" du script de ZHP fix sont pour le supprimer non ?
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    Oui je connais Windows Loader aucun problème la dessus


    donc tu as un windows que tu as cracker avec ???
    0
    1. Hedgehog0 Messages postés 291 Statut Membre 4
       
      Je ne vais pas mentir, mais aucun problème d'infection au niveau de ça. A la base c'était seulement pour windows 10 car ça ne passait pas via mon Vista légal... Mais l'installation présente plus de problème que prévu...
      0
  6. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, pour moi c'est bon côté infection mais toujours cela
    System drive C: has 16 GB () free of 111 GB  =>Alerte espace disque inférieur à 20 Go


    tu fais se qui suit et tu pourras mettre en résolu!!

    1)- DelFix - pour supprimer les outils et rapports

    télécharge delfix ( merci xplode)

    compatible avec Windows XP, Vista, 7, 8 versions 32 & 64 bits.

    lances delfix

    coches Réactiver l'UAC

    et coches Suppression des outils de désinfection (cocher par défaut)

    et coches Purger la restauration système

    ne pas oublier de cliquer sur "executer"

    une fois fait tu cliques droit sur un espace vide de ton bureau

    et puis nouveau document texte

    tu l'ouvre et tu fais clique droit dedans et copier

    normalement tu devrait avoir le rapport de delfix tu me le postes

    par le biais d'un hébergeur !!

    http://pjjoint.malekal.com/

    PS: sinon il est à la racine de ton DD système

    0
  7. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    le rapport s'ouvre tout seul


    oui tu as raison il va falloir que e reprenne la procédure car l'outil à évolué depuis !! lol !!
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Hello Jacques,

      ;)
      Albert
      0