Cidox-C Rootkit Résolu/Fermé

Question

Bonjour, j'ai récemment eu un rapport de scan d'avast concernant un rootkit : MBR:Cidox-C [Rtk] situé dans E:/pagefile.sys (mon disque E: n'est qu'un disque virtuel nommé HP_RECOVERY pour réinstaller windows en cas de besoin), ce scan a été fait pour un problème sur mon PC mais là n'est pas le problème, Avast!  a bien supprimé le rootkit mais je vous demande s'il vous plait, un nettoyage complémentaire si cela est nécessaire, on est jamais sur de rien, merci d'avance et bonne journée.

Configuration: Windows 7 / Firefox 42.0 
 
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)

jacques.gache · Answer

bonjour, On va faire un diagnostic de ton PC pour plus de renseignements

Télécharge ZHPDiag sur le site officiel de Nicolas Coolman : https://nicolascoolman.eu
lance le cela va te créer un icône sur ton bureau et faire apparaître l'interface.
Cliquez sur « Scanner » pour démarrer la recherche.
En cours de recherche, un compteur indique le nombre de détections.
Laisser s »effectuer la recherche jusqu'à ce que la barre de progression atteigne le 100%
A la fin de la recherche, un clic sur le bouton « Rapport » permet d'afficher le rapport dans le bloc-notes.

"Pour annuler la recherche, cliquez sur la touche « Echap »."

Héberge le rapport ZHPDiag.txt présent sur ton bureau sur l'un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse : 

https://www.cjoint.com/ 

http://pjjoint.malekal.com/

Malekal_morte- · Answer

Salut,

Faut faire un nettoyage TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=  
Si tu veux vérifier qu'Avast! l'a bien supprimé.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Hedgehog0 · Answer

TDSSKiller n'a rien trouvé et voila le ZHPDiag : https://pjjoint.malekal.com/files.php?id=20151115_w10n5w9n13f5
 
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)

jacques.gache · Answer

System drive C: has 17 GB () free of 111 GB  =>Alerte espace disque inférieur à 20 Go 
 
bonjour, il faudra voire pour faire de la place sur le disque système !!
tu connais se logiciel WINDOWS LOADER ?? 

tu fais zhpfix comme expliqué , tu postes le rapport, suivi d'un nouveau zhpdiag , merci 


télécharge et installes zhpfix: https://nicolascoolman.eu  

ou ici https://nicolascoolman.eu

- Copie les lignes en GRAS ci dessous :


Script ZHPFix 
SysRestore 
ShortcutFix 
ProxyFix 
FirewallRAZ 
EmptyCLSID 
EmptyTemp 
EmptyFlash
EmptyPrefetch
O45 - LFCP:[MD5.9DC66ADAD9FD9B14F4FAA98E2BB56367] 15/11/2015 A -- C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.desc", "this is my first firefox searchEngine");
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.ptid", "dae");
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.uid", "WDCXWD2500JS-60NCB1_WD-WMANK371102111021");
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("extensions.defsearchp@gmail.com.install-event-fired", true);
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("extensions.deskCutv2@gmail.com.install-event-fired", true);
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\WdsManPro_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\WdsManPro_RASMANCS
C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf



- Cliquer sur le raccourci ZHPFix  sur le Bureau.

- Cliquer sur le bouton "IMPORTER" pour coller le contenu du Presse-Papier de Windows.
 

- Vérifier que toutes les lignes du script sont présentes,

- Cliquer sur le bouton "GO" pour démarrer le nettoyage des lignes du script. 

- Une confirmation de nettoyage des lignes est demandée à l'utilisateur,

- Une confirmation du nettoyage de la corbeille est demandée à l'utilisateur,

. Copie/colle la totalité du rapport dans ta prochaine réponse  si trop long postes par le biais de cjoint , merci 

tu le trouveras sur ton bureau et dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport

jacques.gache · Answer

Oui je connais Windows Loader aucun problème la dessus 

donc tu as un windows que tu as cracker avec ???

Hedgehog0 · Answer

Voila les rapports :
ZHPFix : https://pjjoint.malekal.com/files.php?id=20151115_l6q6l6d6m12
ZHPDiag : https://pjjoint.malekal.com/files.php?id=20151115_f5z13r11r8m7
Bien sur je tiens à préciser que je n'ai pas mis les deux lignes concernant le windows loader.
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)

jacques.gache · Answer

bonjour, pour moi c'est bon côté infection mais toujours cela System drive C: has 16 GB () free of 111 GB  =>Alerte espace disque inférieur à 20 Go 

tu fais se qui suit et tu pourras mettre en résolu!! 

1)- DelFix - pour supprimer les outils et rapports

télécharge delfix ( merci xplode)

compatible avec Windows XP, Vista, 7, 8 versions 32 & 64 bits.

lances delfix 

coches Réactiver l'UAC

et coches Suppression des outils de désinfection   (cocher par défaut) 

et coches Purger la restauration système

  ne pas oublier de cliquer sur "executer"

une fois fait tu cliques droit sur un espace vide de ton bureau  

et puis nouveau document texte 

tu l'ouvre et tu fais clique droit dedans et copier 

normalement tu devrait avoir le rapport de delfix tu me le postes 

par le biais d'un hébergeur !! 

 http://pjjoint.malekal.com/

PS: sinon il est à la racine de ton DD système

Hedgehog0 · Answer

Bonsoir, pour l'UAC ça devrait être bon (j'ai coché quand même on est sur de rien) et le rapport s'ouvre tout seul il ne se copie pas dans le presse papier
https://pjjoint.malekal.com/files.php?id=20151116_t8p6b12w9i12

jacques.gache · Answer

le rapport s'ouvre tout seul 

oui tu as raison il va falloir que e reprenne la procédure car l'outil à évolué depuis !! lol !!

Cidox-C Rootkit

9 réponses

Discussions similaires