Cidox-C Rootkit
Résolu
Hedgehog0
Messages postés
239
Date d'inscription
Statut
Membre
Dernière intervention
-
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
afideg Messages postés 10517 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour, j'ai récemment eu un rapport de scan d'avast concernant un rootkit : MBR:Cidox-C [Rtk] situé dans E:/pagefile.sys (mon disque E: n'est qu'un disque virtuel nommé HP_RECOVERY pour réinstaller windows en cas de besoin), ce scan a été fait pour un problème sur mon PC mais là n'est pas le problème, Avast! a bien supprimé le rootkit mais je vous demande s'il vous plait, un nettoyage complémentaire si cela est nécessaire, on est jamais sur de rien, merci d'avance et bonne journée.
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)
A voir également:
- Cidox-C Rootkit
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
9 réponses
Salut,
Faut faire un nettoyage TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Si tu veux vérifier qu'Avast! l'a bien supprimé.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Faut faire un nettoyage TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Si tu veux vérifier qu'Avast! l'a bien supprimé.
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
Hedgehog0
Messages postés
239
Date d'inscription
Statut
Membre
Dernière intervention
4
A la base j'ai fait un scan pour un problème sur mon PC j'aimerais savoir ce rootkit (extrêmement mal placé) pourrait en être la cause, tout les détails sont ici : https://forums.commentcamarche.net/forum/affich-32782806-werfault-exe-erreur-d-application#p32782806 . Merci d'avance
bonjour, On va faire un diagnostic de ton PC pour plus de renseignements
"Pour annuler la recherche, cliquez sur la touche « Echap »."
https://www.cjoint.com/
http://pjjoint.malekal.com/
- Télécharge ZHPDiag sur le site officiel de Nicolas Coolman : https://nicolascoolman.eu
- lance le cela va te créer un icône sur ton bureau et faire apparaître l'interface.
- Cliquez sur « Scanner » pour démarrer la recherche.
- En cours de recherche, un compteur indique le nombre de détections.
- Laisser s »effectuer la recherche jusqu'à ce que la barre de progression atteigne le 100%
- A la fin de la recherche, un clic sur le bouton « Rapport » permet d'afficher le rapport dans le bloc-notes.
"Pour annuler la recherche, cliquez sur la touche « Echap »."
- Héberge le rapport ZHPDiag.txt présent sur ton bureau sur l'un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse :
https://www.cjoint.com/
http://pjjoint.malekal.com/
TDSSKiller n'a rien trouvé et voila le ZHPDiag : https://pjjoint.malekal.com/files.php?id=20151115_w10n5w9n13f5
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)
System drive C: has 17 GB () free of 111 GB =>Alerte espace disque inférieur à 20 Go
bonjour, il faudra voire pour faire de la place sur le disque système !!
tu connais se logiciel WINDOWS LOADER ??
tu fais zhpfix comme expliqué , tu postes le rapport, suivi d'un nouveau zhpdiag , merci
télécharge et installes zhpfix: https://nicolascoolman.eu
ou ici https://nicolascoolman.eu
- Copie les lignes en GRAS ci dessous :
Script ZHPFix
SysRestore
ShortcutFix
ProxyFix
FirewallRAZ
EmptyCLSID
EmptyTemp
EmptyFlash
EmptyPrefetch
O45 - LFCP:[MD5.9DC66ADAD9FD9B14F4FAA98E2BB56367] 15/11/2015 A -- C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.desc", "this is my first firefox searchEngine");
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.ptid", "dae");
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("browser.search.searchengine.uid", "WDCXWD2500JS-60NCB1_WD-WMANK371102111021");
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("extensions.defsearchp@gmail.com.install-event-fired", true);
O69 - SBI: prefs.js [Mathieu - cdfqhw7g.default] user_pref("extensions.deskCutv2@gmail.com.install-event-fired", true);
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\WdsManPro_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\WdsManPro_RASMANCS
C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf
- Cliquer sur le raccourci ZHPFix sur le Bureau.
- Cliquer sur le bouton "IMPORTER" pour coller le contenu du Presse-Papier de Windows.
- Vérifier que toutes les lignes du script sont présentes,
- Cliquer sur le bouton "GO" pour démarrer le nettoyage des lignes du script.
- Une confirmation de nettoyage des lignes est demandée à l'utilisateur,
- Une confirmation du nettoyage de la corbeille est demandée à l'utilisateur,
. Copie/colle la totalité du rapport dans ta prochaine réponse si trop long postes par le biais de cjoint , merci
tu le trouveras sur ton bureau et dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
Oui je connais Windows Loader aucun problème la dessus, les lignes "O45 - LFCP:[MD5.9DC66ADAD9FD9B14F4FAA98E2BB56367] 15/11/2015 A -- C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf" et " C:\Windows\Prefetch\WINDOWS LOADER.EXE-E827D48D.pf" du script de ZHP fix sont pour le supprimer non ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Oui je connais Windows Loader aucun problème la dessus
donc tu as un windows que tu as cracker avec ???
Voila les rapports :
ZHPFix : https://pjjoint.malekal.com/files.php?id=20151115_l6q6l6d6m12
ZHPDiag : https://pjjoint.malekal.com/files.php?id=20151115_f5z13r11r8m7
Bien sur je tiens à préciser que je n'ai pas mis les deux lignes concernant le windows loader.
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)
ZHPFix : https://pjjoint.malekal.com/files.php?id=20151115_l6q6l6d6m12
ZHPDiag : https://pjjoint.malekal.com/files.php?id=20151115_f5z13r11r8m7
Bien sur je tiens à préciser que je n'ai pas mis les deux lignes concernant le windows loader.
N'oubliez pas de mettre le sujet en résolu quand le problème est réglé ;)
bonjour, pour moi c'est bon côté infection mais toujours cela
tu fais se qui suit et tu pourras mettre en résolu!!
1)- DelFix - pour supprimer les outils et rapports
télécharge delfix ( merci xplode)
compatible avec Windows XP, Vista, 7, 8 versions 32 & 64 bits.
lances delfix
coches Réactiver l'UAC
et coches Suppression des outils de désinfection (cocher par défaut)
et coches Purger la restauration système
ne pas oublier de cliquer sur "executer"
une fois fait tu cliques droit sur un espace vide de ton bureau
et puis nouveau document texte
tu l'ouvre et tu fais clique droit dedans et copier
normalement tu devrait avoir le rapport de delfix tu me le postes
par le biais d'un hébergeur !!
http://pjjoint.malekal.com/
PS: sinon il est à la racine de ton DD système
System drive C: has 16 GB () free of 111 GB =>Alerte espace disque inférieur à 20 Go
tu fais se qui suit et tu pourras mettre en résolu!!
1)- DelFix - pour supprimer les outils et rapports
télécharge delfix ( merci xplode)
compatible avec Windows XP, Vista, 7, 8 versions 32 & 64 bits.
lances delfix
coches Réactiver l'UAC
et coches Suppression des outils de désinfection (cocher par défaut)
et coches Purger la restauration système
ne pas oublier de cliquer sur "executer"
une fois fait tu cliques droit sur un espace vide de ton bureau
et puis nouveau document texte
tu l'ouvre et tu fais clique droit dedans et copier
normalement tu devrait avoir le rapport de delfix tu me le postes
par le biais d'un hébergeur !!
http://pjjoint.malekal.com/
PS: sinon il est à la racine de ton DD système
Bonsoir, pour l'UAC ça devrait être bon (j'ai coché quand même on est sur de rien) et le rapport s'ouvre tout seul il ne se copie pas dans le presse papier
https://pjjoint.malekal.com/files.php?id=20151116_t8p6b12w9i12
https://pjjoint.malekal.com/files.php?id=20151116_t8p6b12w9i12
