Sujet Précédent Sujet Suivant

Virus Hacktool.Rootkit aidez moi SVP

Fermé
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008 - 25 juil. 2007 à 12:43
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008 - 13 août 2007 à 14:25
Bonjour à tous, je suis nouveau et très novice en informatique...
Hier j'ai recu un lien par une fenetre MSN de quelqu'un que je connaissais, j'ai cliqué dessus et un dossier Zippé est apparu, j'ai voulu le dézipper et rien n'et apparu.
Depuis, chaque fois que j'ouvre l'ordi, une fenetre Symantec apparait et me dit qu'il y a un virus Hacktool.Rootkit sur un fichier System32\Deflib.sys
L'antivirus n'arrive pas à le mettre en quarantaine et me dit : supprimer : réussite : accès refusé.
Donc l'antivirus n'arrive pas à le virer, et des fenetres s'ouvrent me disant que des messages n'ont pas pu etre envoyés par mail et ont été bloqués par Symantec, ces messages étant envoyés à des adresse qui me sont inconnues...De plus, Internet bugue.
Je ne sais pas comment m'y prendre, j'ai regardé ailleurs, mais chaque cas est unique donc impossible à faire lorque l'on ne s'y connait pas.
Pouvez vous m'aidez SVP Merci beaucoup d'avance
A voir également:

69 réponses

Réponse 1 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 12:56
slt
Télécharge MSNFix de Laurent
http://sosvirus.changelog.fr/MSNFix.zip

Décompresse-le et double clic sur le fichier MSNFix.bat.
- Exécute l'option R.
--Si l'infection est détectée, exécute l'option N
- Sauvegarde ce rapport puis fais un copier/coller de ce rapport sur le forum.

Note :
Si une erreur de suppression est détectée un message s'affichera demandant de redémarrer l'ordinateur afin de terminer les opérations. Dans ce cas il suffit de redémarrer l'ordinateur en mode normal
Sauvegarder et fermer le rapport pour que Windows termine de se lancer normalement.


____________________

sophos antirootkit

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html



_____________________
télécharger sur le bureau
Navilog.zip
http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

= Double-Clic navilog1.zip
= Extraire tout sur le bureau
= Double-Clic navilog1 qui est sur le bureau
= Appuyer sur une touche jusqu' arriver aux options
= Choisir option 1

un rapport : fixnavi.txt dans C : va se creer
le copier/coller dans ton prochain message.
1
Réponse 2 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 12:58
Et me dire ce qu'il fait comme dégats SVP
0
Réponse 3 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 13:07
Ben il me dit que l'infection est présente et qu"il faut redémarrer l'ordi pour terminer...Je vais faire ca et je reviens après mangé en speed
Merci beaucoup pour la rapidité de ta réponse
0
Réponse 4 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 13:27
Lorsque je redémarre l'ordi, un blog note apparait avec ce rapport que dois je faire ? merci

MSN_Fix 1.340

C:\Documents and Settings\CA\Bureau\MSNFix
Fix exécuté le 25/07/2007 - 13:04:02,95 By CA
mode normal

************************ Recherche les fichiers présents

... C:\DOCUME~1\CA\LOCALS~1\Temp\winlogon.exe
... C:\WINDOWS\system32\firewallav.dll

************************ Recherche les dossiers présents

Aucun dossier trouvé




************************ Suppression des fichiers

/!\ ... C:\DOCUME~1\CA\LOCALS~1\Temp\winlogon.exe
/!\ ... C:\WINDOWS\system32\firewallav.dll



************************ Nettoyage du registre



Les fichiers encore présents seront supprimés au prochain redémarrage


Aucun dossier trouvé
************************ Suppression des fichiers

.. OK ... C:\DOCUME~1\CA\LOCALS~1\Temp\winlogon.exe
.. OK ... C:\WINDOWS\system32\firewallav.dll



************************ Fichiers suspects

/!\ ces fichiers nécessitent un avis expérimenté avant toute intervention



Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 25072007_13102418.zip


------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.aceboard.fr/
------------------------------------------------------------------------
Commande ECHO d‚sactiv‚e.
--------------------------------------------- END ---------------------------------------------
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 13:35
il a néttoyé

encore des pbs?

norton a l'allumage indique encore un pb?















si oui fait la suite indiquée

et ca:


scan avec des antiespions (en mode sans échec):

spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

_______________


AVG antispyxare

https://www.01net.com/telecharger/

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici


______________________


utilise aussi pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare erreurs) sans la barre yahoo

https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html












colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr


scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html
0
Réponse 6 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 13:41
Ben j'ai pas vu le message de Symantec au démarrage c'est vrai...Cependant, il y a un truc bizarre qui se passe, j'arrive à aller sur internet depuis tte à l'heure sans me connecter ave cle gestionnaire internet de Wanado...Je pense pas que je pouvais y arriver avant, j'en suis pas sur, mais c'est bizarre.. Ca a avoir? c'est normal ou pas important ?
Je suis en train de faire le scan de Navilog.zip, il est lancé donc je finis et je poste le rapport, comm ca on en sera vraiment sur

Merci beaucoup
0
Réponse 7 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 13:45
les virus peuvent modifier les connections internets
0
Réponse 8 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 13:47
Voila le bloc note qui apparait à la fin de l'analyse, ca veut dire quoi ?

Search Navipromo version 2.0.5 commencé le 25/07/2007 à 13:33:07,28

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Poster ce rapport sur le forum pour le faire analyser !!!
!!! Ne pas lancer la partie désinfection sans l'avis d'un spécialiste !!!

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Executé en mode normal

*** Recherche Programmes installes ***




*** Recherche dossiers dans C:\WINDOWS ***




*** Recherche dossiers dans C:\Program Files ***




*** Recherche dossiers dans C:\Documents and Settings\All Users\Application Data ***




*** Recherche dossiers dans C:\Documents and Settings\CA\Application Data ***



*** Recherche avec BlackLight Engine/F-secure ***
BlackLight Engine est un produit de F-secure, pour + d'infos :
https://www.f-secure.com/en


F-SECURE BLACKLIGHT ROOTKIT ELIMINATOR
======================================

Copyright 2005-2006 F-Secure Corporation. All rights reserved.
This is a beta version. It will expire on 1st of October, 2007.
Version information: 2.2.1064.

[+] Started on 07/25/07 at 13:33:08.
[+] Initializing ...
[+] Starting scan, press Ctrl-C to abort.
[+] Scanning for hidden items .......................................................................................................
[+] Scan complete.
[+] Summary: 0 hidden item(s) found, 0 scheduled for renaming.
[+] Exited on 07/25/07 at 13:44:03 (return code = 0).


*** Recherche fichiers ***




*** Recherche cles registre ***


Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs]



Recherche dans [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ModuleUsage]



Recherche Clé Magic Control

HKEY_CURRENT_USER\Software\mc trouvé !


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche Heuristique :
*
**
***
****
*****
******
*******
********

3)Recherche Certificats :


*** Analyse Terminé le 25/07/2007 à 13:45:56,15 ***
0
Réponse 9 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 13:50
sophos antirootkit

http://www.sophos.com/products/free-tools/sophos-anti-rootkit.html
0
Réponse 10 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 13:52
Double clique sur le raccourci Navilog1 présent sur le bureau et laisse-toi guider.
Au menu principal, choisis 2 et valide.

Le fix va t'informer qu'il va alors redémarrer ton PC
Ferme toutes les fenêtres ouvertes et enregistre tes documents personnels ouverts
Appuie sur une touche comme demandé.
(si ton Pc ne redémarre pas automatiquement, fais le toi même)
Au redémarrage de ton PC, choisis ta session habituelle.

Patiente jusqu'au message :
*** Nettoyage Termine le ..... ***
Le blocnote va s'ouvrir.
Sauvegarde le rapport de manière à le retrouver
Referme le blocnote. Ton bureau va réapparaitre

PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
Tape explorer et valide. Celà te fera apparaitre ton bureau.




et fait le reste
0
Réponse 11 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 14:02
Donc je fais l'analyse c'est ca ?
C'est lancé...
Par contre j'ai MSN messenger qui bugue, il se ferme tout seul au bout d'un petit moment d'utilisation... Que dois je faire ?
Et est ce que après un tel virus l'ordi peut en pâtir (est ce que j'aurais des pb plus tard ou meme maintenant, des fichiers supprimés, etc, et comment il faut faire pour récupérer ou arranger ces pb...) ?

Je finis l'analyse et je te dis ce que ca me dit, sachant qu'il y a un fichier qui est apparu et qui se nomme "Hidden Registry Key" et se trouve H Key Local Machine /System/ControlSet001/services/asc3550u
0
Réponse 12 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 14:05
Je finis l'analyse avec Sophos, et je fais le truc avec Navilog !
0
Réponse 13 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 14:07
Voila, a la fin du scan y'a ca :

Area: Windows registry
Description: Hidden registry key
Location: \HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\asc3550u
Removable: No
Notes: (no more detail available)

Faut faire quoi?
merci
0
Réponse 14 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 14:15
Voila ce que le bloc note me met au redémarrage :
Ca me met aucune clé, alors qu'avec Sophos, il y en avait une...c'est normal ?
quand tu dis fais le reste, tu parles de quoi ?



Clean Navipromo version 2.0.5 commencé le 25/07/2007 à 14:10:05,85

Fix lancé depuis C:\Program Files\navilog1
Mise a jour le 01.07.2007 a 12h00 by IL-MAFIOSO

Mode suppression automatique avec prise en charge résultats Blacklight



*** fsbl1.txt non trouvé ***
(Assurez-vous que Blacklight n'avait rien trouvé lors de la recherche)


*** Suppression dossiers dans C:\WINDOWS ***


*** Suppression dossiers dans C:\Program Files ***


*** Suppression dossiers dans C:\Documents and Settings\All Users\Application Data ***


*** Suppression dossiers dans C:\Documents and Settings\CA\Application Data ***



*** Suppression fichiers ***


*** Suppression fichiers temporaires ***

Nettoyage contenu C:\WINDOWS\Temp effectué !
Nettoyage contenu C:\Documents and Settings\CA\Local Settings\Temp effectué !


*** Sauvegarde du registre vers dossier Backupnavi***


sauvegarde du registre réalise avec succes !


*** Nettoyage registre ***


Nettoyage registre Ok

*** Traitement Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche fichiers connus:


2)Recherche et Suppression Heuristique :

*
**
***
****
*****
******
*******
********

3)Contrôle présence clés Rootkit dans le registre :

Aucune autre clés présente dans le registre !

4)Certificats :


*** Nettoyage termine le 25/07/2007 à 14:12:24,20 ***
0
Réponse 15 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 14:33
encore des pbs?

norton a l'allumage indique encore un pb?















si oui fait la suite indiquée




scan avec des antiespions (en mode sans échec):

spybot :

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

voir demo d utilisation (merci Balltrap)
http://pageperso.aol.fr/Balltrap34/demo%20spybot.htm

_______________


AVG antispyxare

https://www.01net.com/

Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Quarantaines"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici


______________________


utilise aussi pour supprimer tes traces

CCLEANER: (lance un nettoyage et répare erreurs) sans la barre yahoo

https://www.01net.com/


_______________________












colle le rapport d'un scan en ligne
avec un des suivants:


bitdefender en ligne :
http://www.bitdefender.fr/scan_fr/scan8/ie.html

Panda en ligne :
http://pandasoftware.fr


scan en ligne firefox

https://www.trendmicro.com/fr_fr/business.html







_______________

encore des pbs?
0
Réponse 16 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 14:38
Ben j'ai pas l'impression d'avoir des problèmes, ca pourrait se manifester sous quelles formes ?
Il faut vraiment que je le fasse ce que tu m'a montré, ou que si j'ai des signes de faiblesse... Il vaut mieux le faire pour "prévenir" ou ce ne n'est pas utile ?
Et est ce que ce virus peut avoir causé des dégats ?? Gros ou pas ?
Réponds s'ilte plait...
0
Réponse 17 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 15:00
En fait internet plante souvant, y'a une fenetre débogage qui apparait, je fais ce que tu m'a donné ?
0
Réponse 18 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 15:35
oui fait le
0
Réponse 19 / 69
Vevin Messages postés 43 Date d'inscription mercredi 25 juillet 2007 Statut Membre Dernière intervention 19 février 2008
25 juil. 2007 à 16:20
J'ai un pblème avec AVG As car je l'ai installé, mais je n'arrive pas à le lencer...Donc je veux le supprimer (désinstaller pr reinstaller) mais ca ne marche pas, la barre de progression de la désinstallation est au début et n'avance pas...) Que dois je faire ?
Merci
0
Réponse 20 / 69
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
25 juil. 2007 à 16:23
desinstalle le en mode sans echec

http://www.depannetonpc.net/article213-le-mode-sans-echec.html
0

Discussions similaires

Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses