Rootkit ?
Résolu/Fermé
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
-
4 mai 2016 à 19:25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 mai 2016 à 15:18
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 mai 2016 à 15:18
A voir également:
- Rootkit ?
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Anti rootkit gratuit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Malwarebytes anti-rootkit - Télécharger - Antivirus & Antimalwares
4 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
4 mai 2016 à 19:31
4 mai 2016 à 19:31
Salut,
Pas l'air si TDSSKiller n'a rien détecté, pour aller plus loin :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pas l'air si TDSSKiller n'a rien détecté, pour aller plus loin :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
5 mai 2016 à 12:22
5 mai 2016 à 12:22
hummm...
envoie C:\Windows\SysWOW64\cfpsys.exe sur http://upload.malekal.com
envoie C:\Windows\SysWOW64\cfpsys.exe sur http://upload.malekal.com
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
5 mai 2016 à 15:42
5 mai 2016 à 15:42
Salut,
Je n'arrive pas à trouver cfpsys.exe. J'ai tenté de le retrouver avec windows+S et il me l'affiche, cependant quand je fais un clique droit : ouvrir l'emplacement du dossier, il me renvoie directement à SysWOW64, sans pour autant trouver cfpsys.exe dedans. Dois-je envoyer SysWOW64 en totalité ?
Cdt,
Je n'arrive pas à trouver cfpsys.exe. J'ai tenté de le retrouver avec windows+S et il me l'affiche, cependant quand je fais un clique droit : ouvrir l'emplacement du dossier, il me renvoie directement à SysWOW64, sans pour autant trouver cfpsys.exe dedans. Dois-je envoyer SysWOW64 en totalité ?
Cdt,
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
>
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
5 mai 2016 à 15:45
5 mai 2016 à 15:45
Non,
vas sur http://upload.malekal.com/
puis disque c => Windows => SysWOW64
et tu dois pouvoir sélectionner cfpsys.exe
puis envoyer.
vas sur http://upload.malekal.com/
puis disque c => Windows => SysWOW64
et tu dois pouvoir sélectionner cfpsys.exe
puis envoyer.
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
5 mai 2016 à 15:51
5 mai 2016 à 15:51
Là non plus le fichier n’apparaît pas.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié par Malekal_morte- le 5/05/2016 à 15:56
Modifié par Malekal_morte- le 5/05/2016 à 15:56
Fais ceci:
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Veuillez appuyer sur une touche pour continuer la désinfection...
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Veuillez appuyer sur une touche pour continuer la désinfection...
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
5 mai 2016 à 16:26
5 mai 2016 à 16:26
voici le fichier fixlog généré après la correction :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:06-05-2016
Exécuté par AnToine (2016-05-05 16:02:55) Run:1
Exécuté depuis C:\Users\AnToine\Desktop
Profils chargés: AnToine (Profils disponibles: AnToine)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Warning: do not remove it! (system) => valeur supprimé(es) avec succès
C:\Windows\SysWOW64\cfpsys.exe => Aucun processus actif trouvé
Le système a dû redémarrer.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:06-05-2016
Exécuté par AnToine (2016-05-05 16:02:55) Run:1
Exécuté depuis C:\Users\AnToine\Desktop
Profils chargés: AnToine (Profils disponibles: AnToine)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Warning: do not remove it! (system) => valeur supprimé(es) avec succès
C:\Windows\SysWOW64\cfpsys.exe => Aucun processus actif trouvé
Le système a dû redémarrer.
Fin de Fixlog 16:03:54
Je ne peux pas envoyer le dossier Quarantine car il semble que le dossier soit vide et ne peut donc pas être compressé. (Je suppose que ça veut dire qu'il n'a pas trouvé de logiciels malveillants ?)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
5 mai 2016 à 17:46
5 mai 2016 à 17:46
Bizarre car il était pourtant en train de tourner sur ton FRST.
Je pense que tu devrais changer tes mots de passe, en cas de doute.
Ca n'avait pas l'air clean ce fichier.
Faudrait voir si les plantages continuent, si oui, c'est peut-être matériel.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Je pense que tu devrais changer tes mots de passe, en cas de doute.
Ca n'avait pas l'air clean ce fichier.
Faudrait voir si les plantages continuent, si oui, c'est peut-être matériel.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
6 mai 2016 à 01:37
6 mai 2016 à 01:37
Salut !
Je vais changer mes mots de passe, tu as raison ça fait un moment que je ne les ai pas changé.
Le scan a été très long (presque 7 heures), désolé pour l'heure tardive.
voici le lien du rapport :
https://pjjoint.malekal.com/files.php?id=20160506_u15m15e11i15n12
Par précaution je n'ai encore pas touché à la zone de quarantaine, je préfère attendre d'avoir ton feu vert sur les applications à supprimer etc.
Bonne nuit.
Cdt,
Je vais changer mes mots de passe, tu as raison ça fait un moment que je ne les ai pas changé.
Le scan a été très long (presque 7 heures), désolé pour l'heure tardive.
voici le lien du rapport :
https://pjjoint.malekal.com/files.php?id=20160506_u15m15e11i15n12
Par précaution je n'ai encore pas touché à la zone de quarantaine, je préfère attendre d'avoir ton feu vert sur les applications à supprimer etc.
Bonne nuit.
Cdt,
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
>
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
6 mai 2016 à 10:37
6 mai 2016 à 10:37
Pas grand chose.
Ca me semble correct =)
Ca me semble correct =)
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
6 mai 2016 à 15:09
6 mai 2016 à 15:09
Ok plus de peur que de mal alors, je vais rester vigilent pendant qq temps et changer tout ce qui est mdp. :)
Merci pour ton aide, c’est vraiment un plus non négligeable de pouvoir se faire aider par quelqu'un qui s'y connait bien.
Bonne journée.
Cdt,
Merci pour ton aide, c’est vraiment un plus non négligeable de pouvoir se faire aider par quelqu'un qui s'y connait bien.
Bonne journée.
Cdt,
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
>
Iraya1
Messages postés
7
Date d'inscription
mercredi 4 mai 2016
Statut
Membre
Dernière intervention
6 mai 2016
6 mai 2016 à 15:18
6 mai 2016 à 15:18
bon courage =)
Modifié par Iraya1 le 4/05/2016 à 21:52
Voici les trois liens :
-FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160504_v14l8b9b15k7
-Additional: https://pjjoint.malekal.com/files.php?id=20160504_h12e5w11n11t8
-Shortcut: https://pjjoint.malekal.com/files.php?id=20160504_u12n11y9h11e10
Bonne soirée.
Cdt,