Rootkit ? Résolu/Fermé

Question

Bonjour, 

Depuis quelques temps il est arrivé que fréquemment je retrouve mes pages d'historique totalement vierge sans avoir fait de nettoyage, et que mon pc me fasse plusieurs "bug" récurrent (plantage lorsqu'on le redémarre, eteint etc.) donc j'ai commencé à chercher un peu plus. 

J'ai remarqué que j'avais dans mon disque dur C:/ plusieurs fichiers étrangers, tels que "PhysicalMBR" (un fichier .bin) et un dossier appelé "net-snmp-compil-win" ainsi que deux autres dont je n'avais pas connaissance auparavant, nommé "dfu" (un document texte) et un "ftconfig", tous crée ou modifié plus ou moins à la même date.

J'ai réalisé un scan avec TDSSkiller de kaspersy labs afin de déterminer s'il était possible qu'un rootkit soit présent sur mon ordinateur, mais il n'a rien détecté.

Si quelqu'un pouvait m'aider à comprendre le problème sur mon pc et me donner un coup de main pour le résoudre je lui en serai très reconnaissant. 

N.B.: en désinstallant des programmes (jeux, logiciels de performances) pour faire de la place sur mon pc, j'ai reçu un message me disant que la corbeille du disque C:/ était endommagée. Cependant pour la réparer, je reçois un message me disant que j'ai besoin de l'autorisation du programme AUTORISE NT/ (quelque chose comme ça, je n'ai pas pensé noter le message exact). Le problème peut-il être lié ? 

D'avance merci.

Cdt,

Malekal_morte- · Answer

Salut,

Pas l'air si TDSSKiller n'a rien détecté, pour aller plus loin :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :

 FRST.txt
 Shortcut.txt
 Additionnal.txt

Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Malekal_morte- · Answer

hummm...
envoie C:\Windows\SysWOW64\cfpsys.exe sur http://upload.malekal.com

Malekal_morte- · Answer

Fais ceci:

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R, 
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:CloseProcesses:HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exereboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


puis :

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST" 
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
 
 
Veuillez appuyer sur une touche pour continuer la désinfection...

Malekal_morte- · Answer

Bizarre car il était pourtant en train de tourner sur ton FRST.
Je pense que tu devrais changer tes mots de passe, en cas de doute. 
Ca n'avait pas l'air clean ce fichier.

Faudrait voir si les plantages continuent, si oui, c'est peut-être matériel.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.

Rootkit ?

4 réponses

Fin de Fixlog 16:03:54

Discussions similaires