Rootkit ?
Résolu
Iraya1
Messages postés
7
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis quelques temps il est arrivé que fréquemment je retrouve mes pages d'historique totalement vierge sans avoir fait de nettoyage, et que mon pc me fasse plusieurs "bug" récurrent (plantage lorsqu'on le redémarre, eteint etc.) donc j'ai commencé à chercher un peu plus.
J'ai remarqué que j'avais dans mon disque dur C:/ plusieurs fichiers étrangers, tels que "PhysicalMBR" (un fichier .bin) et un dossier appelé "net-snmp-compil-win" ainsi que deux autres dont je n'avais pas connaissance auparavant, nommé "dfu" (un document texte) et un "ftconfig", tous crée ou modifié plus ou moins à la même date.
J'ai réalisé un scan avec TDSSkiller de kaspersy labs afin de déterminer s'il était possible qu'un rootkit soit présent sur mon ordinateur, mais il n'a rien détecté.
Si quelqu'un pouvait m'aider à comprendre le problème sur mon pc et me donner un coup de main pour le résoudre je lui en serai très reconnaissant.
N.B.: en désinstallant des programmes (jeux, logiciels de performances) pour faire de la place sur mon pc, j'ai reçu un message me disant que la corbeille du disque C:/ était endommagée. Cependant pour la réparer, je reçois un message me disant que j'ai besoin de l'autorisation du programme AUTORISE NT/ (quelque chose comme ça, je n'ai pas pensé noter le message exact). Le problème peut-il être lié ?
D'avance merci.
Cdt,
Depuis quelques temps il est arrivé que fréquemment je retrouve mes pages d'historique totalement vierge sans avoir fait de nettoyage, et que mon pc me fasse plusieurs "bug" récurrent (plantage lorsqu'on le redémarre, eteint etc.) donc j'ai commencé à chercher un peu plus.
J'ai remarqué que j'avais dans mon disque dur C:/ plusieurs fichiers étrangers, tels que "PhysicalMBR" (un fichier .bin) et un dossier appelé "net-snmp-compil-win" ainsi que deux autres dont je n'avais pas connaissance auparavant, nommé "dfu" (un document texte) et un "ftconfig", tous crée ou modifié plus ou moins à la même date.
J'ai réalisé un scan avec TDSSkiller de kaspersy labs afin de déterminer s'il était possible qu'un rootkit soit présent sur mon ordinateur, mais il n'a rien détecté.
Si quelqu'un pouvait m'aider à comprendre le problème sur mon pc et me donner un coup de main pour le résoudre je lui en serai très reconnaissant.
N.B.: en désinstallant des programmes (jeux, logiciels de performances) pour faire de la place sur mon pc, j'ai reçu un message me disant que la corbeille du disque C:/ était endommagée. Cependant pour la réparer, je reçois un message me disant que j'ai besoin de l'autorisation du programme AUTORISE NT/ (quelque chose comme ça, je n'ai pas pensé noter le message exact). Le problème peut-il être lié ?
D'avance merci.
Cdt,
A voir également:
- Rootkit ?
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
4 réponses
Salut,
Pas l'air si TDSSKiller n'a rien détecté, pour aller plus loin :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
Pas l'air si TDSSKiller n'a rien détecté, pour aller plus loin :
Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).
Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
- FRST.txt
- Shortcut.txt
- Additionnal.txt
Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.
hummm...
envoie C:\Windows\SysWOW64\cfpsys.exe sur http://upload.malekal.com
envoie C:\Windows\SysWOW64\cfpsys.exe sur http://upload.malekal.com
Salut,
Je n'arrive pas à trouver cfpsys.exe. J'ai tenté de le retrouver avec windows+S et il me l'affiche, cependant quand je fais un clique droit : ouvrir l'emplacement du dossier, il me renvoie directement à SysWOW64, sans pour autant trouver cfpsys.exe dedans. Dois-je envoyer SysWOW64 en totalité ?
Cdt,
Je n'arrive pas à trouver cfpsys.exe. J'ai tenté de le retrouver avec windows+S et il me l'affiche, cependant quand je fais un clique droit : ouvrir l'emplacement du dossier, il me renvoie directement à SysWOW64, sans pour autant trouver cfpsys.exe dedans. Dois-je envoyer SysWOW64 en totalité ?
Cdt,
Fais ceci:
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Veuillez appuyer sur une touche pour continuer la désinfection...
Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:
Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.
Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur.
puis :
Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/
Veuillez appuyer sur une touche pour continuer la désinfection...
voici le fichier fixlog généré après la correction :
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:06-05-2016
Exécuté par AnToine (2016-05-05 16:02:55) Run:1
Exécuté depuis C:\Users\AnToine\Desktop
Profils chargés: AnToine (Profils disponibles: AnToine)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Warning: do not remove it! (system) => valeur supprimé(es) avec succès
C:\Windows\SysWOW64\cfpsys.exe => Aucun processus actif trouvé
Le système a dû redémarrer.
Résultats de correction de Farbar Recovery Scan Tool (x64) Version:06-05-2016
Exécuté par AnToine (2016-05-05 16:02:55) Run:1
Exécuté depuis C:\Users\AnToine\Desktop
Profils chargés: AnToine (Profils disponibles: AnToine)
Mode d'amorçage: Normal
==============================================
fixlist contenu:
CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:
Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Warning: do not remove it! (system) => valeur supprimé(es) avec succès
C:\Windows\SysWOW64\cfpsys.exe => Aucun processus actif trouvé
Le système a dû redémarrer.
Fin de Fixlog 16:03:54
Je ne peux pas envoyer le dossier Quarantine car il semble que le dossier soit vide et ne peut donc pas être compressé. (Je suppose que ça veut dire qu'il n'a pas trouvé de logiciels malveillants ?)
Bizarre car il était pourtant en train de tourner sur ton FRST.
Je pense que tu devrais changer tes mots de passe, en cas de doute.
Ca n'avait pas l'air clean ce fichier.
Faudrait voir si les plantages continuent, si oui, c'est peut-être matériel.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Je pense que tu devrais changer tes mots de passe, en cas de doute.
Ca n'avait pas l'air clean ce fichier.
Faudrait voir si les plantages continuent, si oui, c'est peut-être matériel.
Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
Salut !
Je vais changer mes mots de passe, tu as raison ça fait un moment que je ne les ai pas changé.
Le scan a été très long (presque 7 heures), désolé pour l'heure tardive.
voici le lien du rapport :
https://pjjoint.malekal.com/files.php?id=20160506_u15m15e11i15n12
Par précaution je n'ai encore pas touché à la zone de quarantaine, je préfère attendre d'avoir ton feu vert sur les applications à supprimer etc.
Bonne nuit.
Cdt,
Je vais changer mes mots de passe, tu as raison ça fait un moment que je ne les ai pas changé.
Le scan a été très long (presque 7 heures), désolé pour l'heure tardive.
voici le lien du rapport :
https://pjjoint.malekal.com/files.php?id=20160506_u15m15e11i15n12
Par précaution je n'ai encore pas touché à la zone de quarantaine, je préfère attendre d'avoir ton feu vert sur les applications à supprimer etc.
Bonne nuit.
Cdt,
Voici les trois liens :
-FRST: https://pjjoint.malekal.com/files.php?id=FRST_20160504_v14l8b9b15k7
-Additional: https://pjjoint.malekal.com/files.php?id=20160504_h12e5w11n11t8
-Shortcut: https://pjjoint.malekal.com/files.php?id=20160504_u12n11y9h11e10
Bonne soirée.
Cdt,