Rootkit a pris le controle total
new_wifi
Messages postés
30
Statut
Membre
-
pl14 -
pl14 -
Bonjour ,
je voudrais avant tout remercier les concepteurs de ce site et aussi ceux qui y participent
j'ai fais la rencontre d'un rootkit ,qui a pris le controle total de ma machine ,
voici ce que j'ai remarqué:
- winlogon est constemment connecter a cette ip :81.95.146.251
- et j'ai remarque ( je pense que c'est winlogon qui les telecharge) la presence des fichiers vrr5.tmp,vrr10.tmp et autre dans windows\temp
-j'ai installer netlimiet pour verifier ma bande passante, et le rookit a desintegre le service de netlimiter , donc marche pas
-et lorsque j'essais d'ouvrir un programme celui -ci me dit que sa table (signature , un truc de ce genre )ou son contenu a été modifiée et que je suis peut etre infecté, il peut devenir donc lui meme un virus , on m'a parlé aussi d'un virus qui infecte tout les exe , qu'est ce que vous en pensez?
-j'ai 4 partitions , la partion principale avait été infectée par ce meme rookit une 1ere fois , j'ai donc formater , et reinstaller windows , mais dès que j'ai ouvert la session pour la premiere fois sur le nouveau windows installé j'ai remarqué les memes symptomes (je conclus que le virus est sur 1 autre partition peut etre )
-et quand j'essaie d'ouvrir une application legitime qui doit installer un servcie ou un driver pour marcher , il bloque l'acces , par exemple ,lorsque j'ouvre rootkit revealer , ce message apparait "unable to installe rootkit revealer service :une operation d'entrée/sortie avec chevauchement est en cours d'execution
je voudrais avant tout remercier les concepteurs de ce site et aussi ceux qui y participent
j'ai fais la rencontre d'un rootkit ,qui a pris le controle total de ma machine ,
voici ce que j'ai remarqué:
- winlogon est constemment connecter a cette ip :81.95.146.251
- et j'ai remarque ( je pense que c'est winlogon qui les telecharge) la presence des fichiers vrr5.tmp,vrr10.tmp et autre dans windows\temp
-j'ai installer netlimiet pour verifier ma bande passante, et le rookit a desintegre le service de netlimiter , donc marche pas
-et lorsque j'essais d'ouvrir un programme celui -ci me dit que sa table (signature , un truc de ce genre )ou son contenu a été modifiée et que je suis peut etre infecté, il peut devenir donc lui meme un virus , on m'a parlé aussi d'un virus qui infecte tout les exe , qu'est ce que vous en pensez?
-j'ai 4 partitions , la partion principale avait été infectée par ce meme rookit une 1ere fois , j'ai donc formater , et reinstaller windows , mais dès que j'ai ouvert la session pour la premiere fois sur le nouveau windows installé j'ai remarqué les memes symptomes (je conclus que le virus est sur 1 autre partition peut etre )
-et quand j'essaie d'ouvrir une application legitime qui doit installer un servcie ou un driver pour marcher , il bloque l'acces , par exemple ,lorsque j'ouvre rootkit revealer , ce message apparait "unable to installe rootkit revealer service :une operation d'entrée/sortie avec chevauchement est en cours d'execution
A voir également:
- Rootkit a pris le controle total
- Total uninstall - Télécharger - Divers Utilitaires
- Fan controle - Télécharger - Optimisation
- Total video converter - Télécharger - Conversion & Codecs
- Formule total excel - Guide
- Total bug caf - Guide
5 réponses
Bonsoir.
Voici où pointe cette adresse IP:
http://www.dnsstuff.com/tools/whois.ch?ip=81.95.146.251
Télécharger FixWareout.exe :
http://downloads.subratam.org/Fixwareout.exe
ou
http://download.bleepingcomputer.com/lonny/Fixwareout.exe
Enregistrer le fichier sur le Bureau.
Fermer tous les programmes en cours..
Double-clic sur FixWareout.exe pour le lancer.
Clic sur Next, puis sur Install
Vérifier que la case Run fixit est cochée et clic sur Finish.
Suivre les messages affichés dans la fenêtre type DOS:
"Appuyer sur une touche pour continuer ...", appuyer n'importe quelle touche du clavier.
Il est demandé de redémarrer l'ordinateur:
A l'affichage d'une fenêtre 'BFU', "Please allow your system to reboot ...": cliquer sur OK.
A l'affichage d'une fenêtre 'System Settings Change', "You must restart your computer before the new settings ...": cliquer sur Oui/Yes.
Le système va mettre plus de temps que d'habitude pour démarrer: c'est normal.
Après le redémarrage, suivre les invites des messages:
-Affichage d'une fenêtre 'BFU', "Beginning fix;", cliquer sur OK.
-Affichage d'une fenêtre 'BFU', "Still working. Please be patient.", cliquer sur OK.
-Affichage d'une fenêtre 'BFU', "Finished!", cliquer sur OK.
Un rapport C:\fixwareout\report.txt sera créé, copier-coller ce dernier dans la prochaine réponse avec un nouveau rapport Hijackthis établi en mode normal.
Si nécessaire
Aller dans Démarrer - Panneau de configuration - Connexions, clic droit sur la connexion - Propriétés - onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (TCP/IP) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 :
(85.255.114.73 85.255.112.227 etc...)
Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.
Pour Hijackthis:
Installe cet utilitaire (Hijackthis):
http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download
Tutoriel par Bruce Lee
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe
Lance-le par [b]Do a system scan and save a logfile[/b].
A la fin du scan, un blocnote va s'ouvrir, enregistre le sous [b]HJT1.txt[/b].
Puis sans le fermer :
CTRL+A pour tout sélectionner
CTRL+C pour copier
CTRL+V pour coller dans la réponse
Et tu le refermes pour le moment.
[b]Tu attends les résultats de l'analyse.[/b]
Voici où pointe cette adresse IP:
http://www.dnsstuff.com/tools/whois.ch?ip=81.95.146.251
Télécharger FixWareout.exe :
http://downloads.subratam.org/Fixwareout.exe
ou
http://download.bleepingcomputer.com/lonny/Fixwareout.exe
Enregistrer le fichier sur le Bureau.
Fermer tous les programmes en cours..
Double-clic sur FixWareout.exe pour le lancer.
Clic sur Next, puis sur Install
Vérifier que la case Run fixit est cochée et clic sur Finish.
Suivre les messages affichés dans la fenêtre type DOS:
"Appuyer sur une touche pour continuer ...", appuyer n'importe quelle touche du clavier.
Il est demandé de redémarrer l'ordinateur:
A l'affichage d'une fenêtre 'BFU', "Please allow your system to reboot ...": cliquer sur OK.
A l'affichage d'une fenêtre 'System Settings Change', "You must restart your computer before the new settings ...": cliquer sur Oui/Yes.
Le système va mettre plus de temps que d'habitude pour démarrer: c'est normal.
Après le redémarrage, suivre les invites des messages:
-Affichage d'une fenêtre 'BFU', "Beginning fix;", cliquer sur OK.
-Affichage d'une fenêtre 'BFU', "Still working. Please be patient.", cliquer sur OK.
-Affichage d'une fenêtre 'BFU', "Finished!", cliquer sur OK.
Un rapport C:\fixwareout\report.txt sera créé, copier-coller ce dernier dans la prochaine réponse avec un nouveau rapport Hijackthis établi en mode normal.
Si nécessaire
Aller dans Démarrer - Panneau de configuration - Connexions, clic droit sur la connexion - Propriétés - onglet Gestion de réseau
Mettre en surbrillance Protocole Internet (TCP/IP) puis cliquer sur le bouton Propriétés.
Dans les options (serveur DNS préféré et serveur DNS auxiliaire) on trouvera une de ces adresses présentes dans le rapport hijackthis en ligne 017 :
(85.255.114.73 85.255.112.227 etc...)
Pour les éliminer, cocher : "Obtenir les adresses des serveurs DNS automatiquement" puis cliquer 2 fois sur"Ok" et redémarrer le PC.
Pour Hijackthis:
Installe cet utilitaire (Hijackthis):
http://www.trendsecure.com/portal/en-US/threat_analytics/hijackthis.php?page=download
Tutoriel par Bruce Lee
http://cybersecurite.xooit.com/t138-HijackThis-2-0-2.htm
Il sera dans C:\Program Files\TrendMicro\HijackThis2.0.2\HijackThis.exe
Lance-le par [b]Do a system scan and save a logfile[/b].
A la fin du scan, un blocnote va s'ouvrir, enregistre le sous [b]HJT1.txt[/b].
Puis sans le fermer :
CTRL+A pour tout sélectionner
CTRL+C pour copier
CTRL+V pour coller dans la réponse
Et tu le refermes pour le moment.
[b]Tu attends les résultats de l'analyse.[/b]
je viens d'apprendre par kapersky que je suis infecte par virus.win32.virut.q
donc tout mes fichiers exe sont infecté
donc tout mes fichiers exe sont infecté
Bonjour,
Applique ceci:
[u]Étape 1: Téléchargement de l'outil de désinfection[/u]
Télécharge [b]eScan Antivirus Toolkit[/b] : http://www.spywareinfo.dk/download/mwav.exe
sur ton Bureau ou dans un dossier prédéfini, au choix.
L'important est de le retrouver.
[u]Étape 2: Installation et Mise à jour avant usage[/u]
1.) Ouvre le fichier [b]mwav.exe[/b], décompresse les fichiers dans le nouveau dossier suggéré, Kaspersky, situé à la racine du lecteur C:\
Tu obtiens donc C:\Kaspersky.
Le programme va se lancer, et tu dois le quitter, clique sur "Exit" puis "Exit" dans la fenêtre suivante.
2.) Double-clique sur le Poste de travail, puis double-clique sur C:\, ouvre le dossier Kaspersky, lance le fichier [b]kavupd.exe[/b].
Tu verras une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera effectuée, tu verras [b]Press any key to continue[/b] à la fin de la page, enfonce une touche pour continuer.
La fenêtre va se fermer.
[couleur=#f00e00]Ne pas lancer le scan tout de suite.[/couleur]
[u]Étape 3: Redémarre en mode Sans Échec[/u]
Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire.
Il faut choisir la même session qu'en mode normal.
[i]En cas d'impossibilité applique cette méthode:[/i]
Dans Démarrer/Exécuter, tu tapes [b]msconfig[/b].
Dans l'onglet Boot-ini, coche /SAFEBOOT et clique sur OK.
Redémarre.
(Il ne faudra pas oublier de faire le chemin inverse en décochant pour redémarrer en mode normal.)
[u]Etape 4 : Désinfection[/u]
1.)Ouvre le fichier [b]mwavscan.com[/b] situé dans le dossier C:\Kaspersky, l'interface d'eScan va apparaître à l'écran.
Tu peux cliquer sur la colonne Type pour classer tous les fichiers exe en tête.
2.) Il est très important de bien cocher : Memory, Registry, Startup Folders, System Folders, Services.
3.) Coche Drive, ce qui ouvre un bouton rond juste au-dessous, coche ce bouton "Drive" et tu verras une nouvelle boîte de navigation apparaître à la droite.
Clique sur la petite flèche de cette boîte et choisis la lettre de ton disque dur, habituellement C:\.
Par défaut elle s'ouvre sur A:\
4.) Juste au-dessous, assure-toi que [b]Scan All Files[/b] est coché, et non Program Files.
5.) Clique sur Scan Clean et laisse l'outil vérifier tout le disque dur.
Cela peut prendre du temps selon le niveau de contamination.
Lorsque que le scan sera terminé, tu verras [b]Scan Completed[/b].
[i]Pour info, le scan a pris 13 minutes sur ma machine virtuelle avec XPhome.[/i]
Ne quitte pas tout de suite !
6.) Ouvre un nouveau fichier Blocnote ou Wordpad ("Démarrer" - "Programmes" - "Accessoires" - "Bloc notes" ou "Wordpad"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (celle du bas) dans ce fichier , enregistres-le puis postes-le dans ta prochaine réponse.
[i]eScan génère également un rapport complet dans le dossier C:\Kaspersky, nommé [b]mwav.log[/b], mais il est trop lourd pour le poster sur un forum.)[/i]
Si nécessaire refais le scan au moins une fois.
Et bien sûr, donne des nouvelles.
Applique ceci:
[u]Étape 1: Téléchargement de l'outil de désinfection[/u]
Télécharge [b]eScan Antivirus Toolkit[/b] : http://www.spywareinfo.dk/download/mwav.exe
sur ton Bureau ou dans un dossier prédéfini, au choix.
L'important est de le retrouver.
[u]Étape 2: Installation et Mise à jour avant usage[/u]
1.) Ouvre le fichier [b]mwav.exe[/b], décompresse les fichiers dans le nouveau dossier suggéré, Kaspersky, situé à la racine du lecteur C:\
Tu obtiens donc C:\Kaspersky.
Le programme va se lancer, et tu dois le quitter, clique sur "Exit" puis "Exit" dans la fenêtre suivante.
2.) Double-clique sur le Poste de travail, puis double-clique sur C:\, ouvre le dossier Kaspersky, lance le fichier [b]kavupd.exe[/b].
Tu verras une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.
3.) Lorsque la mise à jour sera effectuée, tu verras [b]Press any key to continue[/b] à la fin de la page, enfonce une touche pour continuer.
La fenêtre va se fermer.
[couleur=#f00e00]Ne pas lancer le scan tout de suite.[/couleur]
[u]Étape 3: Redémarre en mode Sans Échec[/u]
Après la fermeture de la première fenêtre, au tout début de la phase de démarrage du PC (boot), appuyer sur F8.
Une fenêtre de type DOS s'ouvre, sélectionner Mode sans échec à l'aide des flèches du clavier et cliquer sur Entrée (Enter)
Ne t'inquiète pas de l'aspect, Windows démarre avec le minimum nécessaire.
Il faut choisir la même session qu'en mode normal.
[i]En cas d'impossibilité applique cette méthode:[/i]
Dans Démarrer/Exécuter, tu tapes [b]msconfig[/b].
Dans l'onglet Boot-ini, coche /SAFEBOOT et clique sur OK.
Redémarre.
(Il ne faudra pas oublier de faire le chemin inverse en décochant pour redémarrer en mode normal.)
[u]Etape 4 : Désinfection[/u]
1.)Ouvre le fichier [b]mwavscan.com[/b] situé dans le dossier C:\Kaspersky, l'interface d'eScan va apparaître à l'écran.
Tu peux cliquer sur la colonne Type pour classer tous les fichiers exe en tête.
2.) Il est très important de bien cocher : Memory, Registry, Startup Folders, System Folders, Services.
3.) Coche Drive, ce qui ouvre un bouton rond juste au-dessous, coche ce bouton "Drive" et tu verras une nouvelle boîte de navigation apparaître à la droite.
Clique sur la petite flèche de cette boîte et choisis la lettre de ton disque dur, habituellement C:\.
Par défaut elle s'ouvre sur A:\
4.) Juste au-dessous, assure-toi que [b]Scan All Files[/b] est coché, et non Program Files.
5.) Clique sur Scan Clean et laisse l'outil vérifier tout le disque dur.
Cela peut prendre du temps selon le niveau de contamination.
Lorsque que le scan sera terminé, tu verras [b]Scan Completed[/b].
[i]Pour info, le scan a pris 13 minutes sur ma machine virtuelle avec XPhome.[/i]
Ne quitte pas tout de suite !
6.) Ouvre un nouveau fichier Blocnote ou Wordpad ("Démarrer" - "Programmes" - "Accessoires" - "Bloc notes" ou "Wordpad"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (celle du bas) dans ce fichier , enregistres-le puis postes-le dans ta prochaine réponse.
[i]eScan génère également un rapport complet dans le dossier C:\Kaspersky, nommé [b]mwav.log[/b], mais il est trop lourd pour le poster sur un forum.)[/i]
Si nécessaire refais le scan au moins une fois.
Et bien sûr, donne des nouvelles.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
