Demande d'aide pour éliminer un rootkit
Fermé
Ananda
-
16 mai 2008 à 02:24
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 19 mai 2008 à 09:58
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 19 mai 2008 à 09:58
A voir également:
- Demande d'aide pour éliminer un rootkit
- Éliminer les cookies - Guide
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Comment éliminer les publicités - Guide
- Comment eliminer une page dans word - Guide
7 réponses
Utilisateur anonyme
17 mai 2008 à 01:00
17 mai 2008 à 01:00
ok essaye ceci : (merci lyonnais92 ;) )
probablement la nouvelle infection Mebroot (au passage, détectée par Avast et pas par Antivir).
Pour éradiquer :
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Merci à Malekal pour le tutoriel
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
Réactive tes protections.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.
probablement la nouvelle infection Mebroot (au passage, détectée par Avast et pas par Antivir).
Pour éradiquer :
Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.
Merci à Malekal pour le tutoriel
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Double clique sur mbr.exe
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.
Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"
Réactive tes protections
Poste ce rapport et supprimes-le ensuite.
Pour vérifier
Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe et le nouveau mbr.log devrait être celui-ci :
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
Réactive tes protections.
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
Sous Vista, ne pas oublier de lancer mbr.exe par clic droit et Exécuter en tant qu'administrateur.
Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.
Utilisateur anonyme
16 mai 2008 à 03:15
16 mai 2008 à 03:15
bonjour Ananda,
peux tu téléchargé GenProc :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau
Ensuite dézippe le dossier puis double-clique sur le fichier GenProc.bat
Une fois qu'il a finit son analyse post le log qui vient de s'ouvrir dans Bloc note et reviens poster le log ici.
(suit les instructions une fois que tu m'auras posté le log)
Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
peux tu téléchargé GenProc :
http://www.alt-shift-return.org/Info/Fichiers/GenProc.zip sur ton bureau
Ensuite dézippe le dossier puis double-clique sur le fichier GenProc.bat
Une fois qu'il a finit son analyse post le log qui vient de s'ouvrir dans Bloc note et reviens poster le log ici.
(suit les instructions une fois que tu m'auras posté le log)
Aide en images : http://www.alt-shift-return.org/Info/GenProc-HowTo.html
Bonjour tenshi002 et merci pour ta réponse
Voila le rapport suite à l'éxécution Genpoc.bat
GenProc 1.951 [1] 16/05/2008 - Windows [XP] : Aucune infection caractéristique trouvée
Alors malgré ce rapport, je confirme que le problème est toujours là. Zonealarm m'alerte tous les quarts d'heure qu'un programme veut agir comme serveur et Avast me confirme que c'est un rootkit, toujours le meme.
Merci pour ton aide
Voila le rapport suite à l'éxécution Genpoc.bat
GenProc 1.951 [1] 16/05/2008 - Windows [XP] : Aucune infection caractéristique trouvée
Alors malgré ce rapport, je confirme que le problème est toujours là. Zonealarm m'alerte tous les quarts d'heure qu'un programme veut agir comme serveur et Avast me confirme que c'est un rootkit, toujours le meme.
Merci pour ton aide
Bonjour
oui en effet j'avais pas pas fais les 2 autres scans. Voilà c'est chose faite et en voici les rapports. Pour info a l'instant ou j'ecris je viens encore d'avoir une alerte d'Avast donc j'en déduis que ce vilain programme joue encore a cache cahe avec mes nerfs
MSNFix 1.716
C:\Documents and Settings\moi\Bureau\MSNFix\MSNFix
Fix exécuté le 16/05/2008 - 23:51:11,90 By moi
mode normal
************************ Recherche les fichiers présents
... C:\WINDOWS\Downloaded Program Files\setup.inf
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\Downloaded Program Files\setup.inf
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 16052008_23572962.zip
************************ HKLM\...\Winlogon\Userinit
Userinit = C:\WINDOWS\system32\userinit.exe,
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
BTFix 1.098 (par bibi26) - 16/05/2008 23:49:56 - Nettoyage - Mode normal
Lancé depuis C:\Documents and Settings\moi\Bureau\BTFix\BTFix\BTFix.exe
---> Fichiers/dossiers supprimés (Première passe)
- Fichiers temporaires effacés
---> Nettoyage terminé le 16/05/2008 23:50:00
oui en effet j'avais pas pas fais les 2 autres scans. Voilà c'est chose faite et en voici les rapports. Pour info a l'instant ou j'ecris je viens encore d'avoir une alerte d'Avast donc j'en déduis que ce vilain programme joue encore a cache cahe avec mes nerfs
MSNFix 1.716
C:\Documents and Settings\moi\Bureau\MSNFix\MSNFix
Fix exécuté le 16/05/2008 - 23:51:11,90 By moi
mode normal
************************ Recherche les fichiers présents
... C:\WINDOWS\Downloaded Program Files\setup.inf
************************ Recherche les dossiers présents
Aucun dossier trouvé
************************ Suppression des fichiers
.. OK ... C:\WINDOWS\Downloaded Program Files\setup.inf
************************ Nettoyage du registre
Les fichiers encore présents seront supprimés au prochain redémarrage
Aucun Fichier trouvé
************************ Fichiers suspects
Aucun Fichier trouvé
Les fichiers et clés de registre supprimés ont été sauvegardés dans le fichier 16052008_23572962.zip
************************ HKLM\...\Winlogon\Userinit
Userinit = C:\WINDOWS\system32\userinit.exe,
------------------------------------------------------------------------
Auteur : !aur3n7 Contact: https://www.ionos.fr/
------------------------------------------------------------------------
--------------------------------------------- END ---------------------------------------------
BTFix 1.098 (par bibi26) - 16/05/2008 23:49:56 - Nettoyage - Mode normal
Lancé depuis C:\Documents and Settings\moi\Bureau\BTFix\BTFix\BTFix.exe
---> Fichiers/dossiers supprimés (Première passe)
- Fichiers temporaires effacés
---> Nettoyage terminé le 16/05/2008 23:50:00
bonjour, ma niece vient d installer bitdefender sur son pc et il a détecté un rootkit mais elle peut pas le supprimer car il dit qu il est dans un dossier caché, bitdefender lui dit soit ne faire aucune action ou rendre visible alors que faut-il faire car elle ne s y connait pas en informatique, merci pour elle.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
19 mai 2008 à 07:56
19 mai 2008 à 07:56
Bonjour,
pour avancer tenshi002,
tu pourrais nous poster le rapport de mbr.exe avec un nouveau rapport Hijackthis.
C'est important pour nous d'accumuler des informations sur une infection nouvelle et sur les programmes d'éradication.
pour avancer tenshi002,
tu pourrais nous poster le rapport de mbr.exe avec un nouveau rapport Hijackthis.
C'est important pour nous d'accumuler des informations sur une infection nouvelle et sur les programmes d'éradication.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 536
19 mai 2008 à 09:58
19 mai 2008 à 09:58
Re,
j'ajoute ce à quoi je n'avais pas pensé;
Tu as écrit que Avast te le décelait et que Zone Alarm t'indiquait qu'un programme voulait se connecter en tant que serveur.
Je suppose que tu as refusé. Tu as eu tout à fait raison. C'est un comportement extrêmement suspect. Je ne dis pas ça pour toi, mais pour d'éventuels lecteurs de ce post moins avertis.
As tu retenu le nom du programme qui voulait agir en tant que serveur ? Si non tant pis.
Avais-tu d'autres symptômes "bizarres" (ralentissement, ouverture de fenêtre, ...) ?
Plus tu nous en dira, mieux on pourra aider les autres qui ont le même problème.
Merci.
j'ajoute ce à quoi je n'avais pas pensé;
Tu as écrit que Avast te le décelait et que Zone Alarm t'indiquait qu'un programme voulait se connecter en tant que serveur.
Je suppose que tu as refusé. Tu as eu tout à fait raison. C'est un comportement extrêmement suspect. Je ne dis pas ça pour toi, mais pour d'éventuels lecteurs de ce post moins avertis.
As tu retenu le nom du programme qui voulait agir en tant que serveur ? Si non tant pis.
Avais-tu d'autres symptômes "bizarres" (ralentissement, ouverture de fenêtre, ...) ?
Plus tu nous en dira, mieux on pourra aider les autres qui ont le même problème.
Merci.