Infecté par rootkit-gen . Comment faire

welcomeulm Messages postés 189 Statut Membre -  
welcomeulm Messages postés 189 Statut Membre -
Bonjour,

Je suis tres tres embété. j'ai un ordinateur qui est infecté par rootkit-gen et je n'arrive pas à le supprimer. Dès que je lance avast, ad aware ou spy bot, il les fait planter et je ne peux plu rien faire.

De même, je n'arrive plus à avoir accés au poste de travail...

Que faire

Par avance merci
Configuration: Windows XP
Internet Explorer 7.0

12 réponses

  1. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    Salut !!

    Fais un rapport hijackthis stp :

    Télécharge sur le bureau hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

    -une fois installé sur le bureau, le renommer scan.exe
    -Double-clic dessus
    - Clic sur "Do a system scan and save the log"
    - copier le rapport, le coller dans la réponse
    0
  2. welcomeulm Messages postés 189 Statut Membre 5
     
    Je viens de faire un scan au demarrage en mode sans echec avec avast
    et il a l'air de m'avoir enlevé le virus.

    J'ai maintenant accés au poste de travail et au réseau !!

    Je passe tout de même ad aware et spybot au cas ou !!

    Est ce que cela va suffire

    par avance

    merci
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. geoffrey5 Messages postés 14008 Statut Contributeur sécurité 10
     
    ok mais fais quand meme un rapport avec hijackthis pour voir si il n y aurait pas d autres infections
    0
  5. welcomeulm Messages postés 189 Statut Membre 5
     
    Voila la réponse de hijackthis

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 16:17:03, on 05/06/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16640)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\VTTimer.exe
    C:\WINDOWS\system32\VTtrayp.exe
    C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    C:\Program Files\QuickTime\qttask.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Program Files\WinZip\WZQKPICK.EXE
    C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
    C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\system32\LMabcoms.exe
    C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashQuick.exe
    C:\Documents and Settings\MFR DE LUCQUY\Bureau\Scan.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
    O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
    O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
    O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
    O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
    O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
    O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O17 - HKLM\System\CCS\Services\Tcpip\..\{EB937449-933A-495C-BA1A-E8FA9ADF1948}: NameServer = 194.2.0.20,194.2.0.50
    O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
    O23 - Service: lmab_device - Lexmark International, Inc. - C:\WINDOWS\system32\LMabcoms.exe
    0
  6. totobetourne Messages postés 5677 Statut Membre 65
     
    c est le faux positif que avast reconnait comme rootkit dans ce fichier

    C:\WINDOWS\system32\svchost.exe
    il ne faut pas le supprimer et si il est en quarantaine il faut le restaurer, d ici quelques jours avec les mise a jour il ne sera plus reconnu comme rootkit si avast fait bien son boulot.

    si il est supprimer attendre une reponse dans les divers forum ou sur le site officiel pour la manipulation a effectuee.
    0
  7. welcomeulm Messages postés 189 Statut Membre 5
     
    C:\WINDOWS\system32\svchost.exe ne semble pas en quarantaine.

    JE viens de finir l'analyse avast et il m'a trouvé 2 virus que j'ai aussi mis en quarantaine.
    JE vais maintenant passer spybot.

    Y'a t-il d'autres choses à faire ??

    mon ordi risque-t-il encore quelque chose ?

    par avance merci
    0
  8. welcomeulm Messages postés 189 Statut Membre 5
     
    OK merci pour cette aide

    tout refonctionne... jusqu'à la prochaine
    0
  9. totobetourne Messages postés 5677 Statut Membre 65
     
    je te dirai simplement de passer d avast a antivir comme indique plus haut.bcp plus performant pour l instant.
    si pb de desinstallation d avast voir telechargement dans commentcamarche il y a un utilitaire qui t aide a le desinstaller.

    et qu il faut avoir un vrai pare feu car celui de windows c est de la pure merde.
    voir dans section telechargement de commentcamarche, les pare feu, ceux en anglais sont les plus efficace(amor online et comodo pro firewall 3, amor n est pas compatible vista)
    il y a aussi kerio et zone alarm en francais qui sont bien.
    0
  10. welcomeulm Messages postés 189 Statut Membre 5
     
    EN fait je travaille dans un collége et y'a une personne qui doit avoir une clé USB d'infécté. Je vais donc y veiller

    On fonctionne en Intranet avec un gros par feu géré par un admin extérieur. Donc le problème ne peut pas venir de là.

    JE te remercie encore pour ton aide
    0