Infecté par rootkit-gen . Comment faire Fermé

Question

Bonjour,


Je suis tres tres embété. j'ai un ordinateur qui est infecté par rootkit-gen et je n'arrive pas à le supprimer. Dès que je lance avast, ad aware ou spy bot, il les fait planter et je ne peux plu rien faire.

De même, je n'arrive plus à avoir accés au poste de travail...

Que faire 

Par avance merci

jeager · Answer

salut
aide toi avec ce post !

http://www.commentcamarche.net/forum/affich 6139446 win32 rootkit gen rtk

geoffrey5 · Answer

Salut !!

Fais un rapport hijackthis stp : 

Télécharge sur le bureau hijackthis : http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe

-une fois installé sur le bureau, le renommer scan.exe
-Double-clic dessus 
- Clic sur "Do a system scan and save the log" 
- copier le rapport, le coller dans la réponse

katie · Answer

http://make-everything.blogspot.com/2007/12/how-to-remove-rvhostexe-malware.html

welcomeulm · Answer

Je viens de faire un scan au demarrage en mode sans echec avec avast
et il a l'air de m'avoir enlevé le virus.

J'ai maintenant accés au poste de travail et au réseau !!

Je passe tout de même ad aware et spybot au cas ou !!

Est ce que cela va suffire

par avance

merci

geoffrey5 · Answer

ok mais fais quand meme un rapport avec hijackthis pour voir si il n y aurait pas d autres infections

welcomeulm · Answer

Voila la réponse de hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:17:03, on 05/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\WinZip\WZQKPICK.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\LMabcoms.exe
C:\Program Files\Lavasoft\Ad-Aware\Ad-Aware.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashQuick.exe
C:\Documents and Settings\MFR DE LUCQUY\Bureau\Scan.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Démarrage rapide du logiciel HP Image Zone.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB937449-933A-495C-BA1A-E8FA9ADF1948}: NameServer = 194.2.0.20,194.2.0.50
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: lmab_device - Lexmark International, Inc. - C:\WINDOWS\system32\LMabcoms.exe

totobetourne · Answer

c est le faux positif que avast reconnait comme rootkit dans ce fichier

C:\WINDOWS\system32\svchost.exe
il ne faut pas le supprimer et si il est en quarantaine il faut le restaurer, d ici quelques jours avec les mise a jour il ne sera plus reconnu comme rootkit si avast fait bien son boulot.

si il est supprimer attendre une reponse dans les divers forum ou sur le site officiel pour la manipulation a effectuee.

geoffrey5 · Answer

je ne vois pas d infection sur ton rapport

Mais je te conseillerais de désinstaller avast et de prendre antivir qui est plus efficace : https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/13198.html

Et de prendre aussi ces 2 antispyware là : 

https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/26157.html

https://www.01net.com/telecharger/

welcomeulm · Answer

C:\WINDOWS\system32\svchost.exe  ne semble pas en quarantaine.

JE viens de finir l'analyse avast et il m'a trouvé 2 virus que j'ai aussi mis en quarantaine. 
JE vais maintenant passer spybot.

Y'a t-il d'autres choses à faire ??

mon ordi risque-t-il encore quelque chose ?

par avance merci

welcomeulm · Answer

OK merci pour cette aide

tout refonctionne... jusqu'à la prochaine

totobetourne · Answer

je te dirai simplement de passer d avast a antivir comme indique plus haut.bcp plus performant pour l instant.
si pb de desinstallation d avast  voir telechargement dans commentcamarche il y a un utilitaire qui t aide a le desinstaller.

et qu il faut avoir un vrai pare feu car celui de windows c est de la pure merde.
voir dans section telechargement de commentcamarche, les pare feu, ceux en anglais sont les plus efficace(amor online et comodo pro firewall 3, amor n est pas compatible vista)
il y a aussi kerio et zone alarm en francais qui sont bien.

welcomeulm · Answer

EN fait je travaille dans un collége et y'a une personne qui doit avoir une clé USB d'infécté. Je vais donc y veiller

On fonctionne en Intranet avec un gros par feu géré par un admin extérieur. Donc le problème ne peut pas venir de là.

JE te remercie encore pour ton aide

Infecté par rootkit-gen . Comment faire

12 réponses

Discussions similaires