[rootkit gen32] besoin d'aide

Résolu
kenny -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour,

j'ai un PC portable acer aspire 5100 qui tourne sous Vista. J'ai avast antivirus qui m'a détecté un rootkit du doux nom de Gen32 y a une semaine j'ai cherché des infos pour supprimer la chose et AVG antirootkit s'installe mais est inutilisable, idem pour Avira antirootkit donc je sais pas trop quoi faire. je sais pas ce qu'est un rootkit mais ce que je sais c'est que l'ordi galère (lenteurs, refus d'ouvrir des progs des fois, deux fois il s'est éteint tout seul comme si je retirai la prise) et que avast ne trouve rien après scan.

pouvez vous m'aider ?

Merci d'avance!
Configuration: Windows Vista
Firefox 2.0.0.14

13 réponses

  1. fiat500 Messages postés 2681 Statut Membre 82
     
    bonjour et bienvenu

    telecharge hijackthis fais un scan et colle moi le log ici:

    https://www.01net.com/telecharger/windows/Securite/anti-spyware/fiches/29061.html

    tuto:

    https://forums.cnetfrance.fr
    0
    1. kenny
       
      Merci pour ton aide!

      j'ai donc installé, renommé et lancé le scan dont voici le résultat !

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 14:23:57, on 11/06/2008
      Platform: Windows Vista (WinNT 6.00.1904)
      MSIE: Internet Explorer v7.00 (7.00.6000.16643)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Windows\system32\taskeng.exe
      C:\Program Files\Windows Defender\MSASCui.exe
      C:\Program Files\Alwil Software\Avast4\ashDisp.exe
      C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
      C:\Program Files\Windows Sidebar\sidebar.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
      C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
      C:\Program Files\Trend Micro\HijackThis\yahoo!.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O1 - Hosts: ::1 localhost
      O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
      O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Program Files\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
      O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
      O4 - HKLM\..\Run: [MSConfig] "C:\Windows\system32\msconfig.exe" /auto
      O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
      O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
      O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU')
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
      O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
      O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
      O13 - Gopher Prefix:
      O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
      O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      0
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt a tous:

    attention

    regardez ceci avant de poursuivre:

    http://www.commentcamarche.net/forum/affich 6757939 faux positif avast win32 rootkit gen rtk#0
    0
    1. kenny
       
      Bonjour,

      Je l'avais mis en quarantaine et il y est toujours le fichier est dans windows/temp

      dois-je faire une des procédures que il y a sur le lien que tu as donné ?
      0
  3. fiat500 Messages postés 2681 Statut Membre 82
     
    fais ca

    https://support.avast.com/avast_maintenance_page?startURL=%2Findex.php%3F_m%3Dknowledgebase%26_a%3Dviewarticle%26kbarticleid%3D307

    puis:

    fais un scan en ligne avec Internet Explorer stp:

    BitDefender en ligne: http://www.bitdefender.fr/scan_fr/scan8/ie.html
    Tutoriel BitDefender en ligne: http://cybersecurite.xooit.com/t201-Scan-en-ligne-BitDefender.htm
    0
    1. kenny
       
      "Le fichier svchost.exe est un fichier système important. La suppression de ce fichier aboutira à une perte de fonctionnalité de système, cependant, s’il est supprimé, votre système peut être restauré en suivant les instructions ci-dessous."

      moi je ne pense pas l'avoir effacé puisque le fichier infecté est dans windows/temp et est en quarantaine de avast.

      dois-je faire la procédure avec clé usb demarrage F8 et tout ?
      0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    maintenat pour verifier que tu n'as pas vraiment un rootkit autre

    desactive tes comptes utilisateurs
    http://www.vic38.fr/...

    puis

    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe

    Télécharger sur le bureau
    Navilog.zip
    = Double-Clic navilog1.zip
    = Extraire tout sur le bureau
    = Double-Clic navilog1 qui est sur le bureau
    = Appuyer sur une touche jusqu' arriver aux options
    = Choisir option 1

    un rapport : fixnavi.txt dans C : va se creer
    le copier/coller dans ton prochain message.

    PS:Si ton bureau ne réapparait pas, fais CTRL+ALT+SUPP pour ouvrir le gestionnaire de tâches.
    Puis rends-toi à l'onglet "processus". Clique en haut à gauche sur fichiers et choisis "exécuter"
    Tape explorer et valide. Celà te fera apparaitre ton bureau.
    0
  6. fiat500 Messages postés 2681 Statut Membre 82
     
    je te passe la main jlpjlp occupe toi de son problème a+
    0
  7. kenny
     
    merci fiat 500 !

    voici le rapport navilog

    Search Navipromo version 3.5.8 commencé le 11/06/2008 à 14:59:12,71

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!
    !!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

    Outil exécuté depuis C:\Program Files\navilog1
    Session actuelle : "kenny"

    Mise à jour le 06.06.2008 à 18h00 par IL-MAFIOSO

    Microsoft Windows Vista 6.0.6000
    Internet Explorer : 7.0.6000.16643
    Système de fichiers : NTFS

    Recherche executé en mode normal

    *** Recherche Programmes installés ***

    *** Recherche dossiers dans "C:\Windows" ***

    *** Recherche dossiers dans "C:\Program Files" ***

    *** Recherche dossiers dans "C:\ProgramData" ***

    *** Recherche dossiers dans "c:\progra~2\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "c:\users\kenny\appdata\roaming\micros~1\windows\startm~1\programs" ***

    *** Recherche dossiers dans "C:\Users\kenny\AppData\Local\virtualstore\Program Files" ***

    *** Recherche dossiers dans "C:\Users\kenny\AppData\Roaming" ***

    *** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
    pour + d'infos : http://www.gmer.net

    Aucun Fichier trouvé

    *** Recherche avec GenericNaviSearch ***
    !!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
    !!! A vérifier impérativement avant toute suppression manuelle !!!

    * Recherche dans "C:\Windows\system32" *

    * Recherche dans "C:\Users\kenny\AppData\Local\Microsoft" *

    * Recherche dans "C:\Users\kenny\AppData\Local" *

    *** Recherche fichiers ***

    *** Recherche clés spécifiques dans le Registre ***

    *** Module de Recherche complémentaire ***
    (Recherche fichiers spécifiques)

    1)Recherche nouveaux fichiers Instant Access :

    2)Recherche Heuristique :

    * Dans "C:\Windows\system32" :

    * Dans "C:\Users\kenny\AppData\Local\Microsoft" :

    * Dans "C:\Users\kenny\AppData\Local" :

    3)Recherche Certificats :

    Certificat Egroup absent !
    Certificat Electronic-Group absent !
    Certificat OOO-Favorit absent !
    Certificat Sunny-Day-Design-Ltd absent !

    4)Recherche fichiers connus :

    *** Analyse terminée le 11/06/2008 à 15:07:19,79 ***
    0
  8. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non aucun rootkit
    tu peux desinstaller navilog via ton panneau de confuiguration

    si encore des soucis:

    fais un scan en ligne avec un des suivants: et colle le rapport)

    bitdefender en ligne :
    http://www.bitdefender.fr/scan_fr/scan8/ie.html

    Panda en ligne :
    http://pandasoftware.fr
    0
    1. kenny
       
      Merci encore.

      J'ai désinstallé navilog et je voudrais le panda scan car je suis sous mozilla. et là délire avast me détecte un ver à 94% du téléchargement de active scan. Je dois arreter avast pour télécharger ? c le fichier pskavs.dll.

      De plus vu que j'ai installé/désinstallé pas mal d'utilitaires et de fichiers (aucun rapport avec l'infection) peux tu me conseiller un ou plusisuers utilitaires qui nettoient un peu mon ordi qu'il retrouve un peu de punch ?
      0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    oui désactive avast le temps du scan

    si tu veux faire avec firefox utilise ceci

    https://www.trendmicro.com/fr_fr/business.html
    0
    1. kenny
       
      les scans ont trouvés quelques trucs genre cookies ou que sais-je pas bien grave donc merci pour tout!

      bonne continuation
      0
  10. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    non les cookies c'est rien ont en a tous des que l'on va sur le net

    encore des soucis?
    0
    1. kenny
       
      ben a priori non cf différents scan mais ça rame c vraiment reloud !

      mais pour l'instant il a pas redémarré sans crier garde ni interdit toute opération donc bon ça va :)
      0
  11. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    up
    0
    1. kenny
       
      Bonjour,

      Voici enfin le fameux rapport, étant donné qu'il n'a rien trouvé je pense que ca doit le faire maintenant !!

      Merci encore!

      Malwarebytes' Anti-Malware 1.19
      Version de la base de données: 916
      Windows 6.0.6000

      03:30:17 03/07/2008
      mbam-log-7-3-2008 (03-30-17).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 119583
      Temps écoulé: 39 minute(s), 4 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 0

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      (Aucun élément nuisible détecté)
      0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok parfait
    recolle un hijackhtis pour verifier et dis tes soucis actuels
    0