VIRUS ROOTKIT:GEN+TROJENT AGENT???

LX75 -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,

J ai un DELL INSPIRON 6400 AVEC VISTA A LA BASE, QUE J AI PU SUBSTITUER PAR XP, IL Y A 1 AN...
Car il y a 1 an, Vista était pas terrible pour moi (il bloquait trop de prog).

Depuis 5jours, comme bcp de gens, mon pc est infecté par des virus qui bloquent tous mon système de sécurité..
A l'origine j'ai AVAST+SPYBOT search&destroy+KERIO...
ET LA PLUS RIEN DU TOUT NE SE LANCE:"ERRUR WIN 32..."

J ai pu installer "MALWAREBYTES antimalware" qui detecte: ROOTKIT:GEN et TROJAN Agent!!!
Je les supprime avec MALWAREBYTES, mais ils sont toujours la!!!
Alors, j ai essayé tous les antivirus en ligne...aucun ne peut scanner mon pc...
J ai télécharger d'autre ANTIVIRUS, installations impossibles...
QUE PUIS-JE FAIRE SVP???
MERCI DE M AIDER, CAR JE NE SAIS PAS SI JE PEUX LE FORMATER!!!
ET JE PREFER EVITER VU QUE JE SUIS PASSE DE VISTA A XP, ET QUE JE N AI AUCUN CD D INSTAL...
Configuration: Windows XP
Firefox 3.0.4

37 réponses

  • 1
  • 2
Résumé de la discussion

Un Dell Inspiron 6400 sous Windows XP, après passage de Vista, est confronté à une infection virale qui bloque les outils de sécurité et empêche le démarrage normal. Plusieurs propositions décrivent des outils spécialisés comme FindyKill et HijackThis, puis des analyses en ligne (Kaspersky, HouseCall) et des antivirus classiques pour détecter rootkits et entrées suspectes. Des conseils détaillent aussi des réglages pour les scans rootkit, l’inspection des démarrages et des clés de registre, afin d’identifier et d’éliminer les éléments persistants. En cas d’échec, la possibilité de reformater est évoquée, mais l’importance de disposer d’un CD ou d’un support de récupération est soulignée.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut,

    Télécharges FindyKill de Chiquitine29

    Fais un clique droit sur le lien et choisis "enregistrer la cible sous ...." , destination le bureau .

    http://sd-1.archive-host.com/membres/up/116615172019703188/FindyKill.exe

    Note importante : si tu as le prg Elibagla sur ton PC , supprimes le ( risque de conflit entre les deux outils ) .

    --> Entre dans le dossier " FindyKill "

    Double clic sur " FindyKill.bat " (et pas sur autre chose!) pour lancer l'outil .

    ->choisis l'option 1 . Puis laisses travailler ...

    Une fois terminé, postes le rapport FindyKill.txt qui est généré ...

    ( Note : le rapport est sauvegardé à la racine du disque -> C:\FindyKill.txt )
    1
    1. LX75
       
      MERCI g!rly pour ton aide...

      VOICI LE RAPPORT FINDYKILL.TXT:


      »»»» Presence des fichiers dans C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5

      Found ! [01/12/2008 17:54] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\5VG4AHZ9\b64[1].jpg
      Found ! [01/12/2008 17:52] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\5VG4AHZ9\b64_1[1].jpg
      Found ! [02/12/2008 18:19] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\5VG4AHZ9\b64_2[1].jpg
      Found ! [29/11/2008 01:30] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\5VG4AHZ9\b64_3[1].jpg
      Found ! [01/12/2008 17:53] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\EC04PJ3K\b64_2[1].jpg
      Found ! [01/12/2008 17:53] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\EC04PJ3K\b64_3[1].jpg
      Found ! [29/11/2008 01:31] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\I2AFSAUN\b64[1].jpg
      Found ! [29/11/2008 01:32] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\I2AFSAUN\b64[2].jpg
      Found ! [02/12/2008 18:18] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\I2AFSAUN\b64[3].jpg
      Found ! [29/11/2008 01:23] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\I2AFSAUN\b64_3[1].jpg
      Found ! [01/12/2008 17:53] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\N6W6G6TB\b64[1].jpg
      Found ! [01/12/2008 17:52] - C:\Documents and Settings\yes\Local Settings\Temporary Internet Files\Content.IE5\N6W6G6TB\b64_3[1].jpg

      --------------- [ Registre / Startup ] ----------------

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

      BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}="C:\Program Files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe"
      ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
      SuperCopier2.exe=C:\Program Files\SuperCopier2\SuperCopier2.exe

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

      igfxtray=C:\WINDOWS\System32\igfxtray.exe
      igfxhkcmd=C:\WINDOWS\System32\hkcmd.exe
      igfxpers=C:\WINDOWS\System32\igfxpers.exe
      SigmatelSysTrayApp=stsystra.exe
      SynTPEnh=C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
      Broadcom Wireless Manager UI=C:\WINDOWS\system32\WLTRAY.exe
      NeroFilterCheck=C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe
      QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
      EoEngine=
      EoWeather=
      Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
      TkBellExe="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
      SunJavaUpdateSched="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
      Malwarebytes' Anti-Malware="C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
      SDTray="C:\Documents and Settings\yes\Bureau\Spyware Doctor\SDTrayApp.exe"
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
      Installed=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
      Installed=1
      NoChange=1
      <NO NAME>=
      HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
      Installed=1
      <NO NAME>=

      [HKEY_CURRENT_USER\software\local appwizard-generated applications\Diskeeper Lite]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\NMBgMonitor]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\patch]
      [HKEY_CURRENT_USER\software\local appwizard-generated applications\winfilse]

      --------------- [ Registre / Clés infectieuses ] ----------------


      Found ! - HKEY_USERS\S-1-5-21-1390067357-1935655697-839522115-1003\Software\Local AppWizard-Generated Applications\patch
      Found ! - HKEY_USERS\S-1-5-21-1390067357-1935655697-839522115-1003\Software\Local AppWizard-Generated Applications\winfilse
      Found ! - HKEY_USERS\S-1-5-21-1390067357-1935655697-839522115-1003\Software\bisoft
      Found ! - HKEY_USERS\S-1-5-21-1390067357-1935655697-839522115-1003\Software\FFC
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\patch
      Found ! - HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications\winfilse
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srosa
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA
      Found ! - HKEY_CURRENT_USER\Software\bisoft
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sK9Ou0s
      Found ! - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\sK9Ou0s

      --------------- [ Etat / Services ] ----------------

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

      - sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal

      - sans echec non fonctionnel !!

      Clé manquante : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

      - sans echec non fonctionnel !!



      +- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

      /!\ Ndisuio - Type de démarrage = 4

      /!\ Ip6Fw - Type de démarrage = 4

      /!\ SharedAccess - Type de démarrage = 4

      /!\ wuauserv - Type de démarrage = 4

      /!\ wscsvc - Type de démarrage = 4



      --------------- [ Recherche dans supports amovibles] ----------------


      +- Informations :

      C: - Lecteur fixe

      E: - Lecteur fixe


      +- presence des fichiers :



      --------------- [ Registre / Mountpoint2 ] ----------------


      -> Not found !


      ------------------- ! Fin du rapport ! --------------------

      QU EN PENSES-TU???
      0
  2. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    salut,

    tu peux faire ceci stp

    - Télécharge HiJackThis.exe de Merijn(prog de diagnostic) sur ton bureau.
    - Cette version est sans installateur! ( Zip à décompresser )
    - Enregistre le sur ton bureau
    ----> exemple C:\hijackthis *** Enregistre le bien dans C: ! ***
    installer hijackthis correctement:
    https://forums.cnetfrance.fr

    - Double-clique dessus
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur "Do a scan and save log file".
    - Le rapport s'ouvre sur le Bloc-Note.
    - Colle le rapport ici, pour cela :
    - Menu Edition / Selectionner Tout
    - Menu Edition / copier
    - Ici dans un nouveau message : clic droit / coller
    - ** ne pas fixer de lignes sans notre avis **
    Aide : N'hésite pas à consulter l'aide HiJackThis de Malekal_morte
    En image
    0
    1. LX75
       
      SALUT CHIMAY8...
      MERCI POUR TES CONSEILS...
      MAIS C EST TENDU...EN EFFET J AI BIEN LU TES CONSEILS, CEUX DE MALEKAL MORTE, ET LES SITES SUR HIJACKTHIS...
      RIEN A FAIRE QUEND JE SUIS LES PROCEDURES TOUT EST OK...
      PAR CONTRE DES QUE J EXECUTE :"C:\Program Files\Trend Micro\HijackThis\HJT.exe S...n'est pas une application win 32 valide"...OHHHHHHHHH SHIT ALORS...
      QUE FAIRE...
      J AI VRAIMENT TOUT ESSAYE AVEC HIJACKTHIS...DANS L OS...
      P...TAIN DE VIRUS!!!
      0
  3. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Hello les filles ;-)

    ET LA PLUS RIEN DU TOUT NE SE LANCE:"ERRUR WIN 32..."
    J ai télécharger d'autre ANTIVIRUS, installations impossibles...


    ça devrait mettre la puce a l'oreille direct... ;-))

    How are you Girly ?
    Fine ?
    0
  4. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut jo,

    oui la puce m´a sauté a l´oreille :)

    en générale quand je post sur ccm c´est que je ne suis pas au mieux de ma forme...

    je suis malade :(
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    bin oui ca m'est arrivé hier et c'était pas ça du tout...bref,à chacun ces méthodes...

    mais quand quelqu'un poste derrière vous,vous n'ètes pas content!!alors pensez à faire la même chose.
    0
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    oulaa je te laisse chimay8
    0
  8. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    mais quand quelqu'un poste derrière vous,vous n'ètes pas content!!alors pensez à faire la même chose.

    Heu.... disouli... mais faut pas le prendre comme ça lol...
    Tu nous connais toutes et tous, c'est pas comme si c'etait un trou de balle inconnu de l'equipe qui intervenait ;-)

    Bon, je vous laisse faire, j'vais ranger mes voiles...
    0
  9. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    naon,mais je m'en suis douté qu'il y avait probablement du bagle
    mais pourquoi venir poster de cette manière???ça vous plairait a vous???

    bref je me suis senti comme le dernier des abrutis!

    [sorti]
    0
  10. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Alors, tu te fais des films...

    Girly a pratiquement posté en même temps que toi.

    Moi, c'etait juste comme ça...
    J'ai rien dis au sujet de ta demande HJT, juste apporté une précision, aucunement une remarque...
    0
  11. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    ok...
    j'ai pris la mouche...
    faut m'excuser mais on vois tellement de poste qui sont...

    bref excuser moi encore de m'être emporter
    ++
    0
  12. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Pas de soucis ;-)
    0
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    y a pas de mal !
    bises chimay8 :)
    T´as pas un calumet de la paix qui traine jo ? :)
    0
  14. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    Pas evident avec les embruns...
    ça mouille trop ;-))
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    Je sais bien qu´il y a le vent des globes en ce moment mais t´es a terre la ! rassure moi !
    0
  16. chimay8 Messages postés 7947 Statut Contributeur sécurité 60
     
    vent des globes

    nt,nt,

    vendée globes

    ;)
    0
  17. g!rly Messages postés 18462 Statut Contributeur 407
     
    ;-)
    0
  18. Utilisateur anonyme
     
    sea sex and sun --->> mais surtout sex
    0
  19. jorginho67 Messages postés 15447 Statut Contributeur sécurité 1 169
     
    En attendant G!rly

    Relance findykill,

    Ø Choisis cette fois ci l'option * 2 * (suppression)

    il y aura 2 redémarrages, laisse travailler l'outil jusqu'a l'apparition du message "nettoyage effectué"

    un rapport va s'ouvrir, poste le dans ta prochaine réponse stp

    Note : le rapport FindyKill.txt est sauvegardé a la racine du disque

    Poste le entièrement...
    Quand tu est dans le document FindyKill.txt
    *. Clique sur "Edition -> Sélectionner tout", puis sur "Edition -> Copier" pour copier tout le contenu du rapport et le coller ici.
    0
  • 1
  • 2