DepanneTonPC, dépannage et aide informatique

Bienvenue : Connexion | Inscription
La date/heure actuelle est 28 Nov 2024 à 8:21 FAQ | Rechercher | Membres | Groupes

Résolu : pc infecté par rootkit


Aller à la page 1, 2  Suivante 
 
Ce que nous vous conseillons :
  1. Lisez les réponses ci-dessous où vous trouverez des conseils et de l'aide de la part des autres utilisateurs
  2. Avant de faire des modifications sur votre système ou d'installer des logiciels, nous vous recommandons fortement de cliquer ici pour scanner Windows afin de détecter les erreurs de registre.
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité
Voir le sujet précédent :: Voir le sujet suivant  
Auteur Message
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 01 Déc 2008 à 14:19    Sujet du message: Résolu : pc infecté par rootkit Répondre en citant

Bonjour, cela fait 2 jours que mon pc n'arrete pas de s'éteindre et de se rallumer sans raison, j'ai lancé un scan avec avast et il m'a détecté un rootkit, apparement c'est un trojan, j'ai voulu faire un scan au démarrage mais ça me plante à chaque fois.

j'ai windows xp

Merci pour votre aide

Suite au message ci-dessus, la situation a empiré, mon pc n'arrête pas de planter (une dizaine de fois en moyenne jusqu'à ce que je me résigne à l'éteindre), j'ai essayé plusieurs logiciels (ccleaner, spyware doctor...) mais rien n'y fait

Avez-vous besoin d'un rapport Hijackthis ?
je vous remercie d'avance pour votre aide 


Dernière édition par pims le 26 Déc 2008 à 1:03; édité 1 fois 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 05 Déc 2008 à 17:33    Sujet du message: Répondre en citant

  
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 06 Déc 2008 à 14:45    Sujet du message: Répondre en citant

Bonjour, d'abord merci pour votre réponse

je vous poste les 2 rapports, j'ai eu beaucoup de mal car le pc a planté plusieurs fois pendant l'execution de Malaware

Log supprimé' Anti-Malware 1.31
Version de la base de données: 1456
Windows 5.1.2600 Service Pack 3

06/12/2008 12:59:49
mbam-log-2008-12-06 (12-59-4Cool.txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 136815
Temps écoulé: 2 hour(s), 14 minute(s), 38 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8ca5ed52-f3fb-4414-a105-2e3491156990} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1a93c934-025b-4c3a-b38e-9654a7003239} (Adware.Gamesbar) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\HID_Layer (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


voila , apparement i a détecté 4 infections, merci pour la suite 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 06 Déc 2008 à 19:59    Sujet du message: Répondre en citant

RE,

On va creuser:


on va chercher plus avant

- Télécharge Random's System Information Tool (RSIT) de Random / Random
http://images.malwareremoval.com/random/RSIT.exe et sauvegarde-le sur ton Bureau,

- Double-clique sur RSIT.exe pour lancer le programme

- Clique sur continuer sur l'écran Disclaimer,

NOTE
Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.

- L'analyse terminée, deux fichiers texte s'ouvriront.

- Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches). 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 06 Déc 2008 à 20:11    Sujet du message: Répondre en citant

j'ai fait ce que tu m'as demandé, voici les 2 rapports

Log supprimé
merci 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 08 Déc 2008 à 1:17    Sujet du message: Répondre en citant

Bonjour pims, voici la suite:



- Télécharge OTMoveIt (de Old_Timer) http://oldtimer.geekstogo.com/OTMoveIt3.exe Enregistre ce fichier sur le Bureau.

- Double-clique sur OTMoveIt3.exe
- Assure toi que la case Unregister Dll's and Ocx's soit bien cochée

- Copie le texte qui se trouve en citation (sans le mot citation) et, colle le dans le cadre de gauche de OTMoveIt nommé Paste Instructions for Items to be Moved (Cadre jaune)

Citation:

:processes
explorer.exe
Boonty.exe

:services
Boonty Games

:Files
C:\Program Files\Fichiers communs\BOONTY Shared


:commands
[purity]
[emptytemp]
[start explorer]
[reboot]


- Clique sur MoveIt! pour lancer la suppression.
- Lorsqu'un résultat apparaît dans le cadre Results clique sur Exit


Note : Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.

- Poste le rapport de OTMoveIt qui se trouve dans C:\_OTMoveIt\MovedFiles.

Poste un nouveau log hijackthis 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 08 Déc 2008 à 14:38    Sujet du message: Répondre en citant

Bonjour, voici le rapport OT Movelt

========== PROCESSES ==========
Process explorer.exe killed successfully.
Unable to kill process: Boonty.exe
========== SERVICES/DRIVERS ==========
Service Boonty Games stopped successfully.
Service Boonty Games deleted successfully.
========== FILES ==========
C:\Program Files\Fichiers communs\BOONTY Shared\Service moved successfully.
C:\Program Files\Fichiers communs\BOONTY Shared moved successfully.
========== COMMANDS ==========
User's Temp folder emptied.
User's Temporary Internet Files folder emptied.
User's Internet Explorer cache folder emptied.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat scheduled to be deleted on reboot.
Local Service Temp folder emptied.
Local Service Temporary Internet Files folder emptied.
File delete failed. C:\WINDOWS\temp\_avast4_\Webshlock.txt scheduled to be deleted on reboot.
File delete failed. C:\WINDOWS\temp\Perflib_Perfdata_5b8.dat scheduled to be deleted on reboot.
Windows Temp folder emptied.
Java cache emptied.
Temp folders emptied.
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.7.2 log created on 12082008_130501

Files moved on Reboot...
C:\Documents and Settings\LocalService\Local Settings\Temp\Cookies\index.dat moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Temp\History\History.IE5\index.dat moved successfully.
C:\Documents and Settings\LocalService\Local Settings\Temp\Fichiers Internet temporaires\Content.IE5\index.dat moved successfully.
File C:\WINDOWS\temp\_avast4_\Webshlock.txt not found!
C:\WINDOWS\temp\Perflib_Perfdata_5b8.dat moved successfully.


et voici le rapport hijack
Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 09 Déc 2008 à 0:53    Sujet du message: Répondre en citant

Bonjour pims, c'est propre
On va passer un scan en ligne qui nous en dira plus

- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

- Lis ceci en cas de problème d'installation du Contrôle ActivX:

http://cybersecurite.xooit.com/t123-Les-controles-ActiveX.htm 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 10 Déc 2008 à 18:55    Sujet du message: Répondre en citant

Bonjour, désolée pour le retard mais j'ai beaucoup de mal à afficher les pages, ça rame beaucoup sans compter que le pc plante encore

j'espère avoir fait les bonnes manipulations, voici le rapport

Log supprimé


Merci de ton aide 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 10 Déc 2008 à 23:57    Sujet du message: Répondre en citant

Bonjour pims,

==> Imprime cette réponse le nettoyage va se dérouler en mode sans échec et sans prise en charge du réseau.

==> Télécharge SDFix http://downloads.andymanchesta.com/RemovalTools/SDFix.exe (de AndyManchesta) et enregistre le sur ton Bureau.
- Double clic sur SDFix.exe et choisis Install pour l'extraire sur le Bureau.

==> Redémarre en mode sans échec

Citation:
Au redémarrage de ton PC tapote sur la touche F8 ou F5 sur l'écran suivant déplace toi avec les les fléches de direction et choisis Mode sans échec. Choisis ta session et non la session Administrateur



==> Ouvre le dossier SDFix qui vient d'être créé à la racine de ton dique dur ( C:\ ) et double clique sur RunThis.bat pour lancer le script.


* Appuie sur Y pour commencer le processus de nettoyage.

* Sdfix va supprimer les services et les entrées du Registre des trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
* Appuie sur une touche pour redémarrer le PC.

* Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
* Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
* Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
* Les icônes du Bureau affichées, le rapport de SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.


==> Copie/Colle le contenu du fichier Report.txt dans ta prochaine réponse 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 12 Déc 2008 à 21:51    Sujet du message: Répondre en citant

Bonsoir, je suis désolée mais pour l'instant je ne peux rien faire, aucune page internet ne s'affiche donc je ne peux pas télécharger le logiciel que tu m'as dit, j'utilise un autre pc pour te répondre
dès que ça fonctionne, j'espère bientôt, je te poste le rapport

Encore merci 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 13 Déc 2008 à 19:30    Sujet du message: Répondre en citant

Bonjour, ça refonctionne alors voila le rapport


Log supprimé 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 13 Déc 2008 à 23:38    Sujet du message: Répondre en citant

Re, on va faire une analyse en ligne



- Fais un scan en ligne ici http://webscanner.kaspersky.fr/ (Avec Internet Explorer)

- En bas à droite clique sur Démarrer Online-scanner

- Dans la nouvelle fenêtre qui s'affiche clique sur J'accepte

- Accepte les Contrôle ActiveX

- Choisis Poste de travail pour le scan.

- Celui-ci terminé sauve (Choisis fichier texte) et poste le rapport

- Pour t'aider à utiliser le scan en ligne
http://www.malekal.com/scan_Av_en_ligne.html#mozTocId291566

NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
pims



Inscrit le: 05 Déc 2006
Messages: 38

MessagePosté le: 15 Déc 2008 à 13:45    Sujet du message: Répondre en citant

Bonjour, re-désolée mais je n' arrive plus à afficher de pages internet. J' ai une connexion mais rien ne s' affiche. La je t' écris d' un autre pc mais je ne peux pas faire de scan en ligne depuis mon pc.
Donc je suis coincée, je ne sais plus quoi faire.
Je te remercie encore pour ton aide si tu as une solution. 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
zaede
Equipe de sécurité


Inscrit le: 07 Déc 2007
Messages: 593
Localisation: est

MessagePosté le: 16 Déc 2008 à 22:42    Sujet du message: Répondre en citant

Bonjour pims, on va utiliser des moyens plus lourd



1. Télécharge combofix.exe (par sUBs) sur le bureau à l'aide d'un des liens ci-dessous:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe


Ferme le navigateur et tous les programmes ouverts
Désactive tous les logiciels de sécurité (antivirus antimalwares spybot etc) et ne clique pas dans la fenêtre pendant l'exécution du scan


2. Fais un double clic sur Combo-Fix.exe laisse ensuite le scan se dérouler sans toucher à la souris ni au clavier.

3. Lorsque le scan sera complété, un rapport apparaitra. Copie/colle ce rapport dans ta prochaine réponse.

Le rapport se trouve également ici : C:\Combofix.txt

NOTE:
Combofix peut être détecté par certains antivirus.
Ne pas en tenir compte, c'est un faux positif
Cliquer sur ignorer et continuer la procédure 
 
Revenir en haut de page
Voir le profil de l'utilisateur Envoyer un message privé
Ajouter à : Scoopeo del.icio.us Digg this Technorati fuzz
Montrer les messages depuis:   
Poster un nouveau sujet   Répondre au sujet    DepanneTonPC Index du Forum -> Sécurité Toutes les heures sont au format GMT + 2 Heures
Aller à la page 1, 2  Suivante 
Page 1 sur 2 

 
Sauter vers:  

Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum