> Tous les forums > Forum Sécurité
 rootkit dropperSujet résolu
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
pipina
  Posté le 03/11/2012 @ 13:07 
Aller en bas de la page 
Petite astucienne

Bonjour à tous

Il y a deux jours, j'ai téléchargé Mozilla sur son site.

Je viens de faire une analyse avec Malwarebytes anti-malware.

MAM a trouvé un virus rootkit dropper dans Mozilla, que Norton n'a pas vue

J'ai supprimé le virus et Mozilla avec MAM.

J'ai refait une analyse toujours avec MAM et il n'y avait plus de virus.

Que doit je faire SVP?

Mon PC est devenu lent.

J'ai fait une désinfection avec votre aide il n'y a pas longtemps.

Merci de bien vouloir m'aider

PIPINA A+



Modifié par pipina le 03/11/2012 13:09
Publicité
nardino
 Posté le 03/11/2012 à 13:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

image tdsskiller.zip de Kaspersky

image Décompresse l'archive et place TDSSKiller.exe sur le Bureau.
Fais un double clic sur l'icône pour le lancer.

image

Cet écran s'affiche, clique sur Change parameters

image

L'écran Settings de TDSSKiller s'affiche

image Coche la case devant Loaded modules ce qui ouvre un message, clique sur le bouton Reboot now pour provoquer un redémarrage du PC .

image

TDSSKiller va se lancer automatiquement après ce redémarrage, et le PC peut alors sembler être très lent et inutilisable.
Attends que l''écran de TDSSKiller s'affiche.

image Clique sur image

image Coche toutes les cases, comme ceci :

image

image Clique sur le bouton OK et clique sur Start scan dans la page principale pour lancer l'analyse.

image

image Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes) :

1- Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer :

image

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip.
Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

2- Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laisse l'action à entreprendre sur Skip:

image

image Ensuite clique sur le bouton image, un redémarrage est nécessaire :

Clique sur Reboot computer image

Envoie le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:
Poste le plus récent, tu devrais en voir deux.

image

@+

pipina
 Posté le 03/11/2012 à 14:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

nardino
 Posté le 03/11/2012 à 16:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

Pas de rootkit en apparence.

image ZHPDiag de Nicolas Coolman sur ton bureau en cliquant sur le lien.

imageUne fois téléchargé, clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Laisse coché Installer une icône sur le bureau quand cela te sera proposé.

image Lance ZHPDiag en cliquant sur l'icône ZHPDiag affichée sur le bureau
image
image Dans l'interface, fais les trois opérations comme dans l'image ci-dessous :

1 : Clique sur l'icône Tournevis
2 : Clique sur le bouton radio Tous
3 : Clique sur L'icône Loupe pour lancer le scan

image

Sous Vista , Windows 7 et 8, avec le contrôle des comptes d'utilisateur activé, le programme va redémarrer avec l'élévation automatique des privilèges. Recommence les trois opérations ci-dessus.
Laisse faire le scan jusqu'à ce que la barre de progression en bas soit à 100%. Ce message aura disparu.

image

4 : Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Un fichier ZHPDiag.txt sera enregistré sur le bureau.

image

image Tu l'héberges sur Cjoint en cochant 21 jours dans la ligne Et pour quelle durée ?
Tu me communiques le lien obtenu dans ta réponse.
Explications pour Cjoint

@+

pipina
 Posté le 03/11/2012 à 19:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour voici le lien pour ZHPDiag http://cjoint.com/?0KdtTTooWgR

Merci{#}

pipina
 Posté le 03/11/2012 à 20:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir,{#}Nardino

Je me suis rendu compte d'un problème supplémentaire.

Je n'arrives pas à ouvrir mes mails, il y a un encadré ou il est marqué " cette opération a été annulée à cause de restrictions en vigueur sur cet ordinateur, contactez votre administrateur système."

j'ouvre mes mails avec Microsoft Outlook.

Merci et bonne soirée.

PIPINA



Modifié par pipina le 03/11/2012 20:51
nardino
 Posté le 04/11/2012 à 00:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonsoir,

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.

image


Elle a été créée lors de l'installation de ZHPDiag.
image Copie le contenu de l'encadré ci-dessous dans le presse-papier.
Utilise les touches CTRL et A pour tout sélectionner et les touches CTRL et C pour copier.

Code

C:\ProgramData\{D13C0989-F3EC-4F44-A33D-B3F83DF90FAF}
C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
C:\Users\Marina\AppData\Roaming\#Hf
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\02525214.sys . (...) -- C:\Windows\System32\Drivers\02525214.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\09694637.sys . (...) -- C:\Windows\System32\Drivers\09694637.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\02525214.sys . (...) -- C:\Windows\System32\Drivers\02525214.sys (.not file.)
O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\09694637.sys . (...) -- C:\Windows\System32\Drivers\09694637.sys (.not file.)



1 : Clique sur l'icône Presse-papier.Les lignes contenues dans le presse-papier vont s'afficher dans le cadre principal.
2 : Clique sur le bouton GO en bas à gauche.

image

3 : Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

image Poste le contenu du rapport ZHPFixReport.txt, à partir du raccourci créé sur le bureau.

image

@+

pipina
 Posté le 04/11/2012 à 10:40 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour Nardino{#}

voici le rapport demandé

Rapport de ZHPFix 1.3.05 par Nicolas Coolman, Update du 09/10/2012
Fichier d'export Registre :
Run by Marina at 04/11/2012 10:36:05
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
ERREUR O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\02525214.sys . (...) -- C:\Windows\System32\Drivers\02525214.sys (.not file.)
ERREUR O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\09694637.sys . (...) -- C:\Windows\System32\Drivers\09694637.sys (.not file.)
ERREUR O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\02525214.sys . (...) -- C:\Windows\System32\Drivers\02525214.sys (.not file.)
ERREUR O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\09694637.sys . (...) -- C:\Windows\System32\Drivers\09694637.sys (.not file.)

========== Dossier(s) ==========
SUPPRIME Reboot Folder**: c:\programdata\{d13c0989-f3ec-4f44-a33d-b3f83df90faf}
SUPPRIME Reboot Folder**: c:\programdata\{d3b41b92-9bc2-43eb-916a-4fa9e8191837}
SUPPRIME Folder: c:\users\marina\appdata\roaming\#hf

========== Fichier(s) ==========
ABSENT File: c:\windows\system32\drivers\02525214.sys
ABSENT File: c:\windows\system32\drivers\09694637.sys


========== Récapitulatif ==========
4 : Clé(s) du Registre
3 : Dossier(s)
2 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 04/11/2012 10:36:05 [1415]

Bon Dimanche @+



Modifié par pipina le 04/11/2012 11:20
nardino
 Posté le 04/11/2012 à 11:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

image TFC de OldTimer
Sous Vista et Windows 7, il faut être sous un compte administrateur

image Ferme toutes applications en sauvegardant le travail en cours sinon l'outil le fera.
image Clique sur l'icône en forme de poubelle et sur le bouton Start.
Quand le nettoyage sera terminé, clique sur le bouton Exit pour quitter l'outil.

image Dans le menu Windows, Tous les programmes, Accessoires tu cliques droit sur Invite de commandes et dans le menu sur Exécuter en tant qu'administrateur.
Une fenêtre de type DOS s'ouvre.
image Au prompt, tu tapes sfc /scannow, tu appuies sur Entrer et tu laisses l'opération se faire jusqu'au bout.
Ceci pour vérifier l'intégrité des fichiers système.

Citation
"Démarrage de la phase de vérification de l'analyse du système.
La vérification ..% est terminée"


Apparait sur la fenêtre.

image Laisse faire, cela peut prendre un certain temps selon ta configuration et l'état des fichiers système.
Compte au moins 10 minutes
A la fin du scan, un rapport succinct sera affiché dans cette fenêtre.

image

Communique le résultat.

SOUS VISTA/SEPT
Dans le menu Windows, Tous les programmes, Accessoires, clique droit sur Invite de commandes et Exécuter en tant qu'administrateur.
SOUS XP
Dans Démarrer, Exécuter tu tapes cmd et clique sur OK.

Copie cette ligne et clique droit au prompt, où le curseur clignote pour coller.

findstr /c:"[SR]" %windir%\logs\cbs\cbs.log >sfcdetails.txt

Le fichier sfcdetails.txt sera enregistré dans C:\Windows\System32
Tu l'ouvres, tu le postes ici par copier-coller ou tu le joints par la procédure du forum.

@+


Publicité
pipina
 Posté le 04/11/2012 à 13:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonjour,

Je n'arrive pas à trouver dans C windows 32 le fichier sfcdetails.txt

j'ai windows 7 Sytstème 64 bits

@+



Modifié par pipina le 04/11/2012 14:08
pipina
 Posté le 04/11/2012 à 14:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne


imageC'est le mème que celui au dessus mais avec une autre version [6.1.7601]



Modifié par pipina le 04/11/2012 14:14
nardino
 Posté le 04/11/2012 à 14:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour,

image Télécharge windows_repair sur ce lien, décompresse le dossier tweaking.com_windows_repair_aio.zip.

Ferme toutes tes applications en cours.
image Lance le programme en cliquant sur Repair_Windows.exe dans le dossier décompressé tweaking.com_windows_repair_aio / Tweaking.com - Windows Repair
Il ne nécessite pas d'installation.
Cette fenêtre va apparaître.

image Pour démarrer la/les réparation(s), clique sur l'onglet Start Repairs et sur le bouton Start

image

Une fenêtre te demande de créer un point de restauration. Clique sur Oui si tu utilises cette fonction.

image

image Dans la fenêtre suivante, clique sur le bouton Unselect All pour tout décocher.
Coche les lignes indiquées en gras souligné dans l'encadré Citation ci-dessous.
Coche la case devant Restart/Shutdown System When Finished, le point s'affichera automatiquement devant Restart System pour redémarre l'ordinateur.

image

Citation
- Reset Registry Permissions
- Reset File Permissions
- Register System Files
- Repair WMI
- Repair Windows Firewall
- Repair Internet Explorer
- Repair MDAC/MS Jet
- Repair Hosts File
- Remove Policies Set By Infections
- Repair Missing Start Menu Icons Removed By Infections
- Repair Icons
- Repair Winsocks & DNS Cache
- Remove Temp Files
- Repair Proxy Settings
- Unhide Non System Files
- Repair Windows Updates
- Repair CD/DVD Missing /Not Working
- Repair Volume Shadow Copy Service
- Repair Windows Sidebar/Gadgets
- Set Windows Services to Default Startup
- Repair MSI (Windows Installer)
- Repair Windows Snipping Tool
- Repair .lnk (Shortcuts) File Association



image Clique sur le bouton Start pour lancer la réparation.

Donne des nouvelles.
@+

pipina
 Posté le 04/11/2012 à 14:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

peut ètre que c'est le bon fichier?

Merci beaucoup


image

pipina
 Posté le 04/11/2012 à 23:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petite astucienne

Bonsoir Nardino{#}

Cet après-midi j'ai eu des problèmes avec le PC, les raccourcis sur le bureau n'étaient plus valides.

J'ai sur un coup de tête formaté mon PC et maintenant j'ai du boulot qui m'attend! mais je me suis quant même bien avancée.

Je te remercie pour ton aide et ton temps que tu as donné pour m'aider.

Je te souhaite une bonne nuit et encore mille merci

Cordialement{#}

PIPINA{#}

Je passe en résolu



Modifié par pipina le 04/11/2012 23:19
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
179,00 €Ecouteurs sans fil Galaxy Buds Pro à 179 €
Valable jusqu'au 29 Septembre

Amazon fait une promotion sur les écouteurs sans fil Galaxy Buds Pro qui passent à 179 € grâce à un coupon de réduction à activer sur la page du produit. On les trouve habituellement à 229 €. Parfaits pour vous suivre dans tous vos déplacements, les écouteurs Samsung Galaxy Buds Pro sont dotés d'un design raffiné avec une finition brillante. De conception totalement sans fil, vous allez pouvoir écouter vos musiques préférées n'importe où grâce à ses deux haut-parleurs optimisés. Offrant une meilleure sensibilité aux basses et un son encore plus net et équilibré, ils deviendront des partenaires privilégiés de votre quotidien, que ce soit dans le métro, dans le bus, en vous promenant ou même chez vous, ils ne vous quitteront plus !


> Voir l'offre
599,99 €Pack Microsoft Surface Go 2 (10 pouces, 8Go RAM 128Go SSD, Win10) avec cover clavier, stylet à 599 €
Valable jusqu'au 29 Septembre

Fnac fait une promotion sur le pack Microsoft Surface Go 2 qui passe à 599,99 € livré gratuitement alors qu'on le trouve habituellement à 800 €. Ce pack comporte une tablette Microsoft Surface Go 2 avec un écran tactile de 10,5 pouces Full HD+ 1920x1280, un processeur Intel Pentium Gold 4415Y, 8 Go de RAM, un SSD de 128 Go et Windows 10. Une housse / clavier et un stylet sont également fournis dans le pack.

Pesant 544 g seulement et avec une batterie longue durée allant jusqu’à 10 heures, vous pouvez l’utiliser comme un ordinateur ou comme une tablette.


> Voir l'offre
89,99 €Amazon Fire TV Cube à 89,99 €
Valable jusqu'au 29 Septembre

Amazon fait une belle promotion sur son Fire TV Cube qui passe à 89,99 € au lieu de 119,99 €. Fire TV Cube est l'appareil Fire TV le plus rapide et le plus puissant (4K ultra HD, 6 coeurs, 16 Go, Ethernet, Dolby Atmos) : il vous livre une expérience d'utilisation fluide et rapide pour profiter de vos films et séries préférés (Netflix, Prime Video, Disney+, Molotov, YouTube). Fire TV Cube vous permet de poser la télécommande et de vous plonger dans vos films et séries préférés en utilisant uniquement le son de votre voix. Vous pouvez aussi demander à Alexa de régler le volume ou de couper le son de votre TV ou barre de son compatible. 


> Voir l'offre

Sujets relatifs
Troj.Sirefef,Dropper,Rootkit.0Access
MBAM erreur 20025 anti rootkit
Infections Jenxcus-D et Dropper-gen
rootkit
virus "google redirection" , browser redirigé chaque seconde .. ( rootkit?)
Activer la recherche de rootkit dans MBAM
Rootkit détecté, besoin d'aide pour nettoyé mon pc
TR/dropper.Gen
kaspersky - Nitro Reader - Rootkit
Quarantaine avast de Win32:Dropper-Gen[Drp]
Plus de sujets relatifs à rootkit dropper
 > Tous les forums > Forum Sécurité