Virus rootkit win 32gen

[invite7c3eeb84]

Bonjour,
Mon problème est assez embêtant j'ai un virus nommé "rootkit win 32gen". En fait depuis quelque jours j'ai un problème de connexion internet, la connexion part revient part revient... Il y a quelque fois ou je peux rester connecter pendant 30min sans interruption enfin bref j'en ai marre!!! lol
Du coup j'ai fait un scan avec avast et il a trouvé ce virus j'ai tenté de le supprimé mais impossible... du coup j'ai tapé le nom du virus sur google et je suis tombé sur une page ou il a y avait plusieurs manipulations à faire donc je les ai toutes faite et voila maintenant j'espere que vous pourrez m'aider.
Merci d'avance
cordialement
-----

[yoda1234]

Bonjour,

il manque le rapport se nommant "Info", celui-ci se trouve en C\RSIT.

[invite7c3eeb84]

Desolé. voila maitenant je pense que vous avez tous. Si nan je pensais aussi reinstallé windows vista... mauvaise idée?
cordialement

[b marlow]

Salut,
Ton ordi est bien infecté encore.

Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final.

Aide en images.

[A voir en vidéo sur Futura]

[invite7c3eeb84]

Voila le rapport final

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite7c3eeb84]

Voici le rapport fait part combofix

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
c:\users\Bilda\AppData\Roaming\wpp.exe 
     
Folder::
c:\users\Bilda\AppData\Roaming\igraal  
c:\program files\iGraal  
 
Collect::
c:\programdata\tunesega      
c:\programdata\towefuzu        
c:\programdata\jekatuji     
c:\programdata\vokubonu         
c:\programdata\lijujuto        
c:\programdata\dayahiba         
c:\programdata\vahuyayu        
c:\programdata\nelumoje        
c:\programdata\huyajuni        
c:\programdata\bovenage        
c:\programdata\zupikure        
c:\programdata\zahuzewi       
c:\programdata\rawuyona        
c:\programdata\nugevozi       
c:\programdata\mamakale        
c:\programdata\rivesogo        
c:\programdata\tehubufe       
c:\programdata\vonutiso        
c:\programdata\vebeliso       
c:\programdata\ropepenu

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.


Ensuite tu pourras aussi changer d'antivirus,>AntiVir<est bien meilleur qu'avast.
Il est en français et tout aussi gratuit.Si tu changes d'av ce qui est souhaitable,
désinstalle avast avant l'installation d'AntiVir.
Configure-le comme sur le tuto puis fais un scan, poste le rapport final.

[invite7c3eeb84]

Voila le rapport. Je viens de desinstaller avast et je suis en train d'installer l'antivirus que vous m'avez conseiller.

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

 
Folder::
c:\programdata\tunesega      
c:\programdata\towefuzu        
c:\programdata\jekatuji     
c:\programdata\vokubonu         
c:\programdata\lijujuto        
c:\programdata\dayahiba         
c:\programdata\vahuyayu        
c:\programdata\nelumoje        
c:\programdata\huyajuni        
c:\programdata\bovenage        
c:\programdata\zupikure        
c:\programdata\zahuzewi       
c:\programdata\rawuyona        
c:\programdata\nugevozi       
c:\programdata\mamakale        
c:\programdata\rivesogo        
c:\programdata\tehubufe       
c:\programdata\vonutiso        
c:\programdata\vebeliso       
c:\programdata\ropepenu

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invite7c3eeb84]

Petite question... je fait un scan avec avira et il trouve des virus et il me demande quoi faire mais en fait il y a deja "mettre en quarataine qui est coché et moi je fais ok. Dois-je supprimer ou laisser "mettre en quarataine"?

[b marlow]

mettre en quarantaine c'est plus sur. en cas de faux positifs tu peux restaurer.

[invite7c3eeb84]

ok. Voila le dernier rapport fait par avira. j'espere que ca sera bon.

[b marlow]

Rends toi sur ce lien : Virus Total

• Clique sur Parcourir
• Navigues pour trouver ce fichier (*) :

Code:

C:\WINDOWS\System32\drivers\apayz.sys

• Clique sur Envoyer le fichier et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
• Une nouvelle fenêtre de ton navigateur va apparaître
• Clique alors sur cette image :
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
• Enfin colle le résultat dans un fichier texte
• Poste ce fichier dans ta prochaine réponse.

Note : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, en ce cas il te faudra ignorer les alertes.

(*) : si tu ne trouves pas le fichier en question, affiche tous les fichiers/dossiers :

• Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :
• Cocher la case : Afficher les fichiers et dossiers cachés
• Décocher la case : Masquer les extensions des fichiers dont le type est connu
• Décocher la case : Masquer les fichiers protégés du système d'exploitation
• cliquer sur "Appliquer"
• cliquer sur le bouton "Appliquer à tous les dossiers" / OK

[invite7c3eeb84]

Je trouve bien le fichier en question mais au moment ou je veux l'ouvrir il y a un message: "Un périphérique attaché au système ne fonctionne pas correctement". Qu'est-ce que je dois faire?

[b marlow]

qu'importe le message, fais-le scanner, car pour le moins il est suspect...
attend bien la fin du scan avant de récupérer et poster le rapport.

[invite7c3eeb84]

Voila sachant que je n'arrive pas a ouvrir le fichier apayz.syst je l'ai scanné et je t'envoies donc le scan.

[b marlow]

tu n'as pas cocher la recherche des Rootkits dans la configuration d'AntiVir...
essaie en installant le tool comme sur ce tuto
car le scan que tu as fait ne suffit pas malheureusement.

[invite7c3eeb84]

Je viens de vérifier et j'avais bien cocher la recherche des rootkits...
et si nan je fais exactement ce que l'on me demande sur le tuto mais en faisant le clic droit et envoyers vers je n'ai pas le "virus total"

[b marlow]

Code:

Configuration pour la recherche actuelle :
Nom de la tâche..................: ShlExt
Fichier de configuration.........: C:\Users\Bilda\AppData\Local\Temp\d2ba853a.avp
Documentation....................: bas
Action principale................: interactif
Action secondaire................: ignorer
Recherche sur les secteurs d'amorçage maître: marche
Recherche sur les secteurs d'amorçage: marche
Secteurs d'amorçage..............: C:, 
Recherche dans les programmes actifs: arrêt
Recherche en cours sur l'enregistrement: arrêt
Recherche de Rootkits............: arrêt
Fichier mode de recherche........: Tous les fichiers
Recherche sur les archives.......: marche
Limiter la profondeur de récursivité: 20
Archive Smart Extensions.........: marche
Types d'archives divergents......: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Heuristique de macrovirus........: marche
Heuristique fichier..............: moyen
Catégories de dangers divergentes: +APPL,+GAME,+JOKE,+PCK,+SPR,

Ce n'est pas activé, sur le rapport.
tu as installé le programme et tu n'as rien dans le clic-droit ?

[invite7c3eeb84]

Je n'ai rien installé je suis juste allez sur le site virus total et j'ai fait ce que tu m'avais demander et donc le clic droit ne marcher pas... je refais un scan avec avira?

[b marlow]

voila le fichier du programme a installer http://www.virustotal.com/vtsetup.exe
après installation tu auras une option de scan chez virutotal pour le fichier
sur lequel tu feras un clic-droit.

[invite7c3eeb84]

Effectivement cette fois en faisant le clic droit il y a bien "virus total" par contre ca ne marche toujours pas et il y a une fenêtre avec marqué ceci dés que je clic sur envoyer vers virus total: "could not access C:\WINDOWS\System32\drivers\ap ayz.sys(31)". Que dois-je faire?

[b marlow]

Télécharge SystemLook sur ton Bureau :
- Double-clique sur SystemLook.exe pour le lancer.
- Copie le contenu du cadre ci-dessous et colle-le dans la zone texte de SystemLook

Code:

C:\WINDOWS\System32\drivers\apayz.sys

- Clique sur le bouton Look pour démarrer l'examen.
- A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Poste le rapport dans ta prochaine réponse.

[invite7c3eeb84]

Voici le rapport

[b marlow]

Désactive le contrôle des comptes utilisateurs (UAC)

Démarrer > Panneau de Configuration
Clique sur Comptes d'utilisateurs
Clique à nouveau sur Comptes d'utilisateurs

(*En mode d'affichage "Classique" : Panneau de configuration >> double-clique sur "Comptes d'utilisateurs")
Clique sur Activer ou désactiver le contrôle des comptes d'utilisateurs (au bas)

Décoche la case Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur
Clique Ok pour valider
(**Si l'UAC était déjà désactivé, clique "Annuler", quitte le Panneau de configuration et passe à l'étape suivante pas de redémarrage requis)
Tu seras invité à redémarrer l'ordinateur ; clique Ok. Ton ordinateur doit maintenant redémarrer.


Télécharge et installe >UsbFix< de C_XX & El Desaparecido

Branche tes sources de données externes à ton PC : clé USB,
disque dur externe,etc susceptible d'avoir été infectés mais sans les ouvrir

- Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 ( Suppression )
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
- Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
- A la fin poste le rapport UsbFix.txt qui apparaitra.
- Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )

Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.





Ensuite pendant que je regarderais le rapport tu retenteras Virutotal avec cette UAC désactivée.

[invite7c3eeb84]

Je suis désolé faut que j'y aille je ferais cette manip mercredi et je te recontacterais si c'est possible biensur. et merci deja pour cette aide. bonne soirée

[invite7c3eeb84]

Bonjour,
Je viens de faire la manip et je t'envoies le fichier usbfix via ce message. Petite question durant le scan j'ai eu plusieur virus et a chaque fois j'ai "mis sur quarantaine" ais-je eu raison?

[invite7c3eeb84]

désola voici le rapport

[invite7c3eeb84]

Je viens d'essayer de faire le clic droit avec virus total et c'est toujours le même problème...