Cheval de troie Tr/Rootkit.gen

fredc88 · 21/02/2010 - 23h40

Bonsoir à tous,

Mon Pc est infecté par un cheval de troie du nom de tr/rootkit.gen.

Je poste le rapport d'Antivir, les deux de Rsit, et celui de Malwarebytes'Anti-malware.

Par avance, merci pour le temps consacreé à ma demande.

Cordialement

**Lyonnais92** · 22/02/2010 - 10h34

Bonjour,

pourquoi as tu téléchargé The Avenger ?

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

@+

fredc88 · 22/02/2010 - 20h05

Bonsoir,

Je n'ai pas téléchargé the avenger.(le premier rapport est celui de Antivir)

Si joint le rapport de combix.

Le problème que je rencontre avec ce cheval de troie, c'est qu'il est bien identifié par Avira Antivir, mais il n'arrive pas à le supprimer de suite, car Antivir me dit que la suppression ne sera possible qu'après avoir redémarrer mon Pc.
Donc après redémarrage,je peux le supprimer dans la quarantaine.
Mais après un nouveau scan de mon Pc par Antivir, il réapparait...
Merci de ton aide (encore),
@ plus.

fredc88 · 24/02/2010 - 17h45

Bonsoir,

Que dois-je faire aprés à la lecture du rapport de comboFix.

Merci pour votre aide,

Cordialement.

yoda1234 · 24/02/2010 - 18h01

Envoyé par fredc88

Bonsoir,

Je n'ai pas téléchargé the avenger.(le premier rapport est celui de Antivir)

Ce n'est pas ce qu'indique l'un des rapports que tu as posté, d'ailleurs je note la présence de certains logiciels destinés au téléchargement. Un peu de lecture: Projet AntiMalware : Pourquoi êtes vous infectés ?

fredc88 · 24/02/2010 - 18h28

Merci Yoda1234, pour ta réponse, mais cela ne me dis pas ce que je dois faire...
Merci par avance.

**Lyonnais92** · 24/02/2010 - 18h40

Bonsoir,

on continue comme ça :

Copie ou imprime les instructions avant

Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

Driver::
dyrdcnj

Rootkit::
C:\WINDOWS\system32\drivers\dy rdcnj.sys

Registry::
[-HKEY_LOCAL_MACHINE\System\Cont rolSet001\Services\dyrdcnj]
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

@+

fredc88 · 24/02/2010 - 19h38

Je te poste le rapport après la manip.

Au rédémarrage du PC , Antivir a détecté le cheval de troie et je l'ai mis en qurantaine.

Je n'ai pas redémarrer le PC pour essayer de le supprimer.

Cordialement.

fredc88 · 24/02/2010 - 20h36

Après la manip, le fichier "dyrdcnj;sys" n'exsite plus, et j'ai pu sans problème supprimer les éléments mis en quarantaine.

par contre, tous les fichiers sur le bureau sont en surbrillance Bleu (cf piece jointe

"certains logiciels destinés au téléchargement" : Peux-tu me dire quels sont ceux que je peux utiliser et ceux que je dois proscrire l'utlisation.

merci pour tes précieux conseils.

yoda1234 · 25/02/2010 - 06h24

Envoyé par fredc88

certains logiciels destinés au téléchargement" : Peux-tu me dire quels sont ceux que je peux utiliser et ceux que je dois proscrire l'utlisation.

S'il s'agit d'œuvres protégées, aucun! Je te rappelle notre charte qui dit:

Pas de propos tombant sous le coup de la loi (piratage). Respectez les droits d'auteurs et de la propriété intellectuelle.

Et je te précise que la loi est sévère.

fredc88 · 25/02/2010 - 17h18

Merci Yoda1234 et à tous ceux qui t'entoure pour vos précieux conseils.
Mais j'abuse une dernière fois de ton temps (je l'espère).
J'ai un petit souci d'affichage du nom des dossiers présents sur le bureau.
Le nom de chaque fichier est dans un cadre bleu (apparu après la dernière utilisation de ComboFix, il me semble, car je l'ai arreté une fois par erreur au tout début du dernier traitement)
Quel paramètrage je dois modifier pour ne plus avoir ce cadre bleu, et avoir le nom de chaque fichier présent sur le bureau en texte normal.
Une nouvelle fois merci pour tout.

**Lyonnais92** · 26/02/2010 - 18h16

Bonjour,

on va voir si la désinstallation de Combofix supprime ton probème d'affichage.

Démarrer, Exécuter, tape <code>combofix /uninstall</code> dans la zone de saisie puis clique sur OK.

===

Fais redémarrer l'ordi et remets un rapport RSIT.

@+

fredc88 · 26/02/2010 - 22h43

Bonsoir Lyonnais92,

Mon problème d'affichage a disparu en allant vérifier mes paramètrages Pc dans le panneau de configuration.

Par contre, je te poste le rapport de Rsit.

Peux-tu me confirmer ou m'infirmer que mon Pc est sain.

Merci à toi.

Cordialement.