Cheval de troie Tr/Rootkit.gen

[invitedb62b290]

Bonsoir à tous,

Mon Pc est infecté par un cheval de troie du nom de tr/rootkit.gen.

Je poste le rapport d'Antivir, les deux de Rsit, et celui de Malwarebytes'Anti-malware.

Par avance, merci pour le temps consacreé à ma demande.

Cordialement
-----

[invitec04351b8]

Bonjour,

pourquoi as tu téléchargé The Avenger ?

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!

Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

@+

[invitedb62b290]

Bonsoir,

Je n'ai pas téléchargé the avenger.(le premier rapport est celui de Antivir)

Si joint le rapport de combix.

Le problème que je rencontre avec ce cheval de troie, c'est qu'il est bien identifié par Avira Antivir, mais il n'arrive pas à le supprimer de suite, car Antivir me dit que la suppression ne sera possible qu'après avoir redémarrer mon Pc.
Donc après redémarrage,je peux le supprimer dans la quarantaine.
Mais après un nouveau scan de mon Pc par Antivir, il réapparait...
Merci de ton aide (encore),
@ plus.

[invitedb62b290]

Bonsoir,

Que dois-je faire aprés à la lecture du rapport de comboFix.

Merci pour votre aide,

Cordialement.

[A voir en vidéo sur Futura]

[yoda1234]

Bonsoir,

Je n'ai pas téléchargé the avenger.(le premier rapport est celui de Antivir)

Ce n'est pas ce qu'indique l'un des rapports que tu as posté, d'ailleurs je note la présence de certains logiciels destinés au téléchargement. Un peu de lecture: http://forums.futura-sciences.com/se...-infectes.html

[invitedb62b290]

Merci Yoda1234, pour ta réponse, mais cela ne me dis pas ce que je dois faire...
Merci par avance.

[invitec04351b8]

Bonsoir,

on continue comme ça :

Copie ou imprime les instructions avant

• Déconnecte toi d'internet et ferme toutes tes applications.
• Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
• Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
  
  Driver::
  dyrdcnj
  
  Rootkit::
  C:\WINDOWS\system32\drivers\dy rdcnj.sys
  
  Registry::
  [-HKEY_LOCAL_MACHINE\System\Cont rolSet001\Services\dyrdcnj]
  
  
• Enregistre ce fichier sous le nom CFscript
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.


@+

[invitedb62b290]

Je te poste le rapport après la manip.

Au rédémarrage du PC , Antivir a détecté le cheval de troie et je l'ai mis en qurantaine.

Je n'ai pas redémarrer le PC pour essayer de le supprimer.

Cordialement.

[invitedb62b290]

Après la manip, le fichier "dyrdcnj;sys" n'exsite plus, et j'ai pu sans problème supprimer les éléments mis en quarantaine.

par contre, tous les fichiers sur le bureau sont en surbrillance Bleu (cf piece jointe


"certains logiciels destinés au téléchargement" : Peux-tu me dire quels sont ceux que je peux utiliser et ceux que je dois proscrire l'utlisation.

merci pour tes précieux conseils.

[yoda1234]

certains logiciels destinés au téléchargement" : Peux-tu me dire quels sont ceux que je peux utiliser et ceux que je dois proscrire l'utlisation.

S'il s'agit d'œuvres protégées, aucun! Je te rappelle notre charte qui dit:

Pas de propos tombant sous le coup de la loi (piratage). Respectez les droits d'auteurs et de la propriété intellectuelle.

Et je te précise que la loi est sévère.

[invitedb62b290]

Merci Yoda1234 et à tous ceux qui t'entoure pour vos précieux conseils.
Mais j'abuse une dernière fois de ton temps (je l'espère).
J'ai un petit souci d'affichage du nom des dossiers présents sur le bureau.
Le nom de chaque fichier est dans un cadre bleu (apparu après la dernière utilisation de ComboFix, il me semble, car je l'ai arreté une fois par erreur au tout début du dernier traitement)
Quel paramètrage je dois modifier pour ne plus avoir ce cadre bleu, et avoir le nom de chaque fichier présent sur le bureau en texte normal.
Une nouvelle fois merci pour tout.

[invitec04351b8]

Bonjour,

on va voir si la désinstallation de Combofix supprime ton probème d'affichage.

Démarrer, Exécuter, tape <code>combofix /uninstall</code> dans la zone de saisie puis clique sur OK.

===

Fais redémarrer l'ordi et remets un rapport RSIT.

@+

[invitedb62b290]

Bonsoir Lyonnais92,

Mon problème d'affichage a disparu en allant vérifier mes paramètrages Pc dans le panneau de configuration.

Par contre, je te poste le rapport de Rsit.

Peux-tu me confirmer ou m'infirmer que mon Pc est sain.

Merci à toi.

Cordialement.

[invitec04351b8]

Bonsoir,

je ne vois rien dans ce rapport.

As tu désinstallé Combofix comme demandé ?

@+

[invitedb62b290]

Je vous remercie pour votre aide.

Cordialement.

[yoda1234]

As tu désinstallé Combofix comme demandé ?

Tu n'as pas répondu à la question.

[invitedb62b290]

Bonjour Lyonnais92,

J'ai désintallé Combofix depuis le bureau, avant que tu me donnes la procédure.

Quand je tape "<code>combofix /uninstall</code>" dans executer, un message s'ouvre et me dit "Windows ne trouve pas - <code>combofix -".

Cordialement.

[invitec04351b8]

Bonjour,

tu ne l'as pas désinstallé correctement.

Retélécharge le d'ici :

url=http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Ne l'exécute pas.

Fais ceci :

Démarrer, Exécuter, tape <code>combofix /uninstall</code> dans la zone de saisie puis clique sur OK.

* Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.


hxxp://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
hxxp://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe

* Clique sur Recherche et laisse le scan se terminer.

* Clique, sur Suppression pour finaliser.

* Tu peux, si tu le souhaites, te servir des Options facultatives.

* Clique sur Quitter, pour que le rapport puisse se créer.

* Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

@+

[invitedb62b290]

Re-bonjour,

J'ai réinstallé ComboFix sans l'exécuter.

J'ai du taper "combofix /uninstall", sans les "codes" au début et à la fin pour que le logiciel soit désinstallé.

je te poste le rapport de TCleaner.

@ +.

[invitec04351b8]

Re,

Installe un parefeu contrôlant les connexions sortantes :

tutoriel et lien de téléchargement ici :

http://www.malekal.com/tutorial_Online_Armor.php

===

Ouvre ce lien :

http://service1.symantec.com/SUPPORT...20830101856924

dans un premier temps tu le suis pour désactiver la restauration système.

Tu fermes la fenêtre.

Dans un deuxième temps, tu le suis pour réactiver la restauration.

Ceci recréé automatiquement un point de restauration daté de l"heure de la réactivation.

===

Quelques conseils (merci à B.Marlow)

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

@+

[invitedb62b290]

J'ai désactivé la restauration système, et j'ai réactivé la restauration système.

Merci à tous pour avoir dépolluer mon Pc.

En cas de soucis, je présume que je peux reprendre la restauration faite ce jour.

Cordialement

[invitec04351b8]

Re,

de rien pour l'aide.

Le point de restauration est effectivement un point qui peux te permettre de redémarrer avec une situation "saine".

Mais cela ne fonctionne pas avec toutes les infections.

Ca permet aussi d'annuler une mise à jour ou l'installation d'un logiciel qui entre en conflit avec le reste du système.

@+