Bonjour,
j'ai un soucis avec un virus "Rootkit.gen" seul ou non je ne sais pas. Les effets sont : PC très lent, beaucoup de difficultés avec internet.
j'ai suivi la procédure demandé, en PJ les rapports RSIT.
merci d'avance à ceux qui pourront m'aider
Bonjour,
quel outil te le décèle et où ?
RSIT ne montre rien.
Fais ceci :
Télécharge ZHPDiag
Enregistre le sur ton Bureau.
Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Double clique sur le raccourci ZHPDiag sur ton Bureau.
/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.
Clique sur la loupe pour lancer l'analyse.
A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.
Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.
@+
Bonjour et merci de ton aide!
Mon anti virus est avira antivir et c'est lui qui m'a détecté rootkit.gen (a raison ou a tort je ne sais pas).
C'est bien depuis sa détection que les soucis ont commencé (plusieurs demande de mise en quarantaine).
Mes symptomes sont les suivants: PC lent, sur internet beaucoup de difficulté à afficher les pages et souvent pages non affichées car délai de réponse trop long (c'est énervant..!).
De plus en regardant les programme consommant de la ressource (CTRL Alt Sup) je vois un SVCHOST.exe dans la tête de liste...?
Fait nouveau j'ai reçu aujourd'hui un mail de mon fournisseur d'accéesSinon j'ai utiliser ZHPdiag comme demandé et voici le rapport: voir fichier joint.(SecuriteInternet-Abuse mail: SecuriteInternet-Abuse@info.sfr.com) m'indiquant:
"Chère Cliente, Cher Client,
Cette information importante est destinée au responsable du compte.
Nos serveurs mails ont détecté l’envoi en très grande quantité d’emails se révélant être du Spam (courriers indésirables). Seul un virus présent sur un de vos ordinateurs peut automatiser l’envoi de ces emails publicitaires à votre place.
Notre objectif est de vous aider à supprimer au plus vite ce virus car il fait de votre ordinateur « un PC Zombie » qui par définition est un ordinateur contrôlé à distance par un pirate informatique.
Nous vous demandons d’agir au plus vite car il existe des virus qui peuvent paralyser ou ralentir considérablement les ordinateurs voire causer des désagréments plus importants"
Merci d'avance pour ton aide.
Torseur
Dernière modification par yoda1234 ; 23/03/2010 à 05h05.
Bonjour,
tu ne m'a pas dit dans quel fichier Antivir trouvait ce malware.
===
Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).
[*]Lance MBAM et sélectionne "Exécuter un examen rapide". Patiente le temps du scan.[*]Une fois le scan terminé,clique sur "Supprimer la sélection".[/list] Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).
@+
Bonjour,
pour la question dans quel fichier a été trouvé ce malware voila ce que je peux trouver dans le journal Antivir:
Le fichier 'C:\WINDOWS\system32\drivers\r vjzk.sys'
contenait un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan].
Action(s) exécutée(s) :
Erreur lors de la création d'une copie de sécurité du fichier. Le fichier n'a pas été supprimé. Code d'erreur : 26004.
Impossible de trouver le fichier source.
Tentative en cours d'exécuter l'action à l'aide de la bibliothèque ARK.
Il un en a plusieurs de ce type mais jamais le même!
J'ai effectué la manip avec MBAM le rapport est en PJ.
Merci
Re,
alors on fait comme ça :
Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Pour l'utilisation de cet outil, utilise ce tutoriel : Aide pour Combofix
Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outil.
@+
Avant de continuer: depuis que j'ai utiliser MBAM j'ai j'ai retrouvé (avec seulement quelques dizaine de minutes de recul) un fonctionnement digne de ce nom
Est ce que MBAM a régler le problème ou l'a t il masqué?
Ha non ça re rame...
Bon j'abandonne pour ce soir, impossible de se connecter au tutoriel combofix. J'ai télécharger l'outil et je réessayerais demain pour les explications.
A+
Bon les nouvelles sont plus ou moins bonnes...
J'ai suivi le tuto sur combofix. J'ai désactivé mon antivir (parapluie fermé) et j'ai lancé combofix:
_il m'a indiqué qu'une mise à jour était nécessaire => faite automatiquement
_il m'a indiqué que mon antivir était toujours actif => parapluie fermé pourtant, pas d'autres solutions que de cliquer OK.
_la routine s'est mis en route il y a eu au moins 50 étapes et non 41 comme indiqué dans le tuto
_le PC a été rebooté automatiquement
_Pas de rapport qui s'affiche ni de rapport sous la racine indiquée par le tuto
_nouveauté j'ai maintenant dans mon arborescence un nouveau dossier avec comme icone un PC qui s'appelle combofix et qui contient une image de l'arborescence (qui elle même contient une image de l'arborescence, et ainsi de suite...)=> voir PJ.
Ton avis sur tout ça?
Re,
jamais vu ça.
50 étapes, c'est normal, des étapes ont été rajoutées sans que le tuto ait été mis à jour sur ce point.
Si tu trouves C:\Combofix.txt, poste le dans ta réponse.
L'espace occupé sur le DD a changé ?
@+
Ha non il n'y a pas de rapport et ke fait d'avoir une arborescence de ce type bloque les recherches de fichier.
L'espace du DD ne semble pas incohérent (je ne connaissais pas sa taille avant mais c'est correct).
Je viens de faire un test, j'ai crée un fichier dans l'arborescence principale et il apparait bien sous l'arborscence COMBOFIX et inversement => pour moi c'est bien uniquement une image de l'arborescence. Ce qui veut dire que je ne peut pas le supprimer sinon je supprime aussi la source....comment je m'en sort?
Re,
regarde dans le répertoire Qoobox si tu vois Combofix*.txt (ça ne devrait pas).
Ton test est une autre réponse à ta question (taille occupée sur le disque).
J'ai attiré l'attention de l'équipe anti-malwares pour ne pas faire de bêtise.
J'attends les réactions.
Si je dois élargir à mon réseau, je te demanderai peut être de mettre la prise écran sur un lien Cijoint.
@+
Re,
si tu crées un sous-répertoire sous Acer (pas ACER(C:) (laisse le vide) :
- les clones se créent dans les répliques ?
- si tu le supprimes à partir de Combofix\ACER(C:)\Acer, il se supprime aussi sous le répertoire principal ?
@+
Dernière modification par JPL ; 24/03/2010 à 16h28. Motif: Désactivation des smileys
_le fichier est bien créé dans les "deux" (sous C:... et sous Combofix...
_la suppression est effective dans les "deux" zones (enfin plus que deux vu que l'image est aussi dans l'image et ainsi de suite)
A+
Bonjour,
pour avancer, je vais contacter le créateur de l'outil.
Comme les rapports sont protégés, pour que je puisse lui montrer l'image écran, il faut que tu la copies sur un lien public.
Pour continuer à la protéger, on va faire comme ça :
Pour transmettre le rapport clique sur [http://www.cijoint.fr/ Cijoint]
Clique sur Parcourir et cherche le fichier de cette image écran que tu as créé.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?fil...cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans un mp (message personnel)à mon attention.
@+.
Ok c'est fait. Le problème de PC subsiste toujours en plus de celui de l'arborescence...
Re,
je vais saisir l'auteur du tool.
Je préfère ne rien faire sans son avis.
@+
Re,
si tu ajoutes un fichier dans le premier répertoire Combofix, est ce que il se créé sur le répertoire "frère" Acer (celui qui est juste "au dessus").
La réponse devrait être "non.
Dans ce cas, tu supprimes le répertoire Combofix (clic droit et Supprimer).
Tu me tiens au courant.
@+
En fait je ne peux pas créer de répertoir dans combofix car ce n'est pas un répertoire mais un poste de travail comme on peut le voir dans le jpeg.
Ce poste de travail est une copie vivante du poste de travail global. Tout ce qui se passe dans l'un se passe dans l'autre.
Le problème qui s'ajoute à ça c'est que je ne peut plus faire de recherche car lorsque que le progreamme rentre dans combofix il y a un combofix dedans et ainsi de suite à l'infini.
Point de vue de l'ordi ça devient une vrai calamité...
J'espère que l'on va trouver vite...
A+
Bonjour,
l'auteur du fix dit de supprimer ce "poste de travail".
(clic droit et suppression).
@+
Re,
bon non sans apréhension j'ai supprimer ce post de travail (en deux étape tout de même, passage par la corbeil).....et c'est bon!
et maintenant alors? dois je refaire la manip combofix?
Bonjour,
je comprends ton appréhension. Mais l'auteur m'avait rassuré.
Cette configuration est volontaire pendant le passage de l'outil.
===
Oui, il faut relancer Combofix;
Mais, tu vas le lancer en mode sans échec.
Au redémarrage, tu ne fais rien, tu attends le rapport. Ca peut être assez long. Il faut être patient.
@+
Ok par contre je ne sais pas passer en mode sans echec sur cette machine (la page de choix n'apparait pas).
Comment faire?
Re,
j'ai trouvé la solution sur le net.
j'ai fait la manip en PJ le rapport. Juste pour Antivir j'ai encore eu une alerte mais il semblait ne pas être lancer en mode sans échec.
J'espère que ce rapport va apporter des réponses...?
Torseur
Bonjour,
le passage de Combofix a changé les choses ?
Antivir te décèle encore le malware ?
@+
Salut,
Pour être honnête ta question m'étonne, avec les différents outils que tu m'as fait lancer et les rapports à chaque fois je pensais que tu allais me le dire...(genre tu as tel virus, détecté par tel outils et supprimé par celui là)
le pc à bien fonctionné 1 jour et après regalère (toujours SVChost qui tourne et consomme de la ressource). Antivir (je viens de le lancer) a retrouvé TR/Rootkit.gen...! Donc retour à la case départ.
Quelle est ton analyse de tout ça?
A+ Torseur
Bonjour,
aucun outil d'analyse ne peut vérifier toutes les modifications qu'apportent les malwares.
On travaille sur une combinaison de résultats d'outils qui en examinent beaucoup et des symptômes donnés par l'utilisateur.
===
En mode sans échec,
ouvre le Bloc-Notes.
Recopie les lignes dans le cadre orange et sauvegarde le sur ton Bureau sous le nom CFScript.
Désactive toutes tes protections.Code:Driver:: rvjzk Rootkit:: C:\WINDOWS\system32\drivers\r vjzk.sys
- Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
- Redémarre en mode normal, vérifie que tes protections sont réactivées avant d'envoyer le rapport (en pièce-jointe)
@+
Salut,
avant de faire la manip est ce normal l'espace dans l'adresse "C:\WINDOWS\system32\drive rs\r vjzk.sys"?
Re,
désolé de ne pas avoir vu plus tôt.
Non, il ne faut pas d'espace.
@+
