cheval de troie TR/Rootkit.Gen

[ori5983]

Bonjour,

Mon ordi est infecté par ce cheval de troie. Antivir le trouve mais n'arrive pas à le supprimer. En parcourant ce forum, j'ai vu que d'autres avaient ce même problème, mais que les manips à effectuer pour le supprimer sont fonction du rapport d'antivirus.
Pouvez-vous m'aider SVP?
Ci-joint le rapport de l'antivirus.
-----

[ori5983]

Personne ne peut m'aider??
Merci d'avance

[b marlow]

Salut,

Code:

En parcourant ce forum, j'ai vu que d'autres avaient ce même problème,  mais que les manips à effectuer pour le supprimer sont fonction du  rapport d'antivirus.

Tu as du voir que la procédure commençait par un diagnostique Un malware ? Premiers gestes...

Commence par ceci tu feras la procédure après...
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[ori5983]

Merci pour la réponse.

En effet j'ai déjà installé ComboFix et scanné le PC avec. Ci-dessous le rapport, que dois-je faire ensuite? Merci!

[A voir en vidéo sur Futura]

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Rootkit::
C:\Windows\System32\drivers\tczanjcy.sys

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.(en P-J)

[ori5983]

voilà qui est fait!
(rapport en PJ)

[b marlow]

Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[ori5983]

Bonsoir,

J'ai effectué l'analyse en ligne, cela a duré plusieurs heures, je l'ai laissé tourner toute la nuit. Par contre, je n'ai pas trouvé le rapport dans le dossier indiqué...
Est-ce normal?

Merci pour votre aide!

[b marlow]

rien dans le répertoire C:\Program Files\EsetOnlineScanner ?

a-t-il trouvé quelque chose ?

avais-tu coché les cases indiqué pour qu'il supprime automatiquement ce qu'il trouve ?

[ori5983]

En effet j'ai vérifié plusieurs fois, rien dans le répertoire indiqué.
Le résultat mentionnait 0 fichier infécté détécté. J'avais en effet cocher toutes les cas comme demandé...
Dois-je scanner de nouveau mon ordinateur avec mon antivirus classique pour voir s'il détecte encore quelque chose?

Merci!

[b marlow]

Télécharge GMER
Clique sur le bouton Download EXE et enregistre-le sur ton Bureau.
Exécute-le par un double-clic sur le fichier créé sur le Bureau.
Dans l'onglet "Rootkit" , vérifie que tous les items à droite soient cochés
**Assure-toi que "Show All" est décoché**
Clique sur "Scan" puis patiente...
A la fin clique sur "Save" et enregistre-le sur le Bureau.

Poste le rapport.

[ori5983]

c'est fait, rapport en PJ!

[b marlow]

Télécharge OTL par OldTimer enregistre-le sur le bureau :
Double-clique sur son icône pour le démarrer, pours Vista ou 7 clic-droit Exécuter en tant qu'administrateur.
Assure toi d'avoir fermé les fenêtres actives, avant ce qui suit.
Sous l'emplacement "Personnalisation" copie colle le contenu de cette boite CODE :

Code:

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
vstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

Clique sur le bouton "Analyse rapide". Ne change aucun réglage, sauf si on te le demande. Le scan sera rapide.
A la fin du scan, le bloc-notes sera ouvert, avec dedans OTL.Txt et Extras.Txt.

Poste en PJ le contenu de ces fichiers dans ta prochaine réponse .

[ori5983]

bonsoir,

Je ne parviens pas à executer le programme indiqué (erreur : l'accès à cet emplacement de la mémoire n'est pas valide)
Pouvez-vous m'aider?
Merci d'avance

[b marlow]

tu as fais clic-droit exécuter en tant qu'administrateur ?

[ori5983]

oui c'est bien ce que j'ai fait!

[b marlow]

redémarre l'ordi et retente.

[ori5983]

j'ai finalement réussi...

Rapports en PJ

[b marlow]

Rien à signaler.
Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide
coche puis clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final.

Aide en images.

[ori5983]

Bonjour,

Voici le rapport final.
Merci

[b marlow]

Supprime ce dossier C:\Users\Orianne\AppData\Roami ng\EoRezo
Ouvre OTL, clique sur Purge Outils , cela va supprimer les tools qui nous
ont servi à la procédure.

[ori5983]

C'est fait.
Que dois-je faire des autres programmes que j'ai été amenée à installer?
Merci beaucoup pour votre aide en tout cas.

[b marlow]

tu peux les supprimer sauf MBAM et ATF-Cleaner qui sont très utiles.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis