rootkit gen 2

[inviteeeb36446]

bonjour mon pc a detecter un rootkit gen 2 avec antivir je n ai plus d internet mon pare feu ferme et celui de windos est inaccessible
-----

[inviteeeb36446]

re salut j ai lance combofix et voici le fichier log en piece jointe merci pour votre aide
je n ai plus d internet impossible de le regler plus de renouvellement ip

[invitec04351b8]

Bonsoir,

pour ta connexion Internet :

- le tutoriel de Combofix en parle ( ici . ) Essaye.

- sinon, regarde de cette manière :

Ouvre Internet explorer, Outils, Options Internet

Choisis Connexions puis Paramètres réseau

Décoche la case devant "utiliser un serveur proxy ...."

Coche la case devant "Détecter automatiquement les paramètres de connexion".

Pour Firefox,

Outils, Options

Avancé, Réseau, Paramètres

Coche la case "Utiliser les paramètres proxy du système".


- sinon, fais ce qui est dit ici :

http://support.microsoft.com/kb/299357/fr

==

Résultat ?

@+

[inviteeeb36446]

Bonjour, Lyonnais92 et merci pour ton aide. J'ai fais les manips dans l'ordre pour combofix windows ne peut pas reparer la connexion renouvellement adresse ip ne fonctionne pas demander assistance a la personne qui gere votre reseau. Pourtant je suis l'administrateur au demarrage il marque runtime error programme c:\ program files\fichier R 6034. Puis dans firefox c'etait deja sur proxy systeme et enfin la manip dans la command executer pour reecrire le tcp ip ne donne rien non plus.

[A voir en vidéo sur Futura]

[invitec04351b8]

Bonjour,

si tu es derrière une box, essaye de la relancer (tu débranches la prise électrique, tu attends 10 sec et tu rebranches, tu attends que tous les voyants arrêtent de clignoter).

Redémarre l'ordi et essaye de te reconnecter.

===

Si cela ne donne rien, il faut que tu trouves l'adresse ip de ta box.

Ensuite, tu essayes ce qui est dit ici :

http://www.commentcamarche.net/forum...-adresse-ip#49

(il faut que tu remplaces en fonction de l'adresse ip de la box 1921.168.1.1)

@+

[inviteeeb36446]

re J ai essaye mais rien quand je fais ipconfig /all le dhcp est active mais pas d ip =0.0.0.0 et masque sous reseau =0.0.0.0 toujours pas de renouvellement ip ni de pare feu windows car le truc associe au pare ne repond pas par contre ce qui est bizarre c qu avec hiren s boot cd quand je rentre dans le mini windows machine virtuelle j arrive avec leur setup network a avoir internet

[invitec04351b8]

Re,

on va essayer de ruser.

Sous Hiren Boot, tu vas télécharger ZHPDiag sur le lien que je vais te donner.

Tu vas l'enregistrer en un lieu que tu retiendras.

Ensuite, tu redémarres normalement et tu installes ZHPDiag à partir du fichier téléchargé.

Puis tu l'exécutes et tu postes le rapport en pièce jointe.

En gros, tu adaptes cette procédure :

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[inviteeeb36446]

re J ai essaye mais rien quand je fais ipconfig /all le dhcp est active mais pas d ip =0.0.0.0 et masque sous reseau =0.0.0.0 toujours pas de renouvellement ip ni de pare feu windows car le truc associe au pare ne repond pas par contre ce qui est bizarre c qu avec hiren s boot cd quand je rentre dans le mini windows machine virtuelle j arrive avec leur setup network a avoir internet

[invitec04351b8]

Re,

tu as essayé quoi ?

de télécharger ZHPDiag avec la connexion du Hiren Boot ?

@+

[inviteeeb36446]

RE desole j ai renvoye deux fois le meme message oupss
Donc voila le resultat!!!!!!et encore merci pour ton aide et ta patience

[inviteeeb36446]

re J ai essaye mais rien quand je fais ipconfig /all le dhcp est active mais pas d ip =0.0.0.0 et masque sous reseau =0.0.0.0 toujours pas de renouvellement ip ni de pare feu windows car le truc associe au pare ne repond pas par contre ce qui est bizarre c qu avec hiren s boot cd quand je rentre dans le mini windows machine virtuelle j arrive avec leur setup network a avoir internet

[inviteeeb36446]

encore meme message a cause je repond sur iphone

[yoda1234]

encore meme message a cause je repond sur iphone

Même si tu réponds avec un smartphone, ce n'est une raison pour ne pas respecter notre charte qui dit:

Respectez les lecteurs du forum, n'écrivez pas vos messages en style SMS ou phonétique. Utilisez la fonction "prévisualisation" pour vous relire et limiter les fautes d'orthographe.

C'est la double peine pour nos "helpeurs", il décortiquent les rapports et doivent décrypter la bouillie de lettres; un peu de respect s'il te plait!!!!

[inviteeeb36446]

re bonjour, Je suis sincèrement desolé et je vais faire tous les efforts possible. Je vous suis infiniment reconnaissant. Merci pour votre aide . Cordialement

[invitec04351b8]

Bonjour,

fais démarrer, Exécuter et copie/colle ou tape

cmd /k ipconfig /all

puis OK

Ca va te donner l'adresse ip de ta box (en 192.168.x.x)

Ouvre un navigateur et tape http://192.168.x.x (tu remplaces x.x par ce que tu as obtenu juste avant).

Ca ouvre l'interface de la Box ?

Tu quittes.

===

Tu suis ce tuto :

http://www.commentcamarche.net/faq/9...ous-windows-xp

Quel résultat sur ta connexion Internet ?

@+

tu as accès à ta box en tapant http://192.168.11.1 dans ton navigateur ?

[inviteeeb36446]

bonsoir, J ai trouvé mon adresse ip fixe sur mon compte free et elle repond au ping. Je n-ai-pas de passerelle reseau. Quant a l'adresse http://192.168.x.x dans le navigateur elle n'ouvre pas la box .

[invitec04351b8]

Re,

tu as bien une box ?

Si oui, son adresse n'est pas 192.168.x.x.

En général, les Box d'Orange ont l'ip 191.168.1.1

Je ne sais pas si les FreeBox ont la même.

Je t'ai donné une procédure qui permet de trouver l'ip de la FreeBox.

Cette ip est atteinte à partir du navigateur ?

à+

[inviteeeb36446]

Bonjour, oui j ai une box+ tv + routeur free. Mon ip free je l'ai obtenue dans mon compte free internet. C'est eux qui l'attribue quand on fait la demande. Mon ip commence par 88.xxx.xx.xx. Lorsque je la tape dans mon navigateur ( http://88.xxx.xx.xx) il ne se passe rien. Je n ai toujours pas internet, et mon pare feu windows ne demarre pas non plus .

[invitec04351b8]

Bonjour,

fais ça :

Démarrer, Exécuter et copie/colle ou tape

cmd /k ipconfig /all

puis OK.

Poste le contenu de la fenêtre en pièce jointe dans ta réponse.

@+

[inviteeeb36446]

Re bonjour,

Encore merci pour tout le temps passé.

Voila la piéce jointe.

a +

[invitec04351b8]

Re,

tu es connecté par câble ?

L'ip 88.189.xx.xx te permet d'atteindre ta box ?

Le gestionnaire des tâches ne donne aucun périphérique avec un point jaune ?

@+

[inviteeeb36446]

Re, oui je suis connecté par cable ethernet et il n y a pas de point jaune dans le gestionnaire, la carte fonctionne . merci

[invitec04351b8]

Re,

tu atteints la box en tapant http://88.189.xx.xx dans ton navigateur ?

@+

[inviteeeb36446]

Re, non je l'atteint pas!! a+

[invitec04351b8]

Re,

j'ai un peu regardé. La Freebox ne fonctionne pas exactement comme la mienne ce qui ne facilite pas les choses.

En plus, tu es connecté par câble et pas en Wifi. Ca ne m'aide pas non plus à t'aider.

Bon, tout ça c'est pas ta faute.

===

J'ai trouvé ça :

En fait, dans mes connexions réseau, il y avait une connexion désactivée que je voulais supprimer, car inutile, pour moi. Je pensais qu'il s'agissait du modem 56K interne, mais en regardant un peu mieux j'ai vu marqué "Marvell Yukon 88E8053 PCI-E Gigabit Ethernet Controller. Et, effectivement, en l'activant, le port Ethernet du PC sur lequel est branché le cable RJ45 s'est allumé, et en redémarrant la Freebox et le PC, j'ai pu me connecter

Ca donne quelque chose ?

@+

[inviteeeb36446]

Bonjour, moi aussi j'ai une carte marvel yukon et elle est bien connectee. Je comprend plus. Dans le gestionnaire des taches sous les graphiques de connection on voit la carte reseau operationnelle. Pourtant sous hiren s boot opera fonctionne. Tous les smartphones de la maison capte le wifi, ma tv fonctionne. Mhhh!!!!! cela m'agace!!!!! Le pare feu windows ne s'allume plus, kerio firewall que j ai enlevé car il quittait erreur windows.Que faire ??? Merci au moins moi qui n est pas l'habitude de communiquer sur les forums, je trouve cela interressant. Bon Dimanche Lyonnais92..

[invitec04351b8]

Bonjour,

démarre sous Hirens' Boot.

Copie Complete Internet Repair sur le disque dur, à un endroit que tu reconnaitras.

Redémarre normalement.

Si nécessaire, dézippe Complete Internet Repair.

Exécute le.

Coche les 4 premières lignes et clique sur GO.

Résultat ?

@+

[invitec04351b8]

Re,

je suis peut être dans l'erreur à vouloir traiter d'abord la connexion Internet (même si il va falloir le faire et que ça facilitera la désinfection).

Il va falloir que tu ruses pour faire ce que je vais te donner à faire.

L'idée est de copier les instructions sur le Bureau (ou un autre répertoire) pour les utiliser.

Pour ça, il faut les récupérer via une connexion.

Donc tu adaptes cette procédure :


Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = <local>;*.local
M3 - MFPP: Plugins - [christophe] -- C:\Program Files\Mozilla FireFox\searchplugins\babylon.xml
O2 - BHO: IMinent WebBooster - {A09AB6EB-31B5-454C-97EC-9B294D92EE2A} . (.Iminent - Iminent WebBooster.) -- C:\Program Files\Iminent\IMBooster4Web\Iminent.WebBooster.dll
O2 - BHO: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} Clé orpheline
O2 - BHO: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} Clé orpheline
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- IMBoosterARP
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {AF2D5B54-36DE-471E-B9C8-58E4B2B951C6}
O42 - Logiciel: pdfforge Toolbar v1.0 - (.GreenTree Applications, Inc..) [HKLM] -- {B8B0FC8B-E69B-4215-AF1A-4BDFF20D794B}
[HKCU\Software\AppDataLow\Software\pdfforge]
[HKCU\Software\Iminent]
[HKCU\Software\Search Settings]
[HKCU\Software\pdfforge]
[HKLM\Software\Babylon]
[HKLM\Software\Iminent]
[HKLM\Software\Mircrosoft]
[HKLM\Software\PopCap]
[HKLM\Software\Search Settings]
[HKLM\Software\pdfforge]
O43 - CFD: 18/10/2011 - 14:10:22 - [17931813] ----D- C:\Program Files\Iminent
O43 - CFD: 22/11/2011 - 18:07:14 - [1118562] ----D- C:\Program Files\pdfforge Toolbar
O43 - CFD: 15/10/2011 - 13:03:18 - [3477] ----D- C:\Documents and Settings\christophe\Application Data\Babylon
O43 - CFD: 24/07/2011 - 12:56:26 - [29440838] ----D- C:\Documents and Settings\christophe\Application Data\OpenCandy
O43 - CFD: 24/02/2009 - 20:45:54 - [2939] ----D- C:\Documents and Settings\christophe\Application Data\pdfforge
O43 - CFD: 24/02/2009 - 20:45:56 - [0] ----D- C:\Documents and Settings\christophe\Application Data\Search Settings
O43 - CFD: 15/10/2011 - 13:03:20 - [3700063] ----D- C:\Documents and Settings\christophe\Local Settings\Application Data\Babylon
O43 - CFD: 16/10/2011 - 15:41:16 - [0] ----D- C:\Documents and Settings\christophe\Local Settings\Application Data\MediaGet2
O43 - CFD: 25/07/2011 - 09:33:48 - [0] ----D- C:\Documents and Settings\christophe\Local Settings\Application Data\OpenCandy
O53 - SMSR:HKLM\...\startupreg\IMBooster  [Key] . (.Iminent - IMBooster.) -- C:\Program Files\Iminent\IMBooster\imbooster.exe
O69 - SBI: SearchScopes [HKCU] {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9} [DefaultScope] - (Search the web (Babylon)) - http://search.babylon.com
[HKCU\Software\Microsoft\Internet Explorer\lowregistry\search settings]
[HKLM\Software\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ecdf796-c2dc-4d79-a620-cce0c0a66cc9}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
[HKLM\Software\Classes\Interface\{44C3C1DB-2127-433C-98EC-4C9412B5FC3A}]
[HKLM\Software\Classes\Interface\{4D5132DD-BB2B-4249-B5E0-D145A8C982E1}]
[HKLM\Software\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}]
[HKLM\Software\Classes\Interface\{6e4c89cf-3061-4ee4-b22a-b7a8aaea5cb3}]
[HKLM\Software\Classes\Interface\{8BE10F21-185F-4CA0-B789-9921674C3993}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKLM\Software\Classes\CLSID\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]
[HKLM\Software\Classes\Interface\{B32672B3-F656-46E0-B584-FE61C0BB6037}]
[HKLM\Software\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[HKCU\Software\Iminent]
[HKLM\Software\Iminent]
[HKCU\Software\pdfforge]
[HKCU\Software\AppDataLow\Software\pdfforg
[HKLM\Software\pdfforge]
[HKLM\Software\PopCap]
[HKCU\Software\Search Settings]
[HKLM\Software\Search Settings]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\IMBoosterARP]
C:\Program Files\Iminent 
C:\Program Files\pdfforge Toolbar
C:\Program Files\Mozilla Firefox\Extensions\webbooster@iminent.com
C:\Documents and Settings\christophe\Application Data\Babylon
C:\Documents and Settings\christophe\Application Data\OpenCandy
C:\Documents and Settings\christophe\Application Data\pdfforge
C:\Documents and Settings\christophe\Application Data\Search Settings
C:\Documents and Settings\christophe\Local Settings\Application Data\Babylon
C:\Documents and Settings\christophe\Local Settings\Application Data\MediaGet2
C:\Documents and Settings\christophe\Local Settings\Application Data\OpenCandy

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[inviteeeb36446]

Re,
1: Pour complete internet repair , cela n'a rien donné.
2: Pour ZHP.FIX voila le fichier.
MERCI

[invitec04351b8]

Re,

tu fais redémarrer en mode normal.

Tu relances ZHPDiag, tu cliques sur le tournevis et tu cliques sur Tous.

Tu cliques sur la loupe pour lancer l'analyse.

Tu postes le rapport.

@+