Rootkit.gen détecté par antivir - aidez moi svp • page 2

[web2]

malewarebytes tourne toujours et pendant l'opération là , j'ai mon antivir qui m'a bloqué : Dropper.Gen (trojan) et
Agent.Al.3575 (trojan) qui font partie de la liste que j'ai cité au début de mon sujet.

[web2]

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3901
Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

22/03/2010 23:56:28
mbam-log-2010-03-22 (23-56-28).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|H:\|)
Eléments examinés: 238591
Temps écoulé: 1 hour(s), 51 minute(s), 3 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

[web2]

j'ai ces 2 fichiers en quarantaine.
l'image complète et sur le lien avec le chemin complet des fichiers.
http://www.zshare.net/image/740492982c79ed99/

[bernard53]

j'ai ces 2 fichiers en quarantaine.
l'image complète et sur le lien avec le chemin complet des fichiers.
http://www.zshare.net/image/740492982c79ed99/

Très bonne idée

Donc suite a cette image il s'agit tout simplement d'une détection dans le système de restauration.
Donc avant de régler cela car il faut désactiver celle-ci, dis moi si ton pc va bien !

[web2]

salut

Ca fait environ 30 minutes que j'ai allumé le pc.

Disant qu'il ne ramait pas, c'est juste que l'antivir me bloqué depuis le 20/02 les 4 fichiers que j'ai cité au début de mon sujet.
Ceci dit, mon antivir, pour l'instant ne signale rien.

Mais dans la console antivir, je vois dans les évenements (hier) de 22h42 à 23h32 il a bloké "casino.gen" et "Agent.Al.3775" et "dropper.gen" qui apparemment sont dans le restore.

Voilà, bonne app, j'attends tes directives

[bernard53]

Très bien si tout va.

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

>> Télécharge ToolsCleaner (de A.Rothstein & dj QUIOU) http://pc-system.fr/TC/ToolsCleaner2.exe

>> Double-clique dessus pour lancer le programme

>> Clique sur Recherche et laisse le scan se terminer (il peut durer une dizaine de minutes au maximum).

>> Une fois la recherche lancée, ne clique pas dans la fenêtre, cela provoquerait un léger bug du programme.

>> Si toutes fois la mention (ne réponds pas) apparaissait dans le titre de la fenêtre ToolsCleaner, ne t'en occupes pas et laisse quand même le programme terminer son travail

** Clique sur Suppression pour finaliser.

• Tu peux, si tu le souhaites, te servir des Options facultatives.

**Poste-moi le rapport qui apparait

pMaintenant on va mettre la restauration du système propre.
Pour cela:
1- Valides les touches Windows et Pause en même temps.
Sur cette fenêtre coche cette case :


Valide cela par l’onglet APPLIQUER et acceptes la demande sur la fenêtre que vas s’afficher.

Après quelques instants décoche cette même case et valides cela par l’onglet APPLIQUER .

Il te faut donc maintenant recrée un nouveau point de restauration.

2-Démarrer >exécuter et tapes.
Restore/rstrui.exe



Valides dans la fenêtre qui apparait : Créer un point de restauration


Puis Suivant et donne un nom au nouveau point de restauration : Valide :



L'écran suivant doit vous prévenir que le point de restauration a été créé avec succès.
Cliquez sur "Fermer" dans la prochaine fenêtre pour sortir de l'utilitaire.


Comme cela plus de détection dans la restauration du système.

[web2]

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

--> Recherche:

F:\Combofix.txt: trouvé !
F:\cleannavi.txt: trouvé !
F:\Qoobox: trouvé !
F:\_OTM: trouvé !
F:\Navilog1: trouvé !
F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé !
F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé !
F:\Documents and Settings\ams dane\Bureau\HijackThis.lnk: trouvé !
F:\Documents and Settings\ams dane\Bureau\Navilog1.exe: trouvé !
F:\Documents and Settings\ams dane\Bureau\hijackthis.log: trouvé !
F:\Documents and Settings\ams dane\Mes documents\Téléchargements\OTM.exe: trouvé !
F:\Documents and Settings\ams dane\Mes documents\Téléchargements\ComboFix.exe: trouvé !
F:\Navilog1\Navilog1.bat: trouvé !
F:\Program Files\Navilog1: trouvé !
F:\Program Files\Trend Micro\HijackThis: trouvé !
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe: trouvé !
F:\Program Files\Trend Micro\HijackThis\hijackthis.log: trouvé !
F:\Qoobox\Quarantine\catchme.log: trouvé !
F:\WINDOWS\mbr.exe: trouvé !

---------------------------------
--> Suppression:

F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé !
F:\Documents and Settings\ams dane\Bureau\HijackThis.lnk: supprimé !
F:\Documents and Settings\ams dane\Bureau\Navilog1.exe: supprimé !
F:\Documents and Settings\ams dane\Mes documents\Téléchargements\OTM.exe: supprimé !
F:\Documents and Settings\ams dane\Mes documents\Téléchargements\ComboFix.exe: ERREUR DE SUPPRESSION !!
F:\Navilog1\Navilog1.bat: supprimé !
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe: supprimé !
F:\Combofix.txt: supprimé !
F:\cleannavi.txt: supprimé !
F:\Documents and Settings\ams dane\Bureau\hijackthis.log: supprimé !
F:\Program Files\Trend Micro\HijackThis\hijackthis.log: supprimé !
F:\Qoobox\Quarantine\catchme.log: supprimé !
F:\WINDOWS\mbr.exe: supprimé !
F:\Qoobox: supprimé !
F:\_OTM: supprimé !
F:\Navilog1: supprimé !
F:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé !
F:\Program Files\Navilog1: supprimé !
F:\Program Files\Trend Micro\HijackThis: supprimé !

[bernard53]

supprimes juste ceci qui est resté.
F:\Documents and Settings\ams dane\Mes documents\Téléchargements\ComboFix.exe

Bonne soirée

PS: Dis nous aussi si un modo peux valider ton post comme résolu. A condition que tout va bien évidement.

[web2]

Salut,

Mon pc tourne depuis cet aprèm et antivir ne me signale plus rien ! donc j'en conclue que c'est bon ! j'éspère

j'ai fais expret de ne pas encore faire un point de restauration pour voir si tout est bien éradiquer !

apparemment oui !

donc je vais procéder à ce que tu m'as dis concernant le point de restauration

[bernard53]

OK çà marche

[web2]

re salut ,

Je voulais juste te signaler que j'ai préféré laisser tourner le pc avec antivir allumé en guard hier soir jusqu'à ce matin !

Ce matin , dans les événements d'Antivir, j'ai donc remarqué qu'il bloque maintenant "Casino.Gen" qui est donc dans le restore comme dans l'image que j'avais posté ! apparemment , les autres n'y sont plus (rootkit, etc...)

Donc, je procède à la manip pour la restauration ou ...?

Merci beaucoup pour ton aide depuis le début !

[bernard53]

Si la detection est comme tu l'a déjà signalé dans systèm restau... la seule solution est de désactiver celle-ci comme cité auparavant et après de recréer un nouveau point qui lui sera clean.

[web2]

yesss ! donc c'est nikel , j'ai un peu compris le principe je fonce pour la restauration là , je laisse tourner après ce soir et demain si tout va béné , sujet en "résolu" avec un grand merci

[bernard53]