Forum Security-X > Désinfections
"réglé" Rootkit
grignote:
Re-bonjour,
Me voici chez ma soeur, et je n'arrive pas à l'inscrire sur le forum.
Elle est considérée comme "Spammer". Que faut-il faire ?
Merci pour votre réponse. Grignote
grignote:
Je vous donne les renseignements demandés :
L'ordi est sous Windows XP, version 2002.
Il est ancien, donc, je suppose que c'est 32 bits, je ne le vois pas marquer dans système.
Service Pack 2.
Résumé du problème :
En allant sur sa messagerie, avast a prévenu de la présence d'un Trojan et a proposé une analyse.
Cette analyse s'est arrêtée en cours de route, signalant le trojan : e.exe présent dans "Document and Setting" et le fichier à son nom.
Sur le conseil de Migau, elle a mis en quarantaine.
L'analyse s'est terminée.
* Elle a refait une analyse "détaillée" et cette fois, Avast a détecté un Rootkit dans le système 32 avec comme menace "Risque élevé de modification du système"
* Elle a voulu mettre en quarantaine. Impossible : X ERREUR
* Elle a essayé "Réparer". Impossible également : il était indiqué "Action décalée jusqu'au prochain démarrage".
* Elle a redémarré par deux fois et à chaque fois, il a été écrit la même chose.
Migau ayant conseillé de ne plus toucher à l'ordinateur, nous en sommes restées là.
Voilà tout ce que je peux dire pour vous permettre de nous aider, ce dont nous vous remercions. Grignote :)
hyunkel30:
:AAC Bonjour grignote,
On va regarder tout cela.
Pour commencer :
--- Citer ---Me voici chez ma soeur, et je n'arrive pas à l'inscrire sur le forum.
Elle est considérée comme "Spammer". Que faut-il faire ?
--- Fin de citation ---
Peux-tu me donner en MP l'adresse mail qu'elle veut utiliser pour l'inscription ?
Ensuite :
--- Citer ---L'ordi est sous Windows XP, version 2002.
Il est ancien, donc, je suppose que c'est 32 bits, je ne le vois pas marquer dans système.
Service Pack 2.
--- Fin de citation ---
Y'a-t-il une raison pour qu'il soit encore sous le service pack 2 et non le 3 ? Car cela implique qu'il n'est plus à jour depuis plusieurs années, et donc potentiellement très vulnérable si connecté à Internet ...
Puis ensuite pour commencer la procédure :
1) Télécharge OTL (de Old Timer) sur ton bureau.
[*] Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
[*] Coche en haut la case devant "Tous les utilisateurs"
[*] Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
--- Code: ---netsvcs
msconfig
drivers32
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
hklm\software\clients\startmenuinternet|command /rs
CREATERESTOREPOINT
--- Fin du code ---
[*] Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
[*] A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
[*]Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Note : Les rapports sont aussi enregistrés sur le bureau
2) Télécharge TDSSKiller de Kaspersky sur ton bureau.
[*]Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer".)
[*]Double clique sur "TDSSKiller.exe" pour lancer l'outil.
(Utilisateur de Vista/Windows 7 : effectue un clic droit sur TDSSKiller.exe et sélectionne "Exécuter en tant qu'administrateur".)
[*]Clique alors sur le bouton "Start Scan".
[*]Laisse le scan s'effectuer.
[*]Dans la fenêtre de résultat :
[*]Si TDSS.tdl2 est détecté l'option Delete sera cochée par défaut.
[*]Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
[*]Pour la partie "Suspicious object" laisse sur "Skip"
[*] /!\ si dans la partie "Suspicious object" le fichier est de type : c:\windows\123456789:987654321.exe (suite aléatoire), met l'option sur Delete
[*]Si TDSS.tdl4 (mbr) est détecté assure toi que Cure est bien coché.
[*]Clique enfin sur "Continue"
[*]Il te sera surement demandé de redémarrer ton pc, fait-le en cliquant sur "Reboot now"
[*]Au redémarrage va chercher le rapport de suppression, il se trouve ici :
C:\ TDSSKiller.x.x.x.x_date_heure_log.txt
Poste son contenu dans ta prochaine réponse.
grignote:
Merci pour vos réponses. Je vais tentais de répondre au mieux..... Le temps que j'aille récupérer ma soeur...
A tout de suite
grignote:
Pas facile pour moi car ce n'est pas mon ordi et ma soeur fonctionne avec Google Chrome que je ne connais pas.
Pour répondre à ta question, ma soeur ne savait pas qu'il fallait passer à SP3.
Je te signale également que IE est également obsolète et il le lui dit mais la mise à jour tourne en boucle.
Je t'ai envoyé son adresse mail en MP.
Ton lien pour télécharger sur le bureau OTL n'a jamais fonctionné. Je l'ai téléchargé comme j'ai pu mais je n'ai pas eu de fenêtre pour le mettre sur le bureau. Je viens de le retrouver dans downloads.
Tu as peut-être oublié de me noter le lien pour le service de rapport en ligne. J'ai utilisé ci-joint que Migau m'avait déjà indiqué.
Voici les rapports. J'espère que j'ai fait ce qu'il fallait :
http://cjoint.com/?0LhpXcuvmdK
http://cjoint.com/?ALhqg4tq0vI
Bon, maintenant, je passe à TDSSkILLER. J'espère pouvoir le mettre sur le bureau !
A +
Navigation
[#] Page suivante
Sortir du mode mobile