Rootkit .exe impossible à retirer

Si vous avez des infections (Virus/Vers/Malware spywares, pubs etc... :)

Modérateurs: Mods Windows, Helper

Rootkit .exe impossible à retirer

Messagepar nico san » 17 Oct 2011 11:02

Bonjour,
Mon PC (windows XP) a été infecté par un rootkit.
Il a été détecté par antivir qui l'a laissé entrer et qui depuis ne fonctionne plus. AVG anti-rootkit version gratuite non mise à jour a été le seul à pouvoir l'identifier, j'ai internet mais plus l'accès à certains sites (susceptibles de m'aider à virer ce rootkit), je pense qu'un "nouveau système" gère mon PC.
Le fichier en question se nomme mst...../uylafiiw.exe et semble se trouver dans le système 32. il est dans démarrer /fichier data.... (je mets des petits points car je suis au travail et ne me rappèle pas de tout.
Nous l'avons trouvé mais nous ne pouvons l'effacer, ses extensions se régénèrent, il est vivant !!!! :)
J'ai eu une bien mauvaise idée, après avoir lancé des scans à plusieurs reprises avec plusieurs antivirus censés identifier les rootkits (MBAM, TDSS killer, GMER et d'autres...), rien ne semble être détecté et là j'aurais pas dû mais je l'ai quand même fais, j'ai lancé...... COMBOFIX (sans aucune précaution).
J'ai le rapport d'erreur que je pourrais vous envoyer. Il trouve bien le mst..../uylafiiw.exe en cause mais n'arrive pas à le supprimer.
Pire, j'ai supprimer COMBOFIX et de fait, tout ce qu'il a mis en quarantaine (enfin je pense).
Le mode sans échec ne fonctionne plus depuis le début de l'infection par le rootkit, je n'ai pas de console de récupération (indiqué dans le rapport combofix).
Mon PC ne fonction plus, en tout cas Windows, et il indique que ma carte son est dans un cycle sans fin (un truc comme ça), des bandes flippantes multicolores apparaissent sur l'écran...
Bref pour remettre un peu dans le contexte, je suis totalement néophyte, je ne sais même pas si j'ai posté comme il faut.
Je m'excuse si je n'ai pas suivi votre procédure et espère pouvoir être orienté par vos pros.
Suis-je foutu?
Merci d'avance !

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Author Topic nico san

 

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 17 Oct 2011 13:13

Je reviens de chez moi (je ne vous écrit pas du PC contaminé). Je voulais vous envoyer les différents rapports, notamment celui de COMBOFIX.
Problèmes :
- Je n'ai plus accès à WINDOWS. "Pilote de la carte graphique bloqué dans une boucle infinie" / le problème vient de nv4_disp (ma carte graphique je suppose).
Ma carte graphique est une GEFORCE 8400 GS NX84G
Model name : GV-NX84G256HE
64 bits 256 MB DDR2 ect...

-Je dispose des pilotes, car apparemment il faut les réinstaller, mais je n'ai pas accès au "mode sans échec" et je ne peux redémarrer windows .

Je me sens un peu coincé là du coup...

Merci d'avance !

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar Malekal_morte » 17 Oct 2011 17:35

Salut,

Mouais un rootkit avec un .exe ....
On dirait plutôt Ramnit.

Bref là, Windows est planté.
T'as un DVD de Windows ? Tu peux le réparer?
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67406
Inscription: 10 Sep 2005 13:57

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 18 Oct 2011 09:14

Yep Maleka,

Non, je n'ai pas le CD d'installation de windows et pour cause...
En fait c'est ce rootkit "mst..../uylafiiw.exe" qui bloque le démarrage et lance le message concernant la carte graphique (on m'a dit qu'il avait "3 têtes" et qu'il se cache à plusieurs endroits différents que l'on a identifié), bref, je pense qu'il est vraiment super costaud et dépourvu de sentiments.
Hier en rentrant, je me suis acharné, je m'explique ; lorsque tu allumes le PC il y a des bandes multicolore au démarrage et après une série de codes qui te laissent penser que ta machine est en souffrance, il me demande sur quel mode je veux démarrer et dans tous les cas il plante après (soit sous couvert du pilote de la carte graphique, soit parce que windows ne veut pas s'ouvrir car il est en danger).
Au bous d'un moment 3692 redémarrages), je lui lance une feinte genre je déconnecte tout mes supports usb et je lui met un CD de Laurent Voulzy (je plaisante pas), histoire de le relancer : Miracle !!! il repart, plus de bandes multicolores, windows s'ouvre enfin tout niquel et un message m'indique que MBAM a trouvé un rootkit malicieux qui bloque le démarrage du PC, sur ce je lève les bras en l'air en disant qu'il l'a choppé là où même COMBOFIX a échoué ! et là le drame, ma fille de un an, qui semble passionnée par la situation, éteint le PC m'ayant vu faire la manip' 3692 fois d'affilé.
Je suis un peu long je m'en excuse, là le rootkit semble vraiment lutter un bloquant tout, j'ai même essayé de refaire un scan avec GMER (oui car je l'ai fait repartir au bout d'une heure) lorsqu'il semble détecté le malicieux tout devient noir même si ça tourne encore, au bout du deuxième scan il s'est énervé et a de nouveau bloqué le démarrage, je voulais vous envoyer le rapport COMBOFIX mais j'ai pas eu le temps de le mettre sur une clé et j'avais peur d'infecter le PC au travail (ce qui signifierait ma mort sociale...)

Excusez moi pour ce roman, c'est l'émotion ;)

Là je pense que je ne peux échapper au dépanneur qui va m'en mettre pour mon compte (en le re formatant et en me vendant un CD d'installation windows) de plus on m'a dit que même après un reformatage, il peut revenir !

En tout cas, même si ne je suis vraiment pas un as en informatique je peux vous dire qu'on a affaire à un sacré lascar ! J'ai le nom de l'infection chez moi (enfin du fichier), je vous l'envoi pour info cet après midi si ça vous dit.

Cordialement
Merci pour ton attention Malekal, à plus et bonne journée !

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar Malekal_morte » 18 Oct 2011 10:56

Poste le rapport Combofix et Malwarebyte.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67406
Inscription: 10 Sep 2005 13:57

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 18 Oct 2011 11:36

Je ne demande que ça, mais si je le poste du travail je risque de ramener cette crapule sur le PC de la boite (et là c'est vraiment délicat). De plus, je sais pas si je vais parvenir à relancer Windows. Je rentre chez moi vite fait à midi et vous tiens au courant.
Le rootkit peut il voyager par clé USB ?

Merci.

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 18 Oct 2011 11:39

Ah oui, pour info, le vilain est apparu une fois, l'icone (mst..../uylafiiw.exe) représente une sorte de planète bleue (si ça vous dit quelquechose...)

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 18 Oct 2011 13:15

Rebonjour,

Voilà je viens de rentrer de chez moi, windows ne veut plus repartir, le rootkit en bloque l'accès. Après 132 démarrages il n'est pas reparti, des lignes colorées horizontales apparaissent sur la première page, puis la page bleu, pas de mode sans échec, puis en plus ça doit bien abimer la machine (de rebooter).
Je sais bien que vous ne pouvez rien sans rapports.

Merci quand même... :(

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar Malekal_morte » 18 Oct 2011 19:06

J'ai aucun rapport donc je peux pas t'aider.
Sinon tente des CD Live : kaspersky-live-2009-t12133.html
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67406
Inscription: 10 Sep 2005 13:57

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 19 Oct 2011 08:49

Normal. On va me reformater le PC, et m'installer windows 7, c'est dommage j'étais attaché à XP qui étais plus stable que vista en tout cas pour la MAO, je crois que je vais me remettre au 3615 :)
Je n'avais pas d'autres choix, en tout cas c'est impressionnant ce que peut faire une cochonnerie pareil !!!!
Merci, bonne continuation.

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar Malekal_morte » 19 Oct 2011 09:27

à mon avis, tu as ramnit.
Donc évite de remettre des executables depuis l'ancienne installation.
Mets un antivirus direct depuis internet et scan tout.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67406
Inscription: 10 Sep 2005 13:57

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 19 Oct 2011 11:30

OK, j'ai fait passer le message à la personne qui s'occupe de mon PC et qui avait l'ai au courant pour les exécutables (moi je suis pas un as).
Encore merci.

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar nico san » 31 Oct 2011 19:23

Bonjour Malekal,

J'ai récupéré ma machine à l'instant qui a l'air de fonctionné, je t'envoies le rapport de combofix que j'ai du coup récupérer.


ComboFix 11-10-15.04 - admin 16/10/2011 17:56:08.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2046.1557 [GMT 2:00]
Lancé depuis: d:\mes documents\Téléchargements\ComboFix.exe
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\admin\Local Settings\Application Data\bjjmiaen.log
c:\documents and settings\admin\Local Settings\Application Data\ismvawyj.log
c:\documents and settings\admin\Local Settings\Application Data\klgsmvdm.log
c:\documents and settings\admin\Local Settings\Application Data\mstnuiyg\uylafiiw.exe
c:\documents and settings\admin\Local Settings\Application Data\oaveggce.log
c:\documents and settings\admin\Local Settings\Application Data\vaorghns.log
c:\documents and settings\admin\Local Settings\Application Data\wqsfchus.log
c:\documents and settings\admin\Local Settings\Application Data\xqixaoxj.log
c:\windows\ehome\medctrro.exe
c:\windows\system32\rundll32mgr.exe
c:\documents and settings\admin\Local Settings\Application Data\mstnuiyg\uylafiiw.exe . . . . impossible à supprimer
.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_MICORSOFT_WINDOWS_SERVICE
-------\Service_Micorsoft Windows Service
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-09-16 au 2011-10-16 ))))))))))))))))))))))))))))))))))))
.
.
2011-10-16 14:38 . 2011-10-16 14:38 41272 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2011-10-13 19:15 . 2011-08-31 15:00 22216 ----a-w- c:\windows\system32\drivers\mbam.sys
2011-10-12 15:10 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2011-10-11 19:57 . 2011-10-16 15:59 -------- d-----w- c:\documents and settings\admin\Local Settings\Application Data\mstnuiyg
2011-09-21 07:35 . 2011-09-21 07:35 4566176 ------w- c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}\components\SkypeFfComponent.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2008-04-22 . 197B7E4030CFBD8D2979D375E1787AA2 . 625664 . . [7.00.6000.20815] . . c:\windows\SoftwareDistribution\Download\054c3b7a8a3c5c57c0110276bdacfc86\SP2QFE\iexplore.exe
[-] 2008-04-22 . 232B22817B90AE0AFF2D189E3E3735AC . 625664 . . [7.00.6000.16674] . . c:\windows\SoftwareDistribution\Download\054c3b7a8a3c5c57c0110276bdacfc86\SP2GDR\iexplore.exe
[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\ie7\iexplore.exe
[7] 2008-04-13 . 3D3C316BD1E112F3B9C532D8B9939BDC . 93184 . . [6.00.2900.5512] . . c:\windows\ServicePackFiles\i386\iexplore.exe
[7] 2007-08-13 . DE49B348A18369B4626FBA1D49B07FB4 . 622080 . . [7.00.5730.13] . . c:\windows\system32\dllcache\iexplore.exe
[7] 2004-08-19 . 385D1644E676C96EB07848ADA63E37FA . 93184 . . [6.00.2900.2180] . . c:\windows\$NtServicePackUninstall$\iexplore.exe
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2011-10-11 2085272]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-10-08 39408]
"UylAfiiw"="c:\documents and settings\admin\Local Settings\Application Data\mstnuiyg\uylafiiw.exe" [2011-10-16 117325]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-05-10 8429568]
"nwiz"="nwiz.exe" [2007-05-10 1626112]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-05-10 81920]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"H2O"="c:\program files\SyncroSoft\Pos\H2O\cledx.exe" [2005-10-22 508384]
"PreSonusUSBInstallApp"="c:\program files\AudioBox USB\InstPresonusUSBDrv.exe" [2008-03-07 28672]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2005-06-02 28160]
"WinampAgent"="c:\program files\Winamp\winampa.exe" [2008-08-03 36352]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-10 90112]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2010-10-08 202256]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2011-08-31 449608]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]
.
c:\documents and settings\admin\Menu Démarrer\Programmes\Démarrage\
uylafiiw.exe [2011-10-16 117325]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2008-7-31 233855]
hpoddt01.exe.lnk - c:\program files\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe [2003-4-6 28672]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-8-2 450560]
Ralink Wireless Utility.lnk - c:\program files\RALINK\Common\RaUI.exe [2008-7-31 614400]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="c:\windows\system32\userinit.exe,,c:\documents and settings\admin\Local Settings\Application Data\mstnuiyg\uylafiiw.exe"
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2008-06-10 02:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\eMule\\eMule.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=
.
R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [13/10/2011 21:16 366152]
R3 CLEDX;Team H2O CLEDX service;c:\windows\system32\drivers\cledx.sys [01/08/2008 11:57 33792]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [13/10/2011 21:15 22216]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/10/2010 09:26 136176]
S3 ControlTransferDriver;AudioBox USB Control Transfer;c:\windows\system32\drivers\PreSonusUSB_xfer.sys [01/08/2008 14:00 28576]
S3 emuumidi;E-MU USB-MIDI Driver;c:\windows\system32\drivers\emuumidi.sys [14/03/2007 15:11 37120]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [08/10/2010 09:26 136176]
S3 PRESONUS_AUDIOBOX_MIDI;Presonus AudioBox WDM MIDI Device;c:\windows\system32\drivers\psabusbm.sys [13/03/2011 19:04 20992]
S3 PRESONUS_AUDIOBOX_USB;Presonus AudioBox USB driver;c:\windows\system32\drivers\psabusbu.sys [13/03/2011 19:04 366080]
S3 PRESONUS_AUDIOBOX_WDM;Presonus AudioBox USB WDM;c:\windows\system32\drivers\psabusba.sys [13/03/2011 19:04 34304]
S3 preSonusUsb;PreSonusUsb;c:\windows\system32\drivers\presonusUsb.sys [01/08/2008 14:00 49280]
S3 SynasUSB;SynasUSB;c:\windows\system32\drivers\synasUSB.sys [01/08/2008 11:57 18432]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MICORSOFT_WINDOWS_SERVICE
.
Contenu du dossier 'Tâches planifiées'
.
2011-10-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 07:26]
.
2011-10-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-08 07:26]
.
2011-10-16 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-1547161642-573735546-725345543-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
2011-10-13 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-1547161642-573735546-725345543-1003.job
- c:\program files\Real\RealUpgrade\realupgrade.exe [2010-06-03 01:02]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_7461B1589E8B4FB7.dll/cmsidewiki.html
IE: Rechercher sur le Web - c:\program files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
TCP: DhcpNameServer = 192.168.1.254
FF - ProfilePath - c:\documents and settings\admin\Application Data\Mozilla\Firefox\Profiles\29of4yut.default\
FF - prefs.js: browser.search.defaulturl -
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://fr.start3.mozilla.com/firefox?cl ... r:official
FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=
FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}
FF - Ext: Skype Click to Call: {82AF8DCA-6DE9-405D-BD5E-43525BDAD38A} - c:\program files\Mozilla Firefox\extensions\{82AF8DCA-6DE9-405D-BD5E-43525BDAD38A}
FF - Ext: Java Quick Starter: jqs@sun.com - c:\program files\Java\jre6\lib\deploy\jqs\ff
FF - Ext: RealPlayer Browser Record Plugin: {ABDE892B-13A8-4d1b-88E6-365A6E755758} - c:\documents and settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Firefox\Ext
.
- - - - ORPHELINS SUPPRIMES - - - -
.
WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
Notify-WgaLogon - (no file)
MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe
AddRemove-Collab - c:\program files\Image-Line\Collab\uninstall.exe
AddRemove-FL Studio 8 - c:\program files\Image-Line\FL Studio 8\uninstall.exe
AddRemove-IL Download Manager - c:\program files\Image-Line\Downloader\uninstall.exe
AddRemove-PoiZone - c:\program files\Image-Line\PoiZone\uninstall.exe
AddRemove-{2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\Google\Google Toolbar\Component\GoogleToolbarManager_4E7D715D860E20E1.exe
AddRemove-Notification de cadeaux MSN - c:\documents and settings\admin\Application Data\Microsoft\Notification de cadeaux MSN\lsnfier.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-10-16 17:59
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Swearware\backup\winsock2\Parameters]
@DACL=(02 0000)
@SACL=
"WinSock_Registry_Version"="2.0"
"Current_NameSpace_Catalog"="NameSpace_Catalog5"
"Current_Protocol_Catalog"="Protocol_Catalog9"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'explorer.exe'(2876)
c:\program files\Logitech\SetPoint\lgscroll.dll
c:\windows\system32\ieframe.dll

Merci d'avance.

nico san
newbie
newbie
 
Messages: 9
Inscription: 17 Oct 2011 10:22

Re: Rootkit .exe impossible à retirer

Messagepar Malekal_morte » 01 Nov 2011 20:42

C'est bien Ramnit...
Commence déjà par lui coller un antivirus à ton PC.
et Dr. Web CureIT en scan pour voir l'étendue : http://www.freedrweb.com/cureit/
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Communauté - infos/news sécurité :
Facebook : Communauté malekal.com sur Facebook
GooglePlus : Communauté malekal.com sur GooglePlus

Stop publicités - popups intempestives
Supprimer-virus.com : guide de suppression de malwares

S'inscrire à la newsletters malekal.com pour se tenir informé des menaces

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 67406
Inscription: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Publicité

Retourner vers VIRUS : Aide à la désinfection (vers, trojans, spywares, hijack)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités

Partenaires du site : Geekeden - OxygenePC.com