Aide
Bonjour a tous
Je cherche de l'aide pour enlever un rootkit : security.tool qui est sur une session utilisateur de mon pc de maison
de plus, suite a une analyse avec ZHPDIAG, il me semble que j'ai un utilisateur "pirate" sur ce pc.
SVP pouvez vous m'aider
Page 1 sur 1
Aide pour enlever rootkit
infection par security.tool
Noter :
#2
Apollo 
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 14909
- Inscrit(e) : 21-novembre 04
Posté 18 octobre 2010 - 07:53
Bonsoir,
La première chose à tenter, c'est la restauration système à une date antérieure à l'apparition de security tool. (2 ou 3 jours avant). En mode sans échec si nécessaire: Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista
Comment faire une restauration système sous Windows Vista : Astuces pour dépanner Vista et Seven
Restauration système à une date antérieure – Windows 7 | Forum-Seven
Restaurer Windows XP vers un état antérieur
Si la restauration fonctionne, poursuivre immédiatement avec ce qui suit:
Télécharge Malwarebytes' Anti-Malware (MBAM)
Ou ici: Malwarebytes Anti-Malware 1.46 - TechSpot Downloads
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
Ce logiciel est à garder.
Uniquement en cas de problème de mise à jour:
Télécharger mises à jour MBAM
Exécute le fichier après l'installation de MBAM
Si MBAM demande à redémarrer le pc, fais-le.
!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)
Malwarebytes Forum -> Malwarebytes' Anti-Malware Support
@++
La première chose à tenter, c'est la restauration système à une date antérieure à l'apparition de security tool. (2 ou 3 jours avant). En mode sans échec si nécessaire: Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista
Comment faire une restauration système sous Windows Vista : Astuces pour dépanner Vista et Seven
Restauration système à une date antérieure – Windows 7 | Forum-Seven
Restaurer Windows XP vers un état antérieur
Si la restauration fonctionne, poursuivre immédiatement avec ce qui suit:
Télécharge Malwarebytes' Anti-Malware (MBAM)
Ou ici: Malwarebytes Anti-Malware 1.46 - TechSpot Downloads
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
Ce logiciel est à garder.
Uniquement en cas de problème de mise à jour:
Télécharger mises à jour MBAM
Exécute le fichier après l'installation de MBAM
- Double clique sur le fichier téléchargé pour lancer le processus d'installation.
- Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
- Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
- Sélectionne "Exécuter un examen rapide."
- Clique sur "Rechercher"
- L'analyse démarre, le scan est relativement long, c'est normal.
- A la fin de l'analyse, un message s'affiche :
Citation
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. - Ferme tes navigateurs.
- Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. - MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.
Si MBAM demande à redémarrer le pc, fais-le.
!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)
Malwarebytes Forum -> Malwarebytes' Anti-Malware Support
@++
- Ne pas utiliser ComboFix ou The Avenger sauf demande expresse d'un membre du groupe sécurité de Zébulon! Trouver le rapport d'Antivir.- Je ne réponds pas aux demandes d'aide par MP-Antispam 32/64 Bits. Créez votre propre sujet avec le bouton "Commencer un sujet".
- Vista-XP.fr- Ne postez pas sur plus d'un forum pour traiter le même sujet! Respectez les helpers svp. Restaurer le Hosts - Kaspersky Virus Removal Tool - Microsoft FixIt Center - Failles de niveau critique - Kaspersky Password Manager - Je ne recommande plus Antivir Free qui installe Ask Toolbar.- Stocker mots de passe - A tenir à jour! - HEBERGEZ VOS LONGS RAPPORTS, NOM D'UNE PIPE! - ROGUES!
#3
clache
- Member
-
- Groupe : Membres
- Messages : 78
- Inscrit(e) : 03-février 08
Posté 19 octobre 2010 - 08:01
Bonjour (ou bonsoir) APOLLO
Entre temps, j'avais essayé la restauration systéme ( mais pas en mode sans echec) qui n'a pas fonctionné
Par contre en lissant le sujet de :GOF ( sujets epinglé)
j'ai passé MBAM et j'ai trouvé un lien dans la zone de démarrage de la session concernée qui m'envoyait vers un fichier dans : APPDATA
mais dans le sous repertoire LOCALL?? ( je n'ai plus le nom exact car je suis au bureau?)
J'ai nettoyé ce fichier et refait un scan approfondi avec MBAM
??? Pour l'instant pas de déclenchement du "Security.tool"
Merci de me dire si tu pense que c'est OK ou si par sécurité je dois faire d'autres manips.
Je regarde cela ce soir
Merci encore et Bonne Journée
Entre temps, j'avais essayé la restauration systéme ( mais pas en mode sans echec) qui n'a pas fonctionné
Par contre en lissant le sujet de :GOF ( sujets epinglé)
j'ai passé MBAM et j'ai trouvé un lien dans la zone de démarrage de la session concernée qui m'envoyait vers un fichier dans : APPDATA
mais dans le sous repertoire LOCALL?? ( je n'ai plus le nom exact car je suis au bureau?)
J'ai nettoyé ce fichier et refait un scan approfondi avec MBAM
??? Pour l'instant pas de déclenchement du "Security.tool"
Merci de me dire si tu pense que c'est OK ou si par sécurité je dois faire d'autres manips.
Je regarde cela ce soir
Merci encore et Bonne Journée
#4
Apollo
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 14909
- Inscrit(e) : 21-novembre 04
Posté 19 octobre 2010 - 11:52
Bonjour,
Ouaip, parfois ça marche avec la restauration système, parfois non... Autant essayer ça d'abord sinon tu as très bien fait de suivre l'info de Gof et Nardino
Poste le rapport de MBAM (en clair sur le forum) puis ceci stp, afin de vérifier s'il n'y a rien d'autre.
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits
>>>Héberge les rapports ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.
Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.
@++
Ouaip, parfois ça marche avec la restauration système, parfois non... Autant essayer ça d'abord sinon tu as très bien fait de suivre l'info de Gof et Nardino
Poste le rapport de MBAM (en clair sur le forum) puis ceci stp, afin de vérifier s'il n'y a rien d'autre.
Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits
- Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
Important :
* Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
* Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
Valide par Appliquer.
- Clique Continue à l'écran Disclaimer.
- Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
>>>Héberge les rapports ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.
Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.
@++
- Ne pas utiliser ComboFix ou The Avenger sauf demande expresse d'un membre du groupe sécurité de Zébulon! Trouver le rapport d'Antivir.- Je ne réponds pas aux demandes d'aide par MP-Antispam 32/64 Bits. Créez votre propre sujet avec le bouton "Commencer un sujet".
- Vista-XP.fr- Ne postez pas sur plus d'un forum pour traiter le même sujet! Respectez les helpers svp. Restaurer le Hosts - Kaspersky Virus Removal Tool - Microsoft FixIt Center - Failles de niveau critique - Kaspersky Password Manager - Je ne recommande plus Antivir Free qui installe Ask Toolbar.- Stocker mots de passe - A tenir à jour! - HEBERGEZ VOS LONGS RAPPORTS, NOM D'UNE PIPE! - ROGUES!
Page 1 sur 1
