Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

rootkit sur avast

fadb

Par fadb
dans Analyses et éradication malwares

 Partager

Messages recommandés

fadb Mega Power Member

fadb

Posté(e)
Posté(e)

Bonjour,

un message d'avast m'indique qu'il a décelé un rootkit :

c:\recyclet\boot.com

processus cachés

nom malware : Wi??????????e

 

 

J'ai le choix de supprimer ce rootkit via avast mais après démarrage du pc, le message apparait encore.

Merci pour votre aide

Salutations

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

c:\recyclet\boot.com

la bonne orthographe est recycled ou recycler

C'esi un fichier dans la corbeille.

Windows ne supprime pas les fichiers que vous y déplacez.

 

On va donc supprimer la corbeille:

 

* Ouvrez l'éditeur de registre : Démarrer, Exécuter, saisissez regedit.

* Pour cela, rendez vous à HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder

* Faites un double clic sur la valeur Attribute.

* Dans le champs Données de la valeur, remplacez 40 01 00 20 par 70 01 00 20.

Vous pouvez maintenant supprimer la corbeille et ce qu'elle contient.

 

Et ensuite vous allez la réinstaller

* Pour la réafficher, allez à HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop\NameSpace.

* Créez une nouvelle clé nommé {645FF040-5081-101B-9F08-00AA002F954E}.

* Dans cette clé, double cliquez sur la valeur par défaut, et donnez lui comme valeur @="Recycle Bin".

 

La manipulation a-t-elle réussi ?

fadb Mega Power Member

fadb

Posté(e)
  • Auteur
Posté(e)

Par contre, je viens de remarquer quelque chose, j'ai un 2ème DD et j'ai un raccourci sur le bureau et lorsque je clique dessus le msg suivant apparait :

windows ne trouve pas (resycled\boot.com. vérifiez que vous avez entré le nom correctement et essayer à nouveau. Pour rechercher un fichier, cliquer sur le bouton démarrer puis sur rechercher.

 

c bizarre non ?

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

Merci à Angélique pour le renseignement.

 

je fais quoi pour le virer ?

 

Téléchargez Flashdisinfector de sUBs

Sauvegardez le sur le bureau.

Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prendre soin de ne pas laisser de documents (word, excel) ouverts .

Connecter tous les disques amovibles (disque dur externe, clé USB).

SURTOUT ne pas double-cliquer sur le disque dans le poste de travail

 

-Ouvrez le poste de travail

-Clic sur le menu outils en haut à droite puis options des dossiers

-Dans la nouvelle fenêtre, clic sur l'onglet Affichage en haut

-Cocher dans la liste "Afficher les fichiers cachés"

-Décocher "masquer les fichier protégés du système dexploitation (recommandée)"

-Un message dit que cela peut endommager le système, ne pas en tenir compte.

-Pour chaque disque dans le poste de travail :

Faire un clic droit sur le disque dur

surtout ne pas double-cliquer pas dessus!!!

-Choisir ouvrir dans le menu déroulant.

-Chercher un fichier autorun.inf et des fichiers : Adober.exe ou RavMonE.exe ou MS32DLL.DLL.VBS ou autorun.vbs, MSDSOD.pif

-Si présents, supprimez-les en faisant un clic droit puis supprimer.

- Répèter l'opération sur tous les disques se trouvant dans le poste de travail.

* Double-cliquez sur Flash_Disinfector.exe.

* Cela sera très rapide, un message informera de la fin du fix.

* S'il y a plusieurs supports fixes ou amovibles , renouveler l'opération en les branchant l'un après l'autre.

 

 

A lire et appliquer pour vous protégéger

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Copier/coller ce qui suit dans le bloc notes,

sans ligne blanche au début.

Enregistrez sur le bureau sous regis.reg.

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

 

 

Ensuite:

Téléchargezrandom's system information tool (RSIT) par random/random et sauvegardez-le sur le Bureau.

 

Double-cliquez sur RSIT.exe afin de lancer RSIT.

* Cliquez Continue à l'écran Disclaimer.

* Si l'outil HIjackThis (version à jour) n'est pas présent ou détecté sur l'ordinateur, RSIT le télécharge et vous acceptez la licence.

* L'analyse terminée, deux fichiers texte s'ouvriront.:

Poster le contenu de log.txt (qui sera affiché)

ainsi que de info.txt (qui sera réduit dans la Barre des Tâches).

* Si ces deux rapports n'apparaissent pas, vous les trouverez dans le dossier C:\rsit

Modifié par pear

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...