Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Virus récalcitrant [Résolu]

JumpingJack
 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)
Bonjour Falkra, et désolé pour ce délai à ma réponse
Pas de problème, tu as une vie en dehors du PC. :P

Et... je n'ai pas eu le temps de m'ennuyer. :P

 

Le début est normal et légitime : pas touche.

 

Ca c'est vilain mais inactif (sans danger) :

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@start 1

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@type 1

Reg HKLM\SYSTEM\ControlSet003\Services\TDSSserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

 

Si tu l'as encore à l'écran, tu fais clic droit sur ces trois lignes (surtout aucune autre) et tu demande à ce que ce soit supprimé (delete key).

Je ne me souviens plus de l'intitulé exact, le truc c'est de supprimer les 3 clés listées ci dessus.

 

Sinon il faudra aller dans l'onglet scan, et ne cocher que "registry", faire le scan et là tu pourras les shooter.

 

Pour les lecteurs (drôles de lectures...) et autres visiteurs de passage : un antirootkit affiche toujours des entrées légitimes, ou vitales de windows : ne shootez rien sans que ce soit confirmé par un vrai helper. Bref ne faites pas ça sur votre machine, ça évitera de très vilaines surprises.

JumpingJack Junior Member

JumpingJack

Posté(e)
  • Auteur
Posté(e)
Sinon il faudra aller dans l'onglet scan, et ne cocher que "registry", faire le scan et là tu pourras les shooter.

J'ai renouvelé le check GMer sur Registry uniquement (ayant refermé la fenêtre entre temps)

Le soucis, c'est que lorsque je clique droit sur l'une ou les trois de ces lignes, je ne vois pas proposé l'option "Delete key" (en fait, je n'ai pas d'actions proposées sur l'onglet "Rootkit/Malware")

 

Dois je supprimer ces entrées manuellement dans la base de registre ?

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Pas besoin et elles n'apparaîtraient pas, je te fais un petit batch, à placer dans le dossier de Gmer, avant de le démarrer.

http://senduit.com/0320ce

 

Et hop. Après exécution du batch, refais un scan registry pour voir si ces lignes sont encore là.

JumpingJack Junior Member

JumpingJack

Posté(e)
  • Auteur
Posté(e)

Patché exécuté et Scan GMer réexécuté sur Registry uniquement.

 

Voici le rapport généré :

GMER 1.0.15.15020 [gmer.exe] - http://www.gmer.net

Rootkit scan 2009-08-16 12:07:45

Windows 5.1.2600 Service Pack 3

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 -1577923502

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1145874151

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1786258308

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB7 0x9C 0x98 0x2F ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x5C 0x9A 0x49 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD3 0x67 0xCE 0x71 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB7 0x9C 0x98 0x2F ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x5C 0x9A 0x49 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0xD3 0x67 0xCE 0x71 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x9B 0xC4 0x74 0xE0 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools\

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xEE 0x5C 0x9A 0x49 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x88 0x60 0xC3 0x50 ...

 

---- EOF - GMER 1.0.15 ----

 

seules les 3 clés incriminées ont disparues

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Impeccable. :P

Tu peux effacer le petit batch et supprimer Gmer. :P

 

Ces entrées étaient inactives (pas de danger donc), mais comme ça, il n'en reste plus rien.

 

Ca tourne bien ?

JumpingJack Junior Member

JumpingJack

Posté(e)
  • Auteur
Posté(e)

Je vais sagement supprimer GMer que je n'aurais de toute façon pas utilisé sans indication avisée :P

 

J'ai juste noté sur l'onglet Services de GMer un service "catchme" associé à \??\C:\ComboFix\catchme.sys (ComboFix que j'ai pourtant désinstallé comme tu me l'as indiqué).

A toi de me dire si je peux demander sa suppression (l'option m'est proposée par GMer en clic droit).

 

Plus d'alerte depuis l'intervention de ComboFix, et le sentiment d'avoir un système propret qui est très agréable ^^

 

Oui, oui ça tourne maintenant apparemment sans soucis.

Et je te remercie pour tout le temps que tu m'as consacré et l'attention constante que tu as montré !

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ok, pour Gmer, je poste ça pur toi, mais aussi et surtout pour les lecteurs occasionnels qui devraient créer un topic à eux plutôt que de tenter des trucs dangereux sans encadrement. :P

 

Catchme, pas de problème, laisse.

 

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...