Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Résolu : Infection par Rootkit

Valérie31

Par Valérie31
dans Analyses et éradication malwares

 Partager

Messages recommandés

Valérie31 Junior Member

Valérie31

Posté(e)
  • Auteur
Posté(e) (modifié)

j'ai renommé gmer par le nom avec les lettres et les chiffres pour les 4 lignes de programmes

J'ai lancé le rootkit.bat

==> il y a eu un crash d'ordi

J'avais oublié d'enlever internet et les antivirus, etc...

Une fois ca fait, j'ai relancé rootkit.bat

==> mais meme resultat = crash d'ordi

Et j'ai verifie, le fichier infecté est toujours la

 

Que me conseillez-vous ?

Modifié par Valérie31

pear Devil Member !

pear

Posté(e)
Posté(e)

Je ne m'explique pas le crash!

 

Télécharger The Avenger par Swandog46 sur le Bureau.

 

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

Vérifiez que la case "Scan for rootkits" est bien décochée.( Elle est cochée par défaut).

img-1551516p1eb.jpg

 

***Copier tout le texte ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

drivers:

ddzzwz

Drivers to disable:

ddzzwz

drivers to delete:

ddzzwz

Files to Delete:

"C:\Windows\system32\Drivers\ddzzwz.sys"

Registry keys to delete:

HKLM\SYSTEM\CurrentControlSet\Services\ddzzwz

Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

* Dans cette fenêtre "Input Script here" , coller le texte précédemment copié sur le bureau par les touches (Ctrl+V).

* CliquerExecute

 

* le système va redémarrer. (Si le script contient un/des "Drivers to Unload", The Avenger redémarrera une seconde fois.)

* Pendant le re-démarrage, une fenêtre de commande de windows noire apparaitra brièvement sur votre bureau, c'est NORMAL.

* Après le redémarrage, un fichier log s'ouvrira que vous retrouverez ici : C:\avenger.txt

* Tout ce que vous aurez demandé de supprimer sera sauvegardé , compacté(zipped) et l'archive zip tranférée ici : C:\avenger\backup.zip.

Valérie31 Junior Member

Valérie31

Posté(e)
  • Auteur
Posté(e)

Malheureusement, il est toujours la :P((

 

Voici le rapport :

-------------------------------------------------------------

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows Vista

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

 

Error: could not open driver "ddzzwz"

Disablement of driver "ddzzwz" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "\Registry\Machine\System\CurrentControlSet\Services\ddzzwz" not found!

Deletion of driver "ddzzwz" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: could not open file ""C:\Windows\system32\Drivers\ddzzwz.sys""

Deletion of file ""C:\Windows\system32\Drivers\ddzzwz.sys"" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

 

 

Error: registry key "HKLM\SYSTEM\CurrentControlSet\Services\ddzzwz" not found!

Deletion of registry key "HKLM\SYSTEM\CurrentControlSet\Services\ddzzwz" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

pear Devil Member !

pear

Posté(e)
Posté(e)

Je n'ai pas souvent vu un truc aussi collant!

 

Téléchargez Catchme sur le bureau et pas ailleurs!

Pour utiliser catchme vous devez désactiver votre antivirus qui peut détecter catchme comme un malware .

* Double cliquer sur catchme.exe (le .exe n'est pas forcément visible) afin de le lancer.

Selectionner l'onglet script en haut et copie_colle le contenu ci dessous ,en vert puis clic Run

files to kill:

C:\Windows\system32\Drivers\ddzzwz.sys

 

un rapport catchme.log apparait sur le bureau , copier_coller son contenu

1270295208-sans-titre.jpg

puis de nouveau dans l'onglet script de catchme , copier/coller le contenu ci dessous , en vert,et clic Run

files to delete:

C:\Windows\system32\Drivers\ddzzwz.sys

 

Copier/coller le rapport catchme.log qui se trouve sur le bureau

 

 

 

ensuite un reg pour corriger le registre

 

Clic droit sur un espace vide du bureau->Nouveau->Document texte

Copier/coller ce qui suit en vert

Windows Registry Editor Version 5.00

 

[-HKLM\SYSTEM\CurrentControlSet\Services\ddzzwz]

sans ligne blanche au début.mais une à la fin

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans [bType de fichier][/b]->Tous les fichiers

Dans Nom-> fix.reg.

Allez sur le bureau

Votre ficher ressemble à ceci41657210ty9.jpg

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

68996123zw0.jpg

 

Si vous ne pouvez pas fusionner ou que vous avez un message du genre "n'est pas un fichier de régistre valide",

C'est parce que vous avez fait une erreur.

 

Les plus courantes:

 

Il faut une ligne blanche après Windows Registry Editor mais pas avant

Le fichier doit s'appeler regis.reg et non regis.reg.txt

Il faut une ligne blanche après le texte en vert

Dans la case Type vous devez choisir "Tous les Fichiers

Valérie31 Junior Member

Valérie31

Posté(e)
  • Auteur
Posté(e)

Quand je lance catchme.exe, une fenetre apparait moins de 1s (sans onglet)

l'action genere quand meme un fichier log qui dit :

 

 

disk not found C:\

please note that you need administrator rights to perform deep scan

Valérie31 Junior Member

Valérie31

Posté(e)
  • Auteur
Posté(e) (modifié)

Vu les traces dans la base de registre vu par gmer, est-ce qu'il ne faudrait pas supprimer aussi les entrees de la base de registre qui s'appellent : controlSet002, controlSet003, etc... jusqu'a controlSet025 ? => edit : j'ai regardé dans la base et y'a plus tout ca en fait :P par contre j'ai pas encore rebooté, je le fais

 

Merci de votre patience

------------------------

 

Voici le rapport :

 

Processing "Files to kill:"

 

file zipped: C:\Windows\system32\Drivers\ddzzwz.sys -> catchme.zip -> ddzzwz.sys ( 802304 bytes )

 

Processing "Files to delete:"

 

file zipped: C:\Windows\system32\Drivers\ddzzwz.sys -> catchme.zip -> ddzzwz.sys.1 ( 802304 bytes )

file "C:\Windows\system32\Drivers\ddzzwz.sys" deleted successfully

 

 

le fix.reg a été effectué avec succès

Modifié par Valérie31
Valérie31 Junior Member

Valérie31

Posté(e)
  • Auteur
Posté(e)
Et maintenant, le zombie est encore là ?

 

apparemment non, Avira ne le voit plus ! j'ai lancé un examen rapide de mbam mais j'ai confiance ! :P

 

Merci beaucoup de votre aide

je mets le sujet à résolu dès que le rapport mbam me dit que c'ets propre !

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...