Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

"Rootkit-Gen"

ckoya

Par ckoya
dans Analyses et éradication malwares

 Partager

Messages recommandés

ckoya Junior Member

ckoya

Posté(e)
Posté(e)

Bonjour

J'ai un logiciel malveillant sur mon portable " rootkit-gen (Rtk) " qu'avast ma récupérer,du coup windows xp ne répond plus ! j'ai bon cliquer mes fenêtre ne s'ouvre pas ( a part " mes documents " ) même poste de travail ne s'ouvre pas !

Par contre j'ai la fenêtre d'installation de windows installer qui est toujours là mais je n'ai pas de suite !

La seule explication que j'ai c'est " windows ne répond pas "

Merci de vos diligents conseils

Cordialement

Alain

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonjour, est-ce que tu peux démarrer des programmes ?

 

Si oui, télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé.

  • Si tu es sous XP, double-clique sur RSIT.exe afin de lancer RSIT, pour Windows Vista ou Windows 7, démarre-le avec droits administrateur (clic droit, exécuter en tant qu'administrateur), en réglant le mode de compatibilité sur XP, dans les propriétés (clic droit, propriétés).
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport. :P

ckoya Junior Member

ckoya

Posté(e)
  • Auteur
Posté(e)
Bonjour, est-ce que tu peux démarrer des programmes ?

 

Si oui, télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. Cet outil va faire un état des lieux, lire la configuration, comme HijackThis, mais en plus détaillé.

  • Si tu es sous XP, double-clique sur RSIT.exe afin de lancer RSIT, pour Windows Vista ou Windows 7, démarre-le avec droits administrateur (clic droit, exécuter en tant qu'administrateur), en réglant le mode de compatibilité sur XP, dans les propriétés (clic droit, propriétés).
  • Clique Continue à l'écran Disclaimer.
  • Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
  • Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  • NB : Les rapports sont sauvegardés dans le dossier C:\rsit
    Ca fait deux rapports donc. Comme ils sont longs, tu peux faire 2 réponses, une par rapport. :P

 

 

Bonsoir

Malheureusement non, je ne peu pas ouvrir internet, le clic droit de la souris ne répond pas non plus, je n'ai que le bureau les icônes et la fenêtre de" windows installer" qui ne s'en va pas, du coup je ne sais même pas si il faut installer "windows installer" car plus rien ne répond !

Merci de vos conseils

Cordialement

Alain

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Le Pc a les symptômes d'une très sale bestiole.

Est-ce que tu peux transférer via clé USB un fichier téléchargé depuis un autre PC ?

ckoya Junior Member

ckoya

Posté(e)
  • Auteur
Posté(e)
Le Pc a les symptômes d'une très sale bestiole.

Est-ce que tu peux transférer via clé USB un fichier téléchargé depuis un autre PC ?

 

Je vais voir ça

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Essaie la touche Windows + E pour ouvrir un explorateur, ou bien de taper la commande "explorer" dans menu démarrer, exécuter.

 

Si ça ne suffit pas (ce qui est le plus probable) on devra utiliser des outils bien lourds.

ckoya Junior Member

ckoya

Posté(e)
  • Auteur
Posté(e)
Essaie la touche Windows + E pour ouvrir un explorateur, ou bien de taper la commande "explorer" dans menu démarrer, exécuter.

 

Si ça ne suffit pas (ce qui est le plus probable) on devra utiliser des outils bien lourds.

 

Bonjour pour avoir enfin la fenêtre du poste de travail y'a fallu que je clique plusieurs fois sur W+E mais quand je clique sur une icône elle ne répond pas !en fait c'est comme si windows avait bouffer sa mémoire vive, j'ai fait aussi ctrl + F5 mais rien ni fait

Merci de me lire

Cordialement

Alain

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour ckoya :P

 

Falkra a une surcharge de travail ces jours-ci et je lui ai offert de prendre un ou deux cas.

 

Je suppose que tu as accès à une machine qui fonctionne pour venir ici, alors on va pouvoir essayer un truc. Il s'agit de graver un CD (ou DVD) bootable, qui nous permettra d'accéder au système endommagé et d'y faire quelques réparations :

===============

 

Télécharge OTLPEStd.exe sur le Bureau, du lien suivant :

http://ottools.noahdfear.net/OTLPEStd.exe

 

> Le fichier fais plus de 90MB, donc ça peut prendre un certain temps, pour le téléchargement.

> Tu dois impérativement avoir un graveur fonctionnel, et tu dois y mettre un disque vierge (CD ou DVD) ;

> Lance le fichier OTLPEStd.exe ;

> Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge. Il s'agit d'un ReatoGo bootable, nommé OTLPE, qui te permettra d'avoir accès à tes fichiers sur la machine qui ne démarre plus.

> Démarre la machine infectée et insère rapidement le disque gravé, afin que le démarrage se fasse via ce disque. Si ça ne fonctionne pas du premier coup, redémarre la machine avec le disque dans le lecteur à nouveau. Si ça ne focntionne toujours pas, il faudra vérifier l'ordre du boot dans le BIOS et mettre le lecteur optique en premier.

> Si tout va bien, tu démarreras sur l'environnement OTLPE ;

> Double-clique sur l'icône OTLPE qui se trouvera sur le Bureau.

 

>> On te demandera : "Do you wish to load the remote registry": clique Yes

>> On te demandera : "Do you wish to load remote user profile(s) for scanning": clique Yes

>> Assure-toi que "Automatically Load All Remaining Users" soit coché, puis clique OK

 

> OTL devrait se lancer. Modifie l'option "Drivers" à "All", puis "Standard Registry" à "All".

 

> Depuis ta machine qui fonctionne, copie/colle le texte suivant (en vert) dans un nouveau fichier du Bloc-notes:

 

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

/md5stop

%SYSTEMDRIVE%\*.*

%systemroot%\*. /mp /s

%systemroot%\System32\config\*.sav

 

- Sauvegarde le fichier et transporte-le sur la machine infectée via clé USB.

- Depuis l'environnement ReatoGo (OTLPE), ouvre le fichier texte qui est sur ta clé USB.

- "Copie" le contenu du fichier, puis "Colle"-le dans la fenêtre "Custom Scans/Fixes" (au bas de OTL) ;

- Clique maintenant sur "Run Scan" (au haut, à gauche).

 

> Lorsque l'analyse sera terminée, un fichier texte sera créé : C:\OTL.txt ;

> Copie/colle ce fichier sur ta clé USB, puis reviens sur la machine qui fonctionne et poste le contenu du rapport ici, s'il te plaît.

 

===

 

Après analyse du rapport, nous pourrons attaquer.

 

 

@+

 

Mark

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...