Aide pour enlever rootkit

[clache]

Bonjour a tous

Je cherche de l'aide pour enlever un rootkit : security.tool qui est sur une session utilisateur de mon pc de maison

de plus, suite a une analyse avec ZHPDIAG, il me semble que j'ai un utilisateur "pirate" sur ce pc.

SVP pouvez vous m'aider

[Apollo]

Bonsoir,

 

La première chose à tenter, c'est la restauration système à une date antérieure à l'apparition de security tool. (2 ou 3 jours avant). En mode sans échec si nécessaire: Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista

 

Comment faire une restauration système sous Windows Vista : Astuces pour dépanner Vista et Seven

 

Restauration système à une date antérieure – Windows 7 | Forum-Seven

 

Restaurer Windows XP vers un état antérieur

 

Si la restauration fonctionne, poursuivre immédiatement avec ce qui suit:

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

 

Ou ici: Malwarebytes Anti-Malware 1.46 - TechSpot Downloads

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen rapide."
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

!!! Ne pas vider la quarantaine de MBAM sans avis !!! (en cas de faux-positifs toujours possibles.)

 

Malwarebytes Forum -> Malwarebytes' Anti-Malware Support

 

@++

[clache]

Bonjour (ou bonsoir) APOLLO

 

Entre temps, j'avais essayé la restauration systéme ( mais pas en mode sans echec) qui n'a pas fonctionné

 

Par contre en lissant le sujet de :GOF ( sujets epinglé)

 

j'ai passé MBAM et j'ai trouvé un lien dans la zone de démarrage de la session concernée qui m'envoyait vers un fichier dans : APPDATA

 

mais dans le sous repertoire LOCALL?? ( je n'ai plus le nom exact car je suis au bureau?)

 

J'ai nettoyé ce fichier et refait un scan approfondi avec MBAM

 

??? Pour l'instant pas de déclenchement du "Security.tool"

 

Merci de me dire si tu pense que c'est OK ou si par sécurité je dois faire d'autres manips.

Je regarde cela ce soir

 

Merci encore et Bonne Journée

[Apollo]

Bonjour,

 

Ouaip, parfois ça marche avec la restauration système, parfois non... Autant essayer ça d'abord sinon tu as très bien fait de suivre l'info de Gof et Nardino

 

Poste le rapport de MBAM (en clair sur le forum) puis ceci stp, afin de vérifier s'il n'y a rien d'autre.

 

Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.

 

Pour les systèmes 64 Bits: Télécharger RSIT 64 Bits

 

• Double-clique sur RSIT.exe afin de lancer RSIT. Pour XP
   
  Important :
  * Sous Vista : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
   
  * Sous Windows 7 : Il faut mettre le fichier RSIT.exe sur le bureau, faire un clic droit dessus et dans Propriétés, onglet Compatibilité, cocher la case "Exécuter ce programme en mode compatibilité pour" et dans le menu choisir Vista SP2 et la case dans Niveau de privilège.
  Valide par Appliquer.
   
  
• Clique Continue à l'écran Disclaimer.
  
• Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
  
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (<<qui sera affiché)
  ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).
  

 

>>>Héberge les rapports ici: Cijoint.fr - Service gratuit de dépôt de fichiers et me donner les liens pour que je puisse les consulter.

 

Pour l'instant, il vaut mieux procéder de la sorte pour ne pas planter le sujet du forum.

 

@++