Rootkit impossible a virer (C:\Ph.exe & herss.exe) & malware 45jfc.com - Win NT/2K/XP - Windows & Software
Marsh Posté le 19-09-2009 à 13:49:18
Bonjour.
Tu es infecté par un rootkit : et dans ce cas, avast ne te servira pas à grand chose. Il te faut utiliser des anti-rootkit dédiés pour venir à bout de ton infection.
En faisant une recherche "rootkit" dans ce sous-forum (titre et contenu des messages), tu devrais tomber sur des propositions de solutions d'anti-rootkit.
Désolé de ne pas pouvoir t'aider davantage
Marsh Posté le 20-09-2009 à 16:25:12
J'ai essayé AVGrootkit mais toujours pareil.
J'ai fait une capture des 2 évènements en plus du rapport Hijackthis qui me trouve un Temp\herss.exe chelou (nasty)
Marsh Posté le 20-09-2009 à 22:43:33
Re
ph.exe, si tu peux le voir dans l'explorateur de fichier (en affichant les fichiers cachés et les fichiers système), tu peux le dégommer, après avoir stoppé tous les processus indésirables dans le gestionnaire de tâche. Au pire si tu ne le vois pas (donc un vrai rootkit pur et dur), lance un livecd ubuntu, puis navigue dans la partition windows et tu le verras et le supprimera sans problème.
Le fichier boot.ini peut aussi contenir des entrées qui lancent des processus complémentaires (source d'infection).
msconfig peut donner des renseignements sur des entrées suspectes, notamment dans les onglets system.ini et win.ini
Marsh Posté le 24-09-2009 à 18:48:32
impossible de trouver ph.exe en plus il est dans la racine de tous mes lecteurs, c'est fou j'arrive pas a me débarrasser de ce truc
Marsh Posté le 24-09-2009 à 21:04:14
j'ai fait un scan et nettoyage malwarebytes et il a trouvé ça:
Fichier(s) infecté(s):
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.2.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.3.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.4.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.5.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.6.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.vir (Worm.AutoRun) -> No action taken.
C:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004501.exe (Worm.AutoRun) -> No action taken.
C:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004534.exe (Worm.AutoRun) -> No action taken.
C:\UsbFix\Quarantine\H\ph.exe.UsbFix (Worm.AutoRun) -> No action taken.
C:\UsbFix\Quarantine\K\ph.exe.UsbFix (Worm.AutoRun) -> No action taken.
D:\System Volume Information\_restore{4132B011-0A36-424C-AE3A-F579F1642175}\RP52\A0009654.exe (Worm.AutoRun) -> No action taken.
D:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004503.exe (Worm.AutoRun) -> No action taken.
D:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004536.exe (Worm.AutoRun) -> No action taken.
E:\System Volume Information\_restore{4132B011-0A36-424C-AE3A-F579F1642175}\RP52\A0009650.exe (Worm.AutoRun) -> No action taken.
E:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004505.exe (Worm.AutoRun) -> No action taken.
E:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004538.exe (Worm.AutoRun) -> No action taken.
G:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004507.exe (Worm.AutoRun) -> No action taken.
G:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004540.exe (Worm.AutoRun) -> No action taken.
H:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004508.exe (Worm.AutoRun) -> No action taken.
H:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004541.exe (Worm.AutoRun) -> No action taken.
H:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004646.exe (Worm.AutoRun) -> No action taken.
Et un scan et nettoyage Usbfix:
Fichiers # Dossiers infectieux |
Supprimé ! C:\DOCUME~1\Mo\LOCALS~1\Temp\herss.exe
C:\autorun.inf -> fichier appelé : "C:\ph.exe" ( Absent ! )
Supprimé ! C:\autorun.inf
D:\autorun.inf -> fichier appelé : "D:\ph.exe" ( Absent ! )
Supprimé ! D:\autorun.inf
Supprimé ! D:\b.bat
Supprimé ! D:\kgji.exe
Supprimé ! D:\lcw.exe
E:\autorun.inf -> fichier appelé : "E:\ph.exe" ( Absent ! )
Supprimé ! E:\autorun.inf
Supprimé ! E:\b.bat
Supprimé ! E:\kgji.exe
Supprimé ! E:\lcw.exe
Non supprimé ! G:\autorun.inf
H:\autorun.inf -> fichier appelé : "H:\ph.exe" ( Présent ! )
Supprimé ! H:\ph.exe
Supprimé ! H:\autorun.inf
Supprimé ! H:\hx.exe
J:\autorun.inf -> fichier appelé : "J:\ph.exe" ( Absent ! )
Supprimé ! J:\autorun.inf
K:\autorun.inf -> fichier appelé : "K:\ph.exe" ( Présent ! )
Supprimé ! K:\ph.exe
Supprimé ! K:\autorun.inf
Marsh Posté le 24-09-2009 à 21:04:41
Mais le problème c'est que même toutes mes clé nettoyés ça fini par revenir!
Marsh Posté le 19-09-2009 à 10:08:54
Hello
J'ai eu receammment des soucis de virus et malware, j'ai effectué plusieurs diagnostique et nettoyage avec Spybot, MalwareBytes en mode sans echec et avast au demarrage avec branchement de tous mes supports amovibles (disque dur externe et clé usb)
Mais malgré le nettoyage il reste ces 2 messages l'un se présent comme un rootkit et l'autre vers une connexion malware ainsi qu'un chemin detecté par hijackthis comme mauvais (LOCALS~1\Temp\herss.exe) qui pourtant a été nettoyé par malwarebyte mais reviens quand même.
J'ai Windows XP pro sp3 mis a jour avec Avast et le pare-feu Kerio.
Je sais plus quoi faire
Quequ'un peut m'aider svp