| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
 Posté le: 14 Sep 2006 17:26 Sujet du message: hacktool.rootkit [résolu] |
|
|
bonjour à tous,
...et plus particulièrement à Lorelei qui m'a déjà sorti d'affaire 2 fois.
évidemment, j'aurais préféré ne pas avoir à vous recontacter, bien que pour moi vous soyez comme des super heros su net, mais voilà ...
le problème: hacktool.rootkit détécté par norton et impossible à éliminer.
j'ai vu que le meme problème sur un post, j'ai donc fait un scan
panda
HJT
rootkitrevealer
merci d'avance pour votre aide!!
David |
|
| Revenir en haut |
|
 |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 14 Sep 2006 21:08 Sujet du message: |
|
|
Bonsoir David 
Je ne vois rien de particulier sur tes rapports mis à part que le système n'est pas à jour, et particulièrement Internet Explorer, le terrain est donc propice aux infections de ce type. 
A part le nom de l'infection, qu'est ce que Norton t'indique de plus ? Un nom de fichier par exemple... ?
RootkitRevealer n'est malheureusement plus supporté par SysInternals, son auteur faisant maintenant partie des rangs de Microsoft.
Dans un premier temps :
- Télécharge, installe et nettoie ton pc avec CCleaner
- Télécharge Blacklight de F-Secure, crée lui son propre dossier, sur le bureau.
- Ferme tous les programmes et toutes les fenêtres, et déconnecte toi d'internet.
- Clique sur Accept, puis sur Scan
- A la fin du scan, ouvre le dossier que tu as créé, tu trouveras un fichier fsbl + date du jour.log, poste le rapport.
- Reposte un log HijackThis mais en prenant soin d'avoir fermé tous les programmes en cours y compris Internet Explorer.
- Fais un scan en ligne avec KAV et poste le rapport.
Fais une sauvegarde de tes données, tu n'es pas à l'abri d'un formatage. 
@+
_________________
 |
|
| Revenir en haut |
|
|
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
| Posté le: 15 Sep 2006 0:08 Sujet du message: |
|
|
bonsoir Lorelei (désolé, il n'y a pas de tréma pour le i sur ce PC italien...), et merci pour ta réponse.
en effet, Norton donne un nom de fichier : C:\WINDOWS\SYSHOST.DLL
à propos de blacklight, le lien que tu m'as donné télécharge une version béta qui ne fonctionne plus j'ai donc utilisé le programme par "command line", je ne sais pas si le rapport est complet  quoiqu'il en soit le voilà ici
ici le HJT
et là le KAV
évidemment, j'aimerais bien ne pas avoir à formater, mais quelque soit le résultat de ce traitement, aurais-tu des suggestions pour mieux protéger ce PC? car autant les fois précédentes j'avais pris des risques (la mule) autant là, c'est arrivé de nulle part...
Norton a t-il ses limites?
bon, il est tard, merci encore, et dans l'attente de te lire
David |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 15 Sep 2006 0:29 Sujet du message: |
|
|
| david1175 a écrit: | | bonsoir Lorelei (désolé, il n'y a pas de tréma pour le i sur ce PC italien...), et merci pour ta réponse. |
C'est pas grave 
On m'appelle "Lo" aussi sur ce forum
| Citation: | | à propos de blacklight, le lien que tu m'as donné télécharge une version béta qui ne fonctionne plus j'ai donc utilisé le programme par "command line", je ne sais pas si le rapport est complet quoiqu'il en soit le voilà ici |
Il est pas bien bavard Blacklight, ce qui n'est pas plus mal.
Désolée pour la version, effectivement une nouvelle bêta est sortie et je ne l'ai pas mis à jour. 
Je les uploade sur un serveur FTP, car certaines infections empêchent la connexion sur les sites de sécurité.
Le vrai lien de téléchargement est ici, si tu veux en avoir le coeur net :
http://www.f-secure.com/blacklight/try_blacklight.html
J'ai survolé le rapport de KAV, il y des traces d'anciennes infections dans les fichiers de restauration du système. Il te suffit de la désactiver pour qu'ils disparaissent (n'oublie pas de la réactiver ensuite).
Pour le reste, je te réponds demain si tu veux bien, car vu l'heure tardive, je ne suis plus bonne qu'à aller rejoindre mon oreiller
Bonne nuit
_________________
|
|
| Revenir en haut |
|
|
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
| Posté le: 15 Sep 2006 0:35 Sujet du message: |
|
|
j'y vais aussi!
bonne nuit Lo, et à demain.
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 15 Sep 2006 9:48 Sujet du message: |
|
|
Bonjour David,
Bon pas de panique, cela n'a rien à voir avec un rootkit. Il s'agit de Clicker Small.kj.
La raison pour laquelle le pc est infecté, c'est parceque le système n'est pas à jour, ce virus exploite les failles de Internet Explorer pour s'infiltrer et continue avec celles de Windows.
Le virus se réinitialise à chaque redémarrage du pc. Ce qui explique pourquoi Norton le trouve en boucle et comme il a dû le virer avant que tu ne redémarres, cela explique aussi pourquoi Panda ou KAV n'ont rien trouvé non plus (mis à part l'infection de la restauration système).
Le log HijackThis est propre contre toute attente, il aurait été logique de trouver une ligne de type F2 mais là rien 
- Télécharge & installe a² Free
- Télécharge eScan Antivirus Toolkit (prends connaissance du tuto par la même occasion)
- Commence par faire la mise à jour de Internet Explorer en te rendant sur Windows Update, puis les mises à jour de Windows,
- Redémarre le pc en mode sans échec,
- Lance un scan complet de a² Free et supprime tout ce qu'il trouve,
- Lance eScan Antivirus Toolkit comme c'est expliqué sur le tuto et conserve le rapport,
- Redémarre le pc, et poste le rapport de eScan Antivirus Toolkit
@+
_________________
|
|
| Revenir en haut |
|
|
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
| Posté le: 15 Sep 2006 10:12 Sujet du message: |
|
|
bonjour Loreleï (je t'écris du PC de mon bureau avec les ï )
| Citation: | | Bon pas de panique |
j'ai bien lire çà!!
je fais tout ce que tu m'as dit ce soir ou demain, et je te poste le tout.
@+
D |
|
| Revenir en haut |
|
|
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
| Posté le: 16 Sep 2006 8:10 Sujet du message: |
|
|
Bonjour Lo
alors, je croyais avoir fait tout comme il fallait, mais le log de eScan AntiVirus fait 28Mb !!! 
j'ai du faire une fausse manip...
donc finalement je t'envois les deux lignes qu'il y avait dans "virus log info" à la fin du scan, en espérant que ça serve...
pour le reste j'ai fait toutes les maj de XP et j'ai lancé a-sqared comme indiqué dans la procédure...
@+
D |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 16 Sep 2006 11:37 Sujet du message: |
|
|
Bonjour David,
| david1175 a écrit: | | alors, je croyais avoir fait tout comme il fallait, mais le log de eScan AntiVirus fait 28Mb !!! |
A part les deux lignes que tu m'as envoyé tu te rappelles de ce qu'il contenait ?
Si tu l'a encore, tu peux uploader le rapport sur RapidShare que je puisse le voir.
Tu as toujours des alertes de Norton ?
Je ne vais pas être dispo pendant quelques jours, mais j'essaierai de passer voir où tu en es
Je suis encore là quelques heures si tu arrives à uploader ton rapport.
_________________
|
|
| Revenir en haut |
|
|
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
| Posté le: 16 Sep 2006 12:13 Sujet du message: |
|
|
bonjour Lo,
 | Citation: | | A part les deux lignes que tu m'as envoyé tu te rappelles de ce qu'il contenait ? |
les deux lignes que je t'ai envoyé étaient les seules de la zone du milieu de eScan AntiVirus.
je me souviens qu'il disait 2 virus détéctés, un fichier renommé, et 3 erreurs... je crois...
| Citation: | Si tu l'a encore, tu peux uploader le rapport sur RapidShare que je puisse le voir.
|
RapidShare ne fonctionne pas, "impossible de trouver la page etc..."
le .txt "raré" fait 1.3 Mb... faire 3 fichiers .rar est les poster par cjoint peut etrre une soluce?
celà dit...
| Citation: | | Tu as toujours des alertes de Norton ? |
NON!
et le PC fonctionne bien, évidemment j'aimerais bien etre sur que tout est clean, mais ce n'est pas urgent, donc je ne voudrais pas abuser de ton précieux temps.
sauf indications contraires de ta part, je vais attendre que le site de RapidShare fonctionne à nouveau pour te poster le rapport de eScan AntiVirus, et attendre que tu puisses le lire.
merci encore Lo!!!
@+
David
PS: peux tu me redonner le lien de la page ou tu expliques comment protéger un PC stp? |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 16 Sep 2006 12:24 Sujet du message: |
|
|
| david1175 a écrit: | RapidShare ne fonctionne pas, "impossible de trouver la page etc..."
le .txt "raré" fait 1.3 Mb... faire 3 fichiers .rar est les poster par cjoint peut etrre une soluce? |
Effectivement le site n'est pas dispo actuellement
Ne t'embête pas pour couper le fichier en plusieurs parties, attends plutôt que RapidShare soit dispo
| Citation: | celà dit...
| Citation: | | Tu as toujours des alertes de Norton ? |
NON! |
Je pense que les mises à jour y sont pour beaucoup :)
Désactive et réactive la restauration du système, par précaution, il y avait une trace d'infection sur le dernier rapport que tu m'as envoyé
| Citation: | | PS: peux tu me redonner le lien de la page ou tu expliques comment protéger un PC stp? |
J'en ai parlé de nombreuses fois, alors je ne sais pas de quel post tu me parles
Peut être celui-là 
N'hésite pas à revenir en cas de soucis, on va attendre quelques jours pour voir si tout est en ordre avant de fermer le topic.
Tiens moi au courant
_________________
|
|
| Revenir en haut |
|
|
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
| Posté le: 16 Sep 2006 12:35 Sujet du message: |
|
|
Lo,
| Citation: | | Ne t'embête pas pour couper le fichier en plusieurs parties, attends plutôt que RapidShare soit dispo |
il suffisait d'en parler pour que le site soit disponible
le lien pour le rapport est donc là.
il y a aussi celui pour le supprimer.
| Citation: | Désactive et réactive la restauration du système, par précaution, il y avait une trace d'infection sur le dernier rapport que tu m'as envoyé
|
j'y vais de ce pas...
| Citation: | N'hésite pas à revenir en cas de soucis, on va attendre quelques jours pour voir si tout est en ordre avant de fermer le topic.
Tiens moi au courant |
très bien, merci encore milles fois Lo 
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 16 Sep 2006 13:03 Sujet du message: |
|
|
J'ai récupéré le log, rien de particulier à part les deux lignes que tu m'as envoyées
D'ailleurs si tu le trouves supprime ce fichier (fichiers cachés affichés) :
| Citation: | | C:\Documents and Settings\Emanuela\Impostazioni locali\Temp\Banu Sensivas.vcf |
Il a été renommé par eScan Antivirus Toolkit, alors ce n'est pas dit que tu puisses lui mettre la main dessus.
Je pense que ça devrait aller maintenant :)
Le lien que je t'ai donné pour la sécurité du PC te convenait, ou tu voulais autre chose ?
_________________
|
|
| Revenir en haut |
|
|
david1175
Nouveau
Inscrit le: 16 Juin 2005
Messages: 41
|
| Posté le: 16 Sep 2006 13:16 Sujet du message: |
|
|
| Citation: | Je pense que ça devrait aller maintenant :)
Le lien que je t'ai donné pour la sécurité du PC te convenait, ou tu voulais autre chose ? |
impec!
à bientot, meme si je ne souhaite pas avoir besoin de ton talent et tes connaissances de sitot
|
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7795
Localisation: Rouen (France)
|
| Posté le: 18 Sep 2006 11:11 Sujet du message: |
|
|
Bonjour David
Plus de soucis alors
_________________
|
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
