Rootkit ou pas rootkit ?

Modérateur: Modérateurs et Modératrices

Rootkit ou pas rootkit ?

Messagede didw » 09 Déc 2009, 13:09

Bonjour,
Depuis qques jours mon pc se comporte bizarrement. Les pages se désactivent toutes seules ? On dirait qu'il y a une application qui tourne sans que je puisse la voir.
F secure ne peut plus être lancé !? Donc impossible de scanner pour détecter des virus.

Après recherche sur le net et scan à l'aide de Avast et GMER, voici ce que le bilan me donne.

Rapport obtenu aprés scan GMER
Module \systemroot\system32\drivers\H8SRTllrjqumoir.sys (*** hidden *** ) F3E5E000-F3E7A000 (114688 bytes)
Service C:\WINDOWS\system32\drivers\H8SRTllrjqumoir.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!


J'ai cherché sur divers forums si H8SRTllrjqumoir.sys était un Rootkit, mais aucune trace !?
Et maintenant que j'ai la possibilté de le supprimer avec GMER (impossible avec AVAST), j'ai un doute puisque le fichier est un fichier système. (.sys)
Est ce qqn peut m'aider ? Qqn a t'il déjà eu ce genre de probléme ? Et me dire si la suppression de ces fichiers n'aménera pas de soucis particulier sur mon PC .

Par avance merci.
Didw

NB : Hier j'ai fait un scan avant démarrage et AVAST a trouvé qques chevaux de troies que j'ai pu mettre en quarantaine...et depuis mon PC fonctionne assez bien mais je sens bien que quelque chose ne tourne pas trop rond. Il faut toutefois l'allumer plusieurs fois de suite car il démarre mais reste parfois bloquer sur la page bleue de windows ou sur le bureau. Pour la fermeture, j'ai aussi noté hier un blocage.
didw
 
Messages: 8
Inscription: 09 Déc 2009, 13:04

Messagede Félix le Chat » 09 Déc 2009, 15:16

Bonjour,

Reposte la même chose ici http://assiste.forum.free.fr/viewforum.php?f=70
Logs HijackThis (Demandes d'analyse de logs) et fait ce qui est demandé là http://assiste.forum.free.fr/viewtopic.php?t=23982 en attendant que nickW te prennes en main.

H8SRTllrjqumoir.sys il s'agit probablement d'un nom généré aléatoirement par le rootkit
Félix le Chat
Avatar de l’utilisateur
Félix le Chat
 
Messages: 824
Inscription: 20 Aoû 2004, 08:29

Messagede nickW » 09 Déc 2009, 16:15

Bonjour,

Au vu de cette page: http://www.threatexpert.com/report.aspx ... 664908114f (voir la liste des logiciels "désactivés") ... ton PC héberge un hôte indésirable.
Note: il faut chercher sur Google (ou autre) le préfixe H8SRT seul, les autres caractères étant aléatoires.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede didw » 09 Déc 2009, 21:27

bonsoir
J'ai suivi toutes les étapes conseillées...mais seulement, l'étape 4 est bloqué car je n'arrive pas à lancer Malwarebytes' Anti-Malware !?
Pour info, lors de l'installation (étape 2), j'ai du renommer le nom car le .exe ne voulait pas démarrer !!?
Donc comme Malwarebytes' Anti-Malware, est aussi .exe, je pense que mon infection empêche le lancement !!?
Je suis donc bloqué, même en renommant l'application...je rajoute un 1 à la fin du nom mais ça ne suffit pas...

Parcontre, avec un autre internaute, j'ai réussi sa manip et je me demande si ce n'est au final la même chose que vous rechercher ?
Il suffit de cliquer sur ZHPDiag.txt et tout le scan apparait

http://www.cijoint.fr/cjlink.php?file=c ... 8rsMD7.txt

Désolé si je ne suis pas vraiment votre démarche mais comme je suis bloqué, j'essaie plusieurs trucs...toutefois même si vous ne vouliez pas contnuer à m'aider, dites le moi....ça évitera que j'attende une message

Par avance merci

Didw
didw
 
Messages: 8
Inscription: 09 Déc 2009, 13:04

Messagede nickW » 11 Déc 2009, 01:01

nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité