[Résolu] Infection PC Win32:Rootkit-gen[Rth]

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar Falkra » 01 Mar 2010 10:03

Le rapport est ok, tu confirmes que ça tourne bien ?
(auquel cas on nettoie les outils spéciaux : procédure spéciale), et on sécurise.

Pour les haut parleurs dans le panneau de config, ça marquait "noyau windows" comme nom de périphérique, ou ça ça apparaissait dans les propriétés ?
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar miha » 01 Mar 2010 11:46

Je te confirme sa tourne bien,

Concernant les haut-parleurs, sous
"Gestionnaire de périphériques", puis sous "contrôleurs audio, vidéo et jeu", là j'avais remarqué que 5 haut parleurs étaient apparu avec chacun un point d'exclamation et l'intitulé de celui-ci Ex.
[icon haut parleur avec exclamation] Synthétiseur DRM (Noyau windows)

et si je sélectionne la ligne et fait propriété il y avait un code 19

Le terme (Noyau Windows) ou (Noyau Xp) je ne suis plus sûr.
miha
 
Messages: 49
Inscription: 14 Juil 2009 16:51

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar Falkra » 01 Mar 2010 11:50

OK, ça c'était un autre problème, qui n'était pas lié à nos bestioles (mais je voulais en être sûr, parfois ils rusent et se déguisent, ces chers malwares).
Je trouve des entrées "Filtre de décodeur DRM (noyau microsoft)" "synthétiseur dls du noyau microsoft", ça c'est pas notre affaire, mais tu as fait sans doute ce qu'il fallait. ;)

On nettoie. :-)

Désinstalle combofix : entre combofix /uninstall dans la boite exécuter du menu démarrer.
=> combofix espace slasht uninstall
Après cela, efface ce dossier s'il existe encore :
C:\QooBox

Supprime RSIT, et le dossier c:\RSIT
Pour Désinstaller OTMoveit (OTM), démarre-le et clique sur Clean Up!

S'il en reste, télécharge OTC d'Old Timer :
http://oldtimer.geekstogo.com/OTC.exe
Double clique dessus, puis clique sur le gros bouton CleanUp ! pour supprimer les outils spéciaux.

--------

* Je te conseille de changer d'antivirus. Avast est devenu une passoire et laisse passer tous les gros trucs, + les trucs récents (dommage).
Antivir est tout aussi gratuit (disponible en français maintenant) et surtout bien plus efficace, par ailleurs le support utilisateur est efficace et réactif, comme il doit l'être pour un logiciel de ce type.
Tu peux désinstaller avast par le panneau de configuration / ajout-suppression de programmes. Si ça ne marche pas bien, il y a aussi (au cas où mais normalement pas besoin) cet utilitaire officiel :
http://www.avast.com/fre/avast-uninstall-utility.html
Au besoin en mode sans échec, si ça rouspète vraiment (rarement nécessaire toutefois).

Pour Antivir voici un lien de téléchargement direct (version en français) :
http://dlce.antivir.com/package/wks_avi ... nal_fr.exe
Tuto Fr sur la version 9 française : http://www.libellules.ch/tuto_antivir.php

* Garde MBAM, il t'a été utile, et c'est un outil tout public, contrairement à certains utilisés pour nettoyer les machines.
Le module résident (qui tourne à l'arrière plan) est payant, mais le programme fonctionne en mode gratuit, ce module ne s'active simplement pas. Du coup dans sa version gratuite il cohabite avec tout, en tant que scanneur à la demande.
Spybot et Ad-aware sont de conception obsolète, le modèle de MBAM est bien plus pertinent face aux infections actuelles, et donne d'excellents résultats.

* Un "vrai" pare-feu est une nécessité, et je n'en vois pas ici, en dehors du pare-feu (basique de l'OS), je te conseille Online Armor free, qui est disponible en français, plutôt facile à prendre en main, et efficace.

Voici un tuto en français : http://infomars.fr/forum/index.php?showtopic=1644

--------


De manière générale, n'oublie pas de faire des sauvegarde de tes documents personnels régulièrement.

Il faut bien garder ton système et les logiciels à jour pour éviter les vulnérabilités.
PSI de Secunia peut t'y aider. https://psi.secunia.com/
JavaRa peut t'y aider pour Java : http://raproducts.org/
Et voici un tuto JavaRa pour installer le dernier Java et supprimer proprement les autres.
Et bien sûr, il y a Windows Updates.

Rends toi sur cette page de configuration du plugin Flash.
Coche la case "M'avertir de la disponibilité d'une mise à jour de Adobe Flash Player", et règle l'intervalle de recherche sur le minimum, ici 7 jours.
Ferme le navigateur et retourne sur la page pour confirmer la prise en compte du réglage.

Flash player doit être toujours bien à jour, sans cela il est exploitable par des malwares.
Pour tout savoir sur le plugin flash : la FAQ du plugin Flash

Voici un peu de lecture, une compilation de conseils pour éviter une réinfection et sécuriser la machine.

Un petit point sur les risques du P2P en matière de sécurité logicielle (par Ogu) :
Image (clique sur l'image).

Plus d'infos dans la FAQ sécurité du site.

N'hésite pas à poser des questions, cette partie est aussi importante que la désinfection.

Tu peux marquer résolu dans le titre, (en éditant le premier post, le titre devient modifiable).
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar miha » 01 Mar 2010 12:55

Merci infiniment de ton aide.

J'ai encore quelques questions.

1-Avant la dé-installation de Avast 4.8 dois-je effacer la liste des fichiers infectés qui se trouvent en quarantaine?

2-Dois-je continuer à utiliser Spybot?

3-pour Hijackthis dois-je le déplacer dans un dosier ou je peux le supprimer?
miha
 
Messages: 49
Inscription: 14 Juil 2009 16:51

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar Falkra » 01 Mar 2010 14:15

1-Avant la dé-installation de Avast 4.8 dois-je effacer la liste des fichiers infectés qui se trouvent en quarantaine?
Tu peux le faire, même si ce n'est sans doute pas obligatoire (en tout cas désinstaller ne les relâchera pas dans la nature, rien à craindre).

2-Dois-je continuer à utiliser Spybot?
Tu devrais pouvoir t'en passer.

3-pour Hijackthis dois-je le déplacer dans un dosier ou je peux le supprimer?
OTC devrauit le supprimer, sinon tu peux le supprimer toi-même s'il a été oublié par OTC.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar miha » 01 Mar 2010 20:19

Encore un tout grand MERCI à Falkra pour toute la peine qu'il c'est donné. :king:

Comme tu me l'as conseillé j'ai installé Antivir, ainsi que Online Armor free. Le plugin Flash était ok. Je laisse pour le moment spybot mais.....
Tous fonctionne à merveille.

Encore juste une question et ensuite je rajouterai résolu à mon sujet.

Au démarrage du PC, juste après le BIOS, un écran noir apparait (2 secondes) où on peut choisir de démarrer "Normal" et "recouvrement" :crazy: . Je ne l'avais pas avant. Cela ne me dérange pas mais juste pour savoir.


Salutations Miha :lol:
miha
 
Messages: 49
Inscription: 14 Juil 2009 16:51

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar Falkra » 01 Mar 2010 22:44

Au démarrage du PC, juste après le BIOS, un écran noir apparait (2 secondes) où on peut choisir de démarrer "Normal" et "recouvrement" :crazy: . Je ne l'avais pas avant. Cela ne me dérange pas mais juste pour savoir.
Ca, c'est installé par Combofix, mais ça ne dure pas longtemps, en principe.
Avatar de l’utilisateur
Falkra
Admin libellules.ch
Admin libellules.ch
 
Messages: 25882
Inscription: 30 Jan 2005 13:44
Localisation: 127.0.0.1

Re: Infection PC Win32:Rootkit-gen[Rth]

Messagepar miha » 02 Mar 2010 07:58

OK merci pour ton aide

Miha :-D
miha
 
Messages: 49
Inscription: 14 Juil 2009 16:51

Précédente

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités