Forum Clubic

Win32 : rootkit gen détecté sur mon ordinateur

Bonjour
Avast 4.8 a détécté aujourd’hui un virus ou trogen sur mon ordinateur : “win32 : rootkit-gen[Rtk]”. J’ai lancé un scan au démarrage et je n’arrive pas à le mettre en quarantaine, ni le réparer, ni même le supprimer.
J’ai lu sur des forums qu’il fallait scanner l’ordi avec HijackThis et poster le résultat. Quelqu’un peut-il m’aider ? Dois-je installer ce logiciel ? comment interpréter le rapport qui sera édité ?
Merci d’avance.

Salut,

fait nous un copier/coller du rapport ici

:yeux2:

Vois ce que AVG Antirootkit peux également faire, il m’a souvent bien dépanné…
http://www.clubic.com/telecharger-fiche34515-avg-anti-rootkit.html.

[b]Bonjour

J’ai donc installé HijackThis ce matin et j’ai cliqué sur le bouton “Do a system scan and save a logfile”
Voici le rapport : [/b]

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:48, on 2008-06-04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\hphmon05.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\QuickTime\qttask.exe
C:\WINDOWS\System32\rundll32.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\WINDOWS\ALCXMNTR.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Java\jre1.6.0_02\bin\jucheck.exe
C:\Documents and Settings\Propriétaire\Bureau\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = srch-qfr10.hpwis.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = srch-qfr10.hpwis.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe”
O4 - HKLM…\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM…\Run: [HPHUPD05] c:\Program Files\HP{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM…\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe
O4 - HKLM…\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM…\Run: [UpdateManager] “C:\Program Files\Fichiers communs\Sonic\Update Manager\sgtray.exe” /r
O4 - HKLM…\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM…\Run: [VTTimer] VTTimer.exe
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [Adobe Reader Speed Launcher] “C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe”
O4 - HKLM…\Run: [AlcxMonitor] ALCXMNTR.EXE
O4 - HKLM…\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra ‘Tools’ menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {09C21411-B9A2-4DE6-8416-4E3B58577BE0} (France Telecom MDM ActiveX Control) - minitelweb.minitel.com…
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - cid-dd38b33061d56ba0.spaces.live.com…
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


End of file - 6212 bytes

Cela vous parlera certainement plus qu’à moi.
Encore merci du temps que vous m’accordez…

Pour commencer: installe le SP3… ne pas voir au moins le SP2 installé constitue un risque pour l’utilisateur… tout comme utiliser Internet Explorer 6 (la version 7 est meilleure et plus sécurisée).

Va sur Windows Update pour mettre à jour ton système!

[E] 1 ou 2 lignes semblent étranges, certaines superflues, mais j’attends de voir ce que pensent des qui s’y connaissent mieux que moi. :wink:

[E2] Sans couloir faire le troll, Antivir obtient de meilleurs résultats qu’avast, dans les tests pro…

Installe aussi Spybot et Malwarebytes AntiMalware contre les spywares et les malwares.

Pour les lignes qui semblent superflues: (attend que quelqu’un confirme mes dires)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! ¤u¨ã¦C - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe”
O4 - HKLM…\Run: [QuickTime Task] “C:\Program Files\QuickTime\qttask.exe” -atboottime
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot

[E3] grilled par koala06 sur Antivir :wink:
Edité le 04/06/2008 à 09:18

Il faut que tu fixes 2 lignes avec hijackthis :

O4 - HKLM…\Run: [AlcxMonitor] ALCXMNTR.EXE , il paraitrait que c’est un spyware créé par realteck mais bon pas certain

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe
tu utilises des jeux en lignes gratuits?

fix ces 2 lignes et redemarres ton pc, désactive la restauration du système (sachant que certain virus se planque la dedans) sachant que tu ne pourras pas restaurer ton pc a une date antérieur en faisant ca.

Ensuite ce que je te conseil est de virer Avast et de prendre en gratuit Antivir que tu trouveras sur clubic, seul incovénient il est en anglais mais bien plus efficace.


[quote="g-m1n1"] Pour commencer: installe le SP3.... ne pas voir au moins le SP2 installé constitue un risque pour l'utilisateur.... tout comme utiliser Internet Explorer 6 (la version 7 est meilleure et plus sécurisée).

Va sur Windows Update pour mettre à jour ton système!

[E] 1 ou 2 lignes semblent étranges, mais j’attends de voir ce que pensent des qui s’y connaissent mieux que moi. :wink:
[/quote]
Je n’avais pas vu qu’il n’avait que le SP1 :etonne:, a mettre a jour aussi Windows

Je suis surprise que rien ne ressorte sur rootkit-gen
NB : quand avast à détecté le problème il m’a dit que C:\WINDOWS\system32\svchost.exe était infecté par “win32 : rootkit-gen[Rtk]”
Je vois que ce fichier est présent dans la liste. Qu’en est-il ?

En ce qui concerne les mises à jour windows et IE je le fais de suite.

Pour HKLM…\Run: [AlcxMonitor] ALCXMNTR.EXE si on n’est sure de rien faut-il que je fixe la ligne ?

Il parait que c’est un spy créé par realtek
Svchost.exe est un processus de windows (d’ailleurs il y en a plusieurs),
quand aux mises a jours il y a 3ans de retard donc tu en as pour un moment.

Si on est pas sur on ne fait rien. Une mauvais manip peut te foutre en l’air ton système. Mais bon pour le problème de Realtek les risques ne sont pas grands à mon avis.

“win32 : rootkit-gen[Rtk]” gen (generic) signale souvent que c’est le moteur heuristique qui a semble avoir trouvé une infection. Il ne l’a pas détecter à cause de singature… (ou si?). Car sinon faut voir s’il ne s’agit pas tout simplement d’un faux positif.

Désinstalle Avast et installe Antivir Free 8. Dis nous si lui il trouve qch ou non.
Edité le 04/06/2008 à 09:45

En effet pour les mises à jour le rendement n’est pas terrible, mais on prend notre mal en patience… d’autant plus que l’ordi (pas tout jeune) a une tendance naturelle à ramer …

Faut-il désinstaller IE 6 avant de mettre le 7, ou la dernière version écrase-t-elle l’ancienne ?

Je ne pourrais faire les manip que demain, c’est un ordi que l’on a au boulot. Je désinstallerai demain, je mettrai antivir et je vous dis quelque chose.
Merci encore de votre aide

Pas besoin de désinstaller l’ancienne… Tu vas sur WinUpdate et tu choisis, enter autres, d’installer IE7 qui l’écrasera.

bonjour à tous,

le 03 juin Avast a découvert sur mon PC : “win32 : rootkit-gen[Rtk]” j’ai voulu le mettre en quarantaine puis le supprimer mais r a f j’ai reçu un message du genre : protection de fichiers windows : des fichiers nécéssaire au fonctionnement ont été remplacés par des fichiers d’une version non reconnue, pour maintenir la stabilité du système reinstaller xp (un peu près ça) puis ensuite un message "le gestionnaire internet ne peut être lancé, il est possible que les fichiers aient été modifiés ou supprimés, pour corriger ce dysfonctionnement , vous devez reinstaller le gestionnaire internet : j’ai essayé de reinstaller le gestionnaire internet en suivant les instructions mais impossible d’executer les instructions demandées, impossible d’aller sur internet, impossible de copier un fichier du DD c sur mon DD externe : . Donc j’ai décidé hier soir de reformater mon pc en pensant que ça résoudrait mon problème : donc de 18 h à 23 h mumuse tout me paraissait ok.

Ce matin en allumant mon pc rebelote même attaque (les boules) : même problème et remumuse ce soir.

Je souhaiterais savoir si quelqu’un a eu le même problème que moi, d’ou peut provenir le problème et comment faire pour anticiper ou empecher que ça recommence ?

Suite à quelques recherches, j’ai installer AVG antirootkit free mais je ne sais pas si c’est bien et pour l’instant j’ai fait un scan avec avast sur C : RAS

Je tiens à préciser que je ne suis pas très doué en informatique (et en orthographe) mais bon vous avez du le remarquer. merci pour votre aide (c’est mon premier message sur un forum)

Bonjour,

J’en ai presque terminé avec les mises à jour et je vais ce matin installer Antivir.
En ce qui concerne AVG antirootkit free : On m’avait conseillé, plus haut, de l’installer. Personnellement il n’a absolument rien détecté dans l’ordi.
A tout à l’heure

Antivir propose de toute façon un Antirootkit… qu’il faudra néanmoins activé dans la configuration de celui-ci.

J’ai désinstallé Avast et installé Antivir.
J’ai lancé un scan.
Résultat : 2 warning

Est-ce qu’il est parvenu à supprimer quelque chose? Sinon lance un scan en mode sans échec pour voir.

arretez de vous prendre la tete sur ce faux positif , de ce formidable av qu est avast :MDR

ici
www.libellules.ch…

ou ici
forum.avast.com…

ou encore ici sur clubic
www.clubic.com…

la solution est donnée ds les posts.

hehe avast à fait fort avec ce faux positif :slight_smile:

mais bon, la calimero65 me signale qu’Antivir a trouvé 2 choses.