Fichier .SYS inconnu [Fermé]

Signaler
Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
-
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
-
Bonjour,

voila depuis cette nuit mon anti-virus (Kaspersky internet Security 2010) détecte se fichier => rotscxjenbmuwq.sys

a cette emplacement :
C:\WINDOWS\system32\drivers

et force a chaque fois mon PC a redémarré.

j'ai recherché sur internet le fichier en question (rotscxjenbmuwq.sys ) mais je trouve rien ! voila se que me disent les moteurs de recherche:
"Aucun document ne correspond aux termes de recherche spécifiés"

donc si quelqu'un pouvez m'aidé sa serai cool!
merci d'avance.

PS: je peut vous fournir les rapport de:
- hijackthis
- Ad-Aware
- spybotsd
- Malwarebytes

que j'ai déjà passé sur mon PC avent de posé ma question!

14 réponses

Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
Salut,


Bien infecté ....


/!\ Pour le bon déroulement de la désinfection :
* Ne pas utiliser ce PC autrement que pour venir ici poursuivre la désinfection .
* N'entreprends rien avec le PC sans mon autorisation et suis à la lettre les procédures qui vont suivre .
* Prends bien connaisance de l'ensemble de ces procédures avant de te lancer .
* Si tu as un quelconque problème n'hésite pas à m'en faire part ( évite les prises de décision hasardeuses ).



commence par ceci :


1- Poste moi le rapport de Malwarebytes stp puis fait la suite ....


==============================

2- Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau :

-> http://telechargement.zebulon.fr/zhpdiag.html


!! déconnecte toi et ferme toutes tes applications en cours !!

> double-clique sur "ZHPDiag.exe" pour lancer l'installation de l'outil et laisse toi guider ( ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" ) .

> Lance ZHPDiag depuis le raccourci du bureau .

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite .
( celui avec le tournevis )

Une liste apparait dans l'encadré principal > vérifie que toutes les lignes soient bien cochées sauf les 045 et 061 ( important ! ) .

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan .


Laisses travailler l'outil ...


> Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre bien ZHPDiag.txt de façon à le retrouver facilement ( sur le bureau par exemple ).

( Sinon le rapport sera en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag )

Puis ferme le programme ...


> rends toi ensuite sur ce site : http://www.cijoint.fr/

Clique sur "parcourir" et va jusqu'au rapport que tu as sauvegardé .
Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...
Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....


======================


3- Lance de nouveau ZHPDiag,

!! déconnecte toi et ferme toutes tes applications en cours !!

* Tu vas faire une " analyse détaillée/MD5 " en procédant ainsi :

> tu cliques cette fois ci sur le bouton " dossier+loupe " ( en haut à droite ) pour lancer le scan.


Laisse travailler l'outil et ne touche à rien ( cela peut-être relativement long ) .


* Une fois terminé , le rapport s'affiche : clique sur bouton "disquette" pour sauvegarder le rapport obtenu ...

Enregistre le de façon à le retrouver facilement ( sur le bureau par exemple ).

* Fais moi parvenir ce rapport via " Cijoint " dans ta prochaine réponse pour analyse ...






Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
avent que je fase tout sa tu peut me dire d'où vien le fichier rotscxjenbmuwq.sys ?? car ont ne trouve rien a sont sujet sur le net!
Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
Rapport:

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3533
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10/01/2010 10:43:59
mbam-log-2010-01-10 (10-43-59).txt

Type de recherche: Examen rapide
Eléments examinés: 106599
Temps écoulé: 2 minute(s), 0 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
re,

rotscxjenbmuwq.sys

c'est un RootKit , normal que tu ne trouves rien : le nom du driver (ainsi que d'autres fichiers créer par l'infection ) sont aléatoires ... seule la racine reste indentique suivant les variantes ....

une sale bestiole qui souvant ne s'invite pas seul ....


tu dois aussi avoir des redirections avec Google ....

Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
bien ....


questions > tu es administrateur du PC ? .... PC pro ou perso ? .... Pour info , ta version de Windows est modifiée , tu es au courant ?

le rapport de MBAM est vierge ... il n' a rien détecté > tu n'as pas un autre rapport où il a supprimé quelque chose ?



commence par ceci :


1- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
http://eric.71.mespages.googlepages.com/ToolBarSD.exe
ou ici http://eric71.geekstogo.com/tools/ToolBarSD.exe

( Tuto : http://toolbarsd.googlepages.com/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " suppression " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport hijackthis pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )


=========================

2- Télécharge gmer sur le bureau et dézippe-le (clic droit et extraire ici) :
http://www.gmer.net/gmer.zip

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes tes applications le temps de la manipe ( navigateurs compris )!!


* Double-clique sur gmer.exe sur le bureau. Si ton antivirus réagit, ne t'inquiète pas et ignore l'alerte.
* Clique sur l'onglet "rootkit", puis clique sur scan.
* A la fin du scan, clique sur le bouton copy.
* Dans démarrer>programmes>accessoires : ouvre le bloc-note et clique sur CTRL+V afin de copier le rapport dans ce même bloc-note.

> poste le rapport stp ...



Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
je suis Admin de mon PC il est sous XP PRO SP3 légal j'ai juste modifier avec nlite pour viré deux trois truc qui me servent a rien ! et c'est un PC multi usage pro et perso a la fois!
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
oki... ;)


et pour MBAM ?


Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
Attend je regarde, mais j'ai passé un scan de kaspersky en attendent une réponse tout a l'heurs (scan onligne) donc c'est peut-étre avec sa que le truc est parti la je refait un scan avec Mbam, je te tien au jus
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
re,


laisse tomber les scan en ligne, tu perds ton temps et cela ne résolvera pas le prb ...


et ferme Malwarebytes ( il ne trouvera rien de plus ... ^^" )



fais ce que j'ai demandé ici stp si tu veux qu'on avance un peu ... :p



Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
c'est se que je fait !
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
J'ai rien dis alors ...

;o)
Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
je fait un scan complé avec MBam!
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
non !!!!

arrète le et fait Toolbar S&D et GMER .....


j'attends les rapports .....
TheTROLL
Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616 > sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012

question pour Toolbar S&D et GMER je peut les faire en mode sans echec ?
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448 > TheTROLL
Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012

non ....


en mode normal stp ....


Messages postés
4187
Date d'inscription
samedi 9 février 2008
Statut
Contributeur
Dernière intervention
19 décembre 2012
616
bon j'ai règlé le problème autrement j'ai tout réinstallé ! c'est plus simple!
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
448
re,


si c'est plus simple pour toi ....


Pourquoi poster alors ... ^^'


bonne continuation et prudence ...

la bestiole en question :
> http://forum.malekal.com/trojan-alureon-trojan-tdss-t21456.html
> http://www.commentcamarche.net/faq/sujet-18103-supprimer-le-rootkit-w32-tdss-alureon


A+

=)