Fiasco suite à un rootkit balaise (driver caché Prohlp02.sys)
Fermé
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
-
Modifié par alibabs le 22/09/2014 à 03:21
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014 - 25 sept. 2014 à 20:27
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014 - 25 sept. 2014 à 20:27
A voir également:
- Fiasco suite à un rootkit balaise (driver caché Prohlp02.sys)
- Appel caché - Guide
- Realtek audio driver - Télécharger - Pilotes & Matériel
- Copie caché - Guide
- A quoi sert google drive - Guide
- Cache téléphone - Guide
10 réponses
Salut,
Prohlp02.sys c'est Starforce...
Redémarre en mode sans échec pour voir, et essaye de le virer.
Prohlp02.sys c'est Starforce...
Redémarre en mode sans échec pour voir, et essaye de le virer.
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
22 sept. 2014 à 07:23
22 sept. 2014 à 07:23
Hello,
As-tu essayé une Restauration système ?
Oui, je sais tu vas récupérer tout ce que tu as viré et qui était nuisible, mais c'est mieux que rien non ?
A+
As-tu essayé une Restauration système ?
Oui, je sais tu vas récupérer tout ce que tu as viré et qui était nuisible, mais c'est mieux que rien non ?
A+
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
22 sept. 2014 à 08:38
22 sept. 2014 à 08:38
Salut ! Oui j'ai ressayé mais rien n'y fait.
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
22 sept. 2014 à 08:44
22 sept. 2014 à 08:44
Re,
Et avec un CD live ?
Et avec un CD live ?
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
22 sept. 2014 à 08:57
22 sept. 2014 à 08:57
Re, cd live c'est le disque Windows je suppose ? Je n'ai eu aucun cd à l'achat de mon PC à l'époque. Tout est dans le disque dur en mode restauration usine. Je suis sur Windows Vista pack 1
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
>
Amar
22 sept. 2014 à 09:02
22 sept. 2014 à 09:02
Je me suis renseigné c'est la touche F11 (packard bell). Mais j'ai des trucs super importants à récupérer d'abord. Mais j'ai eu peur de copier le rootkit en même temps que les données enfin je savais pas trop.
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
>
Amar
22 sept. 2014 à 09:03
22 sept. 2014 à 09:03
Packard Bell
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
22 sept. 2014 à 17:06
22 sept. 2014 à 17:06
alibabs,
Voici un article et un lien de téléchargement d'un CD live qui te permet de démarrer sur un CD ou une clé USB.
A partir de là tu peux accéder à tes fichiers perso et les sauvegarder.
Note que sur CD tu as RogueKiller que tu peux lancer et qui sait "virer" certains RootKits.
Bien sur il faut que ton BIOS soit configuré pour booter d'abord sur le CD ou la clé USB.
A+
Voici un article et un lien de téléchargement d'un CD live qui te permet de démarrer sur un CD ou une clé USB.
A partir de là tu peux accéder à tes fichiers perso et les sauvegarder.
Note que sur CD tu as RogueKiller que tu peux lancer et qui sait "virer" certains RootKits.
Bien sur il faut que ton BIOS soit configuré pour booter d'abord sur le CD ou la clé USB.
A+
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
22 sept. 2014 à 20:44
22 sept. 2014 à 20:44
Merci Cabrier, par contre je ne vois pas de lien c'est peut-être à cause de mon phone ou bien j'suis miro... Sinon y'a du nouveau j'ai réussi à négocier une tour dans laquelle j'ai placé mon disque dur en esclave pour copier mes données. Est ce que si je m'en sert aussi pour nettoyer le rootkit (qui logiquement devrait être plus facile à détecter puisque inactif) j'aurais des chances que mon Windows remarche comme avant ? Merci de ta réponse
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
cabrier
Messages postés
5588
Date d'inscription
dimanche 7 août 2011
Statut
Contributeur sécurité
Dernière intervention
27 octobre 2020
702
22 sept. 2014 à 20:51
22 sept. 2014 à 20:51
alibabs,
Autant pour moi, j'ai oublié le lien !!!
Oui tu peux essayer de nettoyer ce RootKit avec GMER.
Essaie aussi RogueKiller :
Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)
Je te laisse faire la suite, tu as l'air d'en connaitre un rayon !
A+
Autant pour moi, j'ai oublié le lien !!!
Oui tu peux essayer de nettoyer ce RootKit avec GMER.
Essaie aussi RogueKiller :
Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)
Je te laisse faire la suite, tu as l'air d'en connaitre un rayon !
A+
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
22 sept. 2014 à 21:18
22 sept. 2014 à 21:18
Ça marche j'te tiens au jus ainsi que les lecteurs que ça intéressera...
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
24 sept. 2014 à 15:38
24 sept. 2014 à 15:38
Rebonjour, alors j'ai réussi à nettoyer une partie du rootkit en mettant mon disque dur en esclave, en fouillant manuellement dans les drivers etc... Et beaucoup de lecture et de patience. À ma grande surprise j'ai réussi à redémarrer mon disque dur et mon système ! Mais en mode sans échec seulement car le mode normal m'affiche un message comme quoi mon Windows a été modifié et que ça restreint les droits ou je ne sais plus quoi. Dans GMER il reste un processus actif caché (beaucoup moins agressif qu'avant) et GMER ne le localise pas. Donc il peut pas le traiter. Rootrepeal lui me détecte un driver caché écrit en chinois (en mode esclave j'en avais débusqué pas mal) voilà quoi je crois que j'ai atteint la limite de les compétences dans ce domaine. Merci beaucoup d'avance à ceux qui m'aideront.
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
24 sept. 2014 à 15:48
24 sept. 2014 à 15:48
Alors là c'est le comble ! Windows me redemande ma clé produit celle qui est sur le côté de mon PC, celle qui a toujours été associée à mon système, et il en veut plus il le demande une autre !
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 638
24 sept. 2014 à 15:39
24 sept. 2014 à 15:39
et j'ai trouvé un driver caché "Prohlp02.sys". En recherchant à nouveau sur le net j'ai lu que ce processus pouvait être dangereux et dans mon cas il l'était. Bref j'ai "killé" le driver comme un con et là c'est la merde, mon pc après redémarrage n'arrive plus à Windows
Le driver n'est pas malicieux.
Fallait pas toucher.
Tu ne devrais pas utiliser GMER.
Le driver n'est pas malicieux.
Fallait pas toucher.
Tu ne devrais pas utiliser GMER.
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
24 sept. 2014 à 16:07
24 sept. 2014 à 16:07
Ok mais sinon ? Une soluce ou pas ?
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
24 sept. 2014 à 16:37
24 sept. 2014 à 16:37
Rootrepeal m'a détecté un mbr rootkit et il me propose de restaurer et redémarrer immédiatement je fais ou pas ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 638
24 sept. 2014 à 17:59
24 sept. 2014 à 17:59
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
24 sept. 2014 à 21:03
24 sept. 2014 à 21:03
D'accord je vais faire ça. Merci de m'aider.
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
Modifié par alibabs le 24/09/2014 à 22:35
Modifié par alibabs le 24/09/2014 à 22:35
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
Modifié par alibabs le 24/09/2014 à 22:39
Modifié par alibabs le 24/09/2014 à 22:39
Il n'a rien trouvé.
P.S. c'était du mode sans échec je n'ai plus que ça.
P.S. c'était du mode sans échec je n'ai plus que ça.
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
25 sept. 2014 à 10:13
25 sept. 2014 à 10:13
Pour info j'ai viré IUN6002.exe avec Combofix et un autre fichier genre spsys.qqch
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
25 sept. 2014 à 10:45
25 sept. 2014 à 10:45
Please ^^ ce rootkit commence à me casser les... À me prendre le chou quoi...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 638
Modifié par Malekal_morte- le 25/09/2014 à 14:38
Modifié par Malekal_morte- le 25/09/2014 à 14:38
Si tu arretais de passer tous les programmes que tu trouves, ce serait pas mal.
Tu psychotes, y a pas de rootkits.
Tu psychotes, y a pas de rootkits.
alibabs
Messages postés
45
Date d'inscription
lundi 22 septembre 2014
Statut
Membre
Dernière intervention
27 septembre 2014
25 sept. 2014 à 15:05
25 sept. 2014 à 15:05
Lol. Malekal_morte ne fais pas des tutos si on n'a pas le droit de s'en servir. Gmer me détecte un "hidden" processus en rouge mais il est incapable de le localiser et quand je le kill il revient toujours. J'ai un rootkit qui m'a shooté ma connexion internet qui a masqué mes propriétés connexion internet (tcp/ip inaccessible)... Même si le prohlp02 n'est pas le rootkit il n'est pas vital à Windows il appartient à Starforce et je n'ai pas confiance. Et j'ai viré pas mal de fichiers cachés écrits en chinois.
22 sept. 2014 à 08:34
22 sept. 2014 à 08:39