Bonjour à tous,
depuis hier soir, 5 minutes après chaque démarrage de mon pc je reçoit un message affiché par avast disant que j'ai des fichiers infectés  :
 
WINDOWS\system32\Drivers\SKYNET mxddfgmi.sys                        type Roolkit:fichiers cachés
WINDOWS\system32\SKYNET mxddfgmi.sys                                  type services cachés
 
 
j'ai éffectué une recherche (dans windows/system32) pour retrouver ces fichiers en vain, le problème c'est que je ne veux pas risquer des les effacer, car peut être ce sont de vrai fichiers système.
 
Est ce que quelqu'un aurait une solution à ce problème ?
merci pour vos réponses

Bonjour,
 
 
C'est une variante du rootkit TDSS, tu n'arriveras pas à t'en débarrasser avec Avast, et tu ne pourras pas les supprimer manuellement (les rootkits sont cachés)
On va commencer par utiliser un anti-rootkit :
 
 
/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\
 
• Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
• A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
• Suis ce tutoriel pour héberger le rapport ailleurs et poste dans ta prochaine réponse le lien qui est donné stp.

voila http://www.toofiles.com/fr/oip/documents/txt/gmer.html
je tiens à préciser que GMER m'a marqué les deux fichiers infectés en rouge

/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme /!\
 
• Lance Gmer
• Clique sur CMD dans la barre de menu, puis coche CMD.EXE
• Fais un copier/coller du script suivant EN ENTIER (tout ce qui est en bleu), puis clique sur « Run » :
 
gmer -del service "SKYNETrqpqllha"
gmer -del reg "HKLM\SYSTEM\CurrentControlSet\Services\SKYNETrqpqllha"
gmer -del reg "HKLM\SYSTEM\ControlSet003\Services\SKYNETrqpqllha"
gmer -del file "C:\WINDOWS\system32\drivers\SKYNETmxddfgmj.sys"
gmer -del file "C:\WINDOWS\system32\SKYNETdujxttjl.dll"
gmer -del file "C:\WINDOWS\system32\SKYNETkfjboyoy.dat"
gmer -del file "C:\WINDOWS\system32\SKYNETlmfapjjd.dat"
gmer -del file "C:\WINDOWS\Temp\SKYNETeexoufhxri.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETegaodylenl.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETfbbgivrmih.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETgbeqvnsecy.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETmexcxeooql.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETonpuyffhyr.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETpbugxbjura.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETpntowotngh.tmp"
gmer -del file "C:\WINDOWS\Temp\SKYNETwqismhecsu.tmp"
gmer -reboot
 
 
• L'ordinateur devrait redémarrer, patiente un peu. S'il ne le fait pas automatiquement, fais le manuellement.
• Poste ensuite un nouveau rapport Gmer stp.

merci pour ta réponse, mais il ne reconnait pas la commande gmer ce n'est pas une commande interne

Tu l'as bien tapé dans le fenêtre CMD de Gmer (pas dans l'invite de commande cmd de Windows) ?
Parce que j'ai testé sur mon propre ordinateur, c'est bien la bonne commande

en fait il me dit que la commande a été exécute mais il ne redémarre pas, et les erreurs existent toujours

en fait il ne reconnait pas la commande voila une image qui le prouve  
http://i43.tinypic.com/2bxklw.jpg

Bon, on va faire autrement :
 
 
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
 
 
/!\ Désactive tous tes logiciels de protection /!\
 
• Télécharge ComboFix (de sUBs) sur ton Bureau.
• Double-clique sur ComboFix.exe afin de le lancer.
• Il va te demander d'installer la console de récupération : accepte.
• Ne touche à rien pendant le scan.
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.
 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/co [...] r-combofix

http://www.toofiles.com/fr/oip/doc [...] bofix.html
jusqu'à maintenant je n'ai plus le problème, et en plus j'avais deux autres problèmes résolus qui sont :
 
-  speedfan ne détectait plus le disque dur
- mon logiciel de gravure ne détectait plus mon graveur dvd, donc je ne pouvais pas graver.
 
Merci beaucoup

Combofix a quasiment supprimé tous les éléments néfastes que montrait le rapport de Gmer, il ne reste qu'à faire un petit script pour finir le travail :
 
 
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour Blade112, il n'est pas transposable sur un autre ordinateur !
 
• Télécharge ce dossier Blade112.zip
• Fais un clic-droit dessus --> Extraire tout --> choisis le Bureau comme destination  
• Un autre dossier va apparaitre, prends le fichier CFScript.txt qui se trouve à l'intérieur et place le sur le Bureau.  
 
• Désactive tes logiciels de protection  
• Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme sur [http://apu.mabul.org/up/apu/2008/09/06/img-2258535my8h.gif ce lien])
• Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.  
• Si le fichier ne s'ouvre pas, il se trouve ici → C:\ComboFix.txt  
 
 
 
Ensuite, pour me permettre de te donner les derniers conseils de sécurité, fais ceci stp :
 
Télécharge hijackthis (logiciel de diagnostic)  
Installe le, lance le et clique sur "Do a system scan and save a logfile".  
Poste le rapport avec toofiles stp

j'ai un problème, je ne peux pas accéder à Blade112.zip

Pourtant le lien fonctionne... Qu'est qui se passe exactement quand tu cliques dessus ?
 
Sinon tu peux essayer ce lien (c'est le même script que j'ai hébergé sur un autre site) : http://www.cijoint.fr/cjlink.php?f [...] Ni4LAp.zip

voila le lien  
http://www.toofiles.com/fr/oip/doc [...] bofix.html
en tous cas merci beaucoup j'ai pu résoudre plusieurs problèmes.

Ok, c'est parfait
 
Poste un rapport hijackthis comme indiqué plus haut, et je te donnerai les derniers conseils pour finir le nettoyage et sécuriser ton ordinateur.

http://www.toofiles.com/fr/oip/documents/txt/hjt.html
voila le rapport de hijackthis

j'ai un petit problème, à chaque démarrage il y a l'écran de choix de windows et il y a un compte à rebours de 2 secondes, je veux juste l'enlever et tout sera terminé

Salut,
J'ai eu le meme problème, combi fix a super bien réparé les problèmes, est-ce que tu dois me faire un script pour nettoyer les restes ?
le rapport:
http://www.filzup.com/download.php?id=D1C011A51

chriscx1 :
Ouvre ton propre sujet stp, sinon on va tout mélanger avec le sujet d'origine
 
 
 
Blade112 :
 
 
Le choix à l'allumage de l'ordinateur est dû à la présence de la Console de récupération. Je te conseille de la garder, ça pourrait te permettre de réparer Windows en cas de problème.
Si tu veux malgré tout l'enlever, lis ceci
 
 
Voici ensuite quelques conseils pour finir le nettoyage :
 
 
1) Sécurise ton ordinateur
 
• Logiciels de protection :
Avast était un antivirus convenable il y a quelques années, mais il est dépassé aujourd'hui. Il existe d'autres antivirus gratuits plus efficaces (Antivir ou AVG)
Désinstalle Avast : Commence par supprimer ce qu'il y a en quarantaine, puis fais clic droit sur l'icone d'Avast près de l'horloge --> désactive la protection résidente. Puis Menu démarrer --> Panneau de configuration --> ajout/suppression de programmes --> désinstalle Avast.  
Si ça ne fonctionne pas, consulte ce lien : Désinstallation d'Avast
 
Si tu choisis Antivir pour le remplacer, télécharge le ici.
 
En complément, garde MalwareBytes
 
• Pour naviguer sur internet plus en sécurité et à l’abri des publicités, je te conseille vivement d’installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.
 
• Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : http://java.com/fr/
 
• Mets à jour Adobe Reader. Pour ça, lance le (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe), clique sur « Aide » → « Rechercher les mises à jour » puis laisse toi guider.
 
• Vérifie les mises à jour de tes autres programmes régulièrement à l'aide de ce petit programme (choisis la version sans installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)
 
 
 
2) Relance Hijackthis (pour la dernière fois), choisis "scan system only" et coche les lignes suivantes qui sont inutiles (j'ai intégré les barres d'outils dans cette liste) :  
 
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE    
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"    
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install    
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe    
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')    
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')    
 
Ensuite, clique sur "Fix checked"  
 
 
 
3) Télécharge ToolsCleaner sur ton Bureau pour nettoyer l'ordi de tous les outils qu'on a utilisé : ToolsCleaner
Lance le, clique sur Recherche et laisse le scan se finir, puis clique sur Suppression pour nettoyer.  
Tu peux aussi supprimer les fichiers temporaires.
Ensuite, supprime manuellement ToolsCleaner (mets le à la corbeille).
S'il ne supprime pas tout, supprime manuellement ce qui reste.
 
 
 
4) Télécharge et installe Ccleaner, puis lance le.  
Clique sur Option → avancé → décoche « effacer uniquement les fichiers plus vieux que 48h »
Puis Nettoyeur → Analyse → Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre → corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.
 
(Tu peux garder ce logiciel et l'utiliser régulièrement).
 
 
 
5) Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés) : pour ça, suis ce tutoriel stp.
 
 
 
6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet
 
 
 
 
Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin

salut
 
ben c'est le meme sujet, mais si tu veux pas jeter un oeil, c'est ton droit

Non le sujet d'origine c'est Blade112 qui l'a créé.
Si je commence à donner des conseils à tous ceux qui ont ce rootkit dans ce même topic, on ne va pas s'y retrouver. Je veux bien t'aider, mais je te demande juste d'ouvrir un nouveau sujet sur le forum pour ça