Hello
 
J'ai eu receammment des soucis de virus et malware, j'ai effectué plusieurs diagnostique et nettoyage avec Spybot, MalwareBytes en mode sans echec et avast au demarrage avec branchement de tous mes supports amovibles (disque dur externe et clé usb)
 
Mais malgré le nettoyage il reste ces 2 messages l'un se présent comme un rootkit et l'autre vers une connexion malware ainsi qu'un chemin detecté par hijackthis comme mauvais (LOCALS~1\Temp\herss.exe) qui pourtant a été nettoyé par malwarebyte mais reviens quand même.
 
J'ai Windows XP pro sp3 mis a jour avec Avast et le pare-feu Kerio.
 
Je sais plus quoi faire    
 
Quequ'un peut m'aider svp

Bonjour.
 
Tu es infecté par un rootkit : et dans ce cas, avast ne te servira pas à grand chose. Il te faut utiliser des anti-rootkit dédiés pour venir à bout de ton infection.
 
En faisant une recherche "rootkit" dans ce sous-forum (titre et contenu des messages), tu devrais tomber sur des propositions de solutions d'anti-rootkit.
 
Désolé de ne pas pouvoir t'aider davantage

oki thanks

J'ai essayé AVGrootkit mais toujours pareil.
 
J'ai fait une capture des 2 évènements en plus du rapport Hijackthis qui me trouve un Temp\herss.exe chelou (nasty)
 

 

Re
 
ph.exe, si tu peux le voir dans l'explorateur de fichier (en affichant les fichiers cachés et les fichiers système), tu peux le dégommer, après avoir stoppé tous les processus indésirables dans le gestionnaire de tâche. Au pire si tu ne le vois pas (donc un vrai rootkit pur et dur), lance un livecd ubuntu, puis navigue dans la partition windows et tu le verras et le supprimera sans problème.
 
Le fichier boot.ini peut aussi contenir des entrées qui lancent des processus complémentaires (source d'infection).
 
msconfig peut donner des renseignements sur des entrées suspectes, notamment dans les onglets system.ini et win.ini

impossible de trouver ph.exe en plus il est dans la racine de tous mes lecteurs, c'est fou j'arrive pas a me débarrasser de ce truc

j'ai fait un scan et nettoyage malwarebytes et il a trouvé ça:
 
Fichier(s) infecté(s):
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.2.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.3.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.4.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.5.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.6.vir (Worm.AutoRun) -> No action taken.
C:\Program Files\Alwil Software\Avast4\DATA\moved\ph.exe.vir (Worm.AutoRun) -> No action taken.
C:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004501.exe (Worm.AutoRun) -> No action taken.
C:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004534.exe (Worm.AutoRun) -> No action taken.
C:\UsbFix\Quarantine\H\ph.exe.UsbFix (Worm.AutoRun) -> No action taken.
C:\UsbFix\Quarantine\K\ph.exe.UsbFix (Worm.AutoRun) -> No action taken.
D:\System Volume Information\_restore{4132B011-0A36-424C-AE3A-F579F1642175}\RP52\A0009654.exe (Worm.AutoRun) -> No action taken.
D:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004503.exe (Worm.AutoRun) -> No action taken.
D:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004536.exe (Worm.AutoRun) -> No action taken.
E:\System Volume Information\_restore{4132B011-0A36-424C-AE3A-F579F1642175}\RP52\A0009650.exe (Worm.AutoRun) -> No action taken.
E:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004505.exe (Worm.AutoRun) -> No action taken.
E:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004538.exe (Worm.AutoRun) -> No action taken.
G:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004507.exe (Worm.AutoRun) -> No action taken.
G:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004540.exe (Worm.AutoRun) -> No action taken.
H:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004508.exe (Worm.AutoRun) -> No action taken.
H:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004541.exe (Worm.AutoRun) -> No action taken.
H:\System Volume Information\_restore{EA27A6E1-9AC1-4714-8139-D2800F68BDEF}\RP32\A0004646.exe (Worm.AutoRun) -> No action taken.
 
 
Et un scan et nettoyage Usbfix:
 
Fichiers # Dossiers infectieux |
 
Supprimé ! C:\DOCUME~1\Mo\LOCALS~1\Temp\herss.exe  
C:\autorun.inf -> fichier appelé : "C:\ph.exe" ( Absent ! )  
Supprimé ! C:\autorun.inf  
D:\autorun.inf -> fichier appelé : "D:\ph.exe" ( Absent ! )  
Supprimé ! D:\autorun.inf  
Supprimé ! D:\b.bat  
Supprimé ! D:\kgji.exe  
Supprimé ! D:\lcw.exe  
E:\autorun.inf -> fichier appelé : "E:\ph.exe" ( Absent ! )  
Supprimé ! E:\autorun.inf  
Supprimé ! E:\b.bat  
Supprimé ! E:\kgji.exe  
Supprimé ! E:\lcw.exe  
Non supprimé ! G:\autorun.inf  
H:\autorun.inf -> fichier appelé : "H:\ph.exe" ( Présent ! )  
Supprimé ! H:\ph.exe  
Supprimé ! H:\autorun.inf  
Supprimé ! H:\hx.exe  
J:\autorun.inf -> fichier appelé : "J:\ph.exe" ( Absent ! )  
Supprimé ! J:\autorun.inf  
K:\autorun.inf -> fichier appelé : "K:\ph.exe" ( Présent ! )  
Supprimé ! K:\ph.exe  
Supprimé ! K:\autorun.inf  

Mais le problème c'est que même toutes mes clé nettoyés ça fini par revenir!