Se connecter / S'enregistrer
Votre question

[Résolu] Rootkit run.exe : comment s'en débarrasser ?

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
22 Août 2009 10:07:53

Bonjour,

Voilà mon problème, depuis deux jours, Avast me trouve un RootKit : C:\run.exe
Il est également présent à la racine de mes autres lecteurs, mais Avast ne le détecte pas.
Il semblerait que ce soit apparu suite au branchement d'une clé USB Corsair. C'était la première fois que je branchais cette clé, Spybot S&D m'a proposé d'accepter un changement, et j'ai accepté.
Depuis à chaque démarrage de mon PC, Avast me trouve ce rootkit et me suggère d'ignorer. Il m'a également proposé un scan au démarrage, mais ce scan ne détecte rien d'anormal.
Enfin, lorsque je supprime manuellement ce fichier, il revient au bout de quelques secondes.

Merci de m'indiquer si ce rootkit est dangereux, et comment il serait possible de le supprimer.

Merci d'avance,
Stéphane

Autres pages sur : resolu rootkit run exe debarrasser

a b 8 Sécurité
22 Août 2009 14:03:52

Bonjour,

Analyse ce fichier sur VirusTotal puis poste le rapport.
22 Août 2009 14:29:48

Merci pour ta rapidité de réponse,
Voici le rapport :

Fichier Run.exe reçu le 2009.08.22 12:35:55 (UTC)

Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.22 -
AhnLab-V3 5.0.0.2 2009.08.21 Win32/IRCBot.worm.variant
AntiVir 7.9.1.3 2009.08.21 Worm/Genics.A
Antiy-AVL 2.0.3.7 2009.08.21 Backdoor/Win32.IRCBot.gen
Authentium 5.1.2.4 2009.08.21 -
Avast 4.8.1335.0 2009.08.21 -
AVG 8.5.0.406 2009.08.22 Injector.EI
BitDefender 7.2 2009.08.22 -
CAT-QuickHeal 10.00 2009.08.22 Trojan.Agent.ATV
ClamAV 0.94.1 2009.08.22 -
Comodo 2056 2009.08.22 -
DrWeb 5.0.0.12182 2009.08.22 -
eSafe 7.0.17.0 2009.08.20 -
eTrust-Vet 31.6.6694 2009.08.21 -
F-Prot 4.4.4.56 2009.08.21 -
F-Secure 8.0.14470.0 2009.08.21 Backdoor.Win32.IRCBot.lqf
Fortinet 3.120.0.0 2009.08.22 PossibleThreat
GData 19 2009.08.22 -
Ikarus T3.1.1.68.0 2009.08.22 -
Jiangmin 11.0.800 2009.08.21 -
K7AntiVirus 7.10.824 2009.08.21 -
Kaspersky 7.0.0.125 2009.08.22 Backdoor.Win32.IRCBot.lqf
McAfee 5716 2009.08.21 -
McAfee+Artemis 5716 2009.08.21 -
McAfee-GW-Edition 6.8.5 2009.08.22 Worm.Genics.A
Microsoft 1.4903 2009.08.22 -
NOD32 4358 2009.08.22 -
Norman 6.01.09 2009.08.21 -
nProtect 2009.1.8.0 2009.08.22 -
Panda 10.0.0.14 2009.08.22 Trj/CI.A
PCTools 4.4.2.0 2009.08.22 -
Prevx 3.0 2009.08.22 -
Rising 21.43.50.00 2009.08.22 Worm.Win32.Autorun.fzj
Sophos 4.44.0 2009.08.22 -
Sunbelt 3.2.1858.2 2009.08.22 -
Symantec 1.4.4.12 2009.08.22 -
TheHacker 6.3.4.3.385 2009.08.22 -
TrendMicro 8.950.0.1094 2009.08.22 WORM_GENICS.A
VBA32 3.12.10.9 2009.08.22 -
ViRobot 2009.8.22.1897 2009.08.22 -
VirusBuster 4.6.5.0 2009.08.21 -
Information additionnelle
File size: 1998848 bytes
MD5...: f94adef8b71071d681838c71a4951541
SHA1..: 80c3c638c4d45f8ed5e11070f48ef107af5fea91
SHA256: e7bd1fe25e471355ed45ecaa519289c6d9d7d30f8a2796f9a711b5531bb821a5
ssdeep: 24576:kdQrWIda42BzTIcqPuMzNbMGIXKDZiMPLrQ63Lpv40NRDqmXoP0b6:cqpY<br>38<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (38.4%)<br>Win32 Dynamic Link Library (generic) (34.1%)<br>Win16/32 Executable Delphi generic (9.3%)<br>Generic Win/DOS Executable (9.0%)<br>DOS Executable Generic (9.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1df294<br>timedatestamp.....: 0x4a251594 (Tue Jun 02 12:05:40 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 9 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1dda7c 0x1ddc00 4.69 dbb852199f781870f51f8b6d4684a2d7<br>.itext 0x1df000 0x49c 0x600 5.23 de535e21816d3fcd887b2da5d65b7add<br>.data 0x1e0000 0xca4 0xe00 2.43 8be00de0e54e6c0a050408dabd14a8c2<br>.bss 0x1e1000 0x49f0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.idata 0x1e6000 0xad2 0xc00 4.43 e84949f7f6bc41cf242707e492d6d241<br>.tls 0x1e7000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<br>.rdata 0x1e8000 0x18 0x200 0.20 3060dc2db8f61cabc13ee2925ad4d832<br>.reloc 0x1e9000 0x59c8 0x5a00 6.37 ab1da7509508c2e805e47fe831bcb4ff<br>.rsrc 0x1ef000 0x2400 0x2400 3.85 4c23529e4c105bdc4f850d78138bdd86<br><br>( 10 imports ) <br>> oleaut32.dll: SysFreeString, SysReAllocStringLen, SysAllocStringLen<br>> advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey<br>> user32.dll: GetKeyboardType, DestroyWindow, LoadStringA, MessageBoxA, CharNextA<br>> kernel32.dll: GetACP, Sleep, VirtualFree, VirtualAlloc, GetCurrentThreadId, InterlockedDecrement, InterlockedIncrement, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, RtlUnwind, RaiseException, GetStdHandle<br>> kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA<br>> user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, CharNextA, CharToOemA<br>> kernel32.dll: lstrcmpiA, WriteFile, WaitForSingleObject, VirtualQuery, VirtualProtect, VirtualFree, VirtualAlloc, SetEvent, ResetEvent, LoadLibraryA, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetStdHandle, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLocalTime, GetLastError, GetFileAttributesA, GetDiskFreeSpaceA, GetDateFormatA, GetCurrentThreadId, GetCPInfo, FreeLibrary, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateEventA, CompareStringA, CloseHandle<br>> kernel32.dll: Sleep<br>> oleaut32.dll: SafeArrayPtrOfIndex, SafeArrayGetUBound, SafeArrayGetLBound, SafeArrayCreate, VariantChangeType, VariantCopy, VariantClear, VariantInit<br>> shell32.dll: ShellExecuteA<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-

Contenus similaires
a b 8 Sécurité
22 Août 2009 15:07:51

Vire le fichier ;) 
22 Août 2009 15:11:37

J'ai déjà essayé, mais il revient tout seul au bout de 5 secondes...
Et il semble être accompagné d'un fichier autorun.inf, qui revient lui aussi automatiquement.
a b 8 Sécurité
22 Août 2009 15:34:15

Ok, on va faire autrement ;) 

Téléchargez Flash_Disinfector.exe de sUBs et sauvegardez-le sur ton bureau.

  • Double-cliquez sur Flash_Disinfector.exe pour le lancer et suivez toutes les indications qui apparaissent.
  • Cet utilitaire pourra éventuellement vous demander d'insérer vos disques amovibles ( clés usb, disque dur externe, téléphone portable etc. ). Merci de le faire et d'autoriser Flash_Disinfector à les nettoyer, car ils sont susceptibles d'être infectés.
  • Patientez jusqu'à ce que le scan soit fini et quittez ensuite le programme.
  • Redémarrez votre ordinateur une fois la chose faite.

    Note : Flash_Disinfector va créer un dossier caché nommé "autorun.inf" sur chacun des disques amovibles branchés sur votre ordinateur au moment du scan. Ne détruisez pas ces fichiers... car ces derniers vous protègeront d'une éventuelle future infection par disques amovibles.

    Information : Pour en savoir plus sur les infections par disques amovibles, clique **ICI**

    Une fois que cela aura été fait, nous pourrons ensuite procéder à la désinfection de vos disques amovibles, donc laissez-les brancher le temps de la désinfection et éviter de les utiliser.
    22 Août 2009 16:27:01

    J'ai lancé l'exécutable, puis redémarré mon PC ; les fichiers sont toujours là.
    Que faire maintenant ?
    a b 8 Sécurité
    22 Août 2009 16:56:31

    Tu avais branché ta clé ?
    22 Août 2009 17:04:00

    Oui, mais les fichiers restent présents sur mes disques C-D-F, ma clé G et mon disque externe H...
    Si je les supprime, ils reviennent toujours.
    22 Août 2009 17:53:38

    Il semblerait que l'utilisation de UsbFix ait résolu le problème.
    Merci pour votre aide, et j'espère pas à bientôt...

    Stéphane
    a b 8 Sécurité
    22 Août 2009 18:33:09

    Bon surf ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS