Se connecter / S'enregistrer
Votre question

Eliminer Rootkit : WIN32:Agent-NZJ – startdvr.exe

Tags :
  • Agent
  • Sécurité
Dernière réponse : dans Sécurité et virus
7 Décembre 2007 17:53:01



Bonjour,

D’avance merci pour votre aide

Suite plantage XP par un virus, qui a désinstaller en 3'' AVAST,
j'ai du booter sur Ultimate Boot CD
Passer tous les antivirus et anti spyware

Puis réparer Win XP Pro
Puis Service pack 2
Installation ANTIVIRUS AVAST
Installation ANTI SPY Ad-Aware

AVAST a tout de suite détecter la présence de :

Nom Fichier :
C:\WINDOWS\Temp\startdrv.exe

Nom du logiciel malveillant :
Win32:Agent-NZJ [Rtk]

Type logiciel :
Rootkit


IMPOSSIBLE DE :
SUPPRIMER
DEPLACER
REPARER
METTRE EN QUARANTAINE



J’ai démarré sur « Ultimate Boot CD » pour éliminer ce fichier

Puis executer ANTIVIRUS :
Avast cleaner

Puis Ad Ware
Il ne voit rien

PUIS :

Démarrage mode sans echec F8
Sans réseau
Sans Câble internet

Ouverture Cpt Administrateur

Désactivation restauration systeme sur HD x 2
HD C
HD F

Exécution Antivirus Avast

Test Mémoire & Oh Malheur, le programme effacé en mode « Ultimate Boot CD »
Est encore de retour … ou ce cache t il ?
Il est trouvé dans : c\Wind\temp\startdrv .exe  RootKit

Avast Propose suppression  OK

Ne conseille pas de démarrer avec un antivirus et conseil Scan Antivirus au démarrage, ce que je fait

Redémarre XP, AVAST SCAN AU DEMARRAGE


TROUVER A NOUVEAU LE SOFT AU MEME ENDROIT : startdrv.exe  Rootkit

IMPOSSIBLE DE :
SUPPRIMER
DEPLACER
REPARER
METTRE EN QUARANTAINE

J’ai fini par l’ignorer …


Un 2eme trouvé dans une copie de back up de HD C
MW97 : CVE-2006-2492
 SUPPRIME


Redémarre en mode SANS ECHEC PRISE EN CHARGE RESEAU

Cpt Administrateur

Exécution de Ad-Aware
 IMPOSSIBLE
ERREUR PAS DE CONNEXTION ONLINE

Test ANTI ROOT KIT

SOPHOS ANTI-ROOTKIT
Pas en mode sans echec

AVG Anti Rootkit
Pas en mode sans echec

Mcafee Rootkit détective
Pas en mode sans échec

Un dernier petit AVAST ANTIRUS en mode sans échec

LE VIRUS EST TOUJOURS LA …

Existe t il un programme spécifique a télécharger pour éliminer « Win32:Agent-NZJ [Rtk]
- STARTDRV.EXE » que je pourrais éventuellement exécuter en démarrant XP sur boot externe type « Ultimate boot CD »


J’ai sélectionné le dossier WINDOWS, et je lui lance une analyse a partir du clic droit souris :

TOUJOURS VIRIS DETECTE EN
c\Wind\temps\startdrv .exe
IMPOSSIBLE SUPPRIMER
Concernant les ANTI ROOT KIT :

Je les ai a nouveau exécuté en redémarrant XP

Ils trouvent des anomalies, mais je ne sais les interprètes ?
Et je ne veux pas effacer n’importe quoi ?






A DEFAUT, en mode BOOT EXTERNE,

Effacer l’exe dans : c\Wind\temps\startdrv .exe
cela ne suffit pas

SAVEZ VOUS OU ALLER ET QUEL AUTRE FICHIER EFFACER DANS SYSTEM 32 ou AILLEURS ?

Car il se cache ailleurs, puisque même effacé à partir du « boot cd », il reapparait au redemarage normale de XP ?


QUE PUIS JE FAIRE :

Dois je repasser en mode restauration system ?

Quel est le risque d’utiliser le PC avec ce RootKit ??

Il ralentit considérablement le PC, 2 Minutes de démarrage et 2 minutes d’extinction

Il semble aussi qu’il empêche partiellement la connexion a internet en interdisant les mise a jours type AVAST ANTIVIRUS ?


Puis je rester connecter à internet ?

Pour l’instant j’envoie ces messages d’un autre PC


D’avance merci de votre aide


Autres pages sur : eliminer rootkit win32 agent nzj startdvr exe

8 Décembre 2007 19:14:38

Bonjour


$$ Télécharge SDFix sur ton bureau
http://downloads.andymanchesta.com/RemovalTools/SDFix.e...


$$ Redémarre en mode sans échec. Attention, tu n'as pas accès à internet dans ce mode, note bien ce que tu as à faire.
Démarre l'ordinateur.
Une fois le chargement du BIOS terminé, il y a un écran noir. Appuye sur la touche F8 jusqu'à l'affichage du menu des options avancées de Windows.
En utilisant les touches du curseur, sélectionne Mode sans échec et appuye sur Entrée.


$$ Double clique sur SDFix.exe et choisis Install
Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
Tape Y pour lancer le script.
Le Fix supprime les services du virus et nettoie le registre, de ce fait un redémarrage est nécessaire
Presse une touche pour redémarrer

Le PC va mettre du temps avant de démarrer, presse une touche lorsque "Finished" s'affiche

Ouvre le dossier SDFix et copie/colle ici le contenu du fichier "Report.txt"


Fais aussi ceci.
Télécharge HijackThis v2.0.2
http://www.trendsecure.com/portal/en-US/_download/HiJac...
Démo en image
http://perso.orange.fr/rginformatique/section%20virus/d...

Fais un scan et poste l'analyse ici.
19 Décembre 2007 20:50:52

Bonjour,


Merci de coup de main,


apres SDFix

J'ai effectué un scan en ligne Bitfdeneder

Il a cleanner,

Depuis j'ai installé SpyBot en résident

Et tout va bien

Encore merci du conseil

A+

Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS