Supprimer le rootkit pe386 / SpamTool.Win32.Mailbot.AZ
Cette infection utilise
des techniques de rootkit, ceci lui permet de se cacher de
l'utilisateur mais aussi des autres programmes (y compris les
antivirus).
Cette infection a pour but d'envoyer des
mails de SPAM.
Un rootkit peut rendre le système
instable, il peut provoquer des écran bleus avec le pilotes :
lzx32.sys
Ce rootkit génère aussi des erreurs AUTORITE NT / SYSTEM sur le
processus services.exe
Détection
rootkit pe386 / SpamTool.Win32.Mailbot.AZ
Voir la fiche :
http://forum.malekal.com/rootkit-pe386-rustock-t982.htmlLe rootkit est détecté par les programmes suivants :
Combofix détecte le rootkit avec le message dans le rapport suivant :
(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))
Rootkit driver pe386 is present. A rootkit scan is requiredSDFix :
Services:
---------
Rootkit [B]pe386[/B] Present. Rootkit scan required!
Sur SmitFraudfix»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard
pe386 detected, use a Rootkit scanner
or
msguard detected, use a Rootkit scanner
or
lzx32 detected, use a Rootkit scanner
Sur Gmer :---- Services - GMER 1.0.11 ----
Service C:\WINDOWS\System32\lzx32.sys (*** hidden *** ) [SYSTEM] pe386 <-- ROOTKIT !!!
---- Registry - GMER 1.0.11 ----
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\ControlSet001\Services\pe386@Start 1
........
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Type 1
Reg \Registry\MACHINE\SYSTEM\CurrentControlSet\Services\pe386@Start 1
.........
---- Files - GMER 1.0.11 ----
ADS ...
File C:\WINDOWS\system32\lzx32.sys <-- ROOTKIT !!!
Suppression
rootkit pe386 / SpamTool.Win32.Mailbot.AZ
- Téléchargez
ce fix parejvindh sur votre bureau : http://www.uploads.ejvindh.net/rustbfix.exe ou http://uploads.ejvindh.andymanchesta.com/Rustbfix.exe
- Double-cliquez rustbfix.exe afin de lancer
l'outil.
- Si
une infection Rustock.b est détectée, une invite t'indiquera qu'il est
nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long
que d'habitude, et il est possible que deux redémarrages soient requis.
Tout cela se fera automatiquement.
- Suite
au(x) redémarrage(s),
deux rapports s'ouvriront : (%root%\avenger.txt &
%root%\rustbfix\pelog.txt).
- Téléchargez
et
installez Malwarebyte's Anti-Malware
anti-malware recommandé
- Démarrez
Windows
en mode sans échec
: Guide
pour redémarrer en mode sans échec
- Ouvrez
le fichier mwavscan.com
- Cochez les options comme
indiquées sur cette
page
- Cliquez Scan
Clean pour
démarrer le scan et laissez le scan se faire jusqu'au bout.
- Afin
de supprimer toutes
traces du spyware
et d'autres
élements qu'il aurait pu installer, scannez votre ordinateur
avec :
- Redémarrez
l'ordinateur
- Je vous conseil aussi de scanner
votre ordinateur avec un
antivirus à jour, si vous êtes infecté,
il y a des
chances que vous n'en aillez pas, utilisez alors un antivirus en ligne
:
- Nettoyez votre base de
registre à l'aide de l'utilitaire regcleaner
- Nettoyez les fichiers temporaires/caches etc.. avec CCleaner
- Si vous rencontrez toujours des problèmes,
générez un log à l'aide HijackThis
- mode
d'emploi et venez le poster sur le forum du site
Redémarrez votre ordinateur en mode normal, si le spyware
est
encore là, rescannez votre ordinateur avec SpyBot et
Ad-Aware.
Consulter le forum
malware-complaints
et créez votre message selon votre type d'infection,
plus vous
serez nombreux,
plus
nous aurons de poids pour faire réagir les
autorités face aux malwares !
Cela prend 5 minutes!
Autres
Liens
Pour plus
d'informations, sur le fonctionnement des spywares et les conseils
à suivre :
Fonctionnement
et suppression des Vers/Spywares/Malwares sous Windows
Guide
de suppression des malwares (SpySherrif, Spyaxe, SpywareStrike,
Winbound, etc..)
