Rootkit - Problème

Ptitgilou -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,

Avast m'a détecté un virus Rootkit et je ne sais pas comment le supprimer. Il était sur mes deux disques durs sous le nom lcw.exe et je pense qu'il est sur mes clefs usb. La j'ai fait quelques scans avec Avast et il ne le trouve plus excepté sur une clef USB.

Le problème c'est que je ne peux pas ouvrir mes deux disques durs et mes clefs USB, je peux seulement à partir de l'Exploreur de Windows.

D'où ma question, comment se transmette les rootkit ? Si je formate mes deux disques et mes clefs, et que je met tous sur un disque dur externe (surement infecté aussi de fait) il va rester actif ou non???

Que pouvez vous me conseiller ?

Merci beaucoup pour l'aide
Configuration: Windows XP Internet Explorer 8.0

11 réponses

  1. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge UsbFix (de Chiquitine29 & C_XX) sur ton Bureau.

    --> Lance l'installation avec les paramètres par défaut.

    --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

    --> Double-clique sur le raccourci UsbFix sur ton Bureau.
    (Sous Vista, il faut cliquer droit sur le raccourci UsbFix et choisir Exécuter en tant qu'administrateur)

    --> Choisis l'option 1 (Recherche).

    --> Laisse travailler l'outil.

    --> Poste le rapport UsbFix.txt.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

    "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    1
    1. Ptitgilou
       
      Salut Destrio,

      Le probleme est qu'il n'a pas reconnu mon disque dur externe... Donc il l'a pas inclus dans l'analyse

      Voila le rapport:

      User : GILLES (Administradores) # GILLES_NB
      Update on 20/08/09 by Chiquitine29
      Start at: 23:33:57 | 20/08/2009
      Website : http://pagesperso-orange.fr/NosTools/index.html

      Mobile AMD Sempron(tm) Processor 3400+
      Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      Windows Firewall Status : Enabled
      AV : avast! antivirus 4.8.1351 [VPS 090820-0] 4.8.1351 [ Enabled | Updated ]

      C:\ -> Disco fijo local # 35,46 Go (11,82 Go free) # NTFS
      D:\ -> Disco fijo local # 39,06 Go (14,2 Go free) [BACKUP] # NTFS
      E:\ -> Disco CD-ROM
      F:\ -> Disco CD-ROM
      G:\ -> Disco extraíble # 169,9 Mo (51,77 Mo free) [MD300] # FAT

      ############################## | Processus actifs |

      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Windows Defender\MsMpEng.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      C:\WINDOWS\system32\WgaTray.exe
      C:\WINDOWS\Explorer.EXE
      C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\Archivos de programa\Motorola\SMSERIAL\sm56hlpr.exe
      C:\WINDOWS\ATK0100\HControl.exe
      C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
      C:\Archivos de programa\Windows Defender\MSASCui.exe
      C:\Archivos de programa\ASUS\Splendid\ACMON.exe
      C:\WINDOWS\system32\ACEngSvr.exe
      C:\Archivos de programa\Wireless Console 2\wcourier.exe
      C:\Archivos de programa\Apoint2K\Apoint.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Apoint2K\Apntex.exe
      C:\Archivos de programa\Apoint2K\HidFind.exe
      C:\Archivos de programa\Messenger\msmsgs.exe
      C:\Archivos de programa\DNA\btdna.exe
      C:\Archivos de programa\Apoint2K\Apvfb.exe
      C:\Archivos de programa\3M\PSNLite\PsnLite.exe
      C:\ARCHIV~1\3M\PSNLite\PSNGive.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\System32\SCardSvr.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\ATK0100\ATKOSD.exe
      C:\WINDOWS\System32\alg.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      ################## | Fichiers # Dossiers infectieux |

      C:\autorun.inf # -> fichier appelé : "C:\lcw.exe" ( Absent ! )
      Présent ! C:\autorun.inf
      D:\autorun.inf # -> fichier appelé : "D:\lcw.exe" ( Absent ! )
      Présent ! D:\autorun.inf
      G:\autorun.inf # -> fichier appelé : "G:\lcw.exe" ( Absent ! )
      Présent ! G:\autorun.inf
      Présent ! G:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213
      Présent ! G:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini

      ################## | Suspect ! ... | https://www.virustotal.com/gui/ |


      ################## | Registre # Clés Run infectieuses |

      Présent ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
      Présent ! HKLM\SYSTEM\ControlSet001\Services\AVPsys
      Présent ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

      ################## | Registre # Mountpoints2 |

      HKCU\..\..\Explorer\MountPoints2\H
      Shell\AutoRun\command =H:\lcw.exe
      Shell\open\Command =H:\lcw.exe

      HKCU\..\..\Explorer\MountPoints2\{cba436b6-0527-11de-9062-0018f3aa08e3}
      Shell\AutoRun\command =lcw.exe
      Shell\open\Command =lcw.exe

      HKCU\..\..\Explorer\MountPoints2\{f74419d8-f788-11dd-b1ee-806d6172696f}
      Shell\AutoRun\command =lcw.exe
      Shell\open\Command =lcw.exe

      HKCU\..\..\Explorer\MountPoints2\{f74419d9-f788-11dd-b1ee-806d6172696f}
      Shell\AutoRun\command =lcw.exe
      Shell\open\Command =lcw.exe

      HKCU\..\..\Explorer\MountPoints2\{fc45c598-2383-11de-90b2-028037ff0200}
      Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL uagrm.exe

      ################## | Cracks / Keygens / Serials |


      ################## | ! Fin du rapport # UsbFix V6.020 ! |
      0
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Le probleme est qu'il n'a pas reconnu mon disque dur externe... Donc il l'a pas inclus dans l'analyse"
    --> Tu le vois dans le poste de travail ?
    0
  3. Ptitgilou
     
    Non c'est un probleme que j'ai depuis un petit temp, la reconnaissance des ports USB par l'ordinateur.
    Parfois ils marchent et parfois pas, et en général pas deux en meme temps...
    0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    On va faire un par un alors.

    --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, carte SD, etc...) sans les ouvrir.

    --> Double-clique sur le raccourci UsbFix présent sur ton Bureau.

    --> Choisis l'option 2 (Suppression).

    --> Ton Bureau disparaîtra et le PC redémarrera.

    --> Au redémarrage, UsbFix scannera ton PC, laisse travailler l'outil.

    --> Ensuite, poste le rapport UsbFix.txt qui apparaîtra avec le Bureau.

    Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Ptitgilou
     
    Re,

    Voici le rapport:

    ############################## | UsbFix V6.020 |

    User : GILLES (Administradores) # GILLES_NB
    Update on 20/08/09 by Chiquitine29
    Start at: 23:58:37 | 20/08/2009
    Website : http://pagesperso-orange.fr/NosTools/index.html

    Mobile AMD Sempron(tm) Processor 3400+
    Microsoft Windows XP Professional (5.1.2600 32-bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702
    Windows Firewall Status : Enabled
    AV : avast! antivirus 4.8.1351 [VPS 090820-0] 4.8.1351 [ Enabled | Updated ]

    C:\ -> Disco fijo local # 35,46 Go (11,79 Go free) # NTFS
    D:\ -> Disco fijo local # 39,06 Go (14,2 Go free) [BACKUP] # NTFS
    E:\ -> Disco CD-ROM
    F:\ -> Disco CD-ROM
    G:\ -> Disco extraíble # 169,9 Mo (51,77 Mo free) [MD300] # FAT
    H:\ -> Disco fijo local # 232,83 Go (132,08 Go free) [GILLES] # FAT32

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Windows Defender\MsMpEng.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
    C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\WgaTray.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\OGAVerify.exe
    C:\WINDOWS\System32\SCardSvr.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
    C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | Fichiers # Dossiers infectieux |

    C:\autorun.inf # -> fichier appelé : "C:\lcw.exe" ( Absent ! )
    Supprimé ! C:\autorun.inf
    D:\autorun.inf # -> fichier appelé : "D:\lcw.exe" ( Absent ! )
    Supprimé ! D:\autorun.inf
    G:\autorun.inf # -> fichier appelé : "G:\lcw.exe" ( Absent ! )
    Supprimé ! G:\autorun.inf
    Supprimé ! G:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini
    Supprimé ! G:\Recycler\S-1-6-21-2434476501-1644491937-600003330-1213
    H:\autorun.inf # -> fichier appelé : "H:\lcw.exe" ( Présent ! )
    Supprimé ! H:\lcw.exe
    Supprimé ! H:\autorun.inf

    ################## | Autres |

    ################## | Suspect ! ... | https://www.virustotal.com/gui/ |

    ################## | Registre # Clés Run infectieuses |

    Supprimé ! HKLM\SYSTEM\CurrentControlSet\Services\AVPsys
    Supprimé ! HKLM\SYSTEM\ControlSet003\Services\AVPsys

    ################## | Registre # Mountpoints2 |

    Supprimé ! HKCU\...\Explorer\MountPoints2\H\Shell\AutoRun\Command
    Supprimé ! HKCU\...\Explorer\MountPoints2\{fc45c598-2383-11de-90b2-028037ff0200}\Shell\AutoRun\Command

    ################## | Listing des fichiers présent |

    [10/02/2009 15:35|--ahs----|0] -> C:\AUTOEXEC.BAT
    [10/02/2009 15:29|---hs----|211] -> C:\boot.ini
    [20/08/2004 08:00|-rahs----|4952] -> C:\Bootfont.bin
    [10/02/2009 15:35|--ahs----|0] -> C:\CONFIG.SYS
    [15/02/2009 21:37|--a------|62] -> C:\DVDPATH.TXT
    [10/02/2009 15:35|-rahs----|0] -> C:\IO.SYS
    [10/02/2009 15:35|-rahs----|0] -> C:\MSDOS.SYS
    [20/08/2004 08:00|-rahs----|47564] -> C:\NTDETECT.COM
    [11/02/2009 13:26|-rahs----|251168] -> C:\ntldr
    [?|?|?] -> C:\pagefile.sys
    [25/02/2009 17:14|--ah-----|268] -> C:\sqmdata00.sqm
    [25/02/2009 22:30|--ah-----|268] -> C:\sqmdata01.sqm
    [27/02/2009 00:08|--ah-----|268] -> C:\sqmdata02.sqm
    [14/03/2009 20:16|--ah-----|268] -> C:\sqmdata03.sqm
    [15/03/2009 12:46|--ah-----|268] -> C:\sqmdata04.sqm
    [15/03/2009 18:18|--ah-----|268] -> C:\sqmdata05.sqm
    [16/03/2009 01:39|--ah-----|268] -> C:\sqmdata06.sqm
    [25/02/2009 17:14|--ah-----|244] -> C:\sqmnoopt00.sqm
    [25/02/2009 22:30|--ah-----|244] -> C:\sqmnoopt01.sqm
    [27/02/2009 00:08|--ah-----|244] -> C:\sqmnoopt02.sqm
    [14/03/2009 20:16|--ah-----|244] -> C:\sqmnoopt03.sqm
    [15/03/2009 12:46|--ah-----|244] -> C:\sqmnoopt04.sqm
    [15/03/2009 18:18|--ah-----|244] -> C:\sqmnoopt05.sqm
    [16/03/2009 01:39|--ah-----|244] -> C:\sqmnoopt06.sqm
    [21/08/2009 00:03|--a------|4208] -> C:\UsbFix.txt
    [05/08/2009 12:27|--a------|47104] -> D:\Invitaci¢n 2009.doc
    [06/03/2008 18:42|--a------|15916] -> G:\catalog.txt
    [14/03/2008 01:08|--a------|13679] -> G:\readme.txt
    [04/04/2009 16:57|--a------|2816] -> G:\BOOTEX.LOG
    [04/04/2009 17:01|--a------|358] -> G:\My Sharing Folders - Shortcut.lnk
    [10/03/2009 17:50|--a------|27136] -> H:\LO QUE TENGO QUE HACER EN SANTIAGO.doc
    [10/03/2009 17:50|--a------|68608] -> H:\Legalizacion titulo.doc
    [20/07/2009 15:39|--a------|8677388] -> H:\Monty Python - International Philosophy Football (Spanish).flv
    [26/07/2009 12:39|--a------|44544] -> H:\Mus‚e de l'acropole.doc

    ################## | Cracks / Keygens / Serials |
    0
  7. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Désinstalle UsbFix.

    Tu n'as plus de souci ?

    ---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
    ---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
    ---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
    ---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
    ---> Sélectionne Exécuter un examen rapide.
    ---> Clique sur Rechercher. L'analyse démarre.

    A la fin de l'analyse, un message s'affiche :

    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ---> Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur Afficher les résultats.
    ---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
    ---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    0
  8. Ptitgilou
     
    Super!!!
    Maintenant je peux les ouvrir et manifestement ca va...
    Je suis obliger de désinstaller le USBFIX car il me reste une clef USB que j'aimerais vérifier mais je l'ai pas la. Je suppose que c'est le même procesus???

    Je le reste tout de suite. Ce Anti Malware va analyser les USB?

    Merci beaucoup
    0
  9. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Je suis obliger de désinstaller le USBFIX car il me reste une clef USB que j'aimerais vérifier mais je l'ai pas la. Je suppose que c'est le même procesus???"
    --> Tu peux le garder pour vérifier ta clé mais supprime-le après.

    "Ce Anti Malware va analyser les USB?"
    --> Pendant un examen rapide, non. C'est juste pour vérifier que tu n'as pas d'autre infection.

    Bonne nuit ;)
    0
  10. Ptitgilou
     
    Merci si tu passes un jour au Chili, prévient moi et je t'accueille

    Un question quand tu auras le temps de répondre: d'ou vient ce type de virus??? pour éviter de m'en rechoper un trop vite....

    Bon je te laisse et une bonne nuit.
    0
  11. Ptitgilou
     
    Malwarebytes' Anti-Malware 1.40
    Version de la base de données: 2667
    Windows 5.1.2600 Service Pack 3

    21/08/2009 0:38:41
    mbam-log-2009-08-21 (00-38-32).txt

    Type de recherche: Examen rapide
    Eléments examinés: 87010
    Temps écoulé: 6 minute(s), 53 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 1
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> No action taken.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  12. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Un question quand tu auras le temps de répondre: d'ou vient ce type de virus??? pour éviter de m'en rechoper un trop vite...."
    --> Je ne sais pas. Tu n'aurais pas prêté ta clé USB à un pote qui te l'aurait rendu infecté ?
    0