Infection Rootkit supprimer driver npplp.sys [Résolu/Fermé]

Signaler
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
-
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
-
Bonjour à tous, ceci est ma première question sur ce forum car j'essaye en général de me débrouiller seul mais là je ne sais pas comment remédier à mon problème: depuis quelques jours avast me signale la présence d'un rootkit sur mon ordinateur. J'ai fait des recherches sur internet et d'après ce que j'ai compris pour rendre "inoffensif" un rootkit il faut supprimer le driver associé. Avast m'a proposé plusieurs fois de le supprimer mais ça n'a jamais marché. L'emplacement du driver en question est C://windows/system32/drivers/npplp.sys
J'ai essayé de le supprimer avec eraser, de l'archiver, de le renommer, de le déplacer, de le crypter avec axcrypt, de le remplacer avec un fichier du même nom, et tout ça en mode normal et sans échec mais rien ne marche! Malwarebytes AntiMalwares ne le détecte même pas..
J'espère que quelqu'un pourra m'aider. Merci d'avance.

33 réponses

Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Rapport de combofix:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijMx08Wum.txt
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci


Je dois y aller, donc après le post 19 : https://forums.commentcamarche.net/forum/affich-15685889-infection-rootkit-supprimer-driver-npplp-sys#19

• Télécharge Malwarebytes' Anti-Malware (MBAM)
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen complet"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.



Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
* Ferme tes navigateurs.
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.



NB : Si MBAM te demande à redémarrer, fais-le.
1
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 63550 internautes nous ont dit merci ce mois-ci


Bonjour,

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi surCijoint

[x] Clique sur " Parcourir "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
721
Salut,

Merci de ne pas réutiliser mes canneds speech sans mon autorisation. Les canneds sont en quelque sorte '' l'empreinte '' du helper. Utilises une autre mise en forme ( ce qui te prendra cinq minutes à faire ).

Merci d'avance.
Utilisateur anonyme >
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015

Bonjour, excuse moi, je ferai gaffe !
Messages postés
8819
Date d'inscription
vendredi 21 août 2009
Statut
Contributeur sécurité
Dernière intervention
2 juillet 2015
721 > Utilisateur anonyme
Pas de problème ;-)

Bonne chasse, @+
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Merci loicdem de ta réactivité; je ne suis pas chez moi cette aprem donc j'essaye dès que je rentre et je laisse le rapport ici! ;-)

Héberger sur Cijoint (le rapport !)
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
voilà j'espère que tu pourra en faire quelque chose!

http://www.cijoint.fr/cjlink.php?file=cj200912/cijrwngfyg.txt

Tu es belle et bien infecter !
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DÉSACTIVE TOUTES TES DÉFENSES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Télécharge le ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

Ok, maintenant,

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

▶ Télécharge List&Kill'em et enregistre le sur ton bureau

▶ dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation

▶ double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

▶ laisse travailler l'outil

un rapport du nom de catchme apparait sur ton bureau , ignore-le , mais ne le supprime pas pour l instant

▶ Poste le contenu du rapport qui s'ouvre
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Voilà le contenu du rapport:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijHOe6K99.txt

Supprime ta version de List Kill'em et télécharge celle la (et installe la) :
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

▶ Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

▶ choisis l'option 2 = Mode Destruction

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

▶ colle le contenu dans ta reponse

Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1

Ok, refait un RSIT !
Tu as toujours ton problème initial ?
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Un RSIT ?
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Merci pour ton aide en tout cas! :-)

Excuse moi, un ZHPDiag
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Ya pas de mal ;-)
http://www.cijoint.fr/cjlink.php?file=cj200912/cijYO1nfzw.txt

Bon, télécharge Turn Off Bonjour.exe du projet Gizmo http://download.gizmoproject.com/jasmine/TurnOffBonjour.exe

Exécute le et suis les instructions. Ensuite, supprime ce dossier manuellement : C:\Program Files\Bonjour\

Ensuite, refait un ZHPDiag !

Tu y arrive ?
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Désolé j'ai du partir tout à l'heure. Les nouvelles ne sont pas bonnes.. ^^
MBAM ne détécte rien du tout, aucun élément nuisible détécté.. http://www.cijoint.fr/cjlink.php?file=cj200912/cijtgYe5ww.txt

Voilà le rapport zhp: http://www.cijoint.fr/cjlink.php?file=cj200912/cijYp1UTt5.txt

Et quelques minutes après avoir rédémarré mon ordi j'ai toujours ce message: http://www.cijoint.fr/cjlink.php?file=cj200912/cijh7ezmpV.jpg

Je vais tenter une analyse avec spybot mais je n'y crois pas trop ^^
Messages postés
30
Date d'inscription
dimanche 20 décembre 2009
Statut
Membre
Dernière intervention
22 décembre 2009
1
Alors en fait ma version de MBAM n'était pas du tout à jour; j'ai donc télécharger la dernière version et j'ai déjà 3 éléments infectés ^^
Je t'envoi le rapport dès que possible!