Infection Rootkit supprimer driver npplp.sys Résolu/Fermé

Question

Bonjour à tous, ceci est ma première question sur ce forum car j'essaye en général de me débrouiller seul mais là je ne sais pas comment remédier à mon problème: depuis quelques jours avast me signale la présence d'un rootkit sur mon ordinateur. J'ai fait des recherches sur internet et d'après ce que j'ai compris pour rendre "inoffensif" un rootkit il faut supprimer le driver associé. Avast m'a proposé plusieurs fois de le supprimer mais ça n'a jamais marché. L'emplacement du driver en question est C://windows/system32/drivers/npplp.sys
J'ai essayé de le supprimer avec eraser, de l'archiver, de le renommer, de le déplacer, de le crypter avec axcrypt, de le remplacer avec un fichier du même nom, et tout ça en mode normal et sans échec mais rien ne marche! Malwarebytes AntiMalwares ne le détecte même pas..
J'espère que quelqu'un pourra m'aider. Merci d'avance.

Utilisateur anonyme · Answer

Bonjour,

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi surCijoint

[x] Clique sur " Parcourir "

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message

canarivox · Answer

Merci loicdem de ta réactivité; je ne suis pas chez moi cette aprem donc j'essaye dès que je rentre et je laisse le rapport ici! ;-)

Utilisateur anonyme · Answer

Héberger sur Cijoint (le rapport !)

canarivox · Answer

voilà j'espère que tu pourra en faire quelque chose!

http://www.cijoint.fr/cjlink.php?file=cj200912/cijrwngfyg.txt

Utilisateur anonyme · Answer

Tu es belle et bien infecter !
--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! déconnecte toi, ferme toutes tes applications en cours et DÉSACTIVE TOUTES TES DÉFENSES (anti-virus, antispyware, pare-feu) le temps de la manipulation : en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!

---> Surtout, si tu rencontres des difficultés à ce niveau là, dis le moi avant de poursuivre...

Télécharge le ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tuto ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :

Double-clique sur C-Fix.exe (= combofix.exe ) .

Appuie sur une touche pour démarrer le scan .

Attention : n'utilise pas ta souris ni ton clavier pendant que le programme tourne. Cela pourrait figer l'ordi ---> si un message d'erreur windows apparait à un moment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer

Le rapport sera crée dans: C:\Combofix.txt , poste le ici stp

canarivox · Answer

Rapport de combofix: 
http://www.cijoint.fr/cjlink.php?file=cj200912/cijMx08Wum.txt

Utilisateur anonyme · Answer

Ok, maintenant,

Desactive ton antivirus le temps de la manip ainsi que ton parefeu si présent

&#9654; Télécharge List&Kill'em et enregistre le sur ton bureau

&#9654; dezippe-le , (clic droit/ extraire.....)

Il ne necessite pas d'installation

&#9654; double clic (clic droit "executer en tant qu'administrateur" pour Vista) pour lancer le scan

choisis la langue puis choisis l'option 1 = Mode Recherche

&#9654; laisse travailler l'outil

un rapport du nom de catchme apparait sur ton bureau , ignore-le , mais ne le supprime pas pour l instant

&#9654; Poste le contenu du rapport qui s'ouvre

canarivox · Answer

Voilà le contenu du rapport:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijHOe6K99.txt

Utilisateur anonyme · Answer

Supprime ta version de List Kill'em et télécharge celle la (et installe la) : 
http://sd-1.archive-host.com/membres/up/829108531491024/List_Killem_Install.exe

&#9654; Relance List&Kill'em comme tu as fait pour l'option 1 (soit en clic droit pour vista),

mais cette fois-ci :

&#9654; choisis l'option 2 = Mode Destruction

laisse travailler l'outil.

en fin de scan un rapport s'ouvre

&#9654; colle le contenu dans ta reponse

canarivox · Answer

https://dfiles.eu/files/rsj7r2r1n

Utilisateur anonyme · Answer

Ok, refait un RSIT !
Tu as toujours ton problème initial ?

canarivox · Answer

Un RSIT ?

canarivox · Answer

Merci pour ton aide en tout cas! :-)

Utilisateur anonyme · Answer

Excuse moi, un ZHPDiag

canarivox · Answer

Ya pas de mal ;-)
http://www.cijoint.fr/cjlink.php?file=cj200912/cijYO1nfzw.txt

Utilisateur anonyme · Answer

Bon, télécharge Turn Off Bonjour.exe du projet Gizmo http://download.gizmoproject.com/jasmine/TurnOffBonjour.exe

Exécute le et suis les instructions. Ensuite, supprime ce dossier manuellement : C:\Program Files\Bonjour\

Ensuite, refait un ZHPDiag !

Utilisateur anonyme · Answer

Tu y arrive ?

Utilisateur anonyme · Answer

Je dois y aller, donc après le post 19 : https://forums.commentcamarche.net/forum/affich-15685889-infection-rootkit-supprimer-driver-npplp-sys#19

• Télécharge Malwarebytes' Anti-Malware (MBAM)
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

* Double clique sur le fichier téléchargé pour lancer le processus d'installation.
* Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
* Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
* Sélectionne "Exécuter un examen complet"
* Clique sur "Rechercher"
* L'analyse démarre, le scan est relativement long, c'est normal.
* A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.



Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
* Ferme tes navigateurs.
* Si des malwares ont été détectés, clique sur Afficher les résultats.
Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
* MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.



NB : Si MBAM te demande à redémarrer, fais-le.

canarivox · Answer

Désolé j'ai du partir tout à l'heure. Les nouvelles ne sont pas bonnes.. ^^
MBAM ne détécte rien du tout, aucun élément nuisible détécté.. http://www.cijoint.fr/cjlink.php?file=cj200912/cijtgYe5ww.txt

Voilà le rapport zhp: http://www.cijoint.fr/cjlink.php?file=cj200912/cijYp1UTt5.txt

Et quelques minutes après avoir rédémarré mon ordi j'ai toujours ce message: http://www.cijoint.fr/cjlink.php?file=cj200912/cijh7ezmpV.jpg

Je vais tenter une analyse avec spybot mais je n'y crois pas trop ^^

canarivox · Answer

Alors en fait ma version de MBAM n'était pas du tout à jour; j'ai donc télécharger la dernière version et j'ai déjà 3 éléments infectés ^^
Je t'envoi le rapport dès que possible!

canarivox · Answer

Rapport MBAM:
http://www.cijoint.fr/cjlink.php?file=cj200912/cijY60oGbW.txt

ps: le keylogger détécté c'est moi qui l'ai installé

canarivox · Answer

Oui le problème est résolu depuis peu grace à l'analyse de mon système par une version à jour de MBAM! 
Merci beaucoup d'avoir pris du temps pour m'aider loicdem!

canarivox · Answer

De rien c'est normal :-)
++

Utilisateur anonyme · Answer

CE N'EST pas fini !!!!!
Refait un ZHPDiag

canarivox · Answer

Ok chef! http://www.cijoint.fr/cjlink.php?file=cj200912/cijiiYLSBg.txt

Utilisateur anonyme · Answer

Relance ZHPDiag. Fais un scan. Clique sur l'écusson vert ZHPFix. Coche ces lignes :

O42 - Logiciel: Bonjour
O42 - Logiciel: Java(TM) 6 Update 5
O42 - Logiciel: Java(TM) 6 Update 7

Clique ensuite sur '' Nettoyer '' et poste moi le rapport de suppression.

canarivox · Answer

Suppression effectuée mais je comprend pas en quoi ça m'avance de supprimer ces choses
http://www.cijoint.fr/cjlink.php?file=cj200912/cijf01aBmo.txt

Utilisateur anonyme · Answer

Bon, je ne vois plus de virus, donc je te fais faire du nettoyage !

Supprime Avast avec ça : https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/

Et installe Antivir : http://www.commentcamarche.net/telecharger/telecharger-55-antivir

Tuto : http://www.libellules.ch/tuto_antivir.php

Télécharge CCleaner https://www.ccleaner.com/ccleaner/download
Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Fais le registre, sauvegarde comme demandé. Fais ce nettoyage jusqu'à qu'il y a plus de clé de registre ! Fais un nettoyage normal.

Ensuite, mets le sujet en résolu !

canarivox · Answer

Je suis en train de télécharger avira :-)
Tout le reste s'est passé sans problème!
Tu me conseille quoi comme logiciel pour que ça reste propre? J'ai déjà MBAM, ccleaner, spybot search and destroy (et defraggler pour défragmenter)

Utilisateur anonyme · Answer

Je te conseille d'installer SUPERAntispyware et le mettre en protection !

canarivox · Answer

OK ! Merci beaucoup pour ton aide!

Utilisateur anonyme · Answer

En couple avec Spybot, ok ?

canarivox · Answer

Oui, et tout est nickel !! :D
MERCI