Hacktool.Rootkit impossible à supprimer

Résolu
Vivie -  
 Utilisateur anonyme -
Bonjour,

Je lance un appel au secours à toute personne capable de m'aider à me débarasser d'un virus Hacktool.Rootkit contre lequel je me bas depuis près d'un mois !
J'ai l'impression d'avoir tout essayé (du moins, parmi le peu que je connais) mais rien n'y fait :
- J'ai d'abord constaté des problèmes de démarrage de mon PC qui m'obligeait à choisir "Dernière bonne configuration..." pour pouvoir l'utiliser.
- Ensuite, mon antivirus de l'époque (Norton Corporate) m'a identifié quelques fichiers par un virus de type Hacktool.Rootkit
- J'ai fait un scan complet de mon PC et supprimé tous les fichiers infectés.
- J'ai fait tourné Malwarebyte
- J'ai fait un nettoyage avec CCleaner
A chaque fois, ça me permet d'avoir un démarrage propre (au cours duquel apparemment le virus se réactive) et ensuite re-belote, à nouveau plein de fichiers système infectés...

J'ai changé d'anti-virus et je suis passée à AntiVir. D'après Antivir, le 1er fichier infecté est celui-ci :
C:\WINDOWS\system32\drivers\kuumtsg.sys
[RESULTAT] Contient le cheval de Troie TR/Rootkit.Gen

J'ai aussi essayé de faire tourner FindyKill (suite aux conseils prodigués à d'autres utilisateurs confrontés au même problème) mais il n'arrive jamais au bout de la suppression --> Mon PC s'éteint subitement à 40% d'avancement...

Je ne sais vraiment plus quoi faire. Au secours !

38 réponses

  • 1
  • 2
Résumé de la discussion

Le problème décrit concerne une infection Hacktool.Rootkit sur Windows XP, avec le fichier kuumtsg.sys portant TR/Rootkit.Gen et des symptômes de démarrage problématique suivis de réinfections après nettoyage. Des essais variés ont été menés, incluant Norton Corporate, AntiVir, Malwarebytes et CCleaner, puis des outils spécialisés tels que DAFT, GMER et RSIT, mais l’infection persiste ou se réactive après redémarrage. Face à la persistance, des solutions plus lourdes ont été proposées, comme un antivirus bootable sur CD pour neutraliser le rootkit avant activation et l’emploi de GMER pour supprimer manuellement services, processus et fichiers malveillants.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. diabolo162 Messages postés 1039 Statut Membre 29
     
    bonjour,

    * Télécharger zhpdiag (de Nicolas Coolman) :https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
    * Se laisser guider lors de l'installation, le programme se lancera automatiquement à la fin.
    * Cliquer sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une disquette
    * Héberger le rapport ZHPDiag.txt sur un site tel que cijoint :http://www.cijoint.fr/
    puis copier/coller le lien fourni sur le forum Virus/Sécurité de CCM dans un nouveau sujet où vous expliquerez pourquoi vous pensez être infecté (plus d'explications ici pour voir comment demander l'avis d'un expert sur le forum)
    0
  2. Utilisateur anonyme
     
    bonsoir,
    très intéressant ce cas :-)

    * Télécharge random's system information tool (RSIT) et enregistre le sur ton bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    Tuto : https://forum.pcastuces.com/randoms_system_information_tool_rsit-f31s31.htm
    Double clique sur RSIT.exe pour lancer l'outil.
    Clique sur ' continue ' à l'écran Disclaimer.
    Si l'outil HIjackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    Une fois le scan fini, 2 rapports vont apparaître. Poste le contenu des 2 rapports séparément. Ils se trouvent sur c :
    (log.txt & info.txt)
    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    Note:
    si les rapports ne passent pas sur le forum, héberge les sur le site cijoint, poste moi seulement les liens

    http://www.cijoint.fr/index.php
    0
  3. Vivie
     
    info.txt
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijTqvbzQJ.txt

    log.txt
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijFCNb9FG.txt
    0
  4. Vivie
     
    Et voici le rapport de ZHPDiag

    http://www.cijoint.fr/cjlink.php?file=cj201005/cijC7Lum87.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    ça se confirme aussi bien sur les rapports rsit que zhp,

    rien de bien méchant :

    * Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:

    https://www.androidworld.fr/

    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
    0
  7. Vivie
     
    Voici le rapport de Ad-Remover :

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 01/05/10 à 19:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 23:16:09 le 04/05/2010 | Mode normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 2 - X86
    Nom du PC: VIRGINIE-FIXE
    Utilisateur actuel: Virginie
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Program Files\AskBarDis

    (!) -- Fichiers temporaires supprimés.
    .
    HKCU\Software\AppDataLow\AskBarDis
    HKLM\Software\Classes\Interface\{224302B0-94E9-45C2-9E5B-BA989EE556E1}
    HKLM\Software\Classes\TypeLib\{F8310E7D-4C4D-46A4-A068-B5BB99411CC7}
    HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\Software\pandobar
    HKLM\Software\Viewpoint
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
    HKLM\Software\Microsoft\Internet Explorer\Toolbar|{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}
    .
    (Orpheline) HKCU,Run - Atelier des Chefs - C:\Program Files\latelierdeschefs\Atelier des Chefs\LAtelier des Chefs.exe (Fichier manquant)
    (Orpheline) BHO: {3EBBD0F6-1F1F-48A0-89DC-C7505D56E92A} (CLSID manquant)
    (Orpheline) HKLM,Uninstall - SoftNote 2005_is1 - K:\SoftNote 2005\unins000.exe (Fichier manquant)
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.6.3 (fr) *
    .
    C:\Documents and Settings\Virginie\..\oqouknc6.default\prefs.js - browser.download.dir: C:\\Documents and Settings\\Virginie\\Mes documents\\Téléchargements
    C:\Documents and Settings\Virginie\..\oqouknc6.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\Virginie\\Bureau
    C:\Documents and Settings\Virginie\..\oqouknc6.default\prefs.js - browser.startup.homepage: hxxp://www.google.fr
    C:\Documents and Settings\Virginie\..\oqouknc6.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.2.3
    .
    .
    * Internet Explorer Version 6.0.2900.2180 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\WINDOWS\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 14 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 3348 Octet(s)
    .
    Fin à: 23:31:41, 04/05/2010
    .
    ============== E.O.F - CLEAN[1] ==============
    0
  8. Utilisateur anonyme
     
    bonjour,
    repasse un autre zhp, hébérge son rapport sur cijiont, mets le lien sur ton prochain message
    0
  9. Vivie
     
    Bonjour,
    Après 3 redémarrages successifs et au moins 60 fichiers infectés identifiés par Antivir, j'ai refait un nettoyage avec Ad-Remover, puis un scan avec ZHP.
    Voici le dernier rapport :
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijrchofQ6.txt
    0
  10. Utilisateur anonyme
     
    bonjour,
    ton pc a été rootkité !

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :
    ► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    /!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\INSTALLES LA CONSOLE DE RECUPERATION

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  11. Vivie
     
    Voici le fichier Combofix.txt
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijKrKadOF.txt

    et le fichier log.txt
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijfM5dH0E.txt
    0
  12. Utilisateur anonyme
     
    bonjour,
    rapport combofix vu :-)

    tu as déjà mabam sur ton pc :

    - J'ai fait tourné Malwarebyte

    lance le
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen complet
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine
    .
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    0
  13. Vivie
     
    Pas le temps de le lancer ce matin (faut bien aller au boulot...), je le ferai en rentrant ce soir !

    Par contre, est-ce normal si j'ai encore eu mes 60 fichiers infectés détectés par Antivir à mon démarrage de ce matin ?

    Du voup, est-ce qu'il faut que je relance tous les nettoyages déjà faits à la chaîne ou juste Mabam ?
    0
  14. Utilisateur anonyme
     
    relance juste MBAM, vide sa quarantaine, fais une mise à jur et lance un scan complet, s'il trouve des choses, vire les en quarantaine

    pour l'instant, ignore les messages d'avira, on en viendra plus tard.

    Note : il se peut que avira détecte les infections dans la quarantaine de combofix ou MBAM ou un autre tool.
    0
  15. Vivie
     
    RAS !

    --------------------------------------

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 5.1.2600 Service Pack 2
    Internet Explorer 6.0.2900.2180

    06/05/2010 22:57:11
    mbam-log-2010-05-06 (22-57-11).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|G:\|H:\|I:\|J:\|K:\|)
    Elément(s) analysé(s): 238678
    Temps écoulé: 2 heure(s), 17 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  16. Utilisateur anonyme
     
    bonjour,

    le rootkit n'a pas été supprimé ni par combofix, ni par MBAM !

    C:\WINDOWS\system32\drivers\kuumtsg.sys

    * Télécharge GMER :
    http://www2.gmer.net/gmer.zip

    * Dézipper le programme.
    * Double cliquer sur Gmer.exe
    * Le programme se lance et fait un auto scan
    (il s'agit de l'onglet : Rootkit/Malware).

    => Des lignes rouges doivent apparaître en cas d'infection :

    * sur ces lignes rouges:
    o Services: Clique droit puis delete service
    o Process: Clique droit puis kill process
    o Adl, file: Clique droit puis delete files

    Tuto : https://www.malekal.com/tutorial-gmer/
    0
  17. Vivie
     
    Ca ne marche pas...

    Le programme plante en moins de 10 secondes.

    Voici le rapport d'erreur :
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijG37GyHD.txt
    0
  18. Vivie
     
    Voici le fichier Combofix.txt :
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijovW2YAz.txt

    et le fichier log.txt
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijWqltr7z.txt
    0
  19. Vivie
     
    Je viens de tester la version gMer de gen-hackman...
    Ca ne fait rien : juste une fenêtre DOS qui s'ouvre pendant à peine une seconde, et puis plus rien...
    0
    1. gen-hackman
       
      ok tes associations de fichiers sont touchées je vous laisse bonne soirée
      0
  • 1
  • 2