RootKit.gen Résolu/Fermé

Question

Bonsoir,

je fais parti de ceux qui se sont fait prendre par cette cochonnerie. En parcourant le forum j'ai commencé a lancer une analyse ZHPDiag 1.25.14.

Voici le rapport que je suis incapable d'interpreter, quelqu'un peut m'aider

http://www.cijoint.fr/cjlink.php?file=cj201005/cijDTZXzK7.txt


Configuration: Windows Vista / Firefox 3.6.3

Pas · Answer

voici le rapport de USBFix

http://www.cijoint.fr/cjlink.php?file=cj201005/cijztW45fr.txt

Smart91 · Answer

OK. Tu as plusieurs infections. /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac Pour Windows 7: https://www.androidworld.fr/ - Télécharge Malwarebytes - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement. - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation) - Lance une analyse complète en cliquant sur "Exécuter un examen complet" - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen" - L'analyse peut durer un bon moment..... - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats" - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK" - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée Smart

Pas · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4093

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18904

12/05/2010 21:35:49
mbam-log-2010-05-12 (21-35-49).txt

Type d'examen: Examen complet (C:\|D:\|E:\|G:\|Z:\|)
Elément(s) analysé(s): 300323
Temps écoulé: 1 heure(s), 8 minute(s), 9 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 7

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\avsuite (Rogue.AntivirusSuite) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\avsoft (Trojan.Fraudpack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Program Files\List_Kill'em\catchme.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\khvcol.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\Temp\omxracnwse.exe (Rogue.APManager.Gen) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe (Rogue.AntispywareSoft) -> Quarantined and deleted successfully.
C:\Windows\System32\drivers\jpssvlq.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Pascal\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Pas · Answer

A mon avis il est toujours là, mise a jour anti vir impossible et sir IE8 pas moyen d'ouvrir un site
Par contre aucun PB avec le renard de feu

Smart91 · Answer

Refais un rapport ZHPDiag et poste le

Smart

Pas · Answer

Et voili et voila

http://www.cijoint.fr/cjlink.php?file=cj201005/cijd3mh0aa.txt

merci pour ton aide

Pas · Answer

j'ai résolu le PB IE8, enfin je crois ...

Smart91 · Answer

On a bien avancé
Vide la quarantaine de MBAM 

Je voudrais que tu scan ce fichier: 

C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe 

Va sur https://www.virustotal.com/gui/ et copie la ligne ci-dessous dans la case à côté de parcourir 
attends un instant car le scan est en file d'attente et poste le rapport dans ta réponse. 

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Pas · Answer

peut pas ... dossier vide ... le répertoire est toujours là mais l'exe n'est plus là ... ou alors il arrive a "planquer" ses fichiers

Pas · Answer

je pense que c'est dans 
c:Windows/system32/drivers/jpssvlq.sys 
mais j'arrive à le dénucléarisé

Pas · Answer

Nouvelle bonne info, enfin je pense, j'arrive a mettre à jour AntiVir

Smart91 · Answer

Fais ceci:

Télécharge The Avenger par Swandog46 sur ton Bureau: 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Click sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur votre bureau 


. Maintenant, lance The Avenger en cliquant sur son icône du bureau. 
. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Drivers to disable: 
jpssvlq 

Drivers to delete: 
jpssvlq 

Files to delete: 
C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe 
C:\Windows\System32\drivers\jpssvlq.sys 

. Colle ce texte (Ctrl+V) dans le cadre :Input script here 

. Appuie sur Execute 

. Le pc va redémarrer 

. Mets  le rapport qui aparaitra dans ta réponse

Smart

archet9 · Answer

A demain à vous......
a+ 
........

archet9 · Answer

+²GReeeee je ne vois psd ou plus.......

a+

Pas · Answer

Heu moi c'est Pas ... erreur de topic de la part archet9 ?
 Et il a fallu que je parte

Voici le CR d'Avenger :
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "jpssvlq" disabled successfully.
Driver "jpssvlq" deleted successfully.

Error:  file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" not found!
Deletion of file "C:\Users\Pascal\AppData\Local\Temp\scmoerxnaw.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "C:\Windows\System32\drivers\jpssvlq.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Pas · Answer

Trés trés bonne nouvelle, et grâce a ton expertise, le "drivers" jpssvlq.sys n'est plus là.

il semble qu'il reste une entrée dans la registry en Legacy_jpssvlq que je n'arrive pas à supprimer.

Je vais lancer un scan d'antivir pour voir.

Pas · Answer

Et j'ai enfin accès au paramétrage de la restoration système que je viens de décocher sur mon C: 
le dernier point était d'hier soir vers 18:00 donc a mon avis avec l'autre vacherie

j'ai bon ?
Et je vais attendre la fin du scan d'antivir pour la remettre

Ton avis éclairé ?

Pas · Answer

le CR d'antivir
http://www.cijoint.fr/cjlink.php?file=cj201005/cijCLgBYTs.txt

il me reste une saloperie sur un disque externe dans le mbr
 je suis sur le coup et au pire je le formate

Pas · Answer

Disque dur externe clean, formatage en cours des clés USB

encore merci pour ton aide

Smart91 · Answer

---> Télécharge OTM (OldTimer) sur ton Bureau :  
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/  


--->Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.  

---> Copie (Ctrl+C) le texte suivant en gras ci-dessous :  



:services  
jpssvlq  

:commands  
[purity]  
[emptytemp]  
[Reboot]    


---> Colle (Ctrl+V) le texte précédemment copié dans le cadre:  
Paste Instructions for Items to be Moved.  

---> Clique maintenant sur le bouton MoveIt!  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

---> Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\  
Le nom du rapport correspond au moment de sa création : date_heure.log  

Smart 
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Pas · Answer

pas chez moi ... retour vers 20:00

Smart91 · Answer

OK pas de problème. Profite de cjour férié :-)

Smart

Pas · Answer

voici le lien CR de OTM

http://www.cijoint.fr/cjlink.php?file=cj201005/cijP6e8dgv.txt

Smart91 · Answer

Refais un rapport ZHPDiag

Smart

Pas · Answer

Voila
http://www.cijoint.fr/cjlink.php?file=cj201005/cijGQr7uUS.txt

Smart91 · Answer

Il reste encore des traces:

Relance The avenger
Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 


--------------------------------------------------------------------------------------

Files to delete: 
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe
-------------------------------------------------------------------------------------


- Colle ce texte (Ctrl+V) dans le cadre :Input script here 
-  Appuie sur Execute 
- Le PC va redémarrer 
- Colle le rapport qui va apparaître dans ta réponse

Smart

Pas · Answer

Il résiste le salopiaud ..

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe"
Deletion of file "C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe" failed!
Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)
  --> bad path / the parent directory does not exist


Completed script processing.

*******************

Finished!  Terminate.

Smart91 · Answer

On va essyer de faire autrement:
- Relance OTM
- Clique droit sur "OTMoveIt3.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer. 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

---------------------------------------------------------------------------------
:files 
C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe 

:commands 
[emptytemp] 
[Reboot] 
----------------------------------------------------------------------------------



- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart

Pas · Answer

Le répertoire n'est pas présent et j'affiche bien tout les dossiers/fichiers

j'essaie avec OTM

Pas · Answer

résultats d'OTM

http://www.cijoint.fr/cjlink.php?file=cj201005/cijzBsqSx9.txt

Pas · Answer

bon j'ai bossé 11:00 de suite, je suis naze. @+

Smart91 · Answer

Bon. OTM ne trouve pas le fichier.
Fais ceci:
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
[HKLM\Software\avsoft]
[HKLM\Software\avsuite]
O53 - SMSR:HKLM\...\startupreg\disuglpb  [Key] . (.Pas de propriétaire - Pas de description.) -- C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe----------------------------------------------------------

-  Clique sur « Tous », puis sur « Nettoyer »
-  Copie/colle la totalité du rapport dans ta prochaine réponse

Smart

Pas · Answer

impossible créer fichier log ZHPFix (boite pop up) accès refusé 

??? 

du coup pas d'exécution ... je n'ai pas trouvé ou changer le chemin d'enreg des rapport ? 

help

archet9 · Answer

Salut à vous deux .

Pour avancer.

Désactives le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection): 

https://www.zebulon.fr/astuces/pratique/220-desactiver-l-uac-dans-vista.html 
 

ensuite fais ceci:

---> Télécharges ComboFix.exe de sUBs sur ton Bureau : 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ 

---> "Clique droit" sur Combofix.exe et choisis: "Exécuter en tant qu'administrateur"
Un "pop-up" va apparaître qui dit que "ComboFix est utilisé à vos risques et avec aucune garantie...". 
Acceptes en cliquant sur "Oui" 

---> Mets-le en langue française F 
Tape sur la touche 1 (Yes) pour démarrer le scan. 

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt


a+

Pas · Answer

voici le rapport ComboFix
http://www.cijoint.fr/cjlink.php?file=cj201005/cijl27UftN.txt

archet9 · Answer

Relance Malwarebytes (mets le à jour) et fais cette fois
un "examen rapide"

Colle le rapport stp...

a+

Pas · Answer

Malwarebyte 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijCAZDYyM.txt

archet9 · Answer

Pour vérif car tout semble clean maintenant :

Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit
a+

Pas · Answer

Voila log RSIT 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijoK13cXC.txt

il reste juste ce "truc" qui m'interpelle dans 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ

archet9 · Answer

Pour cette clé: 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ 

==> Le fichier et le driver qui lui sont associés ont été supprimés par  
"The avenger" ici: 
https://forums.commentcamarche.net/forum/affich-17707531-rootkit-gen#19 

Driver "jpssvlq" disabled successfully.  
Driver "jpssvlq" deleted successfully. 
File "C:\Windows\System32\drivers\jpssvlq.sys" deleted successfully.  
 

Si tu veux quand même la supprimer fait ceci : 

Relance Avenger et dans le cadre : 

Input script here copie/colle :  


Registry keys to delete: 
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ  



 Mets le rapport qui aparaitra dans ta réponse . 

a+ 
........

Pas · Answer

Bingo

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JPSSVLQ" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Et la clé a bien disparu, 
je crois donc que ce topic peut être déclaré RÉSOLU

merci à tous

archet9 · Answer

Pour info :

C:\Users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe 
que SMART91 voulait virer:


Combofix l'a fait...

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\programdata\SymUpdate.exe



- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-disuglpb - c:\users\Pascal\AppData\Local\vdiijtbna\wxqqvsitssd.exe


****************************


Pour desinstaller les outils utilsés:

Télécharge OTCleanIt sur ton Bureau: http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/ 

Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur") 

Appuie sur le bouton "CleanUp!" 

A la question "begin cleanup process?", réponds "YES" 

A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES": 

Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même autodétruit!

a+

Pas · Answer

Merci a vous deux pour cette aide efficace

Smart91 · Answer

Merci à archet9, d'avoir pris la suite j'étais absent samedi toute la journée.

@pas
Tu as des restes de Norton, utilise ceci pour les supprimer : 
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Vérifie si Adobe est à jour, pour cela lance Adobe Reader (C:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe), cliquer sur "Aide" puis sur "Rechercher les mises à jour". 

1. Désinstallation des outils ==> fais ce qu'a dit archet9 ==>
https://forums.commentcamarche.net/forum/affich-17707531-rootkit-gen?page=3#47

 2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système pour la purger. 

Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Sois plus vigilant(e) sur Internet à l'avenir

Smart

archet9 · Answer

;-)

RootKit.gen

45 réponses

Newsletters