Infection par Rootkit Agent Résolu/Fermé

Question

Bonjour, 


Je n'arrive pas à me débarrasser d'un Rootkit Agent depuis plusieurs semaines.
Malwarebyte's Anti-Malware le détecte (dans un fichier C:\Windows\system32\Drivers	flxh.sys), le supprime mais il est redétecté par AntiMalware au prochain redémarrage.

Merci de vos lumières.

Configuration: Windows Vista Pro / Firefox 3.6.8 / BitDefender 10

Utilisateur anonyme · Answer

bonjour,
copie et colle le dernier rapport de MBAM dans ton prochain message.

odz742 · Answer

Merci, le voici


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4418

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

11/08/2010 14:37:25
mbam-log-2010-08-11 (14-37-25).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 155000
Temps écoulé: 22 minute(s), 1 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Windows\system32\Drivers	flxh.sys (Rootkit.Agent) -> No action taken.

Utilisateur anonyme · Answer

No action taken ==> il faut tout mettre en quarantaine, c'est toi qui choisis, mais on va le faire avec un autre outil


o	/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

Télécharge The Avenger par Swandog46 sur ton Bureau: 

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 

Click sur Avenger.zip pour ouvrir le fichier 
Extraire avenger.exe sur votre bureau 


. Maintenant, lance The Avenger en cliquant sur son icône du bureau

/!\utilisateur de Vista et Seven, clique droit et le lancer en tant qu'administrateur

. Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C): 

Drivers to disable: 
tflxh 
Drivers to delete: 
 tflxh
Files to delete: 
 C:\Windows\system32\Drivers	flxh.sys

. Colle ce texte (Ctrl+V) dans le cadre :Input script here 

. Appuie sur Execute 

. Le pc va redémarrer
Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
Tuto :
http://www.oxygenepc.com/forum/the-avenger-t594.html

odz742 · Answer

Fait, mais le redémarrage a eu lieu en mode sans echec. Une analyse lancée automatiquement par un utilitaire Windows mentionnait notamment 2 erreurs
"Les ACL sur le fichier c:\windows\system32\KGyGaAvL.sys sont erronées", puis "operation correctement terminée". Idem sur un autre fichier bidon du meme répertoire.
Le PC a redémarré pour une seconde fois en mode normal. 

Voici le rapport Avenger


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "tflxh" disabled successfully.
Driver "tflxh" deleted successfully.
File "C:\Windows\system32\Drivers	flxh.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

Utilisateur anonyme · Answer

* /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard : 
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 
  

relance MBAM 
  
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur » 
  
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour  
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes  
. Une fois la mise à jour terminé 
. rend-toi dans l'onglet, Recherche  
. Sélectionnes Exécuter un examen rapide 
. Cliques sur Rechercher 
. Le scan démarre.  
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
. Cliques sur Ok pour poursuivre.  
. Si des malwares ont été détectés, cliques sur Afficher les résultats  
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.  
. rends toi dans l'onglet rapport/log  
. tu cliques dessus pour l'afficher une fois affiché  
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous  
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse  
. Tu cliques droit dans le cadre de la réponse et coller  
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!! 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ 



/!\ Absent du 13 au 29/08/2010 
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

odz742 · Answer

Aucun rootkit détecté cette fois-ci


Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4419

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18928

11/08/2010 16:26:24
mbam-log-2010-08-11 (16-26-24).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 153897
Temps écoulé: 19 minute(s), 0 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Merci de nouveau de votre aide

Utilisateur anonyme · Answer

vu que le rootkit arrive jamais seul :

* Télécharge ZHPDiag sur ton bureau :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://www.cijoint.fr/

tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

odz742 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201008/cijapPTXCl.txt

Utilisateur anonyme · Answer

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

HOSTFix

---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse
Tuto :
http://www.premiumorange.com/zeb-help-process/zhpfix.html

odz742 · Answer

Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
Fichier d'export Registre : 
Run by Olivier at 11/08/2010 17:05:18
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Fichier HOSTS ==========
127.0.0.1  => Domaine Supprimé
127.0.0.1192.168.0.71 demobox1  => Domaine Supprimé
127.0.0.1192.168.0.75 demobox2  => Domaine Supprimé
127.0.0.1192.168.0.76 demobox3  => Domaine Supprimé
127.0.0.1192.168.0.77 demobox4  => Domaine Supprimé
127.0.0.1192.168.0.80 demobox2b  => Domaine Supprimé
127.0.0.1  => Domaine Supprimé
Le fichier Hosts est sain


========== Récapitulatif ==========
7 : Fichier HOSTS


End of the scan

Utilisateur anonyme · Answer

ok, 
il y a juste ceci qui me poste de problème, :

O23 - Service: Andrea RT Filters Service (AERTFilters) . (.Andrea Electronics Corporation - Andrea filters APO access service (32-bit).) - C:\Windows\system32\AERTSrv.exe


as tu Arovax®AntiSpyware installé sur ton pc ?

*	/!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

	Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

http://raproducts.org/click/click.php?id=1

* Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
* Double-clique sur le répertoire JavaRa.
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).

/!\ utilisateur de Vista et Seven, clique droit et le lancer en tant qu'administrateur

* Choisis Français puis clique sur Select.
* Clique sur Recherche de mises à jour.
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
* Ferme l'application.

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.	

Tuto :
https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

odz742 · Answer

Non, je n'ai pas Arovax AntiSpyware installé, pour l'instant, meme si je l'ai peut-etre eu il y a quelque temps (j'ai supprimé quelques utilitaires dont je ne me servais pas). 

Je coince sur la MAJ Java. 
A la fin de l'install de la nouvelle version, un message d'erreur m'informe de la manière suivante 

lib\charset.jar: old file not found. But a file of same name was found. No update done since file contents do not match.
puis 
L'application des modifs sur votre système par Java Update n'a pas abouti

Utilisateur anonyme · Answer

ok, vas dans le menu ordinateur, paramètres, panneau de configuration, ajout suppression de programmes, regrade dans le menu si tu vois les anciennes version de java, vire tout, puis retélecharge la nouvelle vesion depuis leur site
java 6 upload 21  :-)


pour l'autre fichier, on le vire :

* Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
Copie/colle les lignes suivantes en gras et place les dans ZHPFix : 

---------------------------------------------------------- 

O23 - Service: Andrea RT Filters Service (AERTFilters) . (.Andrea Electronics Corporation - Andrea filters APO access service (32-bit).) - C:\Windows\system32\AERTSrv.exe 

---------------------------------------------------------- 

- Clique sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 
Tuto : 
http://www.premiumorange.com/zeb-help-process/zhpfix.html

odz742 · Answer

OK, merci, Java est réinstallé dans sa derniere version et voici le rapport ZHPFix 


Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010 
Fichier d'export Registre : C:\ZHPExportRegistry-11-08-2010-18-07-12.txt 
Run by Olivier at 11/08/2010 18:07:12 
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
Contact : nicolascoolman@yahoo.fr 

========== Clé(s) du Registre ========== 
O23 - Service: Andrea RT Filters Service (AERTFilters) . (.Andrea Electronics Corporation - Andrea filters APO access service (32- 

bit).) - C:\Windows\system32\AERTSrv.exe  => Clé supprimée avec succès 

========== Fichier(s) ========== 
c:\windows\system32\aertsrv.exe  => Supprimé et mis en quarantaine 


========== Récapitulatif ========== 
1 : Clé(s) du Registre 
1 : Fichier(s) 


End of the scan 



J'imagine que je reprends à la précédente étape (JavaRa - effacer les anciennes versions) ?

Utilisateur anonyme · Answer

non, laisse tomber javara !

*	Pour supprimer les outils de désinfection avec ZHP :

Pour Vista et windows 7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.
Note : si certains outils restent sur ton pc, il faut les supprimer manuellement


conserve MBAM sur ton pc, il est très efficace en complement de ton AV  :-)

fais une mise à jour de ton AV, lance un scan complet de ton pc, tiens moi au courant du résultat  :-)

odz742 · Answer

MBAM et mon antivirus tournent encore. So far, so good.

Utilisateur anonyme · Answer

arrête MBAM, laisse travaille ton AV en priorité  :-)

odz742 · Answer

Voici le résultat de l'analyse complète avec Bit Defender

BitDefender - Fichier journal 

Produit : BitDefender Antivirus 2009
Version : BitDefender UIScanner v.12
Tâche d'analyse : Analyse complète
Date du journal : 12/08/2010 16:56:45
Chemin du journal : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\full_scan\1281625005_1_02.xml

Analyse des chemins :Chemin 0000: C:\
Chemin 0001: D:\

Options d'analyse :Détecter les virus : Oui
Détecter les adwares : Oui
Détecter les spywares : Oui
Analyser les applications : Oui
Détecter les dialers : Oui
Détecter les rootkits : Oui

Options de sélection de cible :Analyser les clés du registre : Oui
Analyser les cookies : Oui
Analyser les secteurs de boot : Oui
Analyser les processus mémoire : Oui
Analyser les archives : Non
Analyser les fichiers enpaquetés : Oui
Analyser les e-mails : Non
Analyser tous les fichiers : Oui
Analyse heuristique : Oui
Extensions analysées : 
Extensions exclues : 

Traitement de la cible :Action par défaut pour les objets infectés : Désinfecter
Action par défaut pour les objets suspects : Aucune
Action par défaut pour les objets camouflés : Aucune
Action par défaut pour les objets infectés : Aucune
Action par défaut pour les objets suspects encryptés : Aucune
Action par défaut pour les objets protégés par mot de passe : Enregistrer comme non analysé

Résumé de l'analyseNombre de signatures de virus : 6144838
Plugins archives : 44
Plugins e-mail : 6
Plugins d'analyse : 14
Plugins système : 5
Plugins de décompression : 10

Résumé de l'analyse généraleEléments analysés : 186489
Eléments infectés : 2
Eléments suspects : 0
Eléments résolus : 2
Éléments non résolus : 2
Eléments protégés : 2
Éléments ultra-compressés : 0
Virus individuels trouvés : 2
Répertoires analysés : 41228
Secteur de boot analysés : 4
Archives analysés : 1
Erreurs I/O : 65
Temps d'analyse : 02:11:18
Fichiers par seconde : 23

Résumé des processus analysésAnalysé : 55
Infecté : 0

Résumé des clés de registre analyséesAnalysé : 1246
Infecté : 0

Résumé des cookies analysés
Analysé : 385
Infecté : 1

Problèmes résolusNom de l'objet Nom de la menace État final 
[System]=]C:\Users\Olivier\AppData\Roaming\Microsoft\Windows\Cookies\olivier@statse.webtrendslive[2].txt Cookie.WebTrendsSt Supprimé 
C:\Users\Olivier\AppData\Local\Temp\Notes1.pdf=](JAVASCRIPT) Exploit.PDF-JS.Gen Déplacé(s) en quarantaine 


Objets non scannés :Nom de l'objet Raison État final 
C:\Avenger\backup.zip=]avenger/avenger.txt Protégé par mot de passe Pas analysé 
C:\Avenger\backup.zip=]avenger/backup.reg Protégé par mot de passe Pas analysé 



MBAM n'a trouvé aucune menace.

Est-ce que je ne dois pas encore supprimer les points de restauration système anciens qui sont sans doute infectés avec l'ancien rootkit?

Utilisateur anonyme · Answer

désinstalle les tools de nettoyage, notament The avenger : 

C:\Avenger 


crée un nouveau point de restauration système, ça peut servire  :-) 

si tu n'as pluis d'autres soucis, il ne me reste plus qu'à te souhaiter un bon surf et une bonne journée  ;-) 

/!\ Absent du 13 au 29/08/2010 
O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø

odz742 · Answer

Super, Electricien 69, merci mille fois de tes conseils et de ta patience.
Bonne journée à toi et bonnes prochaines vacances, si j'en crois ton footer.

Utilisateur anonyme · Answer

yes  ;-)

Infection par Rootkit Agent

21 réponses

Discussions similaires