Infection par Rootkit Agent

Résolu
odz742 Messages postés 11 Statut Membre -  
 Utilisateur anonyme -
Bonjour,

Je n'arrive pas à me débarrasser d'un Rootkit Agent depuis plusieurs semaines.
Malwarebyte's Anti-Malware le détecte (dans un fichier C:\Windows\system32\Drivers\tflxh.sys), le supprime mais il est redétecté par AntiMalware au prochain redémarrage.

Merci de vos lumières.

21 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    bonjour,
    copie et colle le dernier rapport de MBAM dans ton prochain message.
    0
  2. odz742 Messages postés 11 Statut Membre
     
    Merci, le voici

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org
    
    Version de la base de données: 4418
    
    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18928
    
    11/08/2010 14:37:25
    mbam-log-2010-08-11 (14-37-25).txt
    
    Type d'examen: Examen rapide
    Elément(s) analysé(s): 155000
    Temps écoulé: 22 minute(s), 1 seconde(s)
    
    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1
    
    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)
    
    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)
    
    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    
    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    
    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)
    
    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)
    
    Fichier(s) infecté(s):
    C:\Windows\system32\Drivers\tflxh.sys (Rootkit.Agent) -> No action taken.
    
    
    0
  3. Utilisateur anonyme
     
    No action taken ==> il faut tout mettre en quarantaine, c'est toi qui choisis, mais on va le faire avec un autre outil

    o /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharge The Avenger par Swandog46 sur ton Bureau:

    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    Click sur Avenger.zip pour ouvrir le fichier
    Extraire avenger.exe sur votre bureau

    . Maintenant, lance The Avenger en cliquant sur son icône du bureau

    /!\utilisateur de Vista et Seven, clique droit et le lancer en tant qu'administrateur

    . Copie tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

    Drivers to disable:
    tflxh
    Drivers to delete:
    tflxh
    Files to delete:
    C:\Windows\system32\Drivers\tflxh.sys


    . Colle ce texte (Ctrl+V) dans le cadre :Input script here

    . Appuie sur Execute

    . Le pc va redémarrer
    Si le rapport ne s'affiche pas, il se trouve dans C:\ avenger
    Tuto :
    http://www.oxygenepc.com/forum/the-avenger-t594.html

    0
  4. odz742 Messages postés 11 Statut Membre
     
    Fait, mais le redémarrage a eu lieu en mode sans echec. Une analyse lancée automatiquement par un utilitaire Windows mentionnait notamment 2 erreurs
    "Les ACL sur le fichier c:\windows\system32\KGyGaAvL.sys sont erronées", puis "operation correctement terminée". Idem sur un autre fichier bidon du meme répertoire.
    Le PC a redémarré pour une seconde fois en mode normal.

    Voici le rapport Avenger

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com
    
    Platform:  Windows Vista
    
    *******************
    
    Script file opened successfully.
    Script file read successfully.
    
    Backups directory opened successfully at C:\Avenger
    
    *******************
    
    Beginning to process script file:
    
    Rootkit scan active.
    No rootkits found!
    
    Driver "tflxh" disabled successfully.
    Driver "tflxh" deleted successfully.
    File "C:\Windows\system32\Drivers\tflxh.sys" deleted successfully.
    
    Completed script processing.
    
    *******************
    
    Finished!  Terminate.
    
    
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    * /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    relance MBAM

    /!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
    . Une fois la mise à jour terminé
    . rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen rapide
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, cliques sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine
    .
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . rends toi dans l'onglet rapport/log
    . tu cliques dessus pour l'afficher une fois affiché
    . tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
    . tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . Tu cliques droit dans le cadre de la réponse et coller
    . À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    /!\ Absent du 13 au 29/08/2010
    O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
    0
  7. odz742 Messages postés 11 Statut Membre
     
    Aucun rootkit détecté cette fois-ci

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org
    
    Version de la base de données: 4419
    
    Windows 6.0.6002 Service Pack 2
    Internet Explorer 8.0.6001.18928
    
    11/08/2010 16:26:24
    mbam-log-2010-08-11 (16-26-24).txt
    
    Type d'examen: Examen rapide
    Elément(s) analysé(s): 153897
    Temps écoulé: 19 minute(s), 0 seconde(s)
    
    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0
    
    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)
    
    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)
    
    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    
    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)
    
    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)
    
    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)
    
    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    


    Merci de nouveau de votre aide
    0
  8. Utilisateur anonyme
     
    vu que le rootkit arrive jamais seul :

    * Télécharge ZHPDiag sur ton bureau :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.

    /!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
    * Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
    http://www.cijoint.fr/

    tuto zhpdiag :
    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    0
  9. odz742 Messages postés 11 Statut Membre
     
    http://www.cijoint.fr/cjlink.php?file=cj201008/cijapPTXCl.txt
    0
  10. Utilisateur anonyme
     
    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

    ----------------------------------------------------------

    HOSTFix

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :
    http://www.premiumorange.com/zeb-help-process/zhpfix.html
    0
  11. odz742 Messages postés 11 Statut Membre
     
    Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010
    Fichier d'export Registre : 
    Run by Olivier at 11/08/2010 17:05:18
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr
    
    ========== Fichier HOSTS ==========
    127.0.0.1  => Domaine Supprimé
    127.0.0.1192.168.0.71 demobox1  => Domaine Supprimé
    127.0.0.1192.168.0.75 demobox2  => Domaine Supprimé
    127.0.0.1192.168.0.76 demobox3  => Domaine Supprimé
    127.0.0.1192.168.0.77 demobox4  => Domaine Supprimé
    127.0.0.1192.168.0.80 demobox2b  => Domaine Supprimé
    127.0.0.1  => Domaine Supprimé
    Le fichier Hosts est sain
    
    
    ========== Récapitulatif ==========
    7 : Fichier HOSTS
    
    
    End of the scan
    
    
    0
  12. Utilisateur anonyme
     
    ok,
    il y a juste ceci qui me poste de problème, :

    O23 - Service: Andrea RT Filters Service (AERTFilters) . (.Andrea Electronics Corporation - Andrea filters APO access service (32-bit).) - C:\Windows\system32\AERTSrv.exe

    as tu Arovax®AntiSpyware installé sur ton pc ?

    * /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    Télécharge JavaRa.zip de Paul McLain et Fred de Vries.

    http://raproducts.org/click/click.php?id=1

    * Décompresse le fichier sur le Bureau (Clic droit > Extraire tout).
    * Double-clique sur le répertoire JavaRa.
    * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher).

    /!\ utilisateur de Vista et Seven, clique droit et le lancer en tant qu'administrateur

    * Choisis Français puis clique sur Select.
    * Clique sur Recherche de mises à jour.
    * Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher.
    * Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes.
    * L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions.
    * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK.
    * Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse.
    * Ferme l'application.

    Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log.

    Tuto :
    https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

    0
  13. odz742 Messages postés 11 Statut Membre
     
    Non, je n'ai pas Arovax AntiSpyware installé, pour l'instant, meme si je l'ai peut-etre eu il y a quelque temps (j'ai supprimé quelques utilitaires dont je ne me servais pas).

    Je coince sur la MAJ Java.
    A la fin de l'install de la nouvelle version, un message d'erreur m'informe de la manière suivante
    lib\charset.jar: old file not found. But a file of same name was found. No update done since file contents do not match.

    puis
    L'application des modifs sur votre système par Java Update n'a pas abouti
    0
  14. Utilisateur anonyme
     
    ok, vas dans le menu ordinateur, paramètres, panneau de configuration, ajout suppression de programmes, regrade dans le menu si tu vois les anciennes version de java, vire tout, puis retélecharge la nouvelle vesion depuis leur site
    java 6 upload 21 :-)

    pour l'autre fichier, on le vire :

    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

    ----------------------------------------------------------

    O23 - Service: Andrea RT Filters Service (AERTFilters) . (.Andrea Electronics Corporation - Andrea filters APO access service (32-bit).) - C:\Windows\system32\AERTSrv.exe

    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :
    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    0
  15. odz742 Messages postés 11 Statut Membre
     
    OK, merci, Java est réinstallé dans sa derniere version et voici le rapport ZHPFix

    Rapport de ZHPFix v1.12.3133 par Nicolas Coolman, Update du 05/08/2010 
    Fichier d'export Registre : C:\ZHPExportRegistry-11-08-2010-18-07-12.txt 
    Run by Olivier at 11/08/2010 18:07:12 
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html 
    Contact : nicolascoolman@yahoo.fr 
    
    ========== Clé(s) du Registre ========== 
    O23 - Service: Andrea RT Filters Service (AERTFilters) . (.Andrea Electronics Corporation - Andrea filters APO access service (32- 
    
    bit).) - C:\Windows\system32\AERTSrv.exe  => Clé supprimée avec succès 
    
    ========== Fichier(s) ========== 
    c:\windows\system32\aertsrv.exe  => Supprimé et mis en quarantaine 
    
    
    ========== Récapitulatif ========== 
    1 : Clé(s) du Registre 
    1 : Fichier(s) 
    
    
    End of the scan 
    
    


    J'imagine que je reprends à la précédente étape (JavaRa - effacer les anciennes versions) ?
    0
  16. Utilisateur anonyme
     
    non, laisse tomber javara !

    * Pour supprimer les outils de désinfection avec ZHP :

    Pour Vista et windows 7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique sur le A rouge (Nettoyeur de Tools).

    Clique sur Nettoyer.

    Fais redémarrer l'ordi pour terminer le nettoyage.
    Note : si certains outils restent sur ton pc, il faut les supprimer manuellement

    conserve MBAM sur ton pc, il est très efficace en complement de ton AV :-)

    fais une mise à jour de ton AV, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

    0
  17. odz742 Messages postés 11 Statut Membre
     
    MBAM et mon antivirus tournent encore. So far, so good.
    0
  18. Utilisateur anonyme
     
    arrête MBAM, laisse travaille ton AV en priorité :-)
    0
  19. odz742 Messages postés 11 Statut Membre
     
    Voici le résultat de l'analyse complète avec Bit Defender
    BitDefender - Fichier journal 
    
    Produit : BitDefender Antivirus 2009
    Version : BitDefender UIScanner v.12
    Tâche d'analyse : Analyse complète
    Date du journal : 12/08/2010 16:56:45
    Chemin du journal : C:\ProgramData\Bitdefender\Desktop\Profiles\Logs\full_scan\1281625005_1_02.xml
    
    Analyse des chemins :Chemin 0000: C:\
    Chemin 0001: D:\
    
    Options d'analyse :Détecter les virus : Oui
    Détecter les adwares : Oui
    Détecter les spywares : Oui
    Analyser les applications : Oui
    Détecter les dialers : Oui
    Détecter les rootkits : Oui
    
    Options de sélection de cible :Analyser les clés du registre : Oui
    Analyser les cookies : Oui
    Analyser les secteurs de boot : Oui
    Analyser les processus mémoire : Oui
    Analyser les archives : Non
    Analyser les fichiers enpaquetés : Oui
    Analyser les e-mails : Non
    Analyser tous les fichiers : Oui
    Analyse heuristique : Oui
    Extensions analysées : 
    Extensions exclues : 
    
    Traitement de la cible :Action par défaut pour les objets infectés : Désinfecter
    Action par défaut pour les objets suspects : Aucune
    Action par défaut pour les objets camouflés : Aucune
    Action par défaut pour les objets infectés : Aucune
    Action par défaut pour les objets suspects encryptés : Aucune
    Action par défaut pour les objets protégés par mot de passe : Enregistrer comme non analysé
    
    Résumé de l'analyseNombre de signatures de virus : 6144838
    Plugins archives : 44
    Plugins e-mail : 6
    Plugins d'analyse : 14
    Plugins système : 5
    Plugins de décompression : 10
    
    Résumé de l'analyse généraleEléments analysés : 186489
    Eléments infectés : 2
    Eléments suspects : 0
    Eléments résolus : 2
    Éléments non résolus : 2
    Eléments protégés : 2
    Éléments ultra-compressés : 0
    Virus individuels trouvés : 2
    Répertoires analysés : 41228
    Secteur de boot analysés : 4
    Archives analysés : 1
    Erreurs I/O : 65
    Temps d'analyse : 02:11:18
    Fichiers par seconde : 23
    
    Résumé des processus analysésAnalysé : 55
    Infecté : 0
    
    Résumé des clés de registre analyséesAnalysé : 1246
    Infecté : 0
    
    Résumé des cookies analysés
    Analysé : 385
    Infecté : 1
    
    Problèmes résolusNom de l'objet Nom de la menace État final 
    [System]=]C:\Users\Olivier\AppData\Roaming\Microsoft\Windows\Cookies\olivier@statse.webtrendslive[2].txt Cookie.WebTrendsSt Supprimé 
    C:\Users\Olivier\AppData\Local\Temp\Notes1.pdf=](JAVASCRIPT) Exploit.PDF-JS.Gen Déplacé(s) en quarantaine 
    
    
    Objets non scannés :Nom de l'objet Raison État final 
    C:\Avenger\backup.zip=]avenger/avenger.txt Protégé par mot de passe Pas analysé 
    C:\Avenger\backup.zip=]avenger/backup.reg Protégé par mot de passe Pas analysé 
    
    


    MBAM n'a trouvé aucune menace.

    Est-ce que je ne dois pas encore supprimer les points de restauration système anciens qui sont sans doute infectés avec l'ancien rootkit?
    0
  20. Utilisateur anonyme
     
    désinstalle les tools de nettoyage, notament The avenger :

    C:\Avenger

    crée un nouveau point de restauration système, ça peut servire :-)

    si tu n'as pluis d'autres soucis, il ne me reste plus qu'à te souhaiter un bon surf et une bonne journée ;-)

    /!\ Absent du 13 au 29/08/2010
    O.o°*??? Membre, Contributeur Sécurité CCM o°.Oø¤º°'°º¤ø
    0
  21. odz742 Messages postés 11 Statut Membre
     
    Super, Electricien 69, merci mille fois de tes conseils et de ta patience.
    Bonne journée à toi et bonnes prochaines vacances, si j'en crois ton footer.
    0
  • 1
  • 2