Rootkit infection
Résolu/Fermé
Ika
-
13 août 2010 à 22:27
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 14 août 2010 à 13:50
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 14 août 2010 à 13:50
A voir également:
- Rootkit infection
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Anti-rootkit gratuit - Télécharger - Antivirus & Antimalwares
- Gmer anti rootkit - Télécharger - Antivirus & Antimalwares
- Malwarebyte anti rootkit - Télécharger - Antivirus & Antimalwares
16 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
13 août 2010 à 22:32
13 août 2010 à 22:32
Bonjour,
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
MBRFix
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :
----------------------------------------------------------
MBRFix
----------------------------------------------------------
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer »
- Copie/colle la totalité du rapport dans ta prochaine réponse
Smart
Voici le rapport suivant:
Rapport de ZHPFix v1.12.3126 par Nicolas Coolman, Update du 23/07/2010
Fichier d'export Registre :
Run by TKPSM at 13/08/2010 22:33:37
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x838721F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x838721f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
========== Récapitulatif ==========
1 :Master Boot Record
End of the scan
Rapport de ZHPFix v1.12.3126 par Nicolas Coolman, Update du 23/07/2010
Fichier d'export Registre :
Run by TKPSM at 13/08/2010 22:33:37
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
========== Master Boot Record ==========
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x838721F8]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x838721f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !
Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net
device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
========== Récapitulatif ==========
1 :Master Boot Record
End of the scan
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
13 août 2010 à 22:40
13 août 2010 à 22:40
Cela peut venir de l'émulateur de CD/DVD Daemon Tools.
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
Ensuite tu refais un scan ZHPDiag et poste le rapport.
Smart
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
Ensuite tu refais un scan ZHPDiag et poste le rapport.
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
13 août 2010 à 23:10
13 août 2010 à 23:10
C'est Daemon tools qui porvoque cette alerte
Tu peux réactiver ce logiciel en relançant Defogger et en cliquant sur "Re-enable"
On va quand même s'assurrer:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Tu peux réactiver ce logiciel en relançant Defogger et en cliquant sur "Re-enable"
On va quand même s'assurrer:
/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
Smart
Re, euh j'ai pas vu supprimer la selection et tout...
Voici le résultat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4426
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
13/08/2010 23:57:04
mbam-log-2010-08-13 (23-57-04).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 204899
Temps écoulé: 39 minute(s), 13 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Voici le résultat:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4426
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18943
13/08/2010 23:57:04
mbam-log-2010-08-13 (23-57-04).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|K:\|)
Elément(s) analysé(s): 204899
Temps écoulé: 39 minute(s), 13 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
14 août 2010 à 00:33
14 août 2010 à 00:33
Donc rien de particulier.
Fais les mise à jour suivantes:
Mise à Jour Avast:
Désinstalle Avast 4 ==> https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
Installe Avast 5 ==> https://www.avast.com/fr-fr/free-antivirus-download
Mise à jour flashplayer vers la version 10.1.82.76* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin
Mise à jour Adobe Air ==> https://get.adobe.com/air/?loc=fr
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Lance Hijackthis et fais un Do scan Only et coches les les lignes suivantes
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe
O4 - HKUS\S-1-5-21-792485770-3310026718-2537255518-1000\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe
Ensuite tu fais fix checked
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.
Quelques conseils de Prévention
- Réactive l'UAC si ce n'est pas déjà fait.
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.
- Par rapport au P2P : http://www.libellules.ch/...
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Voilà pour moi c'est terminé. Si tu as des questions, n'hésite pas
Smart
Fais les mise à jour suivantes:
Mise à Jour Avast:
Désinstalle Avast 4 ==> https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
Installe Avast 5 ==> https://www.avast.com/fr-fr/free-antivirus-download
Mise à jour flashplayer vers la version 10.1.82.76* Ferme tous tes navigateurs
* A partir du panneau de configuration de Windows, désinstalle Adobe FlashPlayer ActiveX (utilisé par IE) et Adobe FlashPlayer Plugin (utilisé par les autres navigateurs).
* Réinstalle ActiveX (Décoche la case concernant l'installation de la Googlebar) et/ou le plugin
Mise à jour Adobe Air ==> https://get.adobe.com/air/?loc=fr
Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour
Lance Hijackthis et fais un Do scan Only et coches les les lignes suivantes
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe
O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe
O4 - HKUS\S-1-5-21-792485770-3310026718-2537255518-1000\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe
Ensuite tu fais fix checked
1. Désinstallation des outils
Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aide
2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre).
3. Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.
Quelques conseils de Prévention
- Réactive l'UAC si ce n'est pas déjà fait.
- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.
- Par rapport au P2P : http://www.libellules.ch/...
- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) :
Prévention et Protection
Voilà pour moi c'est terminé. Si tu as des questions, n'hésite pas
Smart
Smart91 j'ai un problème quand je veux désinstaller avast4 j'ai ce message:
"The avast! self protection module is enabled. For this reason, the operation cannot be completed.
To complete the operation, either run this program from Windows Safe Mode, or disable the avast! self protection
(via settings -> Troubleshooting page ). "
Que dois-je faire ?
"The avast! self protection module is enabled. For this reason, the operation cannot be completed.
To complete the operation, either run this program from Windows Safe Mode, or disable the avast! self protection
(via settings -> Troubleshooting page ). "
Que dois-je faire ?
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
14 août 2010 à 00:47
14 août 2010 à 00:47
Désactive la protection résidente de avast4 avant de le désinstaller
Smart
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
14 août 2010 à 01:26
14 août 2010 à 01:26
Tu as bien utilisé le lien que je t'ai donné:
https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
Smart
https://www.commentcamarche.net/telecharger/securite/22859-utilitaire-de-desinstallation-de-avast/
Smart
Bonjour Smart,
En fait il fallait faire ceci:
"Cela peut être fait dans les "Réglages du programme", section "Dépannage" - cochez y l'option "Désactiver le module self-defense d'avast!".
En fait il fallait faire ceci:
"Cela peut être fait dans les "Réglages du programme", section "Dépannage" - cochez y l'option "Désactiver le module self-defense d'avast!".
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
14 août 2010 à 11:52
14 août 2010 à 11:52
En effet tu as raison, ils ont changé le nom avec la version 5 et applle cela "Protection résidente
Est-ce que tu as téléchargé la version 5 et fais la suite ?
Smart
Est-ce que tu as téléchargé la version 5 et fais la suite ?
Smart
Euh il me manque le numéro 3 (restauration système).
Je n'ai pas trouvé ces lignes sur hijackthis.
O4 - HKUS\S-1-5-21-792485770-3310026718-2537255518-1000\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe
Ensuite tu fais fix checked
Après avoir fait fix checked sur "O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe " est-ce normal que Steam ne se démarre pas au démarrage de mon ordinateur ?
Merci d'avance
Je n'ai pas trouvé ces lignes sur hijackthis.
O4 - HKUS\S-1-5-21-792485770-3310026718-2537255518-1000\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe
Ensuite tu fais fix checked
Après avoir fait fix checked sur "O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe " est-ce normal que Steam ne se démarre pas au démarrage de mon ordinateur ?
Merci d'avance
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
14 août 2010 à 12:33
14 août 2010 à 12:33
"Après avoir fait fix checked sur "O4 - HKCU\..\Run: [Steam] . (.Valve Corporation - Steam.) -- c:\program files\steam\steam.exe " est-ce normal que Steam ne se démarre pas au démarrage de mon ordinateur ?"
Oui c'est normal mais c'est de ma faute, j'aurais dû te demander avant si tu voulais lancer ce programme au démarrage du PC.
Pour le remettre, soit tu lances le programmes et tu vas dans les options où tu dois trouver une case à cocher qui permet de le lancer automatiquement au démarage du PC.
Soit, si tu ne trouves pas cette case tu fais ceci:
- Va dans le menu Démarrer > Tous les programmes, et fais un clic droit sur le dossier "Démarrage", puis clique sur Ouvrir (Clique sur Ouvrir tous les utilisateur si tu désires que le programme se lance quelque soit la session ouverte).
- Dans la fenêtre qui s'ouvre, fais un clic droit sur un emplacement vide > Nouveau > Raccourcis.
- Clique sur Parcourir , et spécifiez le fichier steam.exe à démarrer en même temps que Windows.
- Clique sur Suivant, pour terminer l'assistant
.
Smart
Oui c'est normal mais c'est de ma faute, j'aurais dû te demander avant si tu voulais lancer ce programme au démarrage du PC.
Pour le remettre, soit tu lances le programmes et tu vas dans les options où tu dois trouver une case à cocher qui permet de le lancer automatiquement au démarage du PC.
Soit, si tu ne trouves pas cette case tu fais ceci:
- Va dans le menu Démarrer > Tous les programmes, et fais un clic droit sur le dossier "Démarrage", puis clique sur Ouvrir (Clique sur Ouvrir tous les utilisateur si tu désires que le programme se lance quelque soit la session ouverte).
- Dans la fenêtre qui s'ouvre, fais un clic droit sur un emplacement vide > Nouveau > Raccourcis.
- Clique sur Parcourir , et spécifiez le fichier steam.exe à démarrer en même temps que Windows.
- Clique sur Suivant, pour terminer l'assistant
.
Smart
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 328
14 août 2010 à 13:50
14 août 2010 à 13:50
Heureux de t'avoir aidé
Smart
Smart