Rookit detecté par Avast Résolu/Fermé

Question

Bonjour, ai des rookit a l 'emplacement C:windows\winsxs 
je peux les supprimer sans aucun risque ? je ne peux pas les mettre en zone de quarantaine




Configuration: Windows Vista / Safari 533.19.4

Smart91 · Accepted Answer

Bonjour,

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur la loupe pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
-  Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
-  Sélectionne le fichier ZHPDiag.txt. 
-  Clique sur "Cliquez ici pour déposer le fichier". 
-  Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
-  Copie ce lien dans ta réponse.

Smart

Saverin · Answer

voici le lien : http://www.cijoint.fr/cjlink.php?file=cj201101/cijtlQv0aW.txt

Smart91 · Answer

Je ne vois rien d'infectieux.
Cependant tu as plusieurs antivirus : Avast5, Norton et McAffee
Cela ne sert à rien sinon d'avoir des conflits et ralentir ton ordinateur.

Il faut que tu en gardes un seul. Les autres étant payant, tu peux garder Avast5 qui est très bien, mais c'est à toi de voir.

Si tu as le rapport Avast poste le 

Ensuite par précaution tu vas faire ceci:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur parcourir
- Dans nom du fichier colle ce fichier : C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe
- Clique sur Send File et puis reanalyze
- Le Fichier est mis en file d'attente. Attends la fin du scan et poste le lien vers le rapport

Et tu fais la même chose pour les fichiers suivants:
C:\Users\ALEX\AppData\Local\Temp\VSUSetup.exe
C:\WINDOWS\system32\drivers\atapi.sys 

Smart

Saverin · Answer

Pour C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe :
http://www.virustotal.com/file-scan/report.html?id=3729879709eca176b9f6a51a3acb23d7f4ab551adadbbfa7f58f95436d599cd8-1296081762
Des fois certaines de mes pages se ferment....

Saverin · Answer

Safari se ferme avec un message d erreur... :(

Smart91 · Answer

Quel est le message d'erreur ?
Et si tu utilises IExplorer, as-tu les mêmes soucis ?

Smart

Saverin · Answer

C:\Users\ALEX\AppData\Local\Temp\VSUSetup.exe 

http://www.virustotal.com/file-scan/report.html?id=4db3f983f608e626f1c14f70aeac8d8f4bab98ab231c935530ddcc41e96d5f45-1296082721

Saverin · Answer

J ai posté le dernier message en utilisant IE , donc c est bon :)
Sur Safari le message d erreur etait classique " Safari rencontre des problêmes " mais a chaque fois c etait au moment ou j appuyer sur " Valider "

Saverin · Answer

je n'arrive plus a ouvrir virustotal avec les 2 naviguateur :( , est ce suspect ?
Je suis désolé mais je dois partir , j espere que vous pourrez encore m aider demain, je vous remercie de votre spontanéité 
de + j ai essayer de supprimer les rookits avec avast , mais il m indiquer qu il ne trouver pas les fichiers! Merci et a demain!

Smart91 · Answer

Je n'arrive pas à lire ton dernier rapport VT

Smart

Saverin · Answer

Pour C:\WINDOWS\system32\drivers\atapi.sys 


http://www.virustotal.com/file-scan/report.html?id=82609f01a08c6842e4c17c077bb641c1429c0e6657964b7f2d114035e1bdcbf3-1296126544

Aucun probleme apparemment....

Pour le dernier lien, il remarche 

J'attend vos analyses avec impatience , merci

Smart91 · Answer

Tu vas faire ceci:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\AutoRun\command - Clé orpheline 
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\open\command - Clé orpheline 
[MD5.68EEFAC0BDA2973200B42C1D9B7D263D] [SPRF] (.Pas de propriétaire - Pas de description.) -- C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe   [58760]
HKCU\Software\AppDataLow\Software\Conduit]  
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Smart

Saverin · Answer

Bonjour,
Voici le rapport ZHpfix :


Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-27-01-2011-13-09-56.txt
Run by ALEX at 27/01/2011 13:09:56
Windows Vista Home Premium Edition, 32-bit Service Pack 1 (Build 6001)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Processus mémoire ==========
C:\Users\ALEX\AppData\Local\Temp\symlcsv1.exe [58760]  => Supprimé et mis en quarantaine

========== Clé(s) du Registre ==========
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\AutoRun\command - Clé orpheline  => Clé supprimée avec succès
O51 - MPSK:{cd411d9e-4bb0-11df-819d-0023547ec5ef}\Shell\open\command - Clé orpheline  => Clé absente

========== Autre ==========
HKCU\Software\AppDataLow\Software\Conduit]  => Format Non supporté


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
1 : Autre


End of the scan



Merci de votre aide

Smart91 · Answer

Est-ce que avast détecte toujours le rootkit ?

Smart

Saverin · Answer

En faites , ce n etait pas ma gestion résidente qui avait détécter les rookit. Hier par mesure préventive j ai lancé un scan complet avec Avast , qui m indiquait que j avais 11 rookit detecté et 1 malware , avast n a pu  mettre que le malware en zones de quarantaine , d après avast les fichiers inféctés par les rookit seraient introuvable. Voila , qu'en pensez vous ?
Merci de votre aide. ( les problemes avec safari se sont réglés , je n ai plus de message d erreur pour le moment )

Smart91 · Answer

Pour moi je ne vois pas d'infection.

Est-ce que tu peux faire une copie d'écran de ce doxsier C:\windows\winsxs

Et de la poster via cijoint dans ta réponse

Smart

Saverin · Answer

Voila la copie d'écran de C:\windows\winsxs  : http://www.cijoint.fr/cjlink.php?file=cj201101/cijIwKUh6H.jpg

Merci

Smart91 · Answer

Ce ne sont que des dossiers tu n'as pas eu une indication plus précise de la part d'Avast quand il dit rookit a l 'emplacement C:windows\winsxs 
Ou alors peux-tu poster le rapport de log d'avast

Smart

Saverin · Answer

voici une nouvelle copie d'écran du rapport log de Avast https://imageshack.com/

Saverin · Answer

J'ai changé d'hebergeur car cipoint me disait a chaque fois que je ne mettais pas de fichier, et quand j ai essayer sur photo-partage.net , il y avait une erreur.
Merci encore

Smart91 · Answer

Je pense que sont des faux positif. En plus c'est le même fichier pour différents langage

Est-ce que la sensibilité heuristic d'Avast est sur normale ?

Smart

Saverin · Answer

Oui elle est sur Normal , de plus je me suis permis de réaliser un scan complet avec malwarebytes anti malware , il m'indique que aucun élément nuisible n'a été détécté.

Smart91 · Answer

Tu peux poster le rapport MBAM

Smart

Saverin · Answer

Voilà le rapport MBAM :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5581

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

27/01/2011 17:18:18
mbam-log-2011-01-27 (17-18-18).txt

Type d'examen: Examen complet (C:\|D:\|E:\|)
Elément(s) analysé(s): 348228
Temps écoulé: 2 heure(s), 45 minute(s), 20 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Smart91 · Answer

Refais un derneir scan ZHPDiag poste le rapport via cijoint et nnsuite on va passer à la phase finale. il nous reste à faire:
- les mises à jour prioritaires
- l'optimisation du PC
- la désinstallation des outils de désinfection
- les conseils de prévention quand on surfe sur Internet

Smart

Saverin · Answer

Voici le rapport ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201101/cijG8baN7l.txt

Smart91 · Answer

Je voulais déjà te le dire, tu as deux antivirus Avast et Norton. Cela ne sert à rien sinon d'engendrer des conflits et ralentir ton PC.
Tu as également des restes de McAffee

Ne garde qu'un seul antivirus AVast5 ou Noton. Avast5 est gratuit et très bien.
Pour bien désinstaller McAffe ==> https://service.mcafee.com/webcenter/portal/cp/home/articleview?articleId=TS100507

Fais les mises à jour suivantes:

Mise à jour Vista SP2
http://www.microsoft.com/downloads/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3&displaylang=fr

Mise à jour IE8
https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
et lis ceci: Pourquoi tenir ses programmes a jour 

Optimisation:

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) 
Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe
OPT:O4 - HKCU\..\Run: [WindowsWelcomeCenter]  oobefldr.dll
OPT:O4 - HKCU\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter]  oobefldr.dll
OPT:O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter]  oobefldr.dll
OPT:O4 - HKUS\S-1-5-21-1341805345-21172688-3066326118-1002\..\Run: [WindowsWelcomeCenter]  oobefldr.dll
OPT:O4 - HKUS\S-1-5-21-1341805345-21172688-3066326118-1002\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe
OPT:O23 - Service:  (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKLM\Software\BrowserChoice]
OPT:SR - | Auto 07/10/2010 345376 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe
[HKCU\Software\AppDataLow\Software\Conduit] 
---------------------------------------------------------- 
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur « OK » puis sur « Tous », puis sur « Nettoyer » 
- Copie/colle la totalité du rapport dans ta prochaine réponse

1. Désinstallation des outils

Lance ZHPFix (pour ça, fais un clic-droit dessus et choisis « Exécuter en temps qu'administrateur ») --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer » 
Tutoriel pour t'aide

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Il est nécessaire de désactiver puis réactiver la restauration système de Vista pour la purger.
Quelques conseils de Prévention

- Réactive l'UAC si ce n'est pas déjà fait. 

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

- Par rapport au P2P : http://www.libellules.ch/... 

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas  

Smart

Saverin · Answer

Pour commencer j ai ouvert windows update qui me recommandé 2 mises a jour importantes , IE8 et la Mise a jour de outil de supression des virus Windows-janvier 2011, néanmoins cette derniere n'est pas la même que sur ce lien que vous m avez recommandé http://www.microsoft.com/downloads/details.aspx?FamilyID=a4dd31d5-f907-4406-9012-a5c3199ea2b3&displaylang=fr est ce normal ?
Ensuite concernant mc afee, je ne comprend pas la 3ème qui est de réinstaller les produits mcafee, pourriez vous m 'éclairer ?

je vous ferez passer passer le rapport de ZHP fix dans de brefs délais , et pour les mises a jour des mes programmes, j ai sécunia, qui m'indique le chiffre de 99% de programmes a jour , donc voilà

Merci bien

Smart91 · Answer

C'est très bien de faire  les mises à jour par Windows update. Pas obligé d'utiliser mon lien. 

En fait l'étape 3 , il ne faut pas la faire bien évidement. C'est juste pour désinstaller corrrectement McAffee

Smart

Saverin · Answer

Bonjour,

J'ai fait toutes les mises à jour importantes pour Vista et IE8 avec windows Update
Ensuite j ai suivi les instructions pour désinstaller Mcafee
99 % de mes programmes sont à jour d'après Secunia ( il arrive pas a me trouver la derniere version de Google Picasa )
Concernant mes 2 antirus restant , je pense gardé Avast qui me parait bien plus sécurisant, je garde Malware , je l es depuis 3 mois , je me demandé si je devais installer un autre anti spyware comme Spybot ? de plus j ai seulement le Pare feu windows.

Voila le rapport ZHP fix:

Rapport de ZHPFix 1.12.3240 par Nicolas Coolman, Update du 21/01/2011
Fichier d'export Registre : C:\ZHPExportRegistry-28-01-2011-13-58-21.txt
Run by ALEX at 28/01/2011 13:58:21
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

========== Clé(s) du Registre ==========
O23 - Service: (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe  => Clé supprimée avec succès
HKLM\Software\BrowserChoice  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Conduit  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Update Scheduler.) -- C:\Program Files\Common Files\Java\Java Update\jusched.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  => Valeur supprimée avec succès
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès
O4 - HKCU\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur supprimée avec succès
O4 - HKUS\S-1-5-21-1341805345-21172688-3066326118-1002\..\Run: [WindowsWelcomeCenter] oobefldr.dll  => Valeur absente
O4 - HKUS\S-1-5-21-1341805345-21172688-3066326118-1002\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  => Valeur absente


========== Récapitulatif ==========
3 : Clé(s) du Registre
10 : Valeur(s) du Registre


End of the scan



merci de votre aide!

Smart91 · Answer

Tu n'as pas besoin de spybot, il est dépassé et ne fait que ralentir la machine.
Si ton ton PC est connecté derrière une box  un routeur, le parefeu Windows est suffisant.
Sinon tu peux utiliser Comodo ==> https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/

Smart

Saverin · Answer

Et le rapport ZHP fix, qu'en avait vous pensez?  Je peux désinstaller les outils de desinfection ?

Smart91 · Answer

Oui tu peux faire la suite

Smart

Saverin · Answer

Bonjour , 

C'est bon ,j ai suprimé les outils de desinfection,  j ai utilisé cc cleaner, j'avais revo uninstaller , je devrais peut être me contenter de garder seulement ccl cleaner ?
Il ne me reste plus qu' à désactiver puis réactiver la restauration système de Vista pour la purger. 
J ai remarquer sur certains sujets que la désinstallation de norton etait assez dur , auriez vous un bon lien à me proposer ?

Merci bien !

Smart91 · Answer

Pour la désinstallation de Norton ==>
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

Smart

Saverin · Answer

Bonjour,

J' ai désactivé puis réactivé la restauration système de Vista pour la purger.
J'ai lu chacun des articles que vous m'avez proposé ( j avais déja vu celui de libellules ), et l'autre fait réèllement prendre consciences des risques ( nombreux ! ).Il ne me reste plus qu'à desinstaller Norton.
Ensuite , il me reste 2 questions à vous poser :
Dois-je garder revo uninstaller alors que j ai cc cleaner ?
Sachant que pour protéger mon ordinateur , j ai Avast , malware bytes anti-walware, je suis un peu méfiant et je me demande si cela est suffisant, l installation de l'extension Web of Trust (WOT) serait tel un bonne chose pour prévenir ?

Merci de m'avoir consacré du temps :)

Smart91 · Answer

J'ai entendu que du bien de revo unistaller, en revanche je ne le connais pas car j'ai l'habitude d'utiliser CCleaner. C'est à de voir.

Tu as tout à fait raison d'installer l'extension WOT, C'est une très bonne chose.

Smart

Saverin · Answer

Bonjour,

Je vous remercie de m'avoir répondu ces derniers jours , ca fait plaisir de voir que ce forum est vraiment solidaire :), si jamais il m arrive un autre probleme ou que j ai une quelconque question , je peux me encore m'adresser à vous ?

Smart91 · Answer

Pas de soucis tu postes une nouvelle demande dans le forum, nous sommes plusieurs à pouvoir répondre.  

Heureux de t'avoir aidé  

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Rookit detecté par Avast

39 réponses

Discussions similaires