Rootkit.gen // Plus rien sur mon DD Fermé

Question

Bonjour, 

Depuis hier, j'avais des fenêtres de pub intempestives qui s'ouvraient.
J'ai donc lancé un scan avec Antivir qui détecté "TR/Rootkit.gen".
Aprés quelques recherches en ligne, j'ai installe GMER. J'ai alors lancé un scan sans surveiller et à mon retour, GMER était fermé et de nombreuses fenêtres de pub s'étaient ouvertes. J'ai fermé ces fenêtre, l'ordinateur a décidé de se redémarrer tout seul et au redémarrage : surprise!

Plus rien sur le bureau, plus rien dans "Mes documents" et mon C:/ ne contient plus qu'un seul fichier, "BOOTSECT.BAK" ( il m'indique néanmoins que mon disque dur est toujours à moitié plein...)

Je n'ai donc plus accès aux programmes et je n'ai plus accès à internet depuis ce poste étant donné que le logiciel qui gère ma clé USB wifi ne s'éxécute plus...

Que dois-faire?

D'avance merci


Configuration: Windows Vista / Firefox 3.6.17

gen-hackman · Accepted Answer

tu vas rire j'ai trouvé le beug je l'ai coorigé y'a une heure

jacques.gache · Answer

bonjour, essais de télécharger pré-scan depuis un autre pc et transfére le sur l'autre avec une clés usb et tu le mets bien sur le bureau !! 

desactive tes protections puis enregistre ceci sur ton bureau 

Pre_Scan

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan puis colle le contenu de "Pre_scan.txt" qui apparaitra à son terme , sur le bureau. 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

si l'outil semble ne pas avoir fonctionné clique plusieurs fois très rapidement dessus ou renomme-le winlogon ou change son extension en .com ou .scr

Florian · Answer

Merci,

alors j'ai exécuté Pre_Scan, il m'a tout récupéré sur le bureau mais pas dans C:/

Quand j'ouvre C:/ j'ai désormais, en plus de mon BOOTSECT.BAK, un dossier nommé "Kill'em" :S

gen-hackman · Answer

salut est-il possible de lire le rapport via https://www.cjoint.com/ ?

Florian · Answer

voici le rapport de scan
http://cjoint.com/data3/3FbvKxSnZO8.htm

merci beaucoup

gen-hackman · Answer

tu entendsz quoi par :

"il m'a tout récupéré sur le bureau mais pas dans C:/ "

Florian · Answer

Mon bureau etait vide à l'exception de la corbeille et aprés execution de Pre_Scan, mes icones et fichiers sont réapparus sur le bureau. 

De même, avant d'executer Pre_Scan, "Mes Document" etait vide et désormais je peux de nouveau accéder à mes fichiers

Et quand je vais dans C:/, je n'ai pas 'Program Files', 'Utilisateurs', etc...

gen-hackman · Answer

ca ne repond pas a ma question

Florian · Answer

une petit image pour illustrer 

http://imageshack.us/photo/my-images/830/98668937.jpg/

gen-hackman · Answer

ok jacques fais-lui faire l option 6 ddee la derniere version de roguekiller apparement j'approfondis pas assez les attributs je vais bosser ca ce soir :)

Florian · Answer

J'ai omis de préciser que j'ai deux comptes d'utilisateurs. 

J'ai suivi vos instructions pour la session Utilsateur1, tout c'est bien passé 

Par contre pour l'utilisateur2, le programme Pre_Scan s'interrompt sur un message d'erreur au bout de 3 minutes. 
En voici une capture d'écran http://imageshack.us/photo/my-images/233/erreurr.jpg/


J'ai donc tenté l'exécution de RogueKiller et voici le rapport 
http://cjoint.com/data/0FclDhxKeY5.htm 

J'ai de nouveau accés au contenu de mon C: mais dès que je reconnecte mon poste au réseau Wifi, Antivir s'affole et m'annonce que j'ai toujours Rootkit.gen

gen-hackman · Answer

hello bah c'est sur que si t'as un rootkit pre_scan a du mal ^^

gen-hackman · Answer

bonsoir supprime pre_scan , retelecharge-le et relance-le voir 
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

Florian · Answer

ca se bloque au même moment qu'avec la version antérieure

Florian · Answer

J'ai encore eu le même plantage. Je t'ai mis les détails
http://cjoint.com/data3/3FdvOIT8cCg.htm

gen-hackman · Answer

ah le probleme vient d'autre part là

gen-hackman · Answer

poste pre_scan.txt dans C:\ ?

gen-hackman · Answer

antivir n'est pas desactivé ?

gen-hackman · Answer

oui stp

Florian · Answer

voici

http://cjoint.com/11jn/AFewOHRneGf.htm

gen-hackman · Answer

selectionne ce texte sans les lignes :  
___________________________________________________  
file::  
C:\ProgramData\2E86CD8D0E.sys  
 C:\ProgramData\KGyGaAvL.sys        
C:\Users\Manon\AppData\Local\Temp\Qwl.exe
C:\Windows\Qzavua.exe                                                     
___________________________________________________  

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau  

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte   

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail   
G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

gen-hackman · Answer

pas bon t'as rien collé dans le texte ou tu as reactivé protections et tutti quanti

Florian · Answer

je m'étais emmêlé les pinceaux entre Pre_scan / Pre_script

http://cjoint.com/11jn/AFhxotovw7B.htm

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

Florian · Answer

ok, tout s'est bien passé

http://cjoint.com/data3/3FitVyBBOFh.htm

gen-hackman · Answer

regarde dans le dossier C:\Qoobox tu dois avoir un fichier Autorun.inf.vir quelque part , ouvre-le avec le bloc notes et colle son contenu ici dans ta reponse

Florian · Answer

ca marche pas quand je colle le contenu, c'est trop important apparemment

http://cjoint.com/?3Fiu0koRmkl

Florian · Answer

alors? ça donne quoi? je suis sorti d'affaire?

gen-hackman · Answer

ben je peux pas l'ouvrir

g3n-h@ckm@n · Answer

donc j'avais raison ce autorun.inf n'est pas infectieux ca vient bien de l'imprimante HP

Florian · Answer

Que dois-je faire alors?

g3n-h@ckm@n · Answer

bonjour

tu pourrais me reposter C:\Combofix.txt via cjoint.com stp l'autre n'est plus accessif

(ne relance pas combofix , poste juste son rapport comme precedemment)

Florian · Answer

here you go! http://cjoint.com/11jn/AFpuMf4gwX0.htm

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"HP Software Update"=-
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvBE4]

RegLockDel::
[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srvBE4]

Driver::
srvBE4

Netsvc::
srvBE4

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

Florian · Answer

merci

http://cjoint.com/data/0Fsi7EvjWdO.htm

g3n-h@ckm@n · Answer

ok retelecharge pre_scan il devrait passer sans probleme maintenant le rootkit qui le bloquait a sauté

Une copie infectée de c:\windows\system32\drivers
dproxy.sys a été trouvée et désinfectée 
Copie restaurée à partir de - The cat found it :)

Rootkit.gen // Plus rien sur mon DD

36 réponses

Discussions similaires