Win32.seftbov et rootkit zero

Sam31 -  
jlpjlp Messages postés 52399 Statut Contributeur sécurité -
Bonjour à tous.

Je vous expose mon problème,hier mon antivirus(microsoft essential) a détecté win32.seftbov,je l'ai supprimé puis j'ai lancer une analyse malwarebit et il a repérer deux rootkitzero.acess,après plusieur rédemarrage car les mêmes virus revenait,enfin plus rien.
Mais j'avais quand même quand à la persistance de ces virus,j'ai lancé Gmer pour analyser et bam mon ordi écran bleu et redémarrage.....,de plus mon malwarebit ne cesse de stopper des attaques de rootkit... donc la je sais plus trop quoi faire....
Desolé si j'ai fait un peu long,merci d'avance.........

<config>Windows Vista 1 / Firefox 9.o

15 réponses

  1. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    colles nous le rapport de malwarebyte

    puis

    sauvegarde tes données

    télécharge ceci: http://vil.nai.com/images/562354_2.zip

    et colle un rapport avec

    puis passe ceci: http://anywhere.webrootcloudav.com/antizeroaccess.exe

    et colle un rapport avec

    puis mets un rapport avec malwarebyte tout neuf
    1
  2. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    Pour repérer l'infection:
    *Téléchargez aswMBR.exe ici http://public.avast.com/~gmerek/aswMBR.exe sur votre bureau.
    *Double cliquez sur le aswMBR.exe pour l'exécuter
    *Cliquez sur le bouton «Scan» pour commencer le balayage
    *Cliquez sur Save log pour sauvegarder le rapport
    *Enregistrez le aswASW.log sur le bureau
    *Postez le rapport sur le forum si vous vous faîtes aider.

    Pour supprimer l'infection:
    *Relancer aswMBR.exe pour l'exécuter
    *Cliquez sur le bouton «Scan» pour commencer le balayage
    *Cliquez sur "Fix"
    *Enregistrez le aswASW.log sur le bureau
    *Postez le rapport sur le forum.

    puis

    colle un rapport avec tdsskiller

    *Téléchargez TDSSKiller sur votre bureau

    https://support.kaspersky.com/downloads/utils/tdsskiller.zip
    *Créez un nouveau dossier sur votre bureau puis décompressez l'archive dedans
    *Lancez le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.

    Cochez les et cliquez sur "Delete/Repair Selected".
    *Un message peut ensuite apparaitre demandant de redémarrer le pc (reboot)pour finir le nettoyage. taper "Y" pour redémarrer le PC ("close all programs and choose Y to restart").

    Informations complémentaires sur cet outil :
    https://support.kaspersky.com/5350
    1
  3. Sam31
     
    Bonjour jlpjlp,merci de ton aide

    Voila le rapport malwarebit de ce matin

    Malwarebytes Anti-Malware (Essai) 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.02.15.04

    Windows Vista Service Pack 1 x86 NTFS (Mode sans échec/Réseau)
    Internet Explorer 8.0.6001.19088
    rachida belmaziz :: PC-DE-RACHIDA [administrateur]

    Protection: Désactivé

    16/02/2012 08:23:10
    mbam-log-2012-02-16 (08-23-10).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 185109
    Temps écoulé: 9 minute(s), 59 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 3
    C:\Windows\System32\3compxe.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\System32\irenum.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\System32\MXOPSWD.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  4. Sam31
     
    Re,j'ai lancé rootkitremover,il a reperé un rootkit zero access,je j'ai supprimé et j'ai redémarré la machine,mais je ne sais pas ou est le rapport,et pour le second logiciel,je n'ai pas réussi à le faire fonctionner même en l'exécutant en tant qu'administrateur.J'ai lancé de nouveau Malwarebit comme convenue,je vous poste le rapport des que possible.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Sam31
     
    Voila le nouveau rapport malware

    Malwarebytes Anti-Malware (Essai) 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.02.16.01

    Windows Vista Service Pack 1 x86 NTFS
    Internet Explorer 8.0.6001.19088
    rachida belmaziz :: PC-DE-RACHIDA [administrateur]

    Protection: Activé

    16/02/2012 10:00:50
    mbam-log-2012-02-16 (10-00-50).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 187533
    Temps écoulé: 17 minute(s), 24 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Windows\System32\s125mdfl.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.
    C:\Windows\System32\eaps2kbd.dll (RootKit.0Access.H) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  7. Sam31
     
    Voila le rapport asw

    aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
    Run date: 2012-02-16 10:39:24
    -----------------------------
    10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
    10:39:24.715 Number of processors: 2 586 0xF02
    10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
    10:39:26.690 Initialize success
    10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
    10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
    10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
    10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
    10:39:45.500 Disk 0 MBR read successfully
    10:39:45.503 Disk 0 MBR scan
    10:39:45.506 Disk 0 Windows VISTA default MBR code
    10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
    10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
    10:39:45.538 Disk 0 scanning sectors +234439600
    10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
    10:39:57.563 Service scanning
    10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
    10:40:00.026 Modules scanning
    10:40:10.012 Disk 0 trace - called modules:
    10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
    10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
    10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
    10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
    10:40:10.067 Scan finished successfully
    10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
    10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
    0
  8. Sam31
     
    Voila le rapport tdsrkiller,il n'a rien detecté tandis que aswmbr si,puis je faire fix mbr avec aswrmbr?

    aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
    Run date: 2012-02-16 10:39:24
    -----------------------------
    10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
    10:39:24.715 Number of processors: 2 586 0xF02
    10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
    10:39:26.690 Initialize success
    10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
    10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
    10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
    10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
    10:39:45.500 Disk 0 MBR read successfully
    10:39:45.503 Disk 0 MBR scan
    10:39:45.506 Disk 0 Windows VISTA default MBR code
    10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
    10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
    10:39:45.538 Disk 0 scanning sectors +234439600
    10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
    10:39:57.563 Service scanning
    10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
    10:40:00.026 Modules scanning
    10:40:10.012 Disk 0 trace - called modules:
    10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
    10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
    10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
    10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
    10:40:10.067 Scan finished successfully
    10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
    10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
    0
  9. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    *Relancer aswMBR.exe pour l'exécuter
    *Cliquez sur le bouton «Scan» pour commencer le balayage
    *Cliquez sur "Fix"
    *Enregistrez le aswASW.log sur le bureau
    *Postez le rapport sur le forum.

    puis remets un rapport avec malwarebyte
    0
  10. Sam31
     
    Voila le nouveau rapport apres avoir "fix"encore merci jlpjlp

    aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
    Run date: 2012-02-16 10:39:24
    -----------------------------
    10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
    10:39:24.715 Number of processors: 2 586 0xF02
    10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
    10:39:26.690 Initialize success
    10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
    10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
    10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
    10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
    10:39:45.500 Disk 0 MBR read successfully
    10:39:45.503 Disk 0 MBR scan
    10:39:45.506 Disk 0 Windows VISTA default MBR code
    10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
    10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
    10:39:45.538 Disk 0 scanning sectors +234439600
    10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
    10:39:57.563 Service scanning
    10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
    10:40:00.026 Modules scanning
    10:40:10.012 Disk 0 trace - called modules:
    10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
    10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
    10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
    10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
    10:40:10.067 Scan finished successfully
    10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
    10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"

    aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
    Run date: 2012-02-16 10:39:24
    -----------------------------
    10:39:24.714 OS Version: Windows 6.0.6001 Service Pack 1
    10:39:24.715 Number of processors: 2 586 0xF02
    10:39:24.717 ComputerName: PC-DE-RACHIDA UserName:
    10:39:26.690 Initialize success
    10:39:45.462 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-3
    10:39:45.465 Disk 0 Vendor: TOSHIBA_MK1234GSX AH001A Size: 114473MB BusType: 3
    10:39:45.468 Disk 1 \Device\Harddisk1\DR1 -> \Device\0000007f
    10:39:45.471 Disk 1 Vendor: ( Size: 114473MB BusType: 0
    10:39:45.500 Disk 0 MBR read successfully
    10:39:45.503 Disk 0 MBR scan
    10:39:45.506 Disk 0 Windows VISTA default MBR code
    10:39:45.517 Disk 0 Partition 1 00 27 Hidden NTFS WinRE NTFS 9536 MB offset 2048
    10:39:45.532 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 104935 MB offset 19531776
    10:39:45.538 Disk 0 scanning sectors +234439600
    10:39:45.612 Disk 0 scanning C:\Windows\system32\drivers
    10:39:57.563 Service scanning
    10:39:59.357 Service MpNWMon C:\Windows\system32\DRIVERS\MpNWMon.sys **LOCKED** 32
    10:40:00.026 Modules scanning
    10:40:10.012 Disk 0 trace - called modules:
    10:40:10.043 ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll ataport.SYS pciide.sys PCIIDEX.SYS atapi.sys
    10:40:10.049 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x862166c8]
    10:40:10.055 3 CLASSPNP.SYS[8939f745] -> nt!IofCallDriver -> [0x8601c658]
    10:40:10.060 5 acpi.sys[806986a0] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP2T0L0-3[0x85fe3538]
    10:40:10.067 Scan finished successfully
    10:40:15.560 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
    10:40:15.567 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
    11:03:08.515 Verifying
    11:03:18.533 Disk 0 Windows 600 MBR fixed successfully
    11:03:28.691 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
    11:03:48.926 Disk 0 MBR has been saved successfully to "C:\Users\rachida belmaziz\Documents\MBR.dat"
    11:03:48.934 The log file has been saved successfully to "C:\Users\rachida belmaziz\Documents\aswMBR.txt"
    0
  11. Sam31
     
    Voila le nouveau rapport malwarebit,rien à signaler.
    alwarebytes Anti-Malware (Essai) 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.02.16.01

    Windows Vista Service Pack 1 x86 NTFS
    Internet Explorer 8.0.6001.19088
    rachida belmaziz :: PC-DE-RACHIDA [administrateur]

    Protection: Activé

    16/02/2012 11:05:35
    mbam-log-2012-02-16 (11-05-35).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 187583
    Temps écoulé: 14 minute(s), 39 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  12. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    passe ton antivirus pour voir si il trouve une infection
    0
  13. Sam31
     
    Rien a signaler pour microsoft security essential,merci merci beaucoup de votre aide jlpjlp,cette ordinateur est l'outil de travail de ma mère et il était dépourvu d'antivirus avant que je m'en occupe.Afin d'éviter infection,il serait judicieux de passer en utilisateur limité plutot qu'administrateur?Mais comment faire?
    0
  14. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    slt

    tu lui crées un compte personnel

    pour vérifier:

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    (outil de diagnostic)

    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur Cjoint : http://www.cijoint.com/

    Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

    ou sinon pour transmettre ton rapport:
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
    0
  15. sam31
     
    Salut Jlpjlp,desolé du retard voila le lien pour le rapport zphdiag

    http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120220_i8c13s5v12e6
    0
  16. jlpjlp Messages postés 52399 Statut Contributeur sécurité 5 041
     
    ok il en reste

    colle un rapport de suppression avec adwcleaner
    http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

    puis branches tous tes supports externes et colle un rapport de suppression avec usbfix
    0