Détection de Hacktool.Rootkit

Résolu
mumuleclown -  
 g3n-h@ckm@n -
Bonjour,

Cela fait plusieurs que l'antivirus (Symantec Endpoint Protection) détecte la présence de Hacktool.Rootkit sur l'ordi. Malheureusement, nous n'arrivons pas à nous en débarrasser. Que pouvons-nous faire ?

Merci d'avance
Mumu

27 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut il le detecte sur quel fichier ?
    0
  2. mumuleclown
     
    Hello

    Il s'agit du fichier 4DW4R3.sys. Il était présent aussi sur des fichiers temporaires qui ont été supprimés par l'antivirus.

    C'est l'ordinateur de ma mère en fait. En reprenant le journal complet des analyses il y a d'autres choses qui ont été détectées, comme trojan.gen ou trojan horse dans des dizaines de fichiers temporaires : DWHD936.tmp par exemple.
    0
  3. g3n-h@ckm@n
     
    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  4. mumuleclown
     
    Et hop : http://pjjoint.malekal.com/files.php?id=20120320_k12n5g11l5h13

    Merci pour ton aide en tout cas :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    faut que t'installes internet explorer 8
    mozilla à mettre à jour aussi
    desinstalle tout java
    desinstalle adobe reader 9
    open office est pas à jour non plus

    ========

    relance pre_scan et choisis script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "NeroFilterCheck"=-
    "HP Software Update"=-
    ""=-
    "SSBkgdUpdate"=-
    "PaperPort PTD"=-
    "IndexSearch"=-
    "ControlCenter3"=-
    [HKLM\Software\Microsoft\Internet Explorer\Toolbar]
    ""=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}]
    [-HKCR\Applications\installer.exe]
    [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "1900:UDP"=-
    "2869:TCP"=-

    file::
    C:\Documents and Settings\Christine_\Application Data\wiaservg.log

    folder::
    C:\008421118d7fffc837
    C:\045a4ad53213eb85cf01e04677
    C:\06cab801e55e0537cad3e179c94acc
    C:\0b235079066bc28c4ec38644
    C:\0c92771838bfb4c8d271488d32
    C:\2b0d1ce2d06a7073559f4ddc
    C:\2ce301a5156ac1594a5dc1e5c2
    C:\2db550df75b95bced3fc766d65fe
    C:\35010b75767315a969134b7aa39d
    C:\360372d20665ef9fde5a0ea3bbc12d
    C:\366edd1724c9a97f007075e7a77a2f
    C:\3a3c29c724c082defc59e6
    C:\3adcced9f8541fadcd4174
    C:\3c5ceb357bd9e3856e116c6757
    C:\433d57cdf826fadc84d638fc
    C:\44f02726f3c8770ce838a59ba6
    C:\4f12248087fa4c6de04872f71ce547a1
    C:\568228975d6c3208deb50d11c61422
    C:\59e4f7017981bf3f35e6
    C:\5b2c814e1bcc36715e0346bf
    C:\5c7bbfe375f2d90cc4e10700b2
    C:\638633ef80c5e1d072134fcd
    C:\6f86ff8a3870dc06d2b418d0cd0bd236
    C:\6f941fa6c6080986cd3945bf651d0623
    C:\716452ed10094615f603
    C:\772427d264cc199757b1c4ff9e1ee092
    C:\7c2dc92e73781595f2e3a77492
    C:\8106cb3caa6e7252995f
    C:\872c9631c470366eb278f5ace5025ec5
    C:\991e945bc8d110112137
    C:\9ce9658de3cb27782727d6f3d4
    C:\abc891b73d1657ad13c90288
    C:\b43e944faf4534b2fde4175b0f
    C:\b6b2c5e6cce318d1adb8a571c824a5
    C:\bdfcb71739320ad2ca121ab049a0
    C:\bea36121b7623665a1552f6951afab
    C:\bin
    C:\c2d21ca58e6bad47cc3651
    C:\c5f159c1be5a4397cbb1065d7ce8
    C:\c978efd04ccbdce82863
    C:\cb6dc5ccb4685f74e4e91660
    C:\d36bfddcfda77daa8af8cae4
    C:\d5e142f16980e44542249c427d10
    C:\d9059cef5a5e304de89b
    C:\e6cd571f2e39004532affce1f05a73
    C:\e7c78d654e2605c17484f9a37e586569
    C:\f3605828a907f367ae3ed7bf

    Mbr::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
  7. mumuleclown
     
    Salut

    Voilà le rapport :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.306 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Microsoft Windows XP (32 bits) Service Pack 3

    Switchs possibles :

    processes:: | file:: | folder:: | Registry::
    Driver:: | replace:: | DNS:: | Command::
    txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
    list:: | IP:: | Kill:: | clean:: | Del_Part::
    Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
    search:: | Tray::

    Script : 09:07:51

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Supprimé : C:\Documents and Settings\Christine_\Application Data\wiaservg.log

    ¤

    non Supprimé : C:\008421118d7fffc837
    non Supprimé : C:\045a4ad53213eb85cf01e04677
    non Supprimé : C:\06cab801e55e0537cad3e179c94acc
    non Supprimé : C:\0b235079066bc28c4ec38644
    Supprimé : C:\0c92771838bfb4c8d271488d32
    Supprimé : C:\2b0d1ce2d06a7073559f4ddc
    non Supprimé : C:\2ce301a5156ac1594a5dc1e5c2
    Supprimé : C:\2db550df75b95bced3fc766d65fe
    Supprimé : C:\35010b75767315a969134b7aa39d
    Supprimé : C:\360372d20665ef9fde5a0ea3bbc12d
    Supprimé : C:\366edd1724c9a97f007075e7a77a2f
    Supprimé : C:\3a3c29c724c082defc59e6
    Supprimé : C:\3adcced9f8541fadcd4174
    Supprimé : C:\3c5ceb357bd9e3856e116c6757
    non Supprimé : C:\433d57cdf826fadc84d638fc
    Supprimé : C:\44f02726f3c8770ce838a59ba6
    Supprimé : C:\4f12248087fa4c6de04872f71ce547a1
    Supprimé : C:\568228975d6c3208deb50d11c61422
    Supprimé : C:\59e4f7017981bf3f35e6
    Supprimé : C:\5b2c814e1bcc36715e0346bf
    non Supprimé : C:\5c7bbfe375f2d90cc4e10700b2
    Supprimé : C:\638633ef80c5e1d072134fcd
    Supprimé : C:\6f86ff8a3870dc06d2b418d0cd0bd236
    Supprimé : C:\6f941fa6c6080986cd3945bf651d0623
    non Supprimé : C:\716452ed10094615f603
    Supprimé : C:\772427d264cc199757b1c4ff9e1ee092
    Supprimé : C:\7c2dc92e73781595f2e3a77492
    non Supprimé : C:\8106cb3caa6e7252995f
    Supprimé : C:\872c9631c470366eb278f5ace5025ec5
    Supprimé : C:\991e945bc8d110112137
    Supprimé : C:\9ce9658de3cb27782727d6f3d4
    non Supprimé : C:\abc891b73d1657ad13c90288
    non Supprimé : C:\b43e944faf4534b2fde4175b0f
    non Supprimé : C:\b6b2c5e6cce318d1adb8a571c824a5
    Supprimé : C:\bdfcb71739320ad2ca121ab049a0
    non Supprimé : C:\bea36121b7623665a1552f6951afab
    Supprimé : C:\bin
    non Supprimé : C:\c2d21ca58e6bad47cc3651
    Supprimé : C:\c5f159c1be5a4397cbb1065d7ce8
    non Supprimé : C:\c978efd04ccbdce82863
    Supprimé : C:\cb6dc5ccb4685f74e4e91660
    non Supprimé : C:\d36bfddcfda77daa8af8cae4
    Supprimé : C:\d5e142f16980e44542249c427d10
    Supprimé : C:\d9059cef5a5e304de89b
    non Supprimé : C:\e6cd571f2e39004532affce1f05a73
    Supprimé : C:\e7c78d654e2605c17484f9a37e586569
    Supprimé : C:\f3605828a907f367ae3ed7bf

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows XP Home Edition
    Windows Information: Service Pack 3 (build 2600)
    Logical Drives Mask: 0x0000001c

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Windows XP MBR code detected

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    Fin : 09:10:35

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  8. g3n-h@ckm@n
     
    re

    ▶ Télécharge Malwarebytes' Anti-Malware (MBAM).

    Malwarebytes : clique pour la version FREE

    ou : lien mirroir

    ▶ enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

    ▶ Installe-le puis configure-le comme ceci :

    Configuration

    si tu n'as rien modifié fais directement quitter sinon enregistrer

    Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

    ▶▶▶ Ce logiciel gratuit est à garder.

    ===================================================

    Uniquement en cas de problème de mise à jour:

    Télécharger mises à jour manuelles MBAM

    ▶ Exécute le fichier après l'installation de MBAM

    ===================================================

    Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
    ▶ Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
    ▶ Sélectionne "Exécuter un examen complet"
    ▶ Clique sur "Rechercher"
    ▶ L'analyse démarre, le scan est relativement long, c'est normal.

    A la fin de l'analyse, un message s'affiche :

    Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ▶ Ferme tes navigateurs.
    ▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse.

    ▶ Copie-colle ce rapport et poste-le dans ta prochaine réponse.

    Si MBAM demande à redémarrer le pc : ▶ fais-le.

    Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : ▶ clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.
    0
  9. mumuleclown
     
    Il y a Malwarebytes qui est en train de tourner.
    J'ai l'impression que ça déclenche l'antivirus, qui me fait des alertes sur les fichiers mis en quarantaine par Pre Scan. Donc il met en quarantaine des fichiers déjà en quarantaine... :)

    Est-ce qu'il faut que j'arrête l'antivirus pendant MBAM tourne ou ça ne pose de problèmes ?
    0
    1. mumuleclown
       
      "ça ne pose PAS de problèmes ?"
      Désolée, j'ai une petite tendance à oublier des mots !
      0
  10. mumuleclown
     
    Voici le rapport de MBAM :

    Malwarebytes Anti-Malware 1.60.1.1000
    www.malwarebytes.org

    Version de la base de données: v2012.03.21.02

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    Christine_ :: CHRISTINE [administrateur]

    21/03/2012 11:06:16
    mbam-log-2012-03-21 (11-06-16).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 309901
    Temps écoulé: 2 heure(s), 21 minute(s), 44 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer|WINID (Malware.Trace) -> Données: 1CAB89824B0E816 -> Mis en quarantaine et supprimé avec succès.

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Documents and Settings\All Users\Favoris\_favdata.dat (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  11. mumuleclown
     
    Euh il y a l'antivirus qui continue à détecter tous les fichiers mis en quarantaine par Pre Scan : l'emplacement est c:\Pre_Scan\Quarantine\

    Qu'est-ce que j'en fais ?
    0
  12. g3n-h@ckm@n
     
    fais le menage demandé et ca ne sera plus
    0
  13. mumuleclown
     
    Salut

    J'ai commencé à faire le nettoyage à partir du lien que tu m'avais donné.
    Pour CCleaner, je suis censée le configurer " comme ceci :

    CCleaner 1

    CCleaner 2 Suivant les applications que tu as

    CCleaner 3

    CCleaner 4 "

    J'ai la v3.16.1666 de ccleaner et je vois pas du tout à quoi ça correspond les ccleaner 1, 2 etc

    Sinon, je peux pas t'envoyer les rapports Why I got infected, ça plante quand je les demande :)
    0
  14. g3n-h@ckm@n
     
    desolé

    http://www.box.com/s/9024f479051b4f4d5e21
    0
  15. mumuleclown
     
    Hello

    J'ai fait le petit nettoyage demandé, mais l'antivirus détecte toujours des fichiers infectés qui viennent de c:\Pre_Scan\Quarantine. Ce dossier là n'a pas été supprimé.

    Tu sais ce que je peux faire ?
    Merci
    0
  16. mumuleclown
     
    Oui c'est ce que j'ai fait, mais ça ne fait rien...
    0
  • 1
  • 2