Probleme: Root Kit

Résolu
Romain -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour

Voilà mon problème:
Tous mes fichiers et dossiers ont disparus suite à un gros message d'erreur.
Apres scan d'Avast un rootkit est détecté:
MBR:\\.PHYSICAL DRIVE0\Partition4 (menace rootkit hidden boot sector)

Le probleme c'est qu'Avast n'arrive pas à l'éliminer.

j'ai lancé Winlogon et prescan mais cela s'est à chaque fois clôturé par un message d'erreur cependant cela à permis de récupérer quelques dossiers...
Merci par avance pour votre aide

Je tourne sous Windows XP
Merci encore.
Romain

9 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
    Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
    Poste le rapport ici.

    puis :

    Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
    Télécharge le et mets le sur ton bureau.
    Accepte l'installation des définitions virales d'Avast! et fais un scan.
    Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
    Poste le rapport ici.
    0
  2. Romain
     
    Merci pour cette réponse

    Suite au 1er scan RDSS killer:
    [InfectedObject]
    Verdict: Rootkit.Boot.SST.b
    [InfectedObject]
    Verdict: TDSS File System
    Name: \Device\Harddisk0\DR0

    Désolé je n'ai pas du bien comprendre comment récuperer le rapport en allant sur C:\ TDSS killer quarantine je retrouve pleins de fichiers text mais aucun qui ne fait la synthèse.
    J'ai posté celui qui correspond à la réponse dans l'outil et pour lequel j'ai fait "cure". Suite à un 2nd scan aucun objet infecté. Suite à cela aucun fichier ou dossier supplémentaire n'est réapparu.

    Ensuite j'ai lancé aswMBR
    Je n'ai pas eu à accepter quoi que ce soit au niveau des definitions virales Avast.
    Voici le rapport. Dois je cliquer sur fix MBR?
    Merci encore
    Romain

    aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
    Run date: 2012-04-06 12:27:37
    -----------------------------
    12:27:37.828 OS Version: Windows 5.1.2600 Service Pack 2
    12:27:37.828 Number of processors: 2 586 0x404
    12:27:37.828 ComputerName: UserName: romain
    12:27:38.890 Initialize success
    12:27:39.656 AVAST engine defs: 12040501
    12:27:43.000 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-0
    12:27:43.015 Disk 0 Vendor: Maxtor_7 BANC Size: 238418MB BusType: 3
    12:27:43.015 Disk 0 MBR read successfully
    12:27:43.015 Disk 0 MBR scan
    12:27:43.015 Disk 0 unknown MBR code
    12:27:43.015 Disk 0 Partition 1 00 DE Dell Utility Dell 8.0 62 MB offset 63
    12:27:43.031 Disk 0 Partition 2 80 (A) 07 HPFS/NTFS NTFS 235170 MB offset 128520
    12:27:43.062 Disk 0 Partition 3 00 DB CP/M / CTOS Dell 8.0 3176 MB offset 481757220
    12:27:43.062 Disk 0 scanning sectors +488263545
    12:27:43.140 Disk 0 scanning C:\WINDOWS\system32\drivers
    12:27:53.296 Service scanning
    12:28:11.578 Modules scanning
    12:28:18.593 Disk 0 trace - called modules:
    12:28:18.953 ntkrnlpa.exe CLASSPNP.SYS disk.sys iastor.sys hal.dll
    12:28:18.953 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x87173ab8]
    12:28:18.953 3 CLASSPNP.SYS[f765305b] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-0[0x8716e030]
    12:28:19.546 AVAST engine scan C:\WINDOWS
    12:28:27.265 AVAST engine scan C:\WINDOWS\system32
    12:30:57.203 AVAST engine scan C:\WINDOWS\system32\drivers
    12:31:18.515 AVAST engine scan C:\Documents and Settings\romain
    12:59:26.484 AVAST engine scan C:\Documents and Settings\All Users
    13:00:35.703 Scan finished successfully
    13:02:09.015 Disk 0 MBR has been saved successfully to "C:\Documents and Settings\romain\Bureau\MBR.dat"
    13:02:09.015 The log file has been saved successfully to "C:\Documents and Settings\romain\Bureau\aswMBR.txt"
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    ~~

    Vois ce que ça donne pour Avast!.

    0
  4. romain
     
    Voici le rapport AdwCleaner
    # AdwCleaner v1.504 - Rapport créé le 06/04/2012 à 13:44:27
    # Mis à jour le 01/04/2012 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
    # Nom d'utilisateur : romain -
    # Exécuté depuis : C:\Documents and Settings\romain\Bureau\adwcleaner.exe
    # Option [Recherche]

    ***** [Services] *****

    Présent : supdate

    ***** [Fichiers / Dossiers] *****

    Dossier Présent : C:\Documents and Settings\All Users\Application Data\Viewpoint
    Dossier Présent : C:\Program Files\Boxore
    Dossier Présent : C:\Program Files\Software
    Dossier Présent : C:\Program Files\Viewpoint

    ***** [H. Navipromo] *****

    ***** [Registre] *****

    Clé Présente : HKCU\Software\Ask.com.tmp
    Clé Présente : HKCU\Software\Softonic
    Clé Présente : HKLM\SOFTWARE\MetaStream
    Clé Présente : HKLM\SOFTWARE\Software
    Clé Présente : HKLM\SOFTWARE\Viewpoint
    Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl
    Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtl.1
    Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary
    Clé Présente : HKLM\SOFTWARE\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    Clé Présente : HKLM\SOFTWARE\Classes\Software.OneClickCtrl.8
    Clé Présente : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass
    Clé Présente : HKLM\SOFTWARE\Classes\SoftwareUpdate.CoreClass.1
    Clé Présente : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine
    Clé Présente : HKLM\SOFTWARE\Classes\SoftwareUpdate.OnDemandCOMClassMachine.1.0
    Clé Présente : HKLM\SOFTWARE\Classes\AppID\{32451DFC-C23B-4E12-866C-FC7982238504}
    Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{092A2C6B-43EE-4F9F-8F8E-14ED5E11C14B}
    Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{257A6158-1416-4B31-9BF8-29FF49F3814F}
    Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{32451DFC-C23B-4E12-866C-FC7982238504}
    Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{AC5C4189-A8A0-4C9D-8910-C9CEF8360077}
    Clé Présente : HKLM\SOFTWARE\Classes\Installer\Features\64A6E60055D801F4BB8AC269354B72B8
    Clé Présente : HKLM\SOFTWARE\Classes\Installer\Products\64A6E60055D801F4BB8AC269354B72B8
    Clé Présente : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
    Clé Présente : HKLM\SOFTWARE\Classes\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
    Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\1C875DDE39636004CA8CDAEC335B4160
    Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\BA086F2D38A8E1A47912955A68B3AD24
    Clé Présente : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\0563B8630D62D75ABBC8AB1E4BDFB5A899B24D43
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{736EF78E-5A04-46F9-893E-EDEC6EA5DF45}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{7A1BCE27-099C-4628-B63A-AEC00C6376B3}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{AF3AFF7C-B9E9-48DD-9002-212B6DEAAC02}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{DBE82879-914A-422F-BAE9-2ECC80BE536F}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{E12D7149-73EF-45E4-A1E9-99FD7DAE62D3}
    Clé Présente : HKLM\SOFTWARE\Classes\Interface\{F2B184F1-547C-4EE9-BFC4-AC489C7077D9}
    Clé Présente : HKLM\SOFTWARE\Classes\MIME\Database\Content Type\application/x-vnd.software.oneclickctrl.8
    Clé Présente : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    Clé Présente : HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{006E6A46-8D55-4F10-BBA8-2C9653B4278B}
    Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    Clé Présente : HKLM\SOFTWARE\MozillaPlugins\@viewpoint.com/VMP
    Clé Présente : HKLM\SOFTWARE\MozillaPlugins\@www.dlmanager.net/omaha/tools//Software Update;version=8
    Valeur Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [Boxore Client]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v7.0.5730.11

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v11.0 (fr)

    Nom du profil : default
    Fichier : C:\Documents and Settings\romain\Application Data\Mozilla\FireFox\Profiles\58llrkci.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [2142 octets] - [06/04/2012 11:05:38]
    AdwCleaner[R2].txt - [4664 octets] - [06/04/2012 13:44:27]

    ########## EOF - C:\AdwCleaner[R2].txt - [4792 octets] ##########

    Avast ne detecte plus rien non plus.

    En revanche mes fichiers et dossiers sont toujours invisibles (par exemple je dois lancer firefox en demandant une mise à jour d'Avast car plus aucune icone n'est disponible et meme dans program files...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ..

    Clic sur Raccourcis RAZ à droite.
    0
  7. romain
     
    Bon alors apparemment il n'aime pas du tout Roguekiller au bout de quelques secondes j'ai droit à l'ecran bleu et donc obliger d'arreter l'ordi. j'ai retenté mais ça me l'a fait 2 fois de suite...
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      arf ok.
      et en mode sans échec ?


      Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec avec prise en charge du réseau et appuye sur la touche entrée du clavier.
      0
  8. romain
     
    Bon a priori ce coup là c'est tout est Ok!
    Merci beaucoup pour ton aide.
    bon WE!!
    Romain
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    0
  10. romain
     
    Ok merci pour ces infos et détails. En fait il me semble que tous ces problèmes sont arrivés suite à une mise à jour Java justement. Peut etre que ça n'a rien à voir mais ça collait au niveau timing.
    En tout cas encore merci pour tes précieux conseils!
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Mets le à jour :)

      :)
      0