Infection rootkit zéro accès

Résolu
K-sio-p91 -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,

Au secours je suis infecté par rootkit zéro access sur mon Pc windows vista édition familiale premium sp2 , si quelqu'un pourrait me donner un petit coup de main je suis preneur.

Merci j'espère à bientôt.

7 réponses

  1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Salut,

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Lance un scan afin de débloquer le bouton Suppression à droite.
    [*] Clic sur Suppression.
    Poste le rapport ici.

    et :

    Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
    !!! Malwarebyte doit être à jour avant de faire le scan !!!
    Supprime bien ce qui est détecté : bouton supprimer sélection.

    1
    1. k-sio-p91
       
      merci à toi pour ton aide.

      Voici le premier rapport de malwarebytes quand je me suis rendu compte de l'infection:
      Malwarebytes Anti-Malware (Essai) 1.60.0.1800
      www.malwarebytes.org

      Version de la base de données: v2012.06.26.01

      Windows Vista Service Pack 2 x86 NTFS
      Internet Explorer 9.0.8112.16421
      Kro & Ju :: JULIEN-CAROLINE

      Protection: Activé

      27/06/2012 17:31:34
      mbam-log-2012-06-27 (17-31-34).txt

      Type d'examen: Examen rapide
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 211913
      Temps écoulé: 6 minute(s), 15 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 2
      C:\Windows\ServiceProfiles\LocalService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.
      C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> Mis en quarantaine et supprimé avec succès.

      (fin)


      j'ai ensuite suivi tes conseils voici le rapport de roguekiller

      RogueKiller V7.6.3 [08/07/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Kro & Ju
      Mode: Recherche -- Date: 08/07/2012 16:30:31

      ¤¤¤ Processus malicieux: 0 ¤¤¤

      ¤¤¤ Entrees de registre: 5 ¤¤¤
      [SUSP PATH] iMeshNAG.job @ : C:\Users\KRO&JU~1\AppData\Local\Temp\iMesh_setup.exe -> FOUND
      [SUSP PATH] iMeshNAG.job @ : C:\Users\KRO&JU~1\AppData\Local\Temp\iMesh_setup.exe -> FOUND
      [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
      [HIDDEN VAL] HKLM\[...]\Run : @? () -> FOUND

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [CHARGE] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      127.0.0.1 localhost
      ::1 localhost


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: WDC WD5000AAKS-65A7B0 +++++
      --- User ---
      [MBR] 06b0405efd698dae28a2d0b5b550d2bf
      [BSP] cbe1a3892920c024e3e7b9efc684338e : HP tatooed MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 466018 Mo
      1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 954405585 | Size: 10919 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[1].txt >>
      RKreport[1].txt

      et le second


      RogueKiller V7.6.3 [08/07/2012] par Tigzy
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
      Blog: http://tigzyrk.blogspot.com

      Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
      Demarrage : Mode normal
      Utilisateur: Kro & Ju
      Mode: Suppression -- Date: 08/07/2012 16:32:27

      ¤¤¤ Processus malicieux: 0 ¤¤¤

      ¤¤¤ Entrees de registre: 5 ¤¤¤
      [SUSP PATH] iMeshNAG.job @ : C:\Users\KRO&JU~1\AppData\Local\Temp\iMesh_setup.exe -> DELETED
      [SUSP PATH] iMeshNAG.job @ : C:\Users\KRO&JU~1\AppData\Local\Temp\iMesh_setup.exe -> DELETED
      [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
      [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
      [HIDDEN VAL] HKLM\[...]\Run : @? () -> ERROR [0x1]

      ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

      ¤¤¤ Driver: [CHARGE] ¤¤¤

      ¤¤¤ Infection : ¤¤¤

      ¤¤¤ Fichier HOSTS: ¤¤¤
      127.0.0.1 localhost
      ::1 localhost


      ¤¤¤ MBR Verif: ¤¤¤

      +++++ PhysicalDrive0: WDC WD5000AAKS-65A7B0 +++++
      --- User ---
      [MBR] 06b0405efd698dae28a2d0b5b550d2bf
      [BSP] cbe1a3892920c024e3e7b9efc684338e : HP tatooed MBR Code
      Partition table:
      0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 466018 Mo
      1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 954405585 | Size: 10919 Mo
      User = LL1 ... OK!
      User = LL2 ... OK!

      Termine : << RKreport[2].txt >>
      RKreport[1].txt ; RKreport[2].txt



      et le dernier rapport de malwarebytes

      Malwarebytes Anti-Malware (Essai) 1.61.0.1400
      www.malwarebytes.org

      Version de la base de données: v2012.07.08.03

      Windows Vista Service Pack 2 x86 NTFS
      Internet Explorer 9.0.8112.16421
      Kro & Ju :: JULIEN-CAROLINE

      Protection: Activé

      08/07/2012 16:43:17
      mbam-log-2012-07-08 (16-43-17).txt

      Type d'examen: Examen complet
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 492590
      Temps écoulé: 2 heure(s), 41 minute(s), 22 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre détectée(s): 0
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      (fin)


      encore merci à toi.

      dis moi si il y a quelque choses d'autres à faire stp

      merci.
      0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    - Télécharge https://sourceforge.net/projects/hjt/ ton bureau.
    - Pour lancer HijackThis :
    * Sur Vista/Seven faire un clic droit puis executer en tant qu'administrater pour le lancer
    * Sur XP un simple double-clic suffit
    - Génère un rapport en suivant ces indications :
    - Exécute le et clique sur Do a scan and save log file.
    - Le rapport s'ouvre sur le Bloc-Note
    - Enregistre le sur ton bureau
    - Envoie le sur http://pjjoint.malekal.com
    - Donne le lien pjjoint ici.
    0
    1. k-sio-p91
       
      http://pjjoint.malekal.com/files.php?id=HijackThis_20120708_u10d8c75b11
      0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    okay!

    Est-ce que tu as encore des alertes de ton antivirus ?
    Malwarebyte détecte plus rien ?
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    okay alors on cloture.
    Tu peux garder Malwarebyte pour des scans réguliers, il est effiace.

    Important - ton infection est venue par un exploit sur site web :

    Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Passe le mot à tes amis !

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
    0
  6. k-sio-p91
     
    un grand merci toi .

    et merci pour les derniers conseils
    0
  7. ruffus1975
     
    Je ne peu pas rien télécharger
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Salut,

      il faut passer RogueKiller par clef USB.
      0