[ Avast! ] Rootkit trouve Résolu/Fermé

Question

Bonjour à tous,

Je m'inquiète car je viens de recevoir ce message de la part d'avast! :

Screen : http://secuhost.fr/images/55469730068660231118.jpg

J'aimerais savoir si vous pouviez me donner des informations sur ce ... truc qui se fini en ".sys".

On me propose de le supprimer ( recommandé ), c'est ce que je veux faire mais j'aurais voulu avoir quelques infos si possible svp.

Merci d'avance,

Cordialement, Paxo.

Sugel · Accepted Answer

Fais le vite, malheureux !

plus d'infos ici:
https://www.commentcamarche.net/faq/14963-supprimer-les-rootkits

Toutefois, ce genre de processus sont la souvent pour masquer d'autres infections...

On vas regarder ça !

PS: Pas moi, je suis sur mon portable ;-)
Attends qu'un autre te prenne en charge...

Pakitoleboss · Answer

Je vous écris de mon portable, en faite je ne vous dit pas à tout de suite ;). Le scan est en cours et ce n'est qu'à 8%. Je pense que je vais aller me baigner pendant ce temps ^^. Si vous voulez certaines informations, faites le moi savoir.

Cordialement, Paxo.

Pakitoleboss · Answer

Scan effectué, ordi rallumé... Tout ce passe bien je pense. Je me demande juste comment j'ai pu choppé ça quand même O_o... 
Si vous voulez certaines informations, faites le moi savoir. Est ce qu'un simple clic sur 'suppression' du toolkit suffit ?

yoann090 · Answer

On va verifier si il y a effectivement un rootkit ou pas. 

Télécharge : Gmer (by Przemyslaw Gmerek) : 

http://www.gmer.net/#files  clique sur Download exe

Desactive toutes tes protections le temps du scan de gMer 

Pour XP => double clique sur gmer.exe 
Pour Vista et 7 => clique droit "executer en tant que...." 

clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le) 


ensuite : 

fais bien attention que toutes les cases à droites soient cochées , puis clique sur scan

j'attends donc deux rapports hébergés sur https://www.cjoint.com/

yoann090 · Answer

Ok, 

Fais un scan complet avec Malwarebytes

http://www.security-helpzone.com/Thread-MalwareBytes-Anti-Malware-MBAM-Scan-complet

yoann090 · Answer

Normal que ton pc soit infecté, c est une poubelle. 

Vire tous les cracks que tu possedes. 

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau : http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner

-Lance le, clique sur [Suppression] puis patiente le temps du scan.

Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

yoann090 · Answer

Re, 

En fait j'aimerais faire encore une petite vérification sur un fichier. 

Pourrais tu analyser ce fichier sur virustotal stp : 

C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe 

Tutoriel : https://www.security-helpzone.com/2013/06/10/verifier-si-un-fichier-est-infecte-ou-non/

yoann090 · Answer

Re, 

Copie le texte en gras ci dessous :

SysRestore
G2 - GCE: Preference [User Data\Default] [pcidejejpblipcjpnkfkddlkmgndblch] General Crawler v.2.5 (Désactivé)   
[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe (.not file.)   [0]    
[MD5.00000000000000000000000000000000] [APT] [Express FilesUpdate] (...) -- C:\Program Files (x86)\ExpressFiles\EFUpdater.exe (.not file.)   [0]  
[MD5.00000000000000000000000000000000] [APT] [YourFile DownloaderUpdate] (...) -- C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe (.not file.)   [0]   
[MD5.00000000000000000000000000000000] [APT] [{1DF4CB05-039B-4C20-BF7F-838EDF58FBD5}] (...) -- C:\Program Files (x86)\sweetpacks bundle uninstaller\uninstaller.exe (.not file.)   [0]  
[MD5.00000000000000000000000000000000] [APT] [{355CE1F2-C36D-4920-B8BD-EB6F95493629}] (...) -- C:\Users\boussin\Desktop\Paco\Jeux\Need For Speed Most Wanted (MULTI 9-LANGUAGE SELECTOR) (PC) (ALREADY CRACKED) (DIRECT PLAY) [blaze69]\Need For Speed Most Wanted\Need For Speed Most Wanted\makeDesktopIcon.exe (.not file.)   [0]  
O42 - Logiciel: BrowseToSave 1.74 - (...) [HKLM][64Bits] -- SP_f2a323db  
O42 - Logiciel: ContinueToSave 1.74 - (...) [HKLM][64Bits] -- SP_e14dcdfa 
O42 - Logiciel: PackBarre - (.BPMconcept.) [HKLM][64Bits] -- {D1C414B7-649B-4392-9CB2-001B34CAC13C}  
O42 - Logiciel: Search Assistant WebSearch 1.74 - (...) [HKLM][64Bits] -- SP_4e24eecb    
[HKCU\Software\AppDataLow\Software\SmartBar]  
[HKCU\Software\SweetIM]  
[HKCU\Software\System32]    
[HKLM\Software\Wow6432Node\SweetIM]  
O43 - CFD: 24/04/2013 - 15:31:58 - [1,473] ----D C:\Program Files (x86)\BrowseToSave   
O43 - CFD: 09/02/2012 - 18:37:21 - [0,286] ----D C:\Program Files (x86)\PackBarre  =>Adware.ADON
O43 - CFD: 13/07/2013 - 23:13:01 - [0] RSH-D C:\Users\boussin\AppData\Roaming\system32    
O43 - CFD: 09/05/2013 - 12:48:54 - [0,198] ----D C:\Users\boussin\AppData\Local\WebPlayer    
O43 - CFD: 09/02/2012 - 18:37:21 - [0,003] ----D C:\Users\boussin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PackBarre  =>Adware.ADON
O87 - FAEL: "TCP Query User{5D3D38EF-A960-44A5-88E7-D67B66C16FCA}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Private - P6 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "UDP Query User{81D6EE9D-FF38-41E7-9F6A-DEAB0C920DEE}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Private - P17 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "TCP Query User{9527D98C-7573-4EB4-978D-6A66CA28F154}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Public - P6 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
O87 - FAEL: "UDP Query User{E37655AB-138F-4050-BDB2-D4CB3D14F55F}C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe" | In - Public - P17 - TRUE | .(.Pas de propriétaire - Windows ASR.) -- C:\users\boussin\appdata\roaming\microsoft\asr\asr.exe
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFile_RASAPI32]    
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASAPI32]    
[HKLM\Software\Wow6432Node\Microsoft\Tracing\YourFileUpdater_RASMANCS]    
[HKCU\Software\SweetIM]    
[HKLM\Software\Wow6432Node\SweetIM]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8]    
[HKCU\Software\Classes\MF]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9BB106980C8CD3949921DAF7159A813A]    
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]    
[HKLM\Software\Wow6432Node\Google\Chrome\Extensions\mocblcnaofikinigmceddfghppkkjbog]   
[HKLM\Software\Google\Chrome\Extensions\pcidejejpblipcjpnkfkddlkmgndblch]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\SP_e14dcdfa]   
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D1C414B7-649B-4392-9CB2-001B34CAC13C}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\38D5CDD0A851B3940A43CC50ABBA251C]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]    
C:\Program Files (x86)\BrowseToSave    
C:\Program Files (x86)\PackBarre    
C:\Users\boussin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PackBarre    
C:\Users\boussin\AppData\Local\Google\Chrome\User Data\Default\Extensions\pcidejejpblipcjpnkfkddlkmgndblch    
[HKCU\Software\AppDataLow\Software\SmartBar]   
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{033B4844-E9C3-45D2-88D9-34DDF3F91100}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{0CC85DFF-E70A-4AB0-968A-F1F98F4D0C67}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{219191E6-6846-4329-889D-7956C487D9A6}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{4682E4CB-7209-4099-8AA1-580ABCCCE731}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{5EE4F9B1-7274-48A2-9C25-C287604C3058}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{662EAAEC-9E9A-4C69-A658-884E51E909BB}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{90B969FE-1F55-4E4F-B691-B09B2854D003}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{9F570B21-E27A-40BE-A508-292899A7D042}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{B7C85E99-2AC6-455D-B4D1-752A56403757}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{D2030082-F62A-402A-9456-8009276FD896}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{EB21323D-3F46-4EF0-B849-B096B7705C69}
O43 - CFD: 12/07/2013 - 18:14:37 - [0] --H-D C:\ProgramData\{F2610326-6A40-4BBC-9FBC-7F05356A912A}
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\AutoKMS.job   [268]
[HKCU\Software\Drivers]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{95525BD9-6136-4A26-8263-9CEE295D442D}]    
[HKLM\Software\Classes\CLSID\{95525BD9-6136-4A26-8263-9CEE295D442D}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{95525BD9-6136-4A26-8263-9CEE295D442D}]    
[HKLM\Software\Classes\CLSID\{95080B13-AA71-4EE8-B951-7E98221E1ED5}]    
EmptyTemp
FirewallRaz
EmptyCLSID

Puis suis ce tutoriel : http://www.security-helpzone.com/Thread-ZHPFix-Script

yoann090 · Answer

Cool, plus de soucis ?

yoann090 · Answer

Oh ben il dit rien de particulier, c'est juste le compte rendu de ce qui a été supprimé par le script ^^

Bien, on a presque fini, on nettoie les outils, 

&#9654 Nous allons utilisez l'utilitaire Delfix (Merci à Xplode). 
- Télécharger Delfix, puis exécuter le.
- Lance le, laisse la case précochée
- Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
- Le rapport sera enregistré sous C:\DelFix.txt. Copie/Colle le dans ta prochaine réponse.

[ Avast! ] Rootkit trouve

10 réponses

Discussions similaires