Scan de Rootkit avec Spybot Fermé

Question

Bonjour, 
J'ai lancé un scan de Rootkit pour pouvoir les éliminer. Mais certains Rootkits sont non-malveillants, voir essentiels.
Alors je voulais savoir lesquels sont malveillants :

https://www.zupimages.net/


Et aussi par la même occasion, mon Pc portable est devenu TRES lent alors qu'il n'a que 9 Mois.
Et je suis sûr qu'il est infesté de virus mais les scans antiirus ne trouvent rien alors je me demandais si je ferais mieux de l'emmener chez un informaticien pour faire une révision général.

Merci de vos réponse.

g3n-h@ckm@n · Accepted Answer

salut spybot dit n'importe quoi desinstalle-le c'est de la crotte en barre

==

 Télécharge et enregistre (lien direct) ADWCleaner sur ton bureau :

attends que la fenetre de confirmation de telechargement arrive

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt 

===

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir C:\ /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork
CREATERESTOREPOINT  

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens

lesoldat73 · Answer

Tout d'abord, merci de prendre en charge mon cas.
Juste pour préciser, mon pc est un MSI GE60 0ND 277FR sous windows 8 64-bit

Alors voici le rapport de AdwCleaner : ( Cette outil, je peux l'utiliser quand je veux ? )
https://www.cjoint.com/c/CGExtK8y2M5

Puis, celui de OTL : ( il y avait un option : Avec analyses 64bit, elle était pré-coché et je l'ai laissé comme tel )

https://www.cjoint.com/c/CGExYzqrLjn 

Et dois-je préciser quel type de problème de rencontre, du genre plantage du système, ordinateur tout à coup très lent, ... ?

g3n-h@ckm@n · Answer

ok pour adwcleaner 

 
  Cette outil, je peux l'utiliser quand je veux ? 

oui mais il faudra à chaque fois telecharger la derniere version

=======

pour OTL il manque le extra.txt

lesoldat73 · Answer

http://cjoint.com/?CGFanLSUMlE

Est-ce bon à présent ?

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

lesoldat73 · Answer

Je suppose que cette opération sera longue ?

g3n-h@ckm@n · Answer

minimum une herue c'est certain :)

lesoldat73 · Answer

C'est ce que je pensais, je vais probablement le faire demain au plus tard.
Je vous tien informé.
Merci

g3n-h@ckm@n · Answer

pas de soucis à te lire :)

lesoldat73 · Answer

Alors, voilà le résultat de Malwaresbytes :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.07.31.02

Windows 8 x64 NTFS
Internet Explorer 10.0.9200.16635
valentin :: MSI [administrateur]

31/07/2013 12:02:47
mbam-log-2013-07-31 (12-02-47).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 543780
Temps écoulé: 1 heure(s), 15 minute(s), 29 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Je comprend pas, le scan n'a rien trouvé ...

g3n-h@ckm@n · Answer

spyware Terminator si tu peux le desinstaller , fais-le il sert à rien
il semblerait que tu n'ais pas desinstallé spybot comme demandé au debut 
desinstale tuneUP utilities c'est un fracasse système

===
 
fais une capture d'ecran du contenu de ce dossier :

C:\Windows\SysWow64\Microsoft 

==

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe. (pour les utilisateurs de windows Vista , windows 7 , windows 8 , clique droit => executer en tant qu'administrateur" 

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

lesoldat73 · Answer

Donc, j'ai supprimer TuneUp, Spyware Teminator mais lors du processus de désinstallation, J'ai eu ce message :  "la corbeille sur C:/est endommagée. Voulez-vous vider la corbeille de ce lecteur?" 

Ensuite, Spybot je l'avais déjà désinstallé. Donc j'ai vérifié manuellement les fichiers restants et il n'y en avait aucun.

Et enfin lors au lancement de UsbFix, l'opération s'effectue normalement mais à 92%, le fichier Go.exe crash et je dois redémarrer Explorer.exe
Et je suppose que c'est normal que ce fichier a été signalé comme Trojan par SUPERAntiSpyware, c'est un faux positif ?

Quelles sont les opérations à suivre ?

g3n-h@ckm@n · Answer

fais la suppression avec usbfix en mode sans echec

lesoldat73 · Answer

Je peux lancer en mode diagnostic ou en mode minimal depuis la commande Msconfig ?

g3n-h@ckm@n · Answer

non

 Comment aller en Mode sans échec :

Attention !!! : NE JAMAIS DEMARRER EN MODE SANS ECHEC AVEC L'UTILITAIRE MSCONFIG !!!!

&#9654 Redémarres ton ordi 
&#9654 Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
&#9654 Tu verras un écran avec options de démarrage apparaître 
&#9654 Choisis la 2è option : Sans Échec avec prise en charge reseau, et valide avec "Entrée" 
&#9654 Choisis ton compte habituel,

lesoldat73 · Answer

Pourquoi  NE JAMAIS DEMARRER EN MODE SANS ECHEC AVEC L'UTILITAIRE MSCONFIG  ?

g3n-h@ckm@n · Answer

parce que si ton pc est infecté , suivant l'infection , elle supprime le mode sans echec , donc ton pc demarre plus du tout (ou en boucle) donc tu peux plus reconfigurer pour un demarrage en mode normal si tu n'as pas les outils pour , et ton pc ne te sert plus à rien 
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

lesoldat73 · Answer

Hum ... j'ai déjà lancé en mode diagnostic au par-avant... et au démarrage de mon pc j'ai pas de "BIP" j'ai relancé le pc 2 fois en appuyant sur F8 et l'autre sur F5 et pas la fenêtre pour le démarrage en mode sans echec.

lesoldat73 · Answer

Je dois suivre les indications qui sont sur cette page ? https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/

g3n-h@ckm@n · Answer

ah oui c'est vrai t'as windows 8 pardon !!

lesoldat73 · Answer

Pas de problème, ça arrive à tous le monde ;)

Donc j'applique les instructions pour le démarrage avancé ?

g3n-h@ckm@n · Answer

vi

lesoldat73 · Answer

ok, je le fais tout de suite.

lesoldat73 · Answer

Donc j'ai 5 rapports, dans le doute, je les met tous :

https://www.cjoint.com/c/CGFqCRfRmFA 

https://www.cjoint.com/c/CGFqD1mJvQq 

https://www.cjoint.com/c/CGFqEoepSpq

https://www.cjoint.com/c/CGFqEqIIRar

g3n-h@ckm@n · Answer

relance usbfix clique sur vaccination

lesoldat73 · Answer

Encore en mode sans échec ?

g3n-h@ckm@n · Answer

si ca marche en normal non , sinon oui

lesoldat73 · Answer

en mode echec, j'ai une erreur lors de la vaccination : Erreur durant la vaccination! (:\Autorun.inf )
Et l'application se ferme.
Je vais essayer en mode normal.

lesoldat73 · Answer

Pareil, toujours cette erreur ...

g3n-h@ckm@n · Answer

ils seraient pas protégés contre l'ecriture ces perifs ? tu peux y mettre des dossiers dessus ?

lesoldat73 · Answer

Non, ils ne sont pas protégés, j'ai réussi à mettre un document texte et un film.

g3n-h@ckm@n · Answer

zarb c't'histoire !!!

essaie celui-ci , poste le rapport qui apparaitra à côté

http://www.archive-host.com

lesoldat73 · Answer

Au cas où, je préfère être sur ... Cliquez ici pour voir mon image C'est normal ?

g3n-h@ckm@n · Answer

oui laisse passer

lesoldat73 · Answer

Le lien ne marche plus

g3n-h@ckm@n · Answer

explique ?

lesoldat73 · Answer

Tout est dans l'image ...

https://www.casimages.com/i/130801093112363017.png.html

J'ai beau actualiser, rien n'y fait.

lesoldat73 · Answer

Donc, voilà :  
C:\ : Vaccinated (Vaccin created by Pre_Scan)
D:\ : Vaccinated (Vaccin created by Pre_Scan)
F:\ : Vaccinated (Vaccin created by Pre_Scan)
G:\ : Vaccinated (Vaccin created by Pre_Scan)

Mais j'ai eu plusieurs avertissements d'Avast et de Windows.

g3n-h@ckm@n · Answer

en tout cas il semblrerait qu'on ait reussi à les vacciner ^^

g3n-h@ckm@n · Answer

re

il me manque ma capture demandée au debut

g3n-h@ckm@n · Answer

C:\Windows\SysWOW64\Microsoft\Crypto\RSA\MachineKeys

dossier vide ? même en affichant les fichiers cachés ?

lesoldat73 · Answer

La case "Caché" est grisé dans le menu propriété ...
Le dossier pèse 0 octet avec 0 fichier

g3n-h@ckm@n · Answer

refais OTL stp selon les memes conditions
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

lesoldat73 · Answer

Voilà :

http://cjoint.com/?CHctLWo3EqS 

https://www.cjoint.com/c/CHctMpfj3qz 

J'ai pas mis sur "Tous les utilisateurs", mais je suis le seul à utiliser le pc et je suis Admin, donc je pense que c'est pas très grave.

g3n-h@ckm@n · Answer

pourquoi tu fais pas ce que je demande ???

faut toujours que vous inventiez des trucs c'est pas croyable ca quand même !
y'a qu'à lire et exécuter en tant que tel , et ben non !!!

g3n-h@ckm@n · Answer

lol ^^ je pète pas un plomb mdr ....
mai squand ca arrive 30 fois par jour c'est un peu plus difficile à digérer lol !

recommence :)

g3n-h@ckm@n · Answer

si pando media booster te sert pas desinstalle-le

==

 ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O4 - HKLM\..\Run: [SpywareTerminatorShield] C:\Program Files (x86)\Spyware Terminator\SpywareTerminatorShield.exe File not found
O4 - HKU\S-1-5-21-2289135366-3042265903-3604427066-1001\..\Run: [Spybot-S&D Cleaning] "C:\Program Files (x86)\Spybot - Search & Destroy 2\SDCleaner.exe" /autoclean File not found
O4 - HKU\S-1-5-21-2289135366-3042265903-3604427066-1001\..\Run: [WLAN Optimizer] C:\Users\UpdatusUser\Desktop\Nouveau dossier\WLAN Optimizer.exe File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1     
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1     
O7 - HKU\S-1-5-21-2289135366-3042265903-3604427066-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1     
O7 - HKU\S-1-5-21-2289135366-3042265903-3604427066-1002\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1     
O8 - Extra context menu item: Download Video on This Page - res://C:\Program Files (x86)\Tomato\YouTube Video Downloader\MDIEEx.dll/211 File not found
O8 - Extra context menu item: Download Video This Links To - res://C:\Program Files (x86)\Tomato\YouTube Video Downloader\MDIEEx.dll/212 File not found
O8 - Extra context menu item: Download Video on This Page - res://C:\Program Files (x86)\Tomato\YouTube Video Downloader\MDIEEx.dll/211 File not found
O8 - Extra context menu item: Download Video This Links To - res://C:\Program Files (x86)\Tomato\YouTube Video Downloader\MDIEEx.dll/212 File not found
O9 - Extra 'Tools' menuitem : Console Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - Reg Error: Key error. File not found
O9 - Extra Button: Download Video - {11F19C45-9675-488A-A8E0-8E8234DC245D} - res://C:\Program Files (x86)\Tomato\YouTube Video Downloader\MDIEEx.dll/211 File not found
O9 - Extra 'Tools' menuitem : Download Video on This Page - {11F19C45-9675-488A-A8E0-8E8234DC245D} - res://C:\Program Files (x86)\Tomato\YouTube Video Downloader\MDIEEx.dll/211 File not found
[3 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ] 
[2013/07/23 14:02:16 | 000,001,241 | ---- | M] () -- C:\Users\Public\Desktop\Wise Registry Cleaner.lnk 
[2013/04/06 12:10:03 | 000,000,000 | ---D | M] -- C:\ProgramData\InstallMate     
[2013/08/02 16:01:47 | 000,051,928 | ---- | M] () -- C:\Windows\Temp\e08a4684-8093-4264-8a92-b026e938c3f5\svchost.exe 

:Reg
[-HKEY_CURRENT_USER\Software\System32]    

:Files
C:\install.*
C:\sh4ldr 


:commands
[emptytemp]

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

lesoldat73 · Answer

Merci.
https://www.cjoint.com/c/CHcxG1NYuCs 

!et pando media booster, ça sert à quoi ?

g3n-h@ckm@n · Answer

fais ce grand menage et dis quoi

lesoldat73 · Answer

Alors ... pour le lien,

 DelFix n'est pas compatible avec windows 8

Pour CCleaner, je ne préfère pas nettoyer le registre avec, il m'a posé des problème il y a quelques temps ...

g3n-h@ckm@n · Answer

oui c'est normal , enplus c'est des antivirus pourris qui detectent , tu remarqueras que les plus gros ne detectent rien
 
hormis drWeb pour usbfix , mais c'est parce qu'usbfix a un codage particulier :)
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

g3n-h@ckm@n · Answer

tu le lances avec le clic droit executer en tant qu'administrauteur ? c'est quoi le message d'erreur ?

lesoldat73 · Answer

Sur le lien, il n'y a pas la compatibilité avec W8
J'ai donc cherché ailleur, j'ai trouvé.
Donc j'ai lancé en admin cochés toutes les cases, le programmes commence, puis un .txt apparaît, je m'appétais à le reporter ici et paf ... Ecran bleu avec l'erreur 0XC000021a

g3n-h@ckm@n · Answer

ok je contacte le developpeur patience

g3n-h@ckm@n · Answer

tu vas pas refaire ton systeme pour ca non ?

lesoldat73 · Answer

Le truc c'est que je vais vendre ce pc, pour m'acheter un fixe, digne de ce nom.
Donc je voulais le remettre à neuf mais il y a toujours des problèmes persistants ...
Donc je pense que c'est la solution Z ^^
D'après ce que j'ai pu lire sur la réinstallation du système depuis les paramètres de l'ordinateurs, même si j'ai pas le CD d'installation de Windows 8, je peux restaurer à l'état de sortie d'usine.
Ou bien je me trompe ... ?

g3n-h@ckm@n · Answer

non non c'est ca :)

lesoldat73 · Answer

Mais si je veux vraiment le remettre à l'état d'origine, il n'y a pas un tuto pour restaurer tout les disques, Bios, Registre, Drivers et tout le patacoufin. ^^

Même remettre Windows 8 à l'origine, car je suspect certains fichiers malveillants de s'être infiltrés à ce niveau là ...

Je veux vraiment que mon acheteur n'ait aucun problème de performance ou autres.
Sachant que je n'ai pas le CD

Je devrais aller sur le support Microsoft pour faire cette opération ?

g3n-h@ckm@n · Answer

non non :)

https://www.commentcamarche.net/informatique/windows/123-restaurer-un-pc-a-l-etat-d-usine/

g3n-h@ckm@n · Answer

mais c'est un monstre !! lol ^^

ben je trouve rien non plus contacte le revendeur

g3n-h@ckm@n · Answer

non lol ^^

lesoldat73 · Answer

Mais du coup, je ne sais toujours pas si je peux le reformater ...
Via l'option de windows 8

Scan de Rootkit avec Spybot

62 réponses

Discussions similaires