Rootkit-hidden file et disque dur défectueuxRésolu/Fermé

Question

Bonjour, 

J'ai voulu "réparer" mon pc toute seule mais là je commence a être un peu paumée. D'ailleurs je pense que j'ai fait des bêtises car j'ai supprimé des (peut-être) drivers.


Voici ce qui s'est passé : 

Mercredi lorsque je démarre mon pc il me propose de lancer une vérification. (Le pc a été acheté en Février 2013 et c'est la première fois qu'il me fait ça) Je le laisse lancer la vérif, puis il démarre en mettant un peu plus de temps que d'habitude.

Le lendemain il démarre normalement.

Au troisième jour il me propose de nouveau une vérification, ce que je fais. Puis il essaye de démarrer mais reste bloqué sur le petit logo Windows qui charge en fond noir. Au bout d'un certain temps il me propose de faire une réparation. Celle-ci sera rapide et voici ce qu'il me met en rapport :

"Disque système = \Device\Harddisk0
repertoire windows = D:\windows
exécution autochk = 1
nombre de causes initiales = 1"
 
J'ai regardé le détail des actions pendant qu'il le faisait, apparemment il a isolé un morceau du disque dur qu'il dit défectueux.

Une fois ma session ouverte : 
-Je demande à l'invit de commande de lancer CHKDSK /f /r C: , ce qui sera fait lors du redémarrage.
-Je lance un scan minutieux d'avast : 324 fichiers sont infectés.

Je n'ai malheureusement pas le rapport d'avast, il ne l'a pas enregistré, mais il était écris "rootkit : hidden file", il s'agissait de Dll avec dans le nom "amd64" et tous les fichiers étaient au même endroit sur le C: .
 
J'ai tenté de :
-mettre en quarantaine : action impossible
-supprimer : sera fait au redémarrage
-restaurer le système depuis un point de restauration : impossible, une partie du disque dur est endommagé.
 
J'ai donc :
-Redémarré mon pc.
 
Le CHKDSK s'est lancé et a tourné plusieurs heures puis avast a lancé un scan. 
Il a repéré ceci : adw : addlyrics-A. (3 fichiers infectés, supprimés comme les 324)

Puis le pc démarre, je constate que j'ai perdu mon fond d'écran. Je test quelque appli, ça a l'air de se lancer correctement. Je redémarre le pc pour voir s'il va me proposer de nouveau une verif mais non. Je remets mon fond d'écran. Apparemment celui-ci n'est plus adapté à la taille de l'écran. Peut être un lien avec les 324 fichiers supprimés?

Enfin aujourd'hui je rallume le pc : très long a démarrer et plus de fond d'écran à nouveau. j'ai farfouillé sur votre site, j'ai trouvé une solution contre les rootkits j'ai donc testé GMER. Et c'est suite à cela que je vous écris. Il a repéré une activité rootkit mais seule une ligne se termine par .exe . Pour les autres c'est du .sys.

Et toutes les lignes sont des drivers sauf la .exe

Que puis je faire? la menace est-elle réelle? Mon disque dur est-il abîmé à cause de l'activité rootkit et si oui comment le réparer?
 
 
Je vous remercie d'avance de vos réponses, et désolée pour le pavé :x
Cordialement,
 
Kolewa

Configuration: Windows 7 / Chrome 29.0.1547.57

lavague23 · Answer

Bonjour,

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé,

Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »


Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"

Clique sur la loupe en bas à gauche sans signe pour lancer l'analyse.

Clique sur OUI à la question "Voulez-vous un rapport full options"

Laisse l'outil travailler, il peut être assez long.

Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau

Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload
https://www.cjoint.com/


Regarde sur le bureau

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci.

Kolewa · Answer

Merci de votre réponse rapide, voici le diagnostic : 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130830_g15o13j12k14p5

Malekal_morte- · Answer

Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start= 
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.

Kolewa · Answer

Il n'a rien détecté je n'ai donc pas eu a utiliser skip.

Voici le rapport : https://pjjoint.malekal.com/files.php?id=20130830_d7y5o10b10b6

Malekal_morte- · Answer

donc ton rootkit blalba, c'est quedalle.

~~

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.  
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt  


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup https://www.google.fr/?gws_rd=ssl /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

Kolewa · Answer

Je ne sais pas si j'ai bien fait mais le logiciel AdwCleaner m'a demandé de redémarrer, je l'ai laissé faire. Mon PC a mis quasiment 10 minutes a redémarrer (alors que j'avais fermé tous les programmes manuellement) et une fois sur ma session il a mis "l'ordinateur a redémarré suite à un arrêt non programmé, rechercher solution...". ça commence à m'inquiéter.

Voici le rapport AdwCleanner :

# AdwCleaner v3.001 - Rapport créé le 30/08/2013 à 20:59:08
# Mis à jour le 24/08/2013 par Xplode
# Système d'exploitation : Windows 7 Home Basic  (64 bits)
# Nom d'utilisateur : Hina - HINA-PC
# Exécuté depuis : C:\Users\Hina\Downloads\adwcleaner (1).exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

[!] Dossier Supprimé : C:\ProgramData\SweetIM
[!] Dossier Supprimé : C:\ProgramData\Tarma Installer
[!] Dossier Supprimé : C:\Program Files (x86)\LyricsPal
[!] Dossier Supprimé : C:\Program Files (x86)\SweetIM
[!] Dossier Supprimé : C:\Program Files (x86)\Yontoo

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{9309FA47-1B48-4768-AFA4-9E0556F5DC81}]
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AB9778AB-BAEF-49B9-96EE-D6E4BD0BCE68}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AB9778AB-BAEF-49B9-96EE-D6E4BD0BCE68}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AB9778AB-BAEF-49B9-96EE-D6E4BD0BCE68}

***** [ Navigateurs ] *****

-\ Internet Explorer v8.0.7600.16385


-\ Google Chrome v

[ Fichier : C:\Users\Hina\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [1547 octets] - [30/08/2013 20:56:32]
AdwCleaner[S0].txt - [1509 octets] - [30/08/2013 20:59:08]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1569 octets] ##########

Kolewa · Answer

Pour le scan OTL voici les rapports : 

https://pjjoint.malekal.com/files.php?id=20130830_s7p9r9p6c9

https://pjjoint.malekal.com/files.php?id=20130830_10w8c14o12r9

Malekal_morte- · Answer

ca doit être bon.
En fait y avait pas grand chose. 


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.



Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Kolewa · Answer

Merci pour ces réponses, toutefois il reste des choses qui m'inquiètent : les 324 fichiers qui étaient infectés par le rootkit hidden file et que j'ai supprimé via avast.

Depuis mon pc a du mal a démarrer et mon fond d'écran ne peut plus s'afficher. J'ai donc bien dû virer un truc qu'il ne fallait pas toucher? 

Et surtout pourquoi mon pc m'a fait faire une réparation pour isoler une partie de mon disque dur? Celui-ci est-il réellement atteint et est-ce irréversible?

Est-ce qu'un formatage du disque dur puis réinstallation de seven permettra de résoudre ce problème?

Merci beaucoup :)

Kolewa · Answer

Je vais compléter ce que j'ai dit : j'ai lancé un scan Malwarebyte's, apparemment il a retrouvé des traces des PUP qu'on avait supprimé. Est ce normal? Je joint le rapport.

https://pjjoint.malekal.com/files.php?id=20130831_h7g10h5m7c8

Malekal_morte- · Answer

Restaure tous les rootkits hidden.

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/

Donne le rapport de scan.

Kolewa · Answer

Je ne peux pas les restaurer, ils ne sont pas en zone de quarantaine. Les captures que j'ai faites sont tirées du rapport de scan.

est ce que je test ça : https://www.commentcamarche.net/telecharger/utilitaires/17061-pc-inspector-file-recovery/ ? 
ça n'a pas l'air de récupérer des fichiers au format de ceux que j'ai supprimés...

Modifié par la modération CCM.... utilisez de préférence les téléchargements CCM à ceux de 01.net qui rajoute, parfois , à l'insu de votre plein gré, des trucs  douteux non désirés

Kolewa · Answer

Voilà le rapport du NOD32 : https://pjjoint.malekal.com/files.php?id=20130831_m10v5u5f9w5

Malekal_morte- · Answer

donc pas infecté, pour la détection Rootkit, c'est Avast! qui fume.
Au final tu n'avais que des programmes parasites.
=>  https://www.malekal.com/adwares-pup-protection/

Kolewa · Answer

ouai jm'en doutais un peu... et pourquoi le pc a isolé une partie de mon DD du coup? c'était lié?

Rootkit-hidden file et disque dur défectueux

15 réponses

Newsletters