Rootkit-hidden file et disque dur défectueux

Résolu/Fermé
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014 - Modifié par Kolewa le 30/08/2013 à 18:39
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014 - 2 sept. 2013 à 10:08
Bonjour,

J'ai voulu "réparer" mon pc toute seule mais là je commence a être un peu paumée. D'ailleurs je pense que j'ai fait des bêtises car j'ai supprimé des (peut-être) drivers.


Voici ce qui s'est passé :

Mercredi lorsque je démarre mon pc il me propose de lancer une vérification. (Le pc a été acheté en Février 2013 et c'est la première fois qu'il me fait ça) Je le laisse lancer la vérif, puis il démarre en mettant un peu plus de temps que d'habitude.

Le lendemain il démarre normalement.

Au troisième jour il me propose de nouveau une vérification, ce que je fais. Puis il essaye de démarrer mais reste bloqué sur le petit logo Windows qui charge en fond noir. Au bout d'un certain temps il me propose de faire une réparation. Celle-ci sera rapide et voici ce qu'il me met en rapport :

"Disque système = \Device\Harddisk0
repertoire windows = D:\windows
exécution autochk = 1
nombre de causes initiales = 1"

J'ai regardé le détail des actions pendant qu'il le faisait, apparemment il a isolé un morceau du disque dur qu'il dit défectueux.

Une fois ma session ouverte :
-Je demande à l'invit de commande de lancer CHKDSK /f /r C: , ce qui sera fait lors du redémarrage.
-Je lance un scan minutieux d'avast : 324 fichiers sont infectés.

Je n'ai malheureusement pas le rapport d'avast, il ne l'a pas enregistré, mais il était écris "rootkit : hidden file", il s'agissait de Dll avec dans le nom "amd64" et tous les fichiers étaient au même endroit sur le C: .

J'ai tenté de :
-mettre en quarantaine : action impossible
-supprimer : sera fait au redémarrage
-restaurer le système depuis un point de restauration : impossible, une partie du disque dur est endommagé.

J'ai donc :
-Redémarré mon pc.

Le CHKDSK s'est lancé et a tourné plusieurs heures puis avast a lancé un scan.
Il a repéré ceci : adw : addlyrics-A. (3 fichiers infectés, supprimés comme les 324)

Puis le pc démarre, je constate que j'ai perdu mon fond d'écran. Je test quelque appli, ça a l'air de se lancer correctement. Je redémarre le pc pour voir s'il va me proposer de nouveau une verif mais non. Je remets mon fond d'écran. Apparemment celui-ci n'est plus adapté à la taille de l'écran. Peut être un lien avec les 324 fichiers supprimés?

Enfin aujourd'hui je rallume le pc : très long a démarrer et plus de fond d'écran à nouveau. j'ai farfouillé sur votre site, j'ai trouvé une solution contre les rootkits j'ai donc testé GMER. Et c'est suite à cela que je vous écris. Il a repéré une activité rootkit mais seule une ligne se termine par .exe . Pour les autres c'est du .sys.

Et toutes les lignes sont des drivers sauf la .exe

Que puis je faire? la menace est-elle réelle? Mon disque dur est-il abîmé à cause de l'activité rootkit et si oui comment le réparer?


Je vous remercie d'avance de vos réponses, et désolée pour le pavé :x
Cordialement,

Kolewa

A voir également:

15 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
30 août 2013 à 20:18
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
1
lavague23 Messages postés 146 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 3 septembre 2013 13
30 août 2013 à 18:44
Bonjour,

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

en bas de la page ZHP avec un numéro de version.

Une fois le téléchargement achevé,

Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »


Dans la fenêtre ZHPDiag qui vient de s'ouvrir, clique sur "Configurer"

Clique sur la loupe en bas à gauche sans signe pour lancer l'analyse.

Clique sur OUI à la question "Voulez-vous un rapport full options"

Laisse l'outil travailler, il peut être assez long.

Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau

Pour transmettre le rapport clique sur ce lien:
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload
https://www.cjoint.com/


Regarde sur le bureau

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Merci.
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
30 août 2013 à 19:46
Merci de votre réponse rapide, voici le diagnostic :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130830_g15o13j12k14p5
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
30 août 2013 à 20:34
Il n'a rien détecté je n'ai donc pas eu a utiliser skip.

Voici le rapport : https://pjjoint.malekal.com/files.php?id=20130830_d7y5o10b10b6
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
30 août 2013 à 20:41
donc ton rootkit blalba, c'est quedalle.

~~

Télécharge https://www.malekal.com/adwcleaner-supprimer-virus-adwares-pup/?t=33839&start= AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminéi, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt


puis:


Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Je répète : donne le lien du rapport pjjoint ici dans un nouveau message.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE



0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
30 août 2013 à 21:35
Je ne sais pas si j'ai bien fait mais le logiciel AdwCleaner m'a demandé de redémarrer, je l'ai laissé faire. Mon PC a mis quasiment 10 minutes a redémarrer (alors que j'avais fermé tous les programmes manuellement) et une fois sur ma session il a mis "l'ordinateur a redémarré suite à un arrêt non programmé, rechercher solution...". ça commence à m'inquiéter.

Voici le rapport AdwCleanner :

# AdwCleaner v3.001 - Rapport créé le 30/08/2013 à 20:59:08
# Mis à jour le 24/08/2013 par Xplode
# Système d'exploitation : Windows 7 Home Basic (64 bits)
# Nom d'utilisateur : Hina - HINA-PC
# Exécuté depuis : C:\Users\Hina\Downloads\adwcleaner (1).exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

[!] Dossier Supprimé : C:\ProgramData\SweetIM
[!] Dossier Supprimé : C:\ProgramData\Tarma Installer
[!] Dossier Supprimé : C:\Program Files (x86)\LyricsPal
[!] Dossier Supprimé : C:\Program Files (x86)\SweetIM
[!] Dossier Supprimé : C:\Program Files (x86)\Yontoo

***** [ Raccourcis ] *****


***** [ Registre ] *****

Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{9309FA47-1B48-4768-AFA4-9E0556F5DC81}]
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\apnstub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AB9778AB-BAEF-49B9-96EE-D6E4BD0BCE68}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{AB9778AB-BAEF-49B9-96EE-D6E4BD0BCE68}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{AB9778AB-BAEF-49B9-96EE-D6E4BD0BCE68}

***** [ Navigateurs ] *****

-\\ Internet Explorer v8.0.7600.16385


-\\ Google Chrome v

[ Fichier : C:\Users\Hina\AppData\Local\Google\Chrome\User Data\Default\preferences ]


*************************

AdwCleaner[R0].txt - [1547 octets] - [30/08/2013 20:56:32]
AdwCleaner[S0].txt - [1509 octets] - [30/08/2013 20:59:08]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1569 octets] ##########
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
30 août 2013 à 21:36
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 30/08/2013 à 22:56
ca doit être bon.
En fait y avait pas grand chose.


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.



Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
30 août 2013 à 23:10
Merci pour ces réponses, toutefois il reste des choses qui m'inquiètent : les 324 fichiers qui étaient infectés par le rootkit hidden file et que j'ai supprimé via avast.

Depuis mon pc a du mal a démarrer et mon fond d'écran ne peut plus s'afficher. J'ai donc bien dû virer un truc qu'il ne fallait pas toucher?

Et surtout pourquoi mon pc m'a fait faire une réparation pour isoler une partie de mon disque dur? Celui-ci est-il réellement atteint et est-ce irréversible?

Est-ce qu'un formatage du disque dur puis réinstallation de seven permettra de résoudre ce problème?

Merci beaucoup :)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
31 août 2013 à 09:53
Faudrait que tu donnes la liste de la quarataine avec les fichiers.
Tu peux faire une capture d'écran ?
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
Modifié par Kolewa le 31/08/2013 à 13:29
Oui, il y avait beaucoup de données donc pour que tu ais tous les éléments j'ai fait plusieurs captures d'écran. Les 9 premières correspondent au scan qui a détecté les 324 fichiers infectés par le dit "rootkit". Les captures 10 et 11 correspondent au résultat du scan d'avast après le redémarrage qui a (ou aurait?) supprimé les 324 fichiers.

Captures 1 à 9 :
https://pjjoint.malekal.com/files.php?id=20130831_f10k12j11r6m12
https://pjjoint.malekal.com/files.php?id=20130831_d9o5e13g11x7
https://pjjoint.malekal.com/files.php?id=20130831_d6o10z9x5i7
https://pjjoint.malekal.com/files.php?id=20130831_r12f6r11u5q15
https://pjjoint.malekal.com/files.php?id=20130831_d11q13v12r13u7
https://pjjoint.malekal.com/files.php?id=20130831_f11i12i9b12p7
https://pjjoint.malekal.com/files.php?id=20130831_q7s14v5e11t11
https://pjjoint.malekal.com/files.php?id=20130831_t10g10u12p15w7
https://pjjoint.malekal.com/files.php?id=20130831_t6s14o14c11i9

Captures 10 et 11 :
https://pjjoint.malekal.com/files.php?id=20130831_o15q11c6m9s7
https://pjjoint.malekal.com/files.php?id=20130831_g7q10o7y9e6

Pour info : scan de malwerebyte et avast (même paramétrage que lors de la détection des 324) ce midi : 0 fichiers infectés.
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
31 août 2013 à 01:51
Je vais compléter ce que j'ai dit : j'ai lancé un scan Malwarebyte's, apparemment il a retrouvé des traces des PUP qu'on avait supprimé. Est ce normal? Je joint le rapport.

https://pjjoint.malekal.com/files.php?id=20130831_h7g10h5m7c8
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
31 août 2013 à 09:53
c'est dans la quarataine d'AdwCleaner.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
31 août 2013 à 13:33
Restaure tous les rootkits hidden.

Fais un scan en ligne NOD32 : https://www.malekal.com/scan-antivirus-ligne-nod32/

Donne le rapport de scan.
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
Modifié par baladur13 le 31/08/2013 à 14:23
Je ne peux pas les restaurer, ils ne sont pas en zone de quarantaine. Les captures que j'ai faites sont tirées du rapport de scan.

est ce que je test ça : https://www.commentcamarche.net/telecharger/utilitaires/17061-pc-inspector-file-recovery/ ?
ça n'a pas l'air de récupérer des fichiers au format de ceux que j'ai supprimés...

Modifié par la modération CCM....
utilisez de préférence les téléchargements CCM à ceux de 01.net qui rajoute, parfois , à l'insu de votre plein gré, des trucs douteux non désirés
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
31 août 2013 à 14:35
non, fais le scan NOD32 pour voir.
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
31 août 2013 à 17:17
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
31 août 2013 à 17:57
donc pas infecté, pour la détection Rootkit, c'est Avast! qui fume.
Au final tu n'avais que des programmes parasites.
=> https://www.malekal.com/adwares-pup-protection/
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
31 août 2013 à 18:16
ouai jm'en doutais un peu... et pourquoi le pc a isolé une partie de mon DD du coup? c'était lié?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
31 août 2013 à 18:18
comment ça isolé une partie du DD ?
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
31 août 2013 à 19:10
Lorsque j'ai démarré mon pc avant hier il a lancé un CHKDSK puis a essayé de démarrer sans y arriver. il m'a alors proposé de faire une réparation.
Et de ce que j'ai vu des différentes étapes de réparations il a isolé une partie du DD qui d'après lui était défectueuse.

C'est suite à ça que j'ai lancé une analyse avast et que celui-ci m'a trouvé le fameux Rootkit.
J'ai pensé que restaurer le pc depuis un point de restauration virerait tout le bazard, mais il a refusé de le faire car le DD était endomagé.
Et c'est suite à ça que j'ai dit à Avast de supprimer les 324 fichiers infecté par rootkit qu'il avait trouvé.

Puis redémarrage du pc et depuis : plus de fond d'écran. J'en ai déduis qu'il y avait un soucis avec l'utilitaire qui permet gérer le fond d'écran. (les fichiers infectés s'apellent "backup" c'est peut être lié non?)
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
1 sept. 2013 à 13:19
Ce matin j'ai allumé le pc, il est allé jusqu'à l'ouverture de la session, une fois le mot de passe rentré : écran noir avec un message inquiétant :

C:\windows\system32\slc.dll est endommagé, lancez la commande CHKDSK. (impossible à faire je ne sais pas comment ouvrir l'invit de commande depuis un écran noir...)

Puis deuxième message :
L'application n'a pas réussi à démarrer correctement (0xc0000102).

Sérieusement qu'est ce qui se passe? hier le pc n'a pas eu de problème. Je vais le laisser tourner sur son écran noir je n'ai pas envie de lui mettre un coup de "reseat".

Merci
0
Kolewa Messages postés 27 Date d'inscription vendredi 30 août 2013 Statut Membre Dernière intervention 1 avril 2014
Modifié par Kolewa le 1/09/2013 à 14:39
Bon et bien mon pc a dû arriver à un point de non retour ^^ Après avoir réussis un redémarrage, il a lancé le CHKDSK et supprimé ééééééénormément de chose.

Et à l'ouverture de session cette fois il me dit :

Impossible de démarrer le programme car il manque slc.dll sur votre ordinateur. (sans blague!) essayez de réinstaller le programme pour corriger le problème.

Je crois que je vais surtout essayer de réinstaller seven oui ! ^^ j'attends votre confirmation et je m'occupe de ça.
0
lavague23 Messages postés 146 Date d'inscription jeudi 29 août 2013 Statut Membre Dernière intervention 3 septembre 2013 13
1 sept. 2013 à 13:58
inutile ton DD est défectueux!
maintenant tu devrait essaye de récupéré tes donnés
avec linux par exemple
https://www.commentcamarche.net/telecharger/utilitaires/22681-unetbootin/
0