Rootkit impossible à supprimer Fermé

Question

Bonjour,

Ce matin, j'ai eu une notification d'Avast! me signalant qu'un rootkit a été trouvé. Pour l'action à effectuer, j'ai sélectionné "Supprimer maintenant (recommandé)". Puis il m'a demandé de redémarrer mon ordinateur afin de procéder à une analyse avant le lancement de Windows 7. L'analyse se fait, elle se termine, Windows se lance, et là, même message d'Avast!, avec exactement le même rootkit trouvé.
Le nom du fichier : SVC:PST Service > C:\...\ForwardDaemon.exe
Le nom du rootkit : Win32:Evo-gen [Susp] 

Quelqu'un pourrait-il m'indiquer la démarche à suivre afin de l'éradiquer de mon ordinateur ?

Merci,

Cordialement.

cabrier · Answer

Bonjour,


Tu as installé :

AVS VIDEO EDITOR

si oui la détection d'Avast est un faux positif déjà connu !

Donc pas de problème.

 ForwardDaemon.exe  est parfaitement légitime.


Si tu n'as pas d'autres problèmes laisse tomber.



@+
 
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

wylad · Answer

Voici ce que j'ai trouvé sur le net : Some malware camouflages itself as ForwardDaemon.exe, particularly when located in the c:\windows or c:\windows\system32 folder. Therefore, you should check the ForwardDaemon.exe process on your PC to see if it is a threat.
A savoir que ForwardDaemon.exe est apparemment un software qui appartient à Motorola (Motorola est la marque de mon smartphone qu'il m'arrive de connecter à ce PC).

Malekal_morte- · Answer

Salut,

Est-ce que tu as la dernière version d'Avast!
ou tu as une vieille version payante crackée ?

wylad · Answer

@cabrier : non je n'ai pas installé ce logiciel. Le seul logiciel en rapport avec la vidéo que j'ai installé (et il y a de ça un moment), c'est Debut, un enregistreur vidéo de mon écran.

@malekal_morte :  j'ai fait la MàJ Avast! il y a peu, et non ce n'est pas une version payante crackée, c'est la version gratuite.

wylad · Answer

This file was last analysed by VirusTotal on 2014-09-10 11:38:57 UTC, it was first analysed by VirusTotal on 2012-06-19 23:37:55 UTC.

Ratio de détection : 0/53

https://www.virustotal.com/gui/file/026a57155fb9e01cfafd8613980cdf0f3d744abbbc66efdc6c20b89980fb45cf 
Cogito ergo sum.

cabrier · Answer

wylad,


Donc c'est bien un faux positif  !

Néammoins :

Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)

*    Quitte tous les programmes en cours

*    Lance RogueKiller.exe

*    Attends que le Prescan ait fini ...
Une fenêtre apparait sur l'accord de licence "Accepte"

*    Clique sur Scan.

Clique sur Rapport et copie/colle le contenu du notepad

(le rapport est également sur le bureau)

* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois, ou renomme le en winlogon.exe 

Et si ça ne marche toujours pas , lance le en mode sans échec avec prise en charge du réseau.


Plus d'info sur RogueKiller : ICI

A+ 
 
--------Contributeur Sécurité---------
Heureux ceux qui peuvent donner sans s'en souvenir et prendre sans oublier !

wylad · Answer

RogueKiller V9.2.10.0 (x64) [Jul 11 2014] par Adlice Software
Mail : https://www.adlice.com/contact/
Remontées : https://forum.adlice.com/
Site Web : https://www.surlatoile.org/RogueKiller/
Blog : https://www.adlice.com/

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarrage : Mode normal
Utilisateur : Ralph [Droits d'admin]
Mode : Recherche -- Date : 09/10/2014  14:31:09

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 13 ¤¤¤
[Suspicious.Path] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run | Magic Desktop for HP notification : "C:\ProgramData\Easybits Magic Desktop for HP\mdhpSUN.exe"  -> TROUVÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> TROUVÉ
[PUM.Policies] (X64) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0  -> TROUVÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> TROUVÉ
[PUM.Policies] (X86) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1000\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0  -> TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ
[PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ
[PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> TROUVÉ
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.trovigo.com/?gd=&ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=4&UP=SP670D21C5-71F0-4991-81FB-342AF8623F0E&SSPV=  -> TROUVÉ
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1000\Software\Microsoft\Internet Explorer\Main | Start Page : http://www.trovigo.com/?gd=&ctid=CT3315513&octid=EB_ORIGINAL_CTID&SearchSource=55&CUI=&UM=4&UP=SP670D21C5-71F0-4991-81FB-342AF8623F0E&SSPV=  -> TROUVÉ
[PUM.HomePage] (X64) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1014\Software\Microsoft\Internet Explorer\Main | Start Page : https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF  -> TROUVÉ
[PUM.HomePage] (X86) HKEY_USERS\S-1-5-21-374463854-3436805162-2690833384-1014\Software\Microsoft\Internet Explorer\Main | Start Page : https://www.msn.com/fr-fr?cobrand=hp-desktop.msn.com&ocid=HPDHP&pc=HPDTDF  -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 1 (Driver: CHARGE) ¤¤¤
[Filter(Kernel.Filter)] \Driver\atapi @ Unknown : \Driver\cdrom @ \Device\CdRom0 (\SystemRoot\system32\DRIVERS\dtsoftbus01.sys)

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: WDC WD10EADS-65M2B0 ATA Device +++++
--- User ---
[MBR] 21095aa270674cdf336cbacb327fa4be
[BSP] f677b5c71ab2fcc3973c69e45f9eefe2 : Unknown MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 939531 MB
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 1924366785 | Size: 14235 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Samsung G3 Station USB Device +++++
--- User ---
[MBR] 9522dc4ca05bc948f1cb338d4394a6ee
[BSP] 2e648b69bc1f552da1d15f34497e71fd : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 64 | Size: 1430796 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive2: Generic- Compact Flash USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive3: Generic- SM/xD-Picture USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive4: Generic- SD/MMC USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive5: Generic- MS/MS-Pro USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

cabrier · Answer

Re,


Non rien de méchant !


Passe un coup de :


Utilise AdwCleaner (développé par Xplode) qui est un outil de désinfection spécifique aux logiciels publicitaires : 

*Il est à télécharger ICI pour obtenir la dernière version.

* Une fois téléchargé et lancé (clic droit : "Exécuter en tant qu'administrateur") clique sur [Scanner], laisse l'outil travailler.

* Lorsque le scan est terminé, dans les différents onglets apparaissent les infections trouvées.

* Clique sur l'onglet [Nettoyer], tous les éléments infectieux trouvés vont être supprimés.

* Clique sur [Rapport], le rapport apparait, tu peux le copier/coller dans ta prochaine réponse. 
Sinon héberge le sur :
cijoint ou  pjoint ou Up2Share et transmet moi le lien obtenu.





A+





Clique sur [Suppression]. Clique sur [Rapport] et copie/colle le contenu du notepad

wylad · Answer

# AdwCleaner v3.309 - Rapport créé le 10/09/2014 à 19:41:52
# Mis à jour le 02/09/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Ralph - RALPH-PC
# Exécuté depuis : C:\Users\Ralph\Downloads\adwcleaner_3.309.exe
# Option : Nettoyer

***** [ Services ] *****

Service Supprimé : Appupdater

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\Appupdater
Dossier Supprimé : C:\ProgramData\NCH Software
Dossier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Appupdater
Dossier Supprimé : C:\Program Files (x86)\Appupdater
Dossier Supprimé : C:\Program Files (x86)\NCH Software
Dossier Supprimé : C:\Users\Ralph\AppData\Roaming\Appupdater
Dossier Supprimé : C:\Users\Ralph\AppData\Roaming\NCH Software

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\AppUpdater
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\AppUpdater

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17207

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

*************************

AdwCleaner[R0].txt - [2121 octets] - [14/09/2013 15:08:38]
AdwCleaner[R1].txt - [1745 octets] - [10/09/2014 19:40:17]
AdwCleaner[S0].txt - [2131 octets] - [14/09/2013 15:09:22]
AdwCleaner[S1].txt - [1493 octets] - [10/09/2014 19:41:52]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1553 octets] ##########

cabrier · Answer

OK,


On fait un scan pour vérifier ?

* Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau,
/!\Il est très important de l'enregistrer sur le bureau / !\  

* Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et laisse se dérouler l'installation
/!\L'outil a créé 2 icônes ZHPDiag , ZHPFix /!\
/!\Utilisateurs de Vista et Windows 7/8 : Clic droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » /!\

* A l'ouverture le programme te proposes plusieurs options, cliques sur "Complet" et laisse travailler l'outil.


* ZHPDiag va alors analyser le contenu de ton ordinateur à la recherche d'informations sur ton système d'exploitation, la base de registre... Patiente jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patiente !

* Laisse l'outil travailler, il peut être assez long. 

* Le rapport s'ouvre dans le bloc note, ferme le car il est aussi enregistré sur ton bureau sous le nom ZHPDiag.txt et dans le dossier où est installé ZHPDiag (en général C:\ZHP\). 

* Transmets moi le lien du fichier par l'intermédiaire d'un dépôt de fichiers.

* Rappel des dépôts : cjoint ou  pjoint


A+

wylad · Answer

Bonjour,

Désolé pour le retard.
Voici le lien cjoint : https://www.cjoint.com/?3Inl56Il3nD