Rootkit ?

Résolu/Fermé
Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016 - 4 mai 2016 à 19:25
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 mai 2016 à 15:18
Bonjour,

Depuis quelques temps il est arrivé que fréquemment je retrouve mes pages d'historique totalement vierge sans avoir fait de nettoyage, et que mon pc me fasse plusieurs "bug" récurrent (plantage lorsqu'on le redémarre, eteint etc.) donc j'ai commencé à chercher un peu plus.

J'ai remarqué que j'avais dans mon disque dur C:/ plusieurs fichiers étrangers, tels que "PhysicalMBR" (un fichier .bin) et un dossier appelé "net-snmp-compil-win" ainsi que deux autres dont je n'avais pas connaissance auparavant, nommé "dfu" (un document texte) et un "ftconfig", tous crée ou modifié plus ou moins à la même date.

J'ai réalisé un scan avec TDSSkiller de kaspersy labs afin de déterminer s'il était possible qu'un rootkit soit présent sur mon ordinateur, mais il n'a rien détecté.

Si quelqu'un pouvait m'aider à comprendre le problème sur mon pc et me donner un coup de main pour le résoudre je lui en serai très reconnaissant.

N.B.: en désinstallant des programmes (jeux, logiciels de performances) pour faire de la place sur mon pc, j'ai reçu un message me disant que la corbeille du disque C:/ était endommagée. Cependant pour la réparer, je reçois un message me disant que j'ai besoin de l'autorisation du programme AUTORISE NT/ (quelque chose comme ça, je n'ai pas pensé noter le message exact). Le problème peut-il être lié ?

D'avance merci.

Cdt,
A voir également:

4 réponses

Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
4 mai 2016 à 19:31
Salut,

Pas l'air si TDSSKiller n'a rien détecté, pour aller plus loin :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


0
Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
Modifié par Iraya1 le 4/05/2016 à 21:52
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
5 mai 2016 à 12:22
hummm...
envoie C:\Windows\SysWOW64\cfpsys.exe sur http://upload.malekal.com
0
Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
5 mai 2016 à 15:42
Salut,

Je n'arrive pas à trouver cfpsys.exe. J'ai tenté de le retrouver avec windows+S et il me l'affiche, cependant quand je fais un clique droit : ouvrir l'emplacement du dossier, il me renvoie directement à SysWOW64, sans pour autant trouver cfpsys.exe dedans. Dois-je envoyer SysWOW64 en totalité ?

Cdt,
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
5 mai 2016 à 15:45
Non,
vas sur http://upload.malekal.com/
puis disque c => Windows => SysWOW64
et tu dois pouvoir sélectionner cfpsys.exe
puis envoyer.
0
Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
5 mai 2016 à 15:51
Là non plus le fichier n’apparaît pas.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
Modifié par Malekal_morte- le 5/05/2016 à 15:56
Fais ceci:

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :


CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparait, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.


puis :

Ouvre "Mon Ordinateur " puis le disque "C" puis le dossier "FRST"
Dedans se trouve, le dossier "Quarantine", fais un clique droit dessus,
Puis sélectionne dans le menu "Envoyer vers le dossier compressé"
Envoie ensuite le "Quarantine.zip" sur http://upload.malekal.com/


Veuillez appuyer sur une touche pour continuer la désinfection...
0
Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
5 mai 2016 à 16:26
voici le fichier fixlog généré après la correction :

Résultats de correction de Farbar Recovery Scan Tool (x64) Version:06-05-2016
Exécuté par AnToine (2016-05-05 16:02:55) Run:1
Exécuté depuis C:\Users\AnToine\Desktop
Profils chargés: AnToine (Profils disponibles: AnToine)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [Warning: do not remove it! (system)] => cfpsys.exe
(Password Protect Software) C:\Windows\SysWOW64\cfpsys.exe
reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\Warning: do not remove it! (system) => valeur supprimé(es) avec succès
C:\Windows\SysWOW64\cfpsys.exe => Aucun processus actif trouvé


Le système a dû redémarrer.

Fin de Fixlog 16:03:54

Je ne peux pas envoyer le dossier Quarantine car il semble que le dossier soit vide et ne peut donc pas être compressé. (Je suppose que ça veut dire qu'il n'a pas trouvé de logiciels malveillants ?)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656
5 mai 2016 à 17:46
Bizarre car il était pourtant en train de tourner sur ton FRST.
Je pense que tu devrais changer tes mots de passe, en cas de doute.
Ca n'avait pas l'air clean ce fichier.

Faudrait voir si les plantages continuent, si oui, c'est peut-être matériel.

Fais un scan en ligne avec NOD32 puis enregistre le rapport. Envoie le sur http://pjjoint.malekal.com/ et donne le lien ici.
0
Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
6 mai 2016 à 01:37
Salut !

Je vais changer mes mots de passe, tu as raison ça fait un moment que je ne les ai pas changé.

Le scan a été très long (presque 7 heures), désolé pour l'heure tardive.

voici le lien du rapport :
https://pjjoint.malekal.com/files.php?id=20160506_u15m15e11i15n12

Par précaution je n'ai encore pas touché à la zone de quarantaine, je préfère attendre d'avoir ton feu vert sur les applications à supprimer etc.

Bonne nuit.

Cdt,
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
6 mai 2016 à 10:37
Pas grand chose.

Ca me semble correct =)
0
Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
6 mai 2016 à 15:09
Ok plus de peur que de mal alors, je vais rester vigilent pendant qq temps et changer tout ce qui est mdp. :)

Merci pour ton aide, c’est vraiment un plus non négligeable de pouvoir se faire aider par quelqu'un qui s'y connait bien.

Bonne journée.

Cdt,
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 656 > Iraya1 Messages postés 7 Date d'inscription mercredi 4 mai 2016 Statut Membre Dernière intervention 6 mai 2016
6 mai 2016 à 15:18
bon courage =)
0