routkit Résolu/Fermé

Question

Bonjour,
depuis quelques temps j'ai routkit détécté par avast a chaque ouverture de session. es-ce dangereux ?
je le "supprimer maintenant" en permanence mais rien n'y fait.
non du fichier  C:\WINDOWS\system32\drivers\glaide.32.sys
type du malware   Wi\ProgramFiles\
d'autre part je n'ai plus de gestionnaire de tache
dans une de vos réponses (noctabule28) vous proposiez l'installation de Zeb-Restore pour la restauration du gestionnaire et je vois également qu'il traite les malwares
es-ce que je peux l'utiliser ?
manier une truelle, brancher un tableau éléctrique ok mais dans le domaine informatique aie aie aie!!!!

ep44 · Answer

Bonsoir et bienvenue sur CCM

Avant d'utiliser zeb restore qui en autre et un très bon logiciel nous devons déterminer ce qu'il y a sur ton PC 
nous avons déjà ce driver mais je vais fouiller un peu plus loin 

Pour commencer 

Télécharge Random's System Information Tool (RSIT) par random/random et sauvegarde-le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe
    * Double-clique sur RSIT.exe afin de lancer RSIT.
    * Clique sur Continue à l'écran Disclaimer.
    * Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera et tu devras accepter la licence.
    * Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.

--> Poste le contenu de log.txt (<<qui sera affiché) ainsi que de info.txt (<<qui sera réduit dans la Barre des Tâches).

Note : Les deux rapports sont également sauvegardés C:\rsit

@+

PICHE28 · Answer

merci pour ta réponse mais comme je l'ai ecrit je manie plus facilement la truelle. pour moi ta réponse c'est du chinois(j'ai rien contre les chinois!)je remet cette discussion a plus tard en présence d'une personne plus compétente.dommage je te sentais bien en forme merci quand meme.

ep44 · Answer

Rien de compliquer prend le temps de lire les instructions que je te donne.
Télécharge via le lien que je t'ai donné et suit les instructions tu verras tout simple ;)

ceci dit le maniement de la truelle et un très beau métier qui malheureusement ce perd 

@+

PICHE28 · Answer

OK j'ai trouvé une bonne ame pour m'aider.
le téléchargement est fait et sauvegardé
j'ai fait une faute sur le nom du fichier et le nouveau est
c:WINDOWS\system32\drivers\glaide32.sys
merci ep44

ep44 · Answer

c:WINDOWS\system32\drivers\glaide32.sys 

C'est un rootkit

Added by the Backdoor.Rustock backdoor rootkit.
https://www.bleepingcomputer.com/startups/glaide32-24147.html

il faut poster les deux rapport que tu trouveras dans C:\RSIT 

@+

PICHE28 · Answer

ok j'ai les deux rapports dans C:\RIST
tiens les v'la
et mainetant je fais quoi avec, et l'adresse http (en anglais super!)
info.txt logfile of random's system information tool 1.04 2008-12-04 16:41:20

======Uninstall list======

-->C:\PROGRA~1\Yahoo!\Common\unyt_wrap.exe
-->rundll32.exe setupapi.dll,InstallHinfSection DefaultUninstall 132 C:\WINDOWS\INF\PCHealth.inf
Adobe Flash Player ActiveX-->C:\WINDOWS\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Reader 7.0 - Français-->MsiExec.exe /I{AC76BA86-7AD7-1036-7B44-A70000000000}
Archiveur WinRAR-->C:\Program Files\WinRAR\uninstall.exe
avast! Antivirus-->C:\Program Files\Alwil Software\Avast4\aswRunDll.exe "C:\Program Files\Alwil Software\Avast4\Setup\setiface.dll",RunSetup
CCleaner (remove only)-->"C:\Program Files\CCleaner\uninst.exe"
HijackThis 2.0.2-->"C:\Program Files	rend micro\HijackThis.exe" /uninstall
Microsoft Office PowerPoint Viewer 2003-->MsiExec.exe /X{90AF040C-6000-11D3-8CFE-0150048383C9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
PC Booster-->RunDll32 C:\PROGRA~1\FICHIE~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{73F1BDB7-11E1-11D5-9DC6-00C04F2FC33B}\setup.exe" -l0x40c  -removeonly
VideoLAN VLC media player 0.8.6f-->C:\Program Files\VideoLAN\VLC\uninstall.exe
XnView 1.94.2-->"C:\Program Files\XnView\unins000.exe"
Yahoo! Install Manager-->C:\WINDOWS\system32egsvr32 /u C:\PROGRA~1\Yahoo!\Common\yinsthelper.dll
Yahoo! Messenger-->C:\PROGRA~1\Yahoo!\Messenger\UNWISE.EXE /U C:\PROGRA~1\Yahoo!\Messenger\INSTALL.LOG
Yahoo! Toolbar-->C:\PROGRA~1\Yahoo!\Common\unyt_wrap.exe

======Hosts File======

127.0.0.1  localhost
127.0.0.1  downloads.aaa1screensavers.com #[Bargin Buddy]
127.0.0.1  china.dalexcars.com
127.0.0.1  dl.aaascreensavers.com
127.0.0.1  abcsearch.com
127.0.0.1  admin.abcsearch.com
127.0.0.1  www3.abcsearch.com #[Browseraid]
127.0.0.1  www.abcsearch.com
127.0.0.1  abc517.net #[Trojan.Mitglieder.H]
127.0.0.1  absoluagency.com #[Trojan.StartPage.H]

======Security center information======

AV: avast! antivirus 4.8.1290 [VPS 081203-0]

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem
"windir"=%SystemRoot%
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"PROCESSOR_ARCHITECTURE"=x86
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 8 Stepping 10, GenuineIntel
"PROCESSOR_REVISION"=080a
"NUMBER_OF_PROCESSORS"=1
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"DEVMGR_SHOW_DETAILS"=1

-----------------EOF-----------------
Logfile of random's system information tool 1.04 (written by random/random)
Run by PICHOT at 2008-12-04 16:41:13
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 7 GB (65%) free of 10 GB
Total RAM: 247 MB (46% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:41:17, on 04/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32	p4mon.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\lclock.exe
C:\Documents and Settings\PICHOT\Bureau\RSIT.exe
C:\Program Files	rend micro\PICHOT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.google.fr/?gws_rd=ssl
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.orange.fr/portail
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/toolbar/ie8/sidebar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://lstard.stormcorp.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [TrackPointSrv] tp4mon.exe
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LClock] lclock.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Program Files\Internet Explorer\PLUGINS
ppdf32.dll
O15 - Trusted Zone: https://www.orange.fr/portail
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

ep44 · Answer

Version Pirate :(

Télécharge c'est logiciels 
CCleaner ==> https://filehippo.com/download_ccleaner/
Installe le comme ceci
http://www.swl1f.net/viewtopic.php?f=14&t=69

Malwarebytes ==> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Installe le comme ceci 
http://www.swl1f.net/viewtopic.php?f=14&t=68


Ensuite redémarre en mode ans échec 

Redémarre en mode Sans Échec (le démarrage peut prendre plusieurs minutes)
Attention, pas d’accès à internet dans ce mode. Enregistre ou imprime les consignes.

Relance le Pc et tapote la touche F8 ( ou F5 pour certains) , jusqu’à l’apparition des inscriptions avec choix de démarrage
Avec les touches « flèches », sélectionne Mode sans échec ==> entrée ==>nom utilisateur habituel

Dans ce mode nous allons désinstaller des applications infectieuses, nous devrons aussi supprimer des services, supprimer des fichiers, et utiliser des logiciels de nettoyage, suit les étapes une par une.


 Fait: Windows+e > Outils > Options des dossiers > Affichage > bouton radio "Afficher les fichiers et dossiers cachés"> décoche "Masquer les extensions de fichiers connus" > décoche "Masquer les fichiers protégés du Système" > Clique sur Appliquer à tous les dossiers > Appliquer et ok.

      Recherche dans Ajout et suppression de programmes, via le Panneau de configuration.

 C:\Program Files\Microsoft Security Adviser       

et 

C:\Program Files\Microsoft Security Adviser       


 fait de même dans C:\Program Files en suivant ce chemin: Démarrer > Poste de travail > Disque C: > Program Files
      Tu les recherche et supprime 


Ensuite recherche et supprime ces fichiers.

C:\0xf9.exe       
c:WINDOWS\system32\drivers\glaide32.sys 


Ensuite utilise les ouitls télècharger 
Commence par CCleaner comme indiqué sur le tuto

et ensuite malwarebytes 

Lance malwarebytes
=> Coche "Executer un examen complet"
=> Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
=> Clique sur Supprimer la sélection
=> Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
=> Fait copier coller et poste le rapport 


Ensuite redémarre ton PC et post le résultat de malwarebytes et dit moi comment ce comporte ton PC 

@+

PICHE28 · Answer

j'ai pris une bonne suée en lisant ta réponse !!
ça va prendre un peu de temps que je trouve un pro
autre chose, les derniers mots a droite sont hors ecran (ex: jusqu'a l'apparition des inscrip) après mystère!!
malgré les manques c'est exploitable?
sinon docteur le rootkit a quel niveau de dangereusité?
et tintin va se coucher bye

PICHE28 · Answer

au fait j'ai déja C.Cliner d'installé. je suis obligé de le desinstallé et de l'installé par ta methode?

ep44 · Answer

Non bien sur si tu là déjà :)

PICHE28 · Answer

merci ep44
j'ai suivi tes consignes
cela a mis le temps, j'ai trouvé une ame compétente qui m'a bien dépanné.
adieu rootkit !

Routkit

11 réponses