Comment se débarasser des Rootkit zero access et du trojan ? [résolu]

Mario/Sonic Messages : 79 Réputation : 0

antivir ne s'ouvre toujours pas. voilà le rapport:

Code:: RogueKiller V7.4.4 [08/05/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur: Elsa [Droits d'admin]
Mode: Recherche -- Date: 13/05/2012 17:34:25

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82C6000D -> HOOKED (Unknown @ 0x90A68D3E)
SSDT[299] : NtRequestWaitReplyPort @ 0x82C7AA03 -> HOOKED (Unknown @ 0x90A68D48)
SSDT[316] : NtSetContextThread @ 0x82D19F2F -> HOOKED (Unknown @ 0x90A68D43)
SSDT[347] : NtSetSecurityObject @ 0x82C3E6EA -> HOOKED (Unknown @ 0x90A68D4D)
SSDT[368] : NtSystemDebugControl @ 0x82CC263C -> HOOKED (Unknown @ 0x90A68D52)
SSDT[370] : NtTerminateProcess @ 0x82C97B8D -> HOOKED (Unknown @ 0x90A68CDF)
S_SSDT[585] : Unknown -> HOOKED (Unknown @ 0x90A68D66)
S_SSDT[588] : Unknown -> HOOKED (Unknown @ 0x90A68D6B)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 validation.sls.microsoft.com

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: MAXTOR STM3250310AS ATA Device +++++
--- User ---
[MBR] 90826cb435a781d5dac8ce33fcf98523
[BSP] 2c89d05a2b32015e781dc6671e27cf4d : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 238372 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

C'est un rapport de recherche que tu as posté cela dit il ne detecte plus rien.
Tu as cliqué sur recherche apres avoir fait la suppression?
Passe a usbfix ensuite on desinstalle Antivir.

Mario/Sonic Messages : 79 Réputation : 0

ouais après le premier scan avec roguekiller j'ai cliqué sur suppression et j'ai refait un deuxième scan que je t'ai posté.
Et là voilà le rapport de usbfix:

Code:: ############################## | UsbFix V 7.087 | [Recherche]

Utilisateur: Elsa (Administrateur) # ELSA-PC
Mis à jour le 05/04/2012 par El Desaparecido
Lancé à 17:43:05 | 13/05/2012

Site Web: http://eldesaparecido.com
Fichier suspect ? : http://eldesaparecido.com/upload.html
Contact: contact@eldesaparecido.com

PC: Gigabyte Technology Co., Ltd. (M720-US3) (X86-based PC) # Desktop Computer
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ (2300)
RAM -> [ Total : 2047 | Free : 1173 ]
BIOS: Award Modular BIOS v6.00PG
BOOT: Normal boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: Avira Desktop [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 233 Go (160 Go libre(s) - 69%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (1024 Mo libre(s) - 53%) [] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (392)
C:\Windows\system32\wininit.exe (456)
C:\Windows\system32\csrss.exe (472)
C:\Windows\system32\services.exe (508)
C:\Windows\system32\lsass.exe (532)
C:\Windows\system32\lsm.exe (540)
C:\Windows\system32\winlogon.exe (564)
C:\Windows\system32\svchost.exe (700)
C:\Windows\system32\svchost.exe (784)
C:\Windows\System32\svchost.exe (880)
C:\Windows\System32\svchost.exe (928)
C:\Windows\system32\svchost.exe (980)
C:\Windows\system32\svchost.exe (1108)
C:\Windows\system32\svchost.exe (1292)
C:\Windows\System32\spoolsv.exe (1448)
C:\Windows\system32\svchost.exe (1484)
C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (1552)
C:\Program Files\Autodesk\Content Service\Connect.Service.ContentService.exe (1600)
C:\Windows\system32\svchost.exe (1656)
C:\Windows\system32\svchost.exe (1716)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE (1824)
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe (1872)
C:\Windows\system32\taskhost.exe (1480)
C:\Windows\system32\Dwm.exe (284)
C:\Windows\Explorer.EXE (500)
C:\Windows\system32\svchost.exe (2180)
C:\Program Files\Common Files\Java\Java Update\jusched.exe (2380)
C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (2392)
C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe (2400)
C:\Program Files\DAEMON Tools Lite\DTLite.exe (2500)
C:\Windows\system32\SearchIndexer.exe (2848)
C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe (4072)
C:\Windows\System32\svchost.exe (2276)
C:\Program Files\Mozilla Firefox\firefox.exe (2224)
C:\Windows\system32\taskhost.exe (2524)
C:\Windows\system32\wbem\wmiprvse.exe (3080)
C:\Windows\system32\WUDFHost.exe (3492)
C:\UsbFix\Go.exe (5324)

################## | Éléments infectieux |

Présent! C:\Users\Elsa\AppData\Local\Temp\PingMe.exe

################## | Registre |

################## | Mountpoints2 |

################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |

Tu peux lancer la suppression avec USBfix et ensuite la vaccination.
Il va fermer tout les programmes et faire disparaitre le bureau, c'est normal.
Il te paraitra bloqué a 48 et 70% environ, laisse le finir.
Si vraiment au bout de 10 minutes il reste bloqué, eteins ton pc et redemarre on passera a la suite quand même.

Edit : je t'avais fait un pti tuto pour Antivir, j'ai copié autre chose entre temps, du coup c'est perdu mais je recommence, je le poste dans quelques minutes ^^

Mario/Sonic Messages : 79 Réputation : 0

lol ok ataguizz^^
Pour usbfix il s'est bloqué à 14% et là je viens de redemarrer le pc. Donc là je fais quoi ?

J'ai également windows 7 et des soucis avec usbfix, on s'occupera de ce qu'il a trouvé grace a zhpfix

Pour Antivir :
télécharge Revo Uninstaller
http://www.revouninstaller.com/start_freeware_download.html
installe le (si on te propose des barres d'outils, ou modifications de moteur de recherche, décoche les cases)
A la fin de l'installation il se lancera si tu as laissé la case cochée, sinon lance le a partir du raccourci sur ton bureau
Dans la liste de programmes affiché, clic une fois sur Antivir
Clic dans le menu au dessus sur "Desinstaller" et valide dans la fenetre de confirmation
Revo te proposera plusieurs modes de desinstallation, choisi "Avancé"
Le programme essayera de lancer le desinstalleur intégré d'Antivir.
Si il y parvient, desinstalle le, sinon clic directement sur suivant
Pendant quelques secondes Revo va scanner le pc a la recherche de clés de registre et fichiers restants
Lorsque la barre de recherche sera pleine, clic sur suivant
Coche la 1ere case (mon ordinateur) pour que tout soit selectionné
Clic sur supprimer, tout dois s'effacer dans le cadre clic ensuite sur suivant
Si il reste des fichiers, tu pourra selectionner ceux appartenant a Antivir et les supprimer comme pour les clés de registre (si tu as des doutes, ne coche pas les fichiers, note leur emplacement et dis le moi)
Clic également sur suivant apres avoir tout supprimé pour terminer la désinstallation.
Il se peut que la derniere étape soit sautée si il ne reste aucun fichier a supprimer.

Note : Ne t'inquiete pas Revo Uninstaller est un logiciel performant et qui cree une sauvegarde du registre et un point de restauration avant les suppressions. On a egalment créé un point de restauration lors du passage de zhpfix tout à l'heure.

Mario/Sonic Messages : 79 Réputation : 0

c'est bon j'ai fini, il me dit que la désinstallation à été faite.

Mario/Sonic Messages : 79 Réputation : 0

est-ce que je peux installer eset nod 32 là ?

normalement oui tu ne devrait plus avoir de trace d'antivir.

Mario/Sonic Messages : 79 Réputation : 0

ok Merci =)

Et pour usb fix je laisse tomber ?

Tu peux essayer en demarrant le pc en mode sans echec, si ca bloque encore, on fera autrement.

Mario/Sonic Messages : 79 Réputation : 0

ça y est c'est fait j'ai supprimé et vacciné, voilà le rapport:

Code:: PC: Gigabyte Technology Co., Ltd. (M720-US3) (X86-based PC) # Desktop Computer
CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 4400+ (2300)
RAM -> [ Total : 2047 | Free : 1491 ]
BIOS: Award Modular BIOS v6.00PG
BOOT: Fail-safe with network boot

OS: Microsoft Windows 7 Édition Familiale Premium (6.1.7601 32-Bit) # Service Pack 1
WB: Windows Internet Explorer 9.0.8112.16421

SC: Security Center Service [ Enabled ]
WU: Windows Update Service [ Enabled ]
AV: Avira Desktop [ (!) Disabled | Updated ]
FW: Windows FireWall Service [ Enabled ]

C:\ (%systemdrive%) -> Disque fixe # 233 Go (160 Go libre(s) - 69%) [] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Disque amovible # 2 Go (1024 Mo libre(s) - 53%) [] # FAT

################## | Processus Actif |

C:\Windows\system32\csrss.exe (328)
C:\Windows\system32\wininit.exe (364)
C:\Windows\system32\csrss.exe (376)
C:\Windows\system32\services.exe (416)
C:\Windows\system32\lsass.exe (448)
C:\Windows\system32\lsm.exe (456)
C:\Windows\system32\winlogon.exe (464)
C:\Windows\system32\svchost.exe (584)
C:\Windows\system32\svchost.exe (660)
C:\Windows\System32\svchost.exe (752)
C:\Windows\system32\svchost.exe (800)
C:\Windows\system32\svchost.exe (848)
C:\Windows\system32\svchost.exe (916)
C:\Windows\system32\svchost.exe (944)
C:\Windows\system32\svchost.exe (1016)
C:\Windows\system32\svchost.exe (1184)
C:\Windows\Explorer.EXE (1364)
C:\Windows\system32\ctfmon.exe (1408)
C:\UsbFix\Go.exe (1972)
C:\Windows\system32\wbem\wmiprvse.exe (112)

################## | Processus Stoppés |

Stoppé! C:\Windows\Explorer.EXE (1364)
Stoppé! C:\Windows\system32\ctfmon.exe (1408)

################## | Éléments infectieux |

Supprimé! C:\Users\Elsa\AppData\Local\Temp\PingMe.exe
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2529125808-1017691058-2111364383-1000
Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2529125808-1017691058-2111364383-1001

(!) Fichiers temporaires supprimés.

################## | Registre |

################## | Mountpoints2 |

################## | Listing |

[13/05/2012 - 18:38:32 | SHD ] C:\$RECYCLE.BIN
[13/05/2012 - 16:15:43 | N | 8784] C:\AdwCleaner[S1].txt
[05/05/2012 - 20:59:44 | D ] C:\Backup
[11/05/2012 - 12:30:58 | N | 12963] C:\ComboFix.txt
[10/06/2009 - 23:42:20 | N | 10] C:\config.sys
[14/07/2009 - 06:53:55 | SHD ] C:\Documents and Settings
[10/05/2012 - 23:13:52 | D ] C:\FyK
[10/05/2012 - 23:13:52 | N | 1843] C:\FyK.txt
[13/05/2012 - 18:35:47 | ASH | 1609469952] C:\hiberfil.sys
[10/05/2012 - 20:41:08 | N | 0] C:\IO.SYS
[22/03/2012 - 22:50:17 | RHD ] C:\MSOCache
[09/05/2012 - 19:08:37 | N | 617] C:\os289283.bin
[13/05/2012 - 18:35:47 | ASH | 2145964032] C:\pagefile.sys
[14/07/2009 - 04:37:05 | D ] C:\PerfLogs
[13/05/2012 - 16:32:23 | N | 512] C:\PhysicalDisk0_MBR.bin
[13/05/2012 - 18:21:24 | D ] C:\Program Files
[13/05/2012 - 16:15:40 | HD ] C:\ProgramData
[11/05/2012 - 12:31:04 | D ] C:\Qoobox
[22/03/2012 - 21:52:02 | D ] C:\Recovery
[13/05/2012 - 18:22:38 | SHD ] C:\System Volume Information
[13/05/2012 - 18:38:32 | D ] C:\UsbFix
[13/05/2012 - 18:37:27 | A | 2041] C:\UsbFix.txt
[11/05/2012 - 19:03:44 | D ] C:\Users
[13/05/2012 - 18:35:47 | D ] C:\Windows
[13/05/2012 - 16:49:22 | D ] C:\ZHP
[14/09/2011 - 17:32:24 | D ] F:\Adobe Audition 3.0
[11/05/2012 - 13:34:28 | N | 1410373] F:\yorkyt.exe
[21/08/2011 - 23:02:26 | D ] F:\Photo aniv
[24/01/2012 - 20:30:24 | N | 12633600] F:\God and the child.mp3
[06/11/2010 - 14:45:00 | N | 2] F:\ldupver.txt
[25/08/2011 - 09:45:28 | D ] F:\Babounet et potes
[11/05/2012 - 16:24:42 | N | 4672350] F:\ZHPDiag2.exe
[06/11/2010 - 14:33:14 | D ] F:\$lddata$
[21/01/2012 - 12:57:40 | D ] F:\Compos Amalgame
[21/01/2012 - 12:54:26 | N | 17175] F:\CvMBensebaa.odt
[13/05/2012 - 12:01:22 | N | 163550] F:\ZHPDiag.txt
[17/08/2011 - 14:47:00 | D ] F:\TOF MEDINA
[29/03/2012 - 02:01:00 | N | 4849998] F:\Death for ThemDEMO.mp3
[11/05/2012 - 18:51:20 | N | 3801386] F:\XG_760N_ZD1211BWinPkgS_6_17_0_0_ALL.zip
[21/08/2011 - 22:08:20 | D ] F:\oim again
[25/08/2011 - 09:46:10 | D ] F:\Compos
[11/05/2012 - 15:41:34 | N | 53058560] F:\eav_nt32_fra.msi
[06/11/2010 - 14:33:16 | D ] F:\NT.Config
[11/05/2012 - 16:11:52 | N | 187464] F:\antizeroaccess.exe
[11/05/2012 - 19:28:30 | N | 10063000] F:\mbam-setup-1.61.0.1400.exe
[11/05/2012 - 20:37:02 | N | 2562] F:\mbam-log-2012-05-11 (19-33-49).txt

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_ELSA-PC.zip
http://eldesaparecido.com/upload.php
Merci de votre contribution.

################## | E.O.F |

Super, il a supprimé le fichier detecté et en plus deux restes de virus dans la corbeille.
Du coup je remarque des fichiers étranges sur ton pc comme C:\os289283.bin
Tu sais ce que c'est ? (ne l'ouvre pas)

Pas de soucis particuliers avec le pc? ESET fonctionne bien?
Refais un scan ZHPDiag que je vois si il reste des infections ou des traces d'antivir
(coche bien "Tous" avec le tournevis avant de cliquer sur la loupe)

Mario/Sonic Messages : 79 Réputation : 0

non, je ne sais pas ce que c'est ce fichier

Mario/Sonic Messages : 79 Réputation : 0

(Ah je kiff Sonic^^ c'est toi qui change les images à chaque fois?)

voilà le rapport de zhpdiag: http://cjoint.com/12mi/BEntslDKL9o.htm

Si il fait moins de 32Mo, tu peux l'analyser sur www.virustotal.com
Si on te dit qu'il a deja été analysé, réanalyse le
attends que l'analyse soit finie et copie le lien dans la barre d'adresse puis donne le moi.

Edit : les images correspondent au nombre de message postés, ca change au fur et a mesure que tu poste.

Mario/Sonic Messages : 79 Réputation : 0

Donc là j'ai installé eset et je suis en train de télécharger les trucs des mises à jour. Pour l'instant tout à l'air de bien se passer

Désinstalle le logiciel 2yourface si tu peux
Desinstalle Java qui n'est pas a jour, et installe la dernière version : java 7 update 4

lance zhpfix et colle ces ligne dans le cadre vide :

Code:: [HKCU\Software\2YourFace] => Infection BT (Adware.Agent)
O87 - FAEL: "TCP Query User{84B6856D-8C31-4614-80C0-3E6E2BD4940B}C:\users\elsa\appdata\roaming\superpump\pumpa.exe" | In - Public - P6 - TRUE | .(...) -- C:\users\elsa\appdata\roaming\superpump\pumpa.exe
O87 - FAEL: "UDP Query User{9835F6A2-B2E0-4FDE-965D-B8200F29D78C}C:\users\elsa\appdata\roaming\superpump\pumpa.exe" | In - Public - P17 - TRUE | .(...) -- C:\users\elsa\appdata\roaming\superpump\pumpa.exe
[HKCU\Software\2YourFace] => Infection BT (Adware.Agent)
O64 - Services: CurCS - 01/12/2011 - C:\Windows\System32\DRIVERS\avgntflt.sys (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT
SS - | Auto 01/12/2011 86224 | (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe
SS - | Auto 01/12/2011 110032 | (AntiVirService) . (.Avira Operations GmbH & Co. KG.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe => Avira%AntiVir PersonalEdition/Desktop
APT:[MD5.206448F865B471B039DEAE9AC25CE5E8] [APT] [{109436C4-E9C0-466C-BB64-93B80F8A4F09}] (.Avira Operations GmbH & Co. KG.) -- C:\Program Files\Avira\AntiVir Desktop\setup.exe
APT:[MD5.206448F865B471B039DEAE9AC25CE5E8] [APT] [{2C400794-391C-4AA1-A740-ED982ED38703}] (.Avira Operations GmbH & Co. KG.) -- C:\Program Files\Avira\AntiVir Desktop\setup.exe
O23 - Service: Avira Planificateur (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG - Avira Scheduler.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Protection temps réel (AntiVirService) . (.Avira Operations GmbH & Co. KG - Avira On-Access Service.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe => Avira%AntiVir PersonalEdition/Desktop
O41 - Driver: (avipbb) . (.Avira GmbH - Avira Driver for Security Enhancement.) - C:\Windows\System32\DRIVERS\avipbb.sys
O41 - Driver: (avkmgr) . (.Avira GmbH - Avira Manager Driver.) - C:\Windows\System32\DRIVERS\avkmgr.sys
O41 - Driver: (ssmdrv) . (.Avira GmbH - AVIRA SnapShot Driver.) - C:\Windows\System32\DRIVERS\ssmdrv.sys
[HKCU\Software\Avira]
[HKLM\Software\Avira]
O64 - Services: CurCS - 01/12/2011 - C:\Windows\System32\DRIVERS\avgntflt.sys (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT
O64 - Services: CurCS - 24/03/2012 - C:\Windows\System32\DRIVERS\avipbb.sys (avipbb) .(.Avira GmbH - Avira Driver for Security Enhancement.) - LEGACY_AVIPBB
O64 - Services: CurCS - 01/12/2011 - C:\Windows\System32\DRIVERS\avkmgr.sys (avkmgr) .(.Avira GmbH - Avira Manager Driver.) - LEGACY_AVKMGR
OPT:O23 - Service: Avira Planificateur (AntiVirSchedulerService) . (.Avira Operations GmbH & Co. KG - Avira Scheduler.) - C:\Program Files\Avira\AntiVir Desktop\sched.exe
OPT:O23 - Service: Avira Protection temps réel (AntiVirService) . (.Avira Operations GmbH & Co. KG - Avira On-Access Service.) - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O43 - CFD: 11/05/2012 - 19:04:35 - [49,288] ----D C:\Program Files\Avira
O43 - CFD: 11/05/2012 - 19:04:42 - [0,001] ----D C:\ProgramData\Avira

Clic sur Go et poste le rapport

Mario/Sonic Messages : 79 Réputation : 0

l'analyse avec virustotal a échoué plusieurs fois

Mario/Sonic Messages : 79 Réputation : 0

et pour 2yourface il n'y ai pas dans les programmes

Mario/Sonic Messages : 79 Réputation : 0

dans zhpfix il faut aller où pour coller le truc ?

2yourface c'est peut-etre que des restes que adwcleaner n'a pas viré
pour zhpfix, copie les ligne et clic sur le H ou directement clic droit/coller sur le cadre au milieu

Mario/Sonic Messages : 79 Réputation : 0

euh l'installation de java a foiré, il ma dit un truc du genre corrupt à la fin

un probleme dans le telechargement surement, essaye celui la : java 7

Mario/Sonic Messages : 79 Réputation : 0

ben là sur ton lien j'ai carrément "fichier introuvable"

» trojan zero access
» Zero Access [résolu]
» [résolu]se débarasser de: www.bahaty.com/serch/
» [résolu] Infection trojan
» [résolu]Rootkit et Pc qui s'éteint tout seul!!