Infection tenace root.mbr

Invité

Bonjour à tous et à toutes,

J'ai subi récemment l'attaque d'un rootkit qui se nomme "system repair". Depuis, j'ai réussi à réparer pas mal de dégats qu'il a pu engendrer, ainsi les données du disque dur sont réapparues et la connexion fonctionne à nouveau (principalement grâce à Roguekiller). Cependant, il semble que quelque chose ait survécu à la désinfection, car ma connexion, autrefois plutôt rapide, est devenue très lente, et Roguekiller s'obstine à débusquer un "root.mbr". Je précise que j'ai déjà utilisé pas mal d'outils anti-rootkits, en vain. Comment désinfecter ce fameux fichier systeme atapi.sys ? J'ai un rapport de combofix que je vous soumets ci-dessous. Ca a supprimé des trucs mais pas le rootkit en question. Je suis prêt à tout tenter pour en venir à bout, même si ça comporte des risques pour l'intégrité de Windows (au cas où, j'ai sauvegardé tous mes travaux et programmes sur un disque dur externe). Merci beaucoup pour votre aide.

Rapport Combofix:

Code:: ComboFix 13-03-05.01 - Bidkro 05/03/2013 12:12:25.2.8 - x86
Microsoft Windows 7 Édition Familiale Premium 6.1.7601.1.1252.33.1036.18.3067.1695 [GMT 1]
Lancé depuis: c:\users\Bidkro\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Exécution préalable -------
.
C:\cleanup.exe
C:\install.exe
c:\programdata\WTuOrJxlAqEM
c:\users\Bidkro\AppData\Roaming\Ebolf\ugiwh.yrw
c:\users\Bidkro\AppData\Roaming\Idops\doypg.ycy
c:\users\Bidkro\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\System Repair.lnk
c:\users\Bidkro\AppData\Roaming\Qagyi\voiv.exe
c:\users\Bidkro\AppData\Roaming\Quizw\unezn.exe
c:\windows\system32\tmp75DB.tmp
c:\windows\system32\tmp760A.tmp
c:\windows\system32\tmp8842.tmp
c:\windows\system32\tmp8843.tmp
C:\zip.exe
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2013-02-05 au 2013-03-05 ))))))))))))))))))))))))))))))))))))
.
.
2013-03-05 11:48 . 2013-03-05 11:48 -------- d-----w- c:\users\UpdatusUser\AppData\Local\temp
2013-03-05 11:48 . 2013-03-05 11:48 -------- d-----w- c:\users\Default\AppData\Local\temp
2013-03-05 06:10 . 2013-03-05 11:48 -------- d-----w- c:\users\Bidkro\AppData\Local\temp
2013-03-05 03:09 . 2013-03-05 03:09 574 ----a-w- C:\cleanup.bat
2013-03-05 00:08 . 2013-03-05 00:08 -------- d-----w- c:\users\Bidkro\AppData\Roaming\Vogal
2013-03-04 11:46 . 2013-03-05 02:15 -------- d-----w- c:\users\Bidkro\AppData\Roaming\Hinyhi
2013-03-02 09:03 . 2013-03-05 10:34 -------- d-----w- C:\tdsskiller
2013-03-02 06:00 . 2013-03-02 06:00 -------- d-----w- c:\windows\ERUNT
2013-03-02 05:54 . 2013-03-05 10:16 -------- d-----w- C:\JRT
2013-03-02 05:43 . 2013-03-02 06:09 382 ----a-w- c:\windows\DeleteOnReboot.bat
2013-03-02 04:25 . 2013-03-02 04:25 -------- d-----w- c:\users\Bidkro\AppData\Local\Programs
2013-03-02 03:27 . 2013-03-02 03:27 -------- d-----w- c:\program files\Common Files\Skype
2013-02-19 07:46 . 2013-02-19 07:46 -------- d-----w- c:\windows\95FC26FB19FD4A96BBB1B1062E8648F5.TMP
2013-02-14 01:38 . 2013-01-04 03:00 2347008 ----a-w- c:\windows\system32\win32k.sys
2013-02-14 01:38 . 2013-01-05 05:00 3967848 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-02-14 01:38 . 2013-01-05 05:00 3913064 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-02-14 01:38 . 2013-01-03 05:05 1293672 ----a-w- c:\windows\system32\drivers\tcpip.sys
2013-02-14 01:38 . 2013-01-03 05:04 187752 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
2013-02-14 01:38 . 2013-01-04 04:50 169984 ----a-w- c:\windows\system32\winsrv.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2013-02-27 04:06 . 2012-04-16 17:45 691568 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2013-02-27 04:06 . 2011-05-14 00:17 71024 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2013-01-15 01:51 . 2013-01-15 01:51 56930 ----a-w- c:\windows\RFMayaPluginUninstall.exe
2012-12-16 23:13 . 2012-12-16 23:13 72 ----a-w- c:\windows\Vue 7.5 xStream.reg
2012-12-16 23:13 . 2012-12-16 23:13 70 ----a-w- c:\windows\Vue 7 xStream.reg
2012-12-16 23:13 . 2012-12-16 23:13 70 ----a-w- c:\windows\Vue 6 xStream.reg
2012-12-16 14:13 . 2012-12-22 02:00 295424 ----a-w- c:\windows\system32\atmfd.dll
2012-12-16 14:13 . 2012-12-22 02:00 34304 ----a-w- c:\windows\system32\atmlib.dll
2012-12-07 12:26 . 2013-01-09 15:17 308736 ----a-w- c:\windows\system32\Wpc.dll
2012-12-07 12:20 . 2013-01-09 15:17 2576384 ----a-w- c:\windows\system32\gameux.dll
2012-12-07 10:46 . 2013-01-09 15:17 43520 ----a-w- c:\windows\system32\csrr.rs
2012-12-07 10:46 . 2013-01-09 15:17 30720 ----a-w- c:\windows\system32\usk.rs
2012-12-07 10:46 . 2013-01-09 15:17 45568 ----a-w- c:\windows\system32\oflc-nz.rs
2012-12-07 10:46 . 2013-01-09 15:17 44544 ----a-w- c:\windows\system32\pegibbfc.rs
2012-12-07 10:46 . 2013-01-09 15:17 20480 ----a-w- c:\windows\system32\pegi-pt.rs
2012-12-07 10:46 . 2013-01-09 15:17 23552 ----a-w- c:\windows\system32\oflc.rs
2012-12-07 10:46 . 2013-01-09 15:17 20480 ----a-w- c:\windows\system32\pegi-fi.rs
2012-12-07 10:46 . 2013-01-09 15:17 46592 ----a-w- c:\windows\system32\fpb.rs
2012-12-07 10:46 . 2013-01-09 15:17 20480 ----a-w- c:\windows\system32\pegi.rs
2012-12-07 10:46 . 2013-01-09 15:17 21504 ----a-w- c:\windows\system32\grb.rs
2012-12-07 10:46 . 2013-01-09 15:17 40960 ----a-w- c:\windows\system32\cob-au.rs
2012-12-07 10:46 . 2013-01-09 15:17 15360 ----a-w- c:\windows\system32\djctq.rs
2012-12-07 10:46 . 2013-01-09 15:17 55296 ----a-w- c:\windows\system32\cero.rs
2012-12-07 10:46 . 2013-01-09 15:17 51712 ----a-w- c:\windows\system32\esrb.rs
2012-05-25 14:00 . 2012-02-19 12:43 97208 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ADSK DLMSession"="c:\program files\Common Files\Autodesk Shared\Autodesk Download Manager\DLMSession.exe" [2012-07-23 1632216]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"AvgUninstallURL"="start http://www.avg.fr/fr.special-uninstallation-feedback-appf?lic=OQBBAFYARgBSAEUARQAtAFYAMgBHADMASwAtADgANwBXAFUAVQAtADIAVABWAEgAQQAtAFgANgBEAEYAOAAtAEwANgBQAEEATgA&inst=NwA3AC0ANAAzADkANwA2ADAANgA2ADAALQBCAEEAUgA5AEcAKwAxAC0ARgBMACsAOQAtAEYAOQBNADYAKwAxAC0AWABPADMANgArADEALQBGADkATQA3AEMAKwA1AC0AWABPADkAKwAxAC0ARgA5AE0AMwArADEA&prod=90&ver=9.0.894" [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^HP Digital Imaging Monitor.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\HP Digital Imaging Monitor.lnk
backup=c:\windows\pss\HP Digital Imaging Monitor.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk]
path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
backup=c:\windows\pss\McAfee Security Scan Plus.lnk.CommonStartup
backupExtension=.CommonStartup
.
[HKLM\~\startupfolder\C:^Users^Bidkro^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^OpenOffice.org 3.2.lnk]
path=c:\users\Bidkro\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnk.Startup
backupExtension=.Startup
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]
2010-09-20 21:07 932288 ----a-r- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2011-01-31 08:44 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeAAMUpdater-1.0]
2011-06-16 15:43 499608 ------w- c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS5.5ServiceManager]
2011-01-12 06:08 1523360 ----a-w- c:\program files\Common Files\Adobe\CS5.5ServiceManager\CS5.5ServiceManager.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Akamai NetSession Interface]
2012-10-09 08:53 4441920 ----a-w- c:\users\Bidkro\AppData\Local\Akamai\netsession_win.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BitTorrent]
2012-12-16 18:47 979352 ----a-w- c:\program files\BitTorrent\BitTorrent.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Update]
2011-08-08 04:19 136176 ----atw- c:\users\Bidkro\AppData\Local\Google\Update\GoogleUpdate.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]
2007-05-08 15:24 54840 ---ha-w- c:\program files\HP\HP Software Update\hpwuSchd2.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hpqSRMon]
2008-07-22 17:33 150528 ----a-w- c:\program files\HP\Digital Imaging\bin\HpqSRmon.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LifeCam]
2010-12-13 12:37 135536 ----a-w- c:\program files\Microsoft LifeCam\LifeExp.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
2010-04-16 21:12 3872080 ----a-w- c:\program files\Windows Live\Messenger\msnmsgr.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2008-09-06 14:09 413696 ----a-w- c:\program files\QuickTime\QTTask.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]
2013-01-08 11:59 18705664 ----a-r- c:\program files\Skype\Phone\Skype.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]
2013-02-25 06:39 1602984 ---ha-w- c:\program files\Steam\steam.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2011-06-09 12:06 254696 ----a-w- c:\program files\Common Files\Java\Java Update\jusched.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SwitchBoard]
2010-02-19 12:37 517096 ----a-w- c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe
.
R2 SkypeUpdate;Skype Updater;c:\program files\Skype\Updater\Updater.exe [x]
R3 Futuremark SystemInfo Service;Futuremark SystemInfo Service;c:\program files\Futuremark\Futuremark SystemInfo\FMSISvc.exe [x]
R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\2E22.tmp [x]
R3 MSHUSBVideo;NX6000/NX3000/VX2000/VX5000/VX5500/VX7000/Cinema Filter Driver;c:\windows\system32\Drivers\nx6000.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
R3 wacmoumonitor;Wacom Mode Helper;c:\windows\system32\DRIVERS\wacmoumonitor.sys [x]
R3 WatAdminSvc;Service Windows Activation Technologies;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]
S2 TabletServiceWacom;TabletServiceWacom;c:\program files\Tablet\Wacom\Wacom_Tablet.exe [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
HPService REG_MULTI_SZ HPSLPSVC
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-02-26 02:30 1629648 ----a-w- c:\program files\Google\Chrome\Application\25.0.1364.97\Installer\chrmstp.exe
.
Contenu du dossier 'Tâches planifiées'
.
2013-03-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-16 04:06]
.
2013-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-17 05:04]
.
2013-03-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-17 05:04]
.
2013-03-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1892918844-1417774628-342279309-1000Core.job
- c:\users\Bidkro\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-19 04:19]
.
2013-03-05 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1892918844-1417774628-342279309-1000UA.job
- c:\users\Bidkro\AppData\Local\Google\Update\GoogleUpdate.exe [2011-09-19 04:19]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
mStart Page = hxxp://www.google.com
uInternet Settings,ProxyOverride = <local>
TCP: DhcpNameServer = 192.168.0.254
FF - ProfilePath - c:\users\Bidkro\AppData\Roaming\Mozilla\Firefox\Profiles\swc6a440.default\
FF - prefs.js: browser.search.defaulturl -
FF - ExtSQL: !HIDDEN! 2010-03-24 16:18; smartwebprinting@hp.com; c:\program files\HP\Digital Imaging\Smart Web Printing\MozillaAddOn3
.
- - - - ORPHELINS SUPPRIMES - - - -
.
URLSearchHooks-{ef79f67a-6ad7-4715-a0f8-932fca442023} - (no file)
Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)
WebBrowser-{EF79F67A-6AD7-4715-A0F8-932FCA442023} - (no file)
HKCU-Run-AdobeBridge - (no file)
MSConfigStartUp-Malwarebytes' Anti-Malware - c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
MSConfigStartUp-MSC - c:\program files\Microsoft Security Client\msseces.exe
MSConfigStartUp-swg - c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
MSConfigStartUp-uTorrent - c:\program files\uTorrent\uTorrent.exe
.
.
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\2E22.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1892918844-1417774628-342279309-1000\Software\SecuROM\License information*]
"datasecu"=hex:cd,c1,80,41,6b,9c,83,40,49,57,51,68,b0,ec,ba,b5,f1,66,de,20,3f,
49,36,68,8a,1b,02,c6,b2,eb,9a,2b,4e,4e,45,94,fc,a9,a4,c9,52,5c,7b,22,3e,38,\
"rkeysecu"=hex:f8,39,56,13,8d,3a,54,56,51,8d,c7,fe,95,4a,31,16
.
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Heure de fin: 2013-03-05 13:06:52
ComboFix-quarantined-files.txt 2013-03-05 12:06
.
Avant-CF: 228 943 163 392 octets libres
Après-CF: 228 720 447 488 octets libres
.
- - End Of File - - AD7EB2D8BA3D11EFF99B38B1FB8C4F3B

Bonsoir,
Attention avec combofix, il peut-être très dangereux pour le pc si il n'est pas utilisé correctement Clin d oeil

(même utilisé correctement il peut endommager le système)
Tu as utilisé quels outils? Tu as encore les rapports? Si oui, héberge les sur www.cjoint.com et poste les liens.

A l'heure actuelle, qu'est ce qui te fait dire que tu as encore l'infection, c'est Roguekiller?

Fais ca pour voir :
Télécharger AdwCleaner (d'Xplode) sur le bureau.
http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner
Sous XP double-clic sur le fichier d'execution.
Sous Vista et Seven, clic droit/exécuter en tant qu'admin.
Si Antivir est utilisé comme antivirus, une fois le programme lancé, appuyer simultanément sur les touches ALT et A afin de pas supprimer ask qui est liée à la protection web d'antivir
cliquer sur Suppression
Les programmes non vitaux seront fermés et un redémarrage peut être demandé par le programme. Si c'est le cas, un message d'avertissement apparaitra et le redémarrage se fera après la fermeture du message.
Heberger le rapport de suppression (enregistré sous : C:\AdwCleaner[S1].txt) et poster le lien.

Et si tu n'as pas déjà fais, passe TDSSKiller :
télécharger sur le bureau http://support.kaspersky.com/fr/downloads/utils/tdsskiller.exe
lancer le programme (Sous Vista et Seven, clic droit/exécuter en tant qu'admin.)
Cliquer sur Change parameters, cocher toutes les cases sauf "Loaded modules"
Cliquer sur Start scan pour demarrer l'analyse
Laisser l'outil scanner le disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une fenêtre va s'ouvrir, Vérifier que :
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté s'assurer que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté s'assurer que Cure est bien cochée.
Si Suspicious file est indiqué, laisser l'option cochée sur Skip
Si Rootkit.Win32.ZAccess. est détecté règler sur cure en haut , et delete en bas
Cliquer sur Continue puis sur Reboot now pour redémarrer le PC si c'est proposé.
Héberger le rapport généré et coller le lien (Il est sauvegardé à la racine de la partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA = date du passage de l'outil, HH.MM.SS heure de passage).

Invité

Salut Casper

En effet, j'ai eu des problèmes avec les clés de registres ce qui faisait que je ne pouvais plus lancer aucun programme. Puis tout est redevenu normal un peu plus tard comme par magie Very Happy

.

Alors j'ai voulu utiliser dans un premier temps MBAM, qui m'a viré 19 malwares tout de même choqué

. Puis j'ai voulu lancer tdsskiller mais je n'ai pas pu l'ouvrir, même en le renommant. Même souci avec aswMBR. Ensuite j'ai pu lancer des scans avec Sophos et gmer mais bizarrement aucun rootkit détecté (désolé je crois que je n'ai plus les rapports). C'est là que je me suis résolu à utiliser Combofix, malgré les risques encourus.

Ce qui me gêne encore c'est que Roguekiller déniche toujours le root.mbr, et que la connexion internet reste incroyablement lente, notamment pour une simple recherche. Voilà le dernier rapport de RK

Rapport Roguekiller:

Code:: RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Bidkro [Droits d'admin]
Mode : Recherche -- Date : 06/03/2013 17:46:36
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] Kernel Detective.exe -- C:\Users\Bidkro\Desktop\Kernel Detective v1.4.1\Kernel Detective.exe [-] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 1 ¤¤¤
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x8307203D -> HOOKED (Unknown @ 0x91390B5E)
SSDT[316] : NtSetContextThread @ 0x8312C637 -> HOOKED (Unknown @ 0x91390B63)
SSDT[370] : NtTerminateProcess @ 0x830A9B9D -> HOOKED (Unknown @ 0x91390AFF)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x91390B68)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x91390B6D)

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: SAMSUNG HD103UJ ATA Device +++++
--- User ---
[MBR] ad50cd2009bd9dc73ee6845c5e0f6614
[BSP] d545829ec8e37a1f24b9a45aa600f88a : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953753 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 0b945804148268ff20eefd62877bceea
[BSP] d545829ec8e37a1f24b9a45aa600f88a : Windows 7/8 MBR Code [possible maxSST in 2!]
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953753 Mo
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 1953495040 | Size: 10 Mo

Termine : << RKreport[3]_S_06032013_174636.txt >>
RKreport[1]_S_05032013_112729.txt ; RKreport[2]_H_05032013_113007.txt ; RKreport[3]_S_06032013_174636.txt

Merci beaucoup de te pencher sur mon cas, c'est vraiment sympa. Je ne pensais pas que l'on me répondrait aussi vite Very Happy

. Je fais ce que tu me préconises et je poste ça direct

Mobydic2 a écrit:: j'ai voulu utiliser dans un premier temps MBAM, qui m'a viré 19 malwares tout de même

Ca ca m'interesse, lance MBAM, onglet rapports/logs tu verra les rapports de scan, heberge le dernier sur www.cjoint.com et poste moi le lien.

Passe bien par www.cjoint.com pour les rapports, sinon ils prennent beaucoup de place sur le forum et ca fait des sujets très longs et parfois difficiles à suivre.
J'attends donc, ADwcleaner, TDSS et MBAM Clin d oeil

Invité

Voici le rapport de adwcleaner:
http://cjoint.com/?CCguzC6c35P
Le scan de MBAM met pas mal de temps, je te le fournis dès que possible.
Par contre tdsskiller, impossible de le lancer même en le renommant ou en utilisant l'outil "load_tdsskiller". Il semblerait que le rootkit le bloque:@.

Je t'avais juste demandé de poster le rapport contenant les 15 malwares détéctés qui se trouve dans l'historique, pas de faire un nouveau scan Clin d oeil

Si tu as lancé un scan complet, ca peut durer plusieurs heures, arrête le scan et fait un scan rapide, qui devrait a peine durer 10 minutes et détecte la majeure partie des infections.

salut,
juste pour savoir :

Lancé depuis: c:\users\Bidkro\Desktop\ComboFix.exe
SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.

Pas d'antivirus détécté, tu en as bien un d'installé?
Tu as utilisé combofix suite aux conseils d'une personne qualifiée ou par toi même?
Vu le rapport de RK, tu devrais faire une suppression (même si tu en avais fait une avant ce rapport), mais je laisse casper s'occuper de la desinfection.

C'est prévu, mais je crois que j'ai choppé le coupable, ca doit être alureon, regarde ca :
2 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 1953495040 | Size: 10 Mo

Soit c'est l'infection, soit la partition qui sert a restaurer avec les cd sur les vieux pc, faut voir.

Je veux deja voir si MBAM le trouve, et voir ce qu'il détectait d'autre (et si ca a bien été viré).

Invité

oh désolé c'est tout moi ça, je réfléchis après coup^^. Alors voilà le scan de Mbam:
http://cjoint.com/?CCgwMGZUwJI
Salut Hornet Very Happy

,
ça fait plaisir d'avoir du renfort^^. Concernant l'antivirus, j'ai dû le désinstaller pour utiliser combofix (j'ai lu quelques part que le désactiver ne suffisait pas), mais sitôt le processus de l'outil fini, je l'ai réinstallé ( avira en l'occurence). J'ai même désactivé exceptionnellement windows defender, réactivé depuis. Sinon pour Roguekiller ok , je vais réessayer une suppression ça ne coûte rien.
Je tenais à vous parler de Kernel detective aussi, qui ne trouve rien dans le "system notify callbacks", mais relève des threads très supects (parfois cachés), qui apparaissent en rouge et évoquent des modules inconnus. Mais je préfère ne toucher à rien tant que vous ne me conseillerez pas là dessus Very Happy

.

Windows defender, ca sert a rien, tu peux le laisser desactivé
Antivir n'est pas a désinstaller pour passer combofix habituellement, c'etait le cas seulment avec AVG, mais il mùe semble que même lui maintenant passe bien, tu as lu où qu'il fallait virer antivir?

Concernant kernel detective, je ne connais personellement pas, par contre je m'y connais assez pour te dire qu'apres la desinfection, tu es bon pour changer tout tes mots de passe, Spyeyes les a probablement tous recuperé (voir rapport MBAM) d'ou l'interet d'avoir aussi le rapport dont tu parlais au debut du sujet (dans l'onglet rapports/logs)

Pour roguekiller c'est normal qu'il ne supprime pas le rootkit (si c'est effectivement ca), il faut lui dire de le faire. Mais avant j'aimerai savoir si le pc a déjà été formaté, si windows 7 est légal et d'origine (pas une mise a niveau de vista ou xp), et si le pc possède une partition de restauration d'usine (pc samsung peut-être?).

Invité

J'ai balayé tellement de forums ces derniers jours, à la recherche d'info, que je ne me souviens plus où j'ai pu lire ça. J'ai regardé bleepingcomputer pour l'ensemble de la démarche (où c'est dit de juste le désactiver), mais j'ai qd meme préféré supprimer totalement l'antivirus ( j'ai tremblé pendant toute l'exécution de Combofix^^).
Je vais m'empresser de modifier mes mots de passes. Mon windows est bien légal et d'origine oui, aucun souci la dessus, et il n'a jamais été formaté. En revanche, il ne possède pas de partition.

Tu est sur que tu n'as pas la possibilité de restaurer a l’état d'usine? (la partition est cachée donc si tu ne la vois pas c'est normal). Tu as acheté le pc neuf ou d'occasion? il est de marque? (samsung, packardbell, acer etc...). Si c'est un samsung, tu as un programme nommé Samsung recovery?

Ne restaure pas, c'est juste pour savoir ^^ Parce que l'infection que tu traine infecte le secteur de démarrage du pc, et en la supprimant, on peut supprimer la partition de restauration d'usine. Tu n'aurais donc plus la possibilité de restaurer le pc comme a la sortie du magasin (mais la restauration systeme, n'a rien a voir avec ca).

Invité

J'ai acheté le PC sur materiel.net, pièce par pièce, il y a 3-4 ans, mais je l'ai demandé et reçu déjà monté, il n'y avait plus qu'à l'allumer en gros:D. En réalité, j'ai peur de ne pas bien saisir ce qu'est une partition exactement. J'ai bien une partition disque local (C:), et une autre nommée system reserved (E:), mais je ne peux pas te confirmer que j'ai bien une partition de restauration d'usine. Comment peut-on en être en être sûr?

Une partition c'est une section du disque dur simplement.
Par exemple moi, j'ai un acer, et le disque dur est coupé en 3 partition, une cachée pour la restauration d'usine (reinstallation de windows et des programmes de base présents à l'achat), la partition C contenant windows et les programmes, et une partition ou je met mes fichiers personnels.

Si ton pc n'a que 2 ou 3 ans, et que ce n'est pas un samsung, il y a de fortes chances que ce soit l'infection qui ai créé une partition de 10Mo. Sur les pc récents (surtout equipés de windows 7 ou 8), les partitions cachées font au moins le double.

Regarde dans tes programmes si tu vois un programme nommé recovery. Si il n'y en a pas, est ce que lors des premières utilisations, windows t'as demandé de creer des disques de restaurations? Si non, tu n'as pas de restauration d'usine et c'est donc l'infection.

Dans ce cas, relance RogueKiller et refais un scan.
Ensuite va dans l'onglet MBR et règle sur PhysicalDrive 0
Clic ensuite sur MBR RAZ
Clic sur rapport et poste le (héberge le et met le lien)

Si tu as un message d'erreur, il faut en plus lui indiquer le type de windows dans la case avant le bouton MBR RAZ (windows 7)

Ensuite redémarre le pc et si tu as un problème :
Pianote F8 au démarrage jusqu'a l'affichage des options. (F5 sur certains pc)
Choisis "Reparer l'ordinateur"
Dans les options offertes,choisis :
Invite de Commande

Tape successivement et valide chaque ligne :
bcdedit /export C:\BCD_Backup
bootrec /FixMbr
bootrec /FixBoot
exit

Si ca ne fonctionne pas, tape simplement :
Fixmbr c:
Fixboot c:
exit

Le pc devrait redémarrer sur windows.

Edit : je vais me coucher, on reprendra demain.

Invité

Hélas non, je n'ai pas de programme de recovery, et je n'ai vraiment aucun souvenir d'une demande de windows pour créer les disques de restauration. Comme tu en conclues, cette partition doit donc provenir de l'infection. J'ai donc lancé Roguekiller et suivi la procédure mais au moment d'appuyer sur MBR RAZ j'ai un message d'erreur, et je ne peux pas entrer mon type de windows triste

. Je suis pourtant certain que tu tiens le bon bout.

Tu as quoi comme message d'erreur?

En passant (ouais je vous aime bien, c'est pour ca) vu les risques pour le pc, ca serait bon de faire : https://morbak-home.forumgratuit.org/t301-yumi-multiboot-usb-creator juste par précaution si tu n'as pas accès a un 2e pc.
En cas de soucis avec une clé ou un cd, tu pourrais démarrer le pc. A voir dans le bios pour choisir la clé si c'est possible (tu pourras effacer le contenu, pas avec le cd). Quant aux iso qui pourraient servir, si la clé fait 1Go (vide), ubcd et 7pe ca peut aider.

et le rapport mbam avec les 19 infection, ca serait utile, y'a ptet pire que le rootkit sur le pc.

Mobydic2 a écrit:: Sinon pour Roguekiller ok , je vais réessayer une suppression ça ne coûte rien.

ca c'est fait ou pas? si oui, poste le rapport
Le message d'erreur c'est peut-être parce qu'il ne peut pas toucher la mbr tant que le disque est utilisé, donc passer par yumi pour cree une clé ou cd bootable avec 7pe permettrait d'utiliser roguekiller sans soucis. Sinon supprimer la partition simplement avec part_look.

Mais moi je n'ai jamais restauré la mbr avec RK, je suis toujours passé par fixmbr et fixboot. (sans partition en trop, donc la supprimer si elle est infecteuse).

Invité

Bonsoir Casper et Hornet:D.
Désolé de répondre si tard, beaucoup d'imprévus aujourd'hui.
Alors tout d'abord le message que me renvoie le bouton MBR RAZ est "[impossible de réparer le MBR] partition repair not yet supported". Ca colle parfaitement avec ce que vous dites.
Hornet, l'ennui c'est que je ne trouve plus mes rapports MBAM, mais tu dois avoir raison il ne doit y avoir plus que le rootkit qui traine. Je vais tester toutes les solutions que tu m'indiques. Si je peux restaurer le MBR directement par RK sans devoir restaurer completement Windows je dis ALLELUIA:D. Je te poste son dernier rapport
http://cjoint.com/?CChuWsvJwH0
Je reviens d'ici 1h je dois manger un bout^^. Bonne aussi appétit à tous les deux si c'est pas fait et merci pour tout encore

ok donc la fonction reparation MBR ne semble pas encore incluse à cette version de RK.

Telecharge part_look sur ton bureau : http://p5s4rt.cjoint.net/
lance le, clic sur look.
Un rapport apparaitra sur le bureau, heberge le et donne le lien, on va voir si il voit les memes choses que roguekiller

Invité

OK, voilà le rapport de part_look:
http://cjoint.com/?CChwWUvQo9M
Aussi, je sais pas si c'est vraiment si inquiétant, mais hier quand j'ai lancé un programme assez lourd (maya) et sachant qu'internet tournait aussi en même temps (je suivais un tuto d'infographie), l'écran est soudainement devenu bleu pendant environ 3 secondes, avant de rebooter.Il y avait écrit quelquechose comme "dump memory". Est-ce le rootkit qui agit sur ma mémoire vive, en particulier celle "allouée" à internet? Des composants ont pu être endommagé?

J'ai deja eu ce soucis, c'etait juste un probleme passagers (fichier pagefile endommagé dans mon cas). A mon avis c'est pareil pour toi, le programme a consommé trop de ram et n'a pas pu ecrire de données dans le fichier pagefile. Tu devrais essayer de le vider ou aggrandir sa taille pour voir. Voila un sujet qui donne plusieurs solutions pour ce soucis d'écrans bleu : http://forum.zebulon.fr/comment-reparer-lerreur-minidump-t55305.html

part_look ne voit pas de 3eme partition c'est étrange. On ne peut donc pas la supprimer.
Si tu n'as pas fait, utilise le lien que j'ai mis plus tôt pour creer un disque ou une clé usb bootable (en mettant 7pe dessus et ubcd si tu as 1Go disponible). Pour voir si le pc peut demarrer sur clé usb(ce qui eviterait de gaspiller un cd), regarde en bas du tutoriel de yumi pour savoir comment voir ca dans le bios.

une fois la clé ou le cd prêt, tu pourra acceder au pc et au disque dur en cas de soucis (et a internet si tu as une connexion cablé (pas en wifi). Donc, apres avoir créé la clé ou le cd, change le démarrage dans le bios pour mettre cd ou usb en premier, et ton disque dur en 2nd.

Ensuite tu peux suivre les indications de casper concernant les commandes fixboot et fixmbr pour reparer le secteur de démarrage de ton disque dur.

En cas de probleme de démarrage ensuite, tupeux utiliser le cd/la clé pour démarrer (selectionne DIRECTLY BOOTABLE ISO) 7pe et avoir accès a un windows portatif, ou alors utiliser l'options Reparer l'ordinateur (F8 au démarrage) pour reparer le démarrage.

Attention, roguekiller affiche peut-être une fausse detection Clin d oeil

il serait plus sage de faire un scan zhpdiag ou complet avec MBAM même si d'après mon expérience, fixmbr ne ferait pas grand chose sur un pc en bon état.

Invité

Ok, j'ai un CD vierge de côté je vais faire ça Very Happy

. Et je sens que cette fois-ci on va l'exterminer cette horreur. Je vous tiens au courant du déroulement des opérations.

Invité

Merci pour ton conseil Morbak, je vais donc faire avant toute chose un scan avec zhpdiag. Je le poste dès qu'il est fait.

pour les explications zhpdiag et malwarebytes c'est ici : https://morbak-home.forumgratuit.org/t390-que-faire-avant-et-apres-une-desinfection

Et pour TDSSKiller qui ne s'execute pas, tu l'as executé en tant qu'admin?
Tu l'as bien téléchargé sur le site de kaspersky? si non, essaye celui la pour voir : http://support.kaspersky.com/fr/downloads/utils/tdsskiller.exe

c'est toi qui t'es inscrit avec le pseudo mobydick? si oui, pourquoi ne pas utiliser ton compte? ca t'eviterait d'avoir a selectionner un pseudo a chaque message.

» possible infection
» Help infection Bahaty
» Infection ou pas ? [résolu]
» Infection Virus [résolu]
» [résolu]je pense à une infection