Demande d'aide/ Rootkit détecté [Réglé]

[m33]

Bonsoir à tous,

Je souhaiterais avoir un petit coup de pouce pour me débarrasser d'un Rootkit que Avast repère à chaque démarrage depuis aujourd'hui, et qui semble faire planter le PC de temps à autres. Je ne voudrais pas que ça s'aggrave, et comme je n'arrive pas à m'en débarrasser, j'aurais besoin de l'aide des internautes plus connaisseurs.

Dois-je publier un rapport de diagnostic?

Merci à vous.

[guugues]

Hello et bienvenue !

Je vais te prendre en charge pour la désinfection, mais d'abord, je vais te demander de prendre connaissance de ces quelques règles :

La désinfection ne sera terminée que lorsque je le dirai. Merci de continuer jusqu'au bout, même si les symptômes apparents ont disparu.

Les outils que je te demanderai de télécharger devront être enregistrés sur ton bureau : aide en images
(merci à H.A.W.X).

Tous les rapports devront être joints sur le forum comme mentionné dans ce tutoriel.

Ne suis pas plusieurs procédures de désinfection sur différents forums, au risque d'endommager ton système d'exploitation.

Ne fais rien de ta propre initiative.

Je suis bénévole : je ne pourrai donc pas toujours te répondre de suite.

Je vais te demander de me joindre un rapport généré par Avast en suivant ce tutoriel. Tu auras juste à coller la ligne suivante, dans le cadre Nom du fichier (2ème image du tutoriel), puis à appliquer le reste des étapes :

C:\Users\All Users\AVAST Software\Avast\report\FileSystemShield.txt

OTL – Analyse :

• Télécharge OTL sur ton bureau.
• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
sptd.sys
tcpip.sys
tdx.sys
volsnap.sys
cmd.exe
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%WINDIR%\pss\*.* /s
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
• A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Joins ces 2 rapports dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------------------------------

Sont donc attendus les rapports de Avast et OTL.

[m33]

Merci à toi pour ces explications. Je t'envoie tout ça dès que possible.

[m33]

Voici les rapports demandés.

S'agissant d'Avast, le fichier que tu me demandes de trouver par la ligne [C:\Users\All Users\AVAST Software\Avast\report\FileSystemShield.txt] n'a pas de chemin d'accès. Je t'ai joint le même fichier trouvé manuellement dans le fichier Avast.
Mais il ne fait pas apparaître le rapport détaillé du scan (ni d'ailleurs le scan réalisé aujourd'hui même), est-ce normal? En revanche j'ai trois rapports détaillés correspondants aux scans Agents fichiers, agents email et agents web. Dans le doute, je te les joins ci-dessous dans un nouveau message (respectivement: RAPPORT 1, 2 et 3).

[m33]

Et voici les rapports d'Avast. Je ne sais pas s'ils sont utiles.

[guugues]

Hello !

Le PC est pas mal infecté !


Je vois que tu as réalisé une capture d'écran de l'alerte d'avast apparemment (fichier Caprootkit.PNG). Pourrais-tu me joindre cette image su cjoint.com ?


Je vois aussi que tu as utilisé Malwarebytes Anti-Rootkit et Malwarebytes Anti-Malware. Il me faudrait les rapports :


Pour MBAR :

• Les 2 rapports de MBAR sont dans le dossier mbar : mbar-log-date (heure).txt et system-log.txt.
• Joins les rapports dans ta prochaine réponse en suivant ce tutoriel.

Pour MBAM :

• Relance Malwarebytes.
• Dans l'onglet Historique, clique sur la catégorie Journaux de l'application.
• Repère le journal le plus récent du type Journal d'examen et double-clique dessus.
• Une fenêtre s'ouvre : en bas à gauche, clique sur Exporter puis sur Fichier texte (*.txt).
• Attribue au fichier le nom de mbam puis clique sur Enregistrer.
• Le rapport est disponible ici : C:\mbam.txt.
• Joins le rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------------------------------


Sont attendus les rapports de MBAR, MBAM et la capture d'écran.

[m33]

Oui j'ai effectivement fait une capture de l'écran d'Avast (Avast proposait des corrections, mais elles n'ont bien entendu jamais fonctionné). Voici le lien CJOINT: http://cjoint.com/?3JArEgLuKUa

Effectivement il est pas mal infecté, et le rootkit n'est pas le seul problème. J'ai reconnu certains malwares que je pensais éradiqués récemment, mais il semble qu'ils se plaisent bien chez moi

Les rapports demandés MBAR.

Pour MBAM, je ne retrouve pas le programme. Je le télécharge à nouveau et t'envoie le rapport.

[m33]

En fait, je n'avais pas fait de scan MBAM. Jackpot, 664 objets détectés, c'est...énorme non? Je n'ai demandé aucune action à MBAM vav de ces malwares. Voici le rapport:

Pour info, pendant le scan, MBAM a détecté un "non-malware". Je te copie la capture: http://cjoint.com/?3JAsbuK9Xtn

[guugues]

Re !

Évite de prendre des initiatives comme je l'ai demandé, comme par exemple télécharger MBAM pour faire une analyse : en effet, rien ne me dit que tu as téléchargé MBAM sur le site officiel ... Et c'est aussi pour éviter que tu fasses tout et n'importe quoi.

Ne fais donc rien avec Malwarebytes pour le moment.

Oui j'ai effectivement fait une capture de l'écran d'Avast (Avast proposait des corrections, mais elles n'ont bien entendu jamais fonctionné). Voici le lien CJOINT: http://cjoint.com/?3JArEgLuKUa

Je te rassure, il ne s'agit pas d'un Rootkit (comme le prétend à tort Avast) mais simplement d'un Adware. On va s'en occuper.


--------------------------------------------------------------------------------------


Ton PC est infecté par des PUP / Adwares, qui ont les caractéristiques d'afficher des pubs intempestives, de collecter tes habitudes de navigation et d'installer des toolbars , car tu n'es pas assez vigilant(e) lors de l'installation de logiciels gratuits, qui proposent souvent ces PUP / Adwares pré-cochés pour l'installation.

Afin d'éviter ce genre d'infections, quelques recommandations :

En cas de téléchargements de logiciels, les effectuer uniquement via les sites officiels des éditeurs.

Ne télécharge donc pas tes logiciels sur des sites comme Softonic ou 01.net.

Prends connaissance de ce qui est indiqué lors de l'installation de logiciels : assure-toi de décocher les éventuelles cases pré-sélectionnées.

A lire impérativement : Stop les publicités intempestives



1- Désinstallation des PUP / Adwares / logiciels inutiles via le panneau de configuration :


Désinstalle le logiciel suivant via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• QuickShare (Adware)

S'il ne veut pas se désinstaller, passe à la suite.


2- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

m33.txt

• Ouvre le fichier m33.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

3- VirusTotal :

• Rends-toi sur le site suivant : VirusTotal.
• Clique sur Choisir un fichier :

• Une fenêtre s'ouvre : dans la partie basse de la fenêtre, dans le cadre Nom du fichier, colle la ligne suivante :

Code: Tout sélectionner

C:\Windows\system32\FirewallAPI.dll

• Puis clique sur le bouton Ouvrir :

• Clique ensuite sur le bouton Analyser!.
• Si une fenêtre Fichier déjà analysé apparaît, clique sur le bouton Réanalyser.
• Patiente le temps de l'analyse, jusqu'à ce que les 53 antivirus aient analysé le fichier.
• Copie le lien de la page puis colle-le dans ta prochaine réponse :

--------------------------------------------------------------------------------------

Sont donc attendus : le rapport de OTL et le lien de VirusTotal.

[m33]

1. Pour information, Quickshare n'a pas voulu se désinstaller. Comme convenu, j'ai laissé tomber.

2. Pour l'analyse OTL: on m'a effectivement demandé de redémarrer Windows. Sauf que la première fois, ça a mis un temps fou à redémarrer, et rien ne s'est rouvert au démarrage.
J'ai donc relancé OTL, et le PC a à nouveau redémarré. Cette fois-ci, au redémarrage, OTL s'est lancé seul et a affiché son rapport (en PJ ci-dessous).

3. Sur Virus Total, j'ai dû réanalyser. Le lien: https://www.virustotal.com/fr/file/f97d72cc75d921cf8f8e0544614407358aeff97a8f48e4a89f82689ee8f2fc86/analysis/1414345420/

[guugues]

Le rapport OTL est quasiment vide : tu n'en as pas un autre que celui-ci sous C:\_OTL\MovedFiles\ ?

[m33]

Dans C:\_OTL\MovedFiles\, j'ai trois entrées:
Le fichier log que je t'ai envoyé, et deux dossiers de fichiers:

- L'un 10232014_181425, ouvre vers deux autres dossiers:
> C_Program Files (x86) > Movies App > Datamngr >apcrtldr.dll
> et C_ProgramData >IePluginServices > PluginService (application)

- L'autre: 10262014_183229:
> C_Program Files (x86)> Movies App > Datamngr > x64 > setmgrc2.cfg
>C_Users > Montaine > AppData > Roaming > mozilla > Firefox > Extensions > etc
>C_Windows > SysNative (dossier vide) et SysWOW64 (dossier vide)

Cela dit, quand le PC a redémarré, OTL semblait encore en cours d'exécution. Il n'a peut-être pas complètement fini sa correction, puisqu'il n'en a pas eu le temps. Mais si je dois redémarrer à chaque fois que je lance OTL, la correction ne sera jamais complète.
Le message qui demandait de redémarrer Windows n'avait pas vraiment l'air d'émaner d'OTL.

[guugues]

Si, c'est bien OTL qui fait redémarrer le PC, mais visiblement, il n'a pas correctement généré son rapport : pas très grave dans la mesure où la correction s'est visiblement bien déroulée.

On passe à la suite :


1- AdwCleaner – Nettoyage :

• Télécharge AdwCleaner sur ton bureau.
• Lance AdwCleaner.

Sous Windows Vista/Seven/8, clique droit sur AdwCleaner puis Exécuter en tant qu'administrateur

• Clique sur le bouton Scanner.

• Une fois le scan terminé, clique sur le bouton Nettoyer.
• Accepte le message d'informations en cliquant sur OK.
• Il te sera demandé de redémarrer l'ordinateur : accepte en cliquant sur OK.
• Une fois le PC redémarré, un rapport s'ouvrira automatiquement.
• Celui-ci est disponible ici : C:\AdwCleaner\AdwCleaner[S0].txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

2- Junkware Removal Tool :

• Télécharge Junkware Removal Tool sur ton bureau.
• Lance Junkware Removal Tool.

Sous Windows Vista/Seven/8, clique droit sur JRT puis Exécuter en tant qu'administrateur

• Lorsque la fenêtre suivante apparaît, appuie sur n'importe quelle touche de ton clavier pour lancer l'outil :

• Le nettoyage commence. Le bureau est susceptible de disparaître, c'est normal. Laisse travailler l'outil.
• Un rapport va s'ouvrir automatiquement.
• Celui-ci est présent sur ton bureau sous le nom de JRT.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

---------------------------------------------------------

Sont attendus les rapports de AdwCleaner et JRT.

[m33]

Les deux actions semblent s'être bien passées.

Pour AdwCleaner, deux rapports ont été générés, bien que seul [S1] se soit ouvert à l'issue du nettoyage. Je joins les deux.

[guugues]

Re !

Au vu des rapports de AdwCleaner et JRT, j'en déduis que le script OTL est finalement mal passé.

Par conséquent, applique de nouveau la procédure de correction que je t'ai donnée avec OTL.