[RÉSOLU] Rootkit.0Access

[tusmaster]

Bonjour à tous !

Cela faisait longtemps que je n'avais pas été infecté...
Il s'agit bien sûr de mon PC de boulot (sur mon lieu de travail), parce qu'à la maison, pas de soucis depuis Xubuntu...
Je n'ai hélas pas de moyens de restauration, et un besoin quotidien de ce PC (cela dit, il n'est pas plus lent et fonctionne... pour le moment !).

Le premier symptôme a été une succession de centaines de fenêtres de Symantec me prévenant que des messages avaient été bloqués (Rolex, etc...).
J'ai donc déconnecté le réseau et lancé MBAM qui m'a trouvé pas mal de choses.
J'ai lancé ensuite CCleaner, puis un scan complet Symantec, puis à nouveau MBAM.
Rien trouvé, je me crois tranquille.

Puis aujourd'hui, j'ai un message comme quoi je n'ai pas de pare-feu, et il m'est impossible d'accéder au menu du pare-feu Windows "pour des raisons inconnues"...

En relançant MBAM (ce que je fais de façon hebdomadaire), il me retrouve un Rootkit.0Access.

Merci de bien vouloir m'aider !

Rapport OTL.txt: http://vabvbn.1fichier.com/
Rapport Extras.txt: http://b5df3k.cjoint.net/

[bernard53]

bonjour

Télécharge sur ton bureau
http://support.kaspersky.com/downloads/ ... killer.zip
dezippe le et execute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

tu as aussi directement l'executable là :
http://support.kaspersky.com/downloads/ ... killer.exe
A cette fenêtre lance le scan.



Tu peux récupérer le rapport en validant Report

Si une détection est faite valide Cure puis



redémarres le pc pour confirmer la suppression de celle-ci.

INFO::
http://support.kaspersky.com/viruses/so ... =208280684

Si TDSS.tdl2 est détecté l'option "delete" sera cochée par défaut.
• Si TDSS.tdl3 est détecté assure toi que "Cure" est bien cochée.
• Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que "Cure" est bien cochée.
• Si Suspicious file est indiqué, laisse l'option cochée sur "Skip"
• Clique sur Continue puis sur Reboot now pour redémarrer le PC.

puis mets moi l(adresse de détection faite pat Malwaresbytes s.t.p

[tusmaster]

Bonjour, et merci !

Le scan n'a rien détecté, alors j'ai redémarré et lancé un autre scan, qui n'a lui-même rien détecté.
Voici le rapport: http://cjoint.com/?BGmkdt44FD4

Je relance une analyse rapide de MBAM au cas où et je te poste l'adresse de détection le cas échéant.

(EDIT:) Le nouveau scan MBAM n'a rien détecté.
J'ai retrouvé l'ancien rapport, et il y avait pourtant ceci:
Fichier(s) détecté(s): 1
C:\WINDOWS\Installer\{84db2fc2-ce3e-f995-8d5e-95c901ccf5c4}\U\00000001.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.

Et toujours pas d'accès au pare-feu ; il m'apparaît le message suivant:

"En raison d'un problème non identifié, Windows ne peut pas afficher les paramètres du Pare-feu Windows."

[bernard53]

ok ceci s.t.p

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
[2008/07/24 00:47:06 | 000,002,048 | -HS- | C] () -- C:\WINDOWS\Installer\{84db2fc2-ce3e-f995-8d5e-95c901ccf5c4}\@
[2008/07/24 00:47:06 | 000,002,048 | -HS- | C] () -- C:\Documents and Settings\UTILISATEUR\Local Settings\Application Data\{84db2fc2-ce3e-f995-8d5e-95c901ccf5c4}\@
:Files
C:\WINDOWS\Installer\{84db2fc2-ce3e-f995-8d5e-95c901ccf5c4}
C:\Documents and Settings\UTILISATEUR\Local Settings\Application Data\{84db2fc2-ce3e-f995-8d5e-95c901ccf5c4}
:Commands
[emptytemp]
[reboot]

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

Puis vérifies ceci.
Demarrer << exécuter ou "touche Windows et R" puis tapes services.msc et trouve le service nommée Pare feu.
Vérifies que celui-ci est bien en automatique. si c'est pas la cas double clique dessus et démarre le.

[tusmaster]

J'ai donc bien lancé OTL comme précisé.
Le PC a redémarré, puis un fichier s'est ouvert (pour info ici: C:\_OTL\MovedFiles\07122012_145342.log)

Le rapport est ici: http://cjoint.com/?BGmpgQfH3b0

Puis vérifies ceci.
Demarrer << exécuter ou "touche Windows et R" puis tapes services.msc et trouve le service nommée Pare feu.
Vérifies que celui-ci est bien en automatique. si c'est pas la cas double clique dessus et démarre le.

J'ai eu beau relire dans tous les sens, je ne vois rien de tel, ni Firewall ou autre chose de similaire...

[bernard53]

tu n'as pas cela.

[tusmaster]

Partage de bureau, Planificateur de Tâches, etc... mais pas de "Pare-Feu"...

Est-il possible qu'il ait été désactivé pour les besoins du serveur ? Je ne pense pas... Sinon, j'aurais eu le message Lenovo PC-Doctor "Pare-feu désactivé" avant, alors qu'il vient seulement d'apparaître...

C'est grave, Docteur ?

En tous cas, entre 12 et 14h, j'ai fait un scan complet (avec la nouvelle release d'aujourd'hui de MBAM), et rien n'a été détecté... C'est toujours ça !

[bernard53]

OK je constate ceci dans OTL.

C:\Program Files\Symantec\Symantec Endpoint Protection\Smc.exe -- (SmcService) => Sygate%Personal Firewall Pro

Norton a donc activé son propre pare feu plus performant que celui de XP donc normal que tu ne le trouve pas ailleurs.

[tusmaster]

Ah... désolé pour ça...

Et cela signifierait que MBAM aurait supprimé tout seul mon rootkit, alors ?
Dans ce cas, je suis désolé de t'avoir importuné pour rien !!

[bernard53]

non tu ne m 'as pas déranger pour rien car ton intrus était toujours la.

C:\WINDOWS\Installer\{84db2fc2-ce3e-f995-8d5e-95c901ccf5c4}
C:\Documents and Settings\UTILISATEUR\Local Settings\Application Data\{84db2fc2-ce3e-f995-8d5e-95c901ccf5c4}

Vérifies pour norton que son pare feu est bien activé quand même mais selon ce que je vois dans le rapport pas de soucis pour toi.

[tusmaster]

OK, je vérifie ça, merci beaucoup encore !!!