[Résolu] Rootkit envahissant

Philou46 · le 22 février 2010

Bonjours à tous,

Me revoilà, mais pour un ami qui désespère....

Symptômes: quasiment plus d'accès à internet, machine lente, mais pas à la mise en route.

Passé les classiques: ccleaner, avira av, et enfin malware byte qui m'a trouvé un trojan (sasfix) qu'il a supprimé, et ce p...de rootkit agent kbdgjnzy.sys dans système 32.

Détecté, mais rien à faire pour le virer....

"Réparé" xp avec la disquette de réinstallation, mais il me dit que "rundll: erreur de chargement de c:\windows\system32\g9xvc.dll" mais ça semble fonctionner.

Voili voilou, là je ne viens pas les mains vides.....

D'avance merci aux bénévoles qui nous aident...

Philippe

Modifié le 27 février 2010 par Philou46

pear · le 22 février 2010

Bonsoir,

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lancer load_tdsskiller en double-cliquant dessus :
l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
(le fichier est également présent ici : C:\tdsskiller\report.txt)
Redémarrer le PC

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

Philou46 · le 23 février 2010

Bonjours et merci de vous occuper encore de moi...

Voici tout d'abord le rapport Mbam:

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3780

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

23/02/2010 16:16:06

mbam-log-2010-02-23 (16-16-06).txt

Type de recherche: Examen complet (C:\|)

Eléments examinés: 249949

Temps écoulé: 31 minute(s), 42 second(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 3

Valeur(s) du Registre infectée(s): 2

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):

HKEY_CLASSES_ROOT\CLSID\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{a3ba40a2-74f0-42bd-f434-00b15a2c8953} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\remote system protection (Trojan.Agent) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

Fichier(s) infecté(s):

C:\WINDOWS\system32\drivers\kbdgjnzy.sys (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\ylvr.dwo (Trojan.Oficla) -> Quarantined and deleted successfully.

Le rapport RKill:

15:25:04:390 3764 TDSS rootkit removing tool 2.2.4 Feb 15 2010 19:38:31

15:25:04:390 3764 ================================================================================

15:25:04:390 3764 SystemInfo:

15:25:04:390 3764 OS Version: 5.1.2600 ServicePack: 3.0

15:25:04:390 3764 Product type: Workstation

15:25:04:390 3764 ComputerName: D3104P3J

15:25:04:390 3764 UserName: Bernadette

15:25:04:390 3764 Windows directory: C:\WINDOWS

15:25:04:390 3764 Processor architecture: Intel x86

15:25:04:390 3764 Number of processors: 2

15:25:04:390 3764 Page size: 0x1000

15:25:04:390 3764 Boot type: Normal boot

15:25:04:390 3764 ================================================================================

15:25:04:406 3764 UnloadDriverW: NtUnloadDriver error 2

15:25:04:406 3764 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

15:25:04:421 3764 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000

15:25:04:437 3764 UtilityInit: KLMD drop and load success

15:25:04:437 3764 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201010)

15:25:04:437 3764 UtilityInit: KLMD open success

15:25:04:437 3764 UtilityInit: Initialize success

15:25:04:437 3764

15:25:04:437 3764 Scanning Services ...

15:25:04:437 3764 CreateRegParser: Registry parser init started

15:25:04:437 3764 DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127

15:25:04:437 3764 CreateRegParser: DisableWow64Redirection error

15:25:04:437 3764 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

15:25:04:437 3764 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043

15:25:04:437 3764 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

15:25:04:437 3764 wfopen_ex: Trying to KLMD file open

15:25:04:437 3764 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system

15:25:04:437 3764 wfopen_ex: File opened ok (Flags 2)

15:25:04:437 3764 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 384C08

15:25:04:437 3764 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

15:25:04:437 3764 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043

15:25:04:437 3764 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

15:25:04:437 3764 wfopen_ex: Trying to KLMD file open

15:25:04:437 3764 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software

15:25:04:437 3764 wfopen_ex: File opened ok (Flags 2)

15:25:04:437 3764 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 384C70

15:25:04:437 3764 EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127

15:25:04:437 3764 CreateRegParser: EnableWow64Redirection error

15:25:04:437 3764 CreateRegParser: RegParser init completed

15:25:04:781 3764 GetAdvancedServicesInfo: Raw services enum returned 344 services

15:25:04:781 3764 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

15:25:04:781 3764 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

15:25:04:781 3764

15:25:04:781 3764 Scanning Kernel memory ...

15:25:04:781 3764 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

15:25:04:781 3764 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 8A721910

15:25:04:781 3764 DetectCureTDL3: KLMD_GetDeviceObjectList returned 14 DevObjects

15:25:04:781 3764

15:25:04:781 3764 DetectCureTDL3: DEVICE_OBJECT: 89ED0210

15:25:04:781 3764 KLMD_GetLowerDeviceObject: Trying to get lower device object for 89ED0210

15:25:04:781 3764 KLMD_ReadMem: Trying to ReadMemory 0x89ED0210[0x38]

15:25:04:781 3764 DetectCureTDL3: DRIVER_OBJECT: 8A721910

15:25:04:781 3764 KLMD_ReadMem: Trying to ReadMemory 0x8A721910[0xA8]

15:25:04:781 3764 KLMD_ReadMem: Trying to ReadMemory 0xE17A11A8[0x18]

15:25:04:781 3764 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_CREATE : BA0EEBB0

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_CREATE_NAMED_PIPE : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_CLOSE : BA0EEBB0

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_READ : BA0E8D1F

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_WRITE : BA0E8D1F

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_QUERY_INFORMATION : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_SET_INFORMATION : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_QUERY_EA : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_SET_EA : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_FLUSH_BUFFERS : BA0E92E2

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_SET_VOLUME_INFORMATION : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_DIRECTORY_CONTROL : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_DEVICE_CONTROL : BA0E93BB

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_SHUTDOWN : BA0E92E2

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_LOCK_CONTROL : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_CLEANUP : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_CREATE_MAILSLOT : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_QUERY_SECURITY : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_SET_SECURITY : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_POWER : BA0EAC82

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_SYSTEM_CONTROL : BA0EF99E

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_DEVICE_CHANGE : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_QUERY_QUOTA : 804F4562

15:25:04:781 3764 DetectCureTDL3: IRP_MJ_SET_QUOTA : 804F4562

15:25:04:781 3764 TDL3_FileDetect: Processing driver: Disk

15:25:04:781 3764 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:781 3764 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:796 3764 TDL3_FileDetect: Processing driver: Disk

15:25:04:796 3764 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:796 3764 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:796 3764 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

15:25:04:796 3764

15:25:04:796 3764 DetectCureTDL3: DEVICE_OBJECT: 8A3BDB20

15:25:04:796 3764 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8A3BDB20

15:25:04:796 3764 KLMD_ReadMem: Trying to ReadMemory 0x8A3BDB20[0x38]

15:25:04:796 3764 DetectCureTDL3: DRIVER_OBJECT: 8A721910

15:25:04:796 3764 KLMD_ReadMem: Trying to ReadMemory 0x8A721910[0xA8]

15:25:04:796 3764 KLMD_ReadMem: Trying to ReadMemory 0xE17A11A8[0x18]

15:25:04:796 3764 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_CREATE : BA0EEBB0

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_CREATE_NAMED_PIPE : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_CLOSE : BA0EEBB0

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_READ : BA0E8D1F

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_WRITE : BA0E8D1F

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_QUERY_INFORMATION : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_SET_INFORMATION : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_QUERY_EA : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_SET_EA : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_FLUSH_BUFFERS : BA0E92E2

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_SET_VOLUME_INFORMATION : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_DIRECTORY_CONTROL : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_DEVICE_CONTROL : BA0E93BB

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_INTERNAL_DEVICE_CONTROL : BA0ECF28

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_SHUTDOWN : BA0E92E2

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_LOCK_CONTROL : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_CLEANUP : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_CREATE_MAILSLOT : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_QUERY_SECURITY : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_SET_SECURITY : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_POWER : BA0EAC82

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_SYSTEM_CONTROL : BA0EF99E

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_DEVICE_CHANGE : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_QUERY_QUOTA : 804F4562

15:25:04:796 3764 DetectCureTDL3: IRP_MJ_SET_QUOTA : 804F4562

15:25:04:796 3764 TDL3_FileDetect: Processing driver: Disk

15:25:04:796 3764 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:796 3764 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:796 3764 TDL3_FileDetect: Processing driver: Disk

15:25:04:796 3764 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:796 3764 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

15:25:04:796 3764 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

15:25:04:796 3764

15:25:04:796 3764 DetectCureTDL3: DEVICE_OBJECT: 8A3C6030

15:25:04:796 3764 KLMD_GetLowerDeviceObject: Trying to get lower device object for 8A3C6030

15:25:04:796 3764 KLMD_ReadMem: Trying to ReadMemory 0x8A3C6030[0x38]