Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infections et Rootkits


jufi
 Share

Messages recommandés

Bonjour,

après des bidouilles sur cet ordi (win xp sp3) et des réparations qui ne se sont pas bien passées, je reviens après une restauration système et après avoir mis en général mes programmes à jour.

le pc marche mais ZHP Diag indique que des rootkits sont présents.

 

merci de m'indiquer la procédure de nettoyage

 

___________________ EDIT ______________________

 

Rajout du lien avec le sujet précédent : .

Tonton

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

System drive C: has 3 GB (10%) free of 28 GB

 

Je vous l'avais signalé , il me semble, dans un sujet antérieur.

 

 

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

En cas de blocage Renommer RogueKiller.exe -> winlogon.exe

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", ne décocher les lignes que vous avez volontairement modifiées

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des index)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à fournir pour le nettoyage.

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

zhp0710.png

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou en cliquant le bouton Coller le presse papier

 

[HKCU\Software\MailBlocker] => Infection FakeAlert (Trojan.FakeAlert)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

[HKLM\Software\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}] => Infection BT (Adware.SocialSkinz)

O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline => Orphean Key not necessary

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab => Akamai Download Manager ActiveX

O41 - Driver: (vcdrom) . (. - .) - C:\Documents and Settings\Administrateur\Bureau\Nouveau dossier\VCdRom.sys (.not file.) => Fichier absent

O43 - CFD: 15/10/2012 - 10:33:55 - [2,569] ----D C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O44 - LFC:[MD5.BFE943F69F121B79EAE22A8922D0F8D8] - 13/10/2012 - 11:51:47 -SHA- . (...) -- C:\WINDOWS\system32\Thumbs.db [8192]

O43 - CFD: 01/10/2008 - 10:25:25 - [0,000] R---D C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Outils d'administration => Toolbar.Agent

O64 - Services: CurCS - 30/08/2011 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

121004101156775867.jpg

 

Cliquer sur "Go"

121004101528791395.jpg

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Lien vers le commentaire
Partager sur d’autres sites

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 13:23:55

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x8056FAF2 -> HOOKED (Unknown @ 0xBA37B37C)

SSDT[41] : NtCreateKey @ 0x80577925 -> HOOKED (Unknown @ 0xBA37B336)

SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xBA37B386)

SSDT[53] : NtCreateThread @ 0x80586C43 -> HOOKED (Unknown @ 0xBA37B32C)

SSDT[63] : NtDeleteKey @ 0x80593334 -> HOOKED (Unknown @ 0xBA37B33B)

SSDT[65] : NtDeleteValueKey @ 0x80591F8B -> HOOKED (Unknown @ 0xBA37B345)

SSDT[68] : NtDuplicateObject @ 0x8058121E -> HOOKED (Unknown @ 0xBA37B377)

SSDT[98] : NtLoadKey @ 0x805CE7E5 -> HOOKED (Unknown @ 0xBA37B34A)

SSDT[122] : NtOpenProcess @ 0x8058170A -> HOOKED (Unknown @ 0xBA37B318)

SSDT[128] : NtOpenThread @ 0x805E1939 -> HOOKED (Unknown @ 0xBA37B31D)

SSDT[177] : NtQueryValueKey @ 0x8057303F -> HOOKED (Unknown @ 0xBA37B39F)

SSDT[193] : NtReplaceKey @ 0x806564B0 -> HOOKED (Unknown @ 0xBA37B354)

SSDT[200] : NtRequestWaitReplyPort @ 0x8057948D -> HOOKED (Unknown @ 0xBA37B390)

SSDT[204] : NtRestoreKey @ 0x80656045 -> HOOKED (Unknown @ 0xBA37B34F)

SSDT[213] : NtSetContextThread @ 0x80635937 -> HOOKED (Unknown @ 0xBA37B38B)

SSDT[237] : NtSetSecurityObject @ 0x805D9CAC -> HOOKED (Unknown @ 0xBA37B395)

SSDT[247] : NtSetValueKey @ 0x80582294 -> HOOKED (Unknown @ 0xBA37B340)

SSDT[255] : NtSystemDebugControl @ 0x80650D8D -> HOOKED (Unknown @ 0xBA37B39A)

SSDT[257] : NtTerminateProcess @ 0x8058E695 -> HOOKED (Unknown @ 0xBA37B327)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA37B3AE)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA37B3B3)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Maxtor 6Y080L0 +++++

--- User ---

[MBR] 1c4a5a7bbf72d2f07d269bddf1b59755

[bSP] 8b8d7f25755407496df5c966c15e5dfa : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 28380 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 58123170 | Size: 35000 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 129805200 | Size: 14778 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Maxtor 6B200P0 +++++

--- User ---

[MBR] 7506891750ef3d318b9de2235db66b77

[bSP] bb817b23b7c36463fc15c534d3514bcc : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 Mo

1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 102398310 | Size: 144475 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_18112012_132355.txt >>

RKreport[1]_S_18112012_132355.txt

Lien vers le commentaire
Partager sur d’autres sites

rapport après suppression, mais j'ai décoché ce qui concerne la notification "firewall windows désactivé" "mises à jour auto désactivé"

 

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 13:27:40

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x8056FAF2 -> HOOKED (Unknown @ 0xBA37B37C)

SSDT[41] : NtCreateKey @ 0x80577925 -> HOOKED (Unknown @ 0xBA37B336)

SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xBA37B386)

SSDT[53] : NtCreateThread @ 0x80586C43 -> HOOKED (Unknown @ 0xBA37B32C)

SSDT[63] : NtDeleteKey @ 0x80593334 -> HOOKED (Unknown @ 0xBA37B33B)

SSDT[65] : NtDeleteValueKey @ 0x80591F8B -> HOOKED (Unknown @ 0xBA37B345)

SSDT[68] : NtDuplicateObject @ 0x8058121E -> HOOKED (Unknown @ 0xBA37B377)

SSDT[98] : NtLoadKey @ 0x805CE7E5 -> HOOKED (Unknown @ 0xBA37B34A)

SSDT[122] : NtOpenProcess @ 0x8058170A -> HOOKED (Unknown @ 0xBA37B318)

SSDT[128] : NtOpenThread @ 0x805E1939 -> HOOKED (Unknown @ 0xBA37B31D)

SSDT[177] : NtQueryValueKey @ 0x8057303F -> HOOKED (Unknown @ 0xBA37B39F)

SSDT[193] : NtReplaceKey @ 0x806564B0 -> HOOKED (Unknown @ 0xBA37B354)

SSDT[200] : NtRequestWaitReplyPort @ 0x8057948D -> HOOKED (Unknown @ 0xBA37B390)

SSDT[204] : NtRestoreKey @ 0x80656045 -> HOOKED (Unknown @ 0xBA37B34F)

SSDT[213] : NtSetContextThread @ 0x80635937 -> HOOKED (Unknown @ 0xBA37B38B)

SSDT[237] : NtSetSecurityObject @ 0x805D9CAC -> HOOKED (Unknown @ 0xBA37B395)

SSDT[247] : NtSetValueKey @ 0x80582294 -> HOOKED (Unknown @ 0xBA37B340)

SSDT[255] : NtSystemDebugControl @ 0x80650D8D -> HOOKED (Unknown @ 0xBA37B39A)

SSDT[257] : NtTerminateProcess @ 0x8058E695 -> HOOKED (Unknown @ 0xBA37B327)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA37B3AE)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA37B3B3)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Maxtor 6Y080L0 +++++

--- User ---

[MBR] 1c4a5a7bbf72d2f07d269bddf1b59755

[bSP] 8b8d7f25755407496df5c966c15e5dfa : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 28380 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 58123170 | Size: 35000 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 129805200 | Size: 14778 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Maxtor 6B200P0 +++++

--- User ---

[MBR] 7506891750ef3d318b9de2235db66b77

[bSP] bb817b23b7c36463fc15c534d3514bcc : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 Mo

1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 102398310 | Size: 144475 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2]_S_18112012_132740.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt

Lien vers le commentaire
Partager sur d’autres sites

après "host raz"

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : HOSTS RAZ -- Date : 18/11/2012 13:31:20

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

 

 

Termine : << RKreport[4]_H_18112012_133120.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt

 

après "proxy raz"

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Proxy RAZ -- Date : 18/11/2012 13:33:27

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

Termine : << RKreport[5]_PR_18112012_133327.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt ; RKreport[5]_PR_18112012_133327.txt

 

après "dns raz"

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : DNS RAZ -- Date : 18/11/2012 13:34:27

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

Termine : << RKreport[6]_DN_18112012_133427.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt ; RKreport[5]_PR_18112012_133327.txt ;

RKreport[6]_DN_18112012_133427.txt

Lien vers le commentaire
Partager sur d’autres sites

après "racc. raz"

 

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 18/11/2012 13:37:34

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 65 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 21 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[A:] \Device\Floppy0 -- 0x2 --> Skipped

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored

[E:] \Device\HarddiskVolume5 -- 0x3 --> Restored

[F:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[G:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[K:] \Device\IsoCdRom0 -- 0x5 --> Skipped

 

Termine : << RKreport[7]_SC_18112012_133734.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt ; RKreport[5]_PR_18112012_133327.txt ;

RKreport[6]_DN_18112012_133427.txt ; RKreport[7]_SC_18112012_133734.txt

Lien vers le commentaire
Partager sur d’autres sites

je m'arrête là

j'attends votre avis pour continuer l'étape :"Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT"

Lien vers le commentaire
Partager sur d’autres sites

Comme vous le dit la procédure, vous ne touchez pas aux SSDT.

 

Poursuivez avec Zhpfix.

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...