[Résolu] Infections et Rootkits

[jufi]

Bonjour,

après des bidouilles sur cet ordi (win xp sp3) et des réparations qui ne se sont pas bien passées, je reviens après une restauration système et après avoir mis en général mes programmes à jour.

le pc marche mais ZHP Diag indique que des rootkits sont présents.

 

merci de m'indiquer la procédure de nettoyage

 

___________________ EDIT ______________________

 

Rajout du lien avec le sujet précédent : .

Tonton

[pear]

Bonjour,

 

System drive C: has 3 GB (10%) free of 28 GB

 

Je vous l'avais signalé , il me semble, dans un sujet antérieur.

 

 

 

Télécharger RogueKiller (by tigzy) sur le bureau

 

Quitter tous les programmes

Lancer RogueKiller.exe.

En cas de blocage Renommer RogueKiller.exe -> winlogon.exe

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre", ne décocher les lignes que vous avez volontairement modifiées

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des index)

 

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Il y aura 6 rapports à fournir pour le nettoyage.

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou en cliquant le bouton Coller le presse papier

 

[HKCU\Software\MailBlocker] => Infection FakeAlert (Trojan.FakeAlert)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Infection Rootkit (Rootkit.TDSS)

[HKLM\Software\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}] => Infection BT (Adware.SocialSkinz)

O4 - HKLM\..\Run: [KernelFaultCheck] Clé orpheline => Orphean Key not necessary

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab => Akamai Download Manager ActiveX

O41 - Driver: (vcdrom) . (. - .) - C:\Documents and Settings\Administrateur\Bureau\Nouveau dossier\VCdRom.sys (.not file.) => Fichier absent

O43 - CFD: 15/10/2012 - 10:33:55 - [2,569] ----D C:\Program Files\Spybot - Search & Destroy => Spybot - Search & Destroy

O44 - LFC:[MD5.BFE943F69F121B79EAE22A8922D0F8D8] - 13/10/2012 - 11:51:47 -SHA- . (...) -- C:\WINDOWS\system32\Thumbs.db [8192]

O43 - CFD: 01/10/2008 - 10:25:25 - [0,000] R---D C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Outils d'administration => Toolbar.Agent

O64 - Services: CurCS - 30/08/2011 - C:\Program Files\Bonjour\mDNSResponder.exe (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE

 

SysRestore

EmptyFlash

EmptyTemp

FirewallRaz

Proxyfix

Hostfix

 

Cliquer sur "Go"

Redémarrer pour achever le nettoyage.

Un rapport apparait:

[jufi]

Merci,

je m'y mets...

le disque C compte maintenant 4,77 go de libre

[jufi]

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 13:23:55

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x8056FAF2 -> HOOKED (Unknown @ 0xBA37B37C)

SSDT[41] : NtCreateKey @ 0x80577925 -> HOOKED (Unknown @ 0xBA37B336)

SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xBA37B386)

SSDT[53] : NtCreateThread @ 0x80586C43 -> HOOKED (Unknown @ 0xBA37B32C)

SSDT[63] : NtDeleteKey @ 0x80593334 -> HOOKED (Unknown @ 0xBA37B33B)

SSDT[65] : NtDeleteValueKey @ 0x80591F8B -> HOOKED (Unknown @ 0xBA37B345)

SSDT[68] : NtDuplicateObject @ 0x8058121E -> HOOKED (Unknown @ 0xBA37B377)

SSDT[98] : NtLoadKey @ 0x805CE7E5 -> HOOKED (Unknown @ 0xBA37B34A)

SSDT[122] : NtOpenProcess @ 0x8058170A -> HOOKED (Unknown @ 0xBA37B318)

SSDT[128] : NtOpenThread @ 0x805E1939 -> HOOKED (Unknown @ 0xBA37B31D)

SSDT[177] : NtQueryValueKey @ 0x8057303F -> HOOKED (Unknown @ 0xBA37B39F)

SSDT[193] : NtReplaceKey @ 0x806564B0 -> HOOKED (Unknown @ 0xBA37B354)

SSDT[200] : NtRequestWaitReplyPort @ 0x8057948D -> HOOKED (Unknown @ 0xBA37B390)

SSDT[204] : NtRestoreKey @ 0x80656045 -> HOOKED (Unknown @ 0xBA37B34F)

SSDT[213] : NtSetContextThread @ 0x80635937 -> HOOKED (Unknown @ 0xBA37B38B)

SSDT[237] : NtSetSecurityObject @ 0x805D9CAC -> HOOKED (Unknown @ 0xBA37B395)

SSDT[247] : NtSetValueKey @ 0x80582294 -> HOOKED (Unknown @ 0xBA37B340)

SSDT[255] : NtSystemDebugControl @ 0x80650D8D -> HOOKED (Unknown @ 0xBA37B39A)

SSDT[257] : NtTerminateProcess @ 0x8058E695 -> HOOKED (Unknown @ 0xBA37B327)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA37B3AE)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA37B3B3)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Maxtor 6Y080L0 +++++

--- User ---

[MBR] 1c4a5a7bbf72d2f07d269bddf1b59755

[bSP] 8b8d7f25755407496df5c966c15e5dfa : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 28380 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 58123170 | Size: 35000 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 129805200 | Size: 14778 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Maxtor 6B200P0 +++++

--- User ---

[MBR] 7506891750ef3d318b9de2235db66b77

[bSP] bb817b23b7c36463fc15c534d3514bcc : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 Mo

1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 102398310 | Size: 144475 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_18112012_132355.txt >>

RKreport[1]_S_18112012_132355.txt

[jufi]

rapport après suppression, mais j'ai décoché ce qui concerne la notification "firewall windows désactivé" "mises à jour auto désactivé"

 

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 18/11/2012 13:27:40

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> TROUVÉ

[HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x8056FAF2 -> HOOKED (Unknown @ 0xBA37B37C)

SSDT[41] : NtCreateKey @ 0x80577925 -> HOOKED (Unknown @ 0xBA37B336)

SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xBA37B386)

SSDT[53] : NtCreateThread @ 0x80586C43 -> HOOKED (Unknown @ 0xBA37B32C)

SSDT[63] : NtDeleteKey @ 0x80593334 -> HOOKED (Unknown @ 0xBA37B33B)

SSDT[65] : NtDeleteValueKey @ 0x80591F8B -> HOOKED (Unknown @ 0xBA37B345)

SSDT[68] : NtDuplicateObject @ 0x8058121E -> HOOKED (Unknown @ 0xBA37B377)

SSDT[98] : NtLoadKey @ 0x805CE7E5 -> HOOKED (Unknown @ 0xBA37B34A)

SSDT[122] : NtOpenProcess @ 0x8058170A -> HOOKED (Unknown @ 0xBA37B318)

SSDT[128] : NtOpenThread @ 0x805E1939 -> HOOKED (Unknown @ 0xBA37B31D)

SSDT[177] : NtQueryValueKey @ 0x8057303F -> HOOKED (Unknown @ 0xBA37B39F)

SSDT[193] : NtReplaceKey @ 0x806564B0 -> HOOKED (Unknown @ 0xBA37B354)

SSDT[200] : NtRequestWaitReplyPort @ 0x8057948D -> HOOKED (Unknown @ 0xBA37B390)

SSDT[204] : NtRestoreKey @ 0x80656045 -> HOOKED (Unknown @ 0xBA37B34F)

SSDT[213] : NtSetContextThread @ 0x80635937 -> HOOKED (Unknown @ 0xBA37B38B)

SSDT[237] : NtSetSecurityObject @ 0x805D9CAC -> HOOKED (Unknown @ 0xBA37B395)

SSDT[247] : NtSetValueKey @ 0x80582294 -> HOOKED (Unknown @ 0xBA37B340)

SSDT[255] : NtSystemDebugControl @ 0x80650D8D -> HOOKED (Unknown @ 0xBA37B39A)

SSDT[257] : NtTerminateProcess @ 0x8058E695 -> HOOKED (Unknown @ 0xBA37B327)

S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA37B3AE)

S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA37B3B3)

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Maxtor 6Y080L0 +++++

--- User ---

[MBR] 1c4a5a7bbf72d2f07d269bddf1b59755

[bSP] 8b8d7f25755407496df5c966c15e5dfa : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 28380 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 58123170 | Size: 35000 Mo

2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 129805200 | Size: 14778 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Maxtor 6B200P0 +++++

--- User ---

[MBR] 7506891750ef3d318b9de2235db66b77

[bSP] bb817b23b7c36463fc15c534d3514bcc : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 49999 Mo

1 - [XXXXXX] EXTEN (0x05) [VISIBLE] Offset (sectors): 102398310 | Size: 144475 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2]_S_18112012_132740.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt

[jufi]

après "host raz"

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : HOSTS RAZ -- Date : 18/11/2012 13:31:20

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

 

 

Termine : << RKreport[4]_H_18112012_133120.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt

 

après "proxy raz"

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Proxy RAZ -- Date : 18/11/2012 13:33:27

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

Termine : << RKreport[5]_PR_18112012_133327.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt ; RKreport[5]_PR_18112012_133327.txt

 

après "dns raz"

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : DNS RAZ -- Date : 18/11/2012 13:34:27

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

Termine : << RKreport[6]_DN_18112012_133427.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt ; RKreport[5]_PR_18112012_133327.txt ;

RKreport[6]_DN_18112012_133427.txt

[jufi]

après "racc. raz"

 

 

 

RogueKiller V8.3.0 [Nov 18 2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/63)

Website: RogueKiller

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Administrateur [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 18/11/2012 13:37:34

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 0 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 0 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 65 / Fail 0

Mes documents: Success 0 / Fail 0

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 21 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[A:] \Device\Floppy0 -- 0x2 --> Skipped

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume4 -- 0x3 --> Restored

[E:] \Device\HarddiskVolume5 -- 0x3 --> Restored

[F:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[G:] \Device\HarddiskVolume3 -- 0x3 --> Restored

[K:] \Device\IsoCdRom0 -- 0x5 --> Skipped

 

Termine : << RKreport[7]_SC_18112012_133734.txt >>

RKreport[1]_S_18112012_132355.txt ; RKreport[2]_S_18112012_132740.txt ; RKreport[3]_D_18112012_132842.txt ; RKreport[4]_H_18112012_133120.txt ; RKreport[5]_PR_18112012_133327.txt ;

RKreport[6]_DN_18112012_133427.txt ; RKreport[7]_SC_18112012_133734.txt

[jufi]

je m'arrête là

j'attends votre avis pour continuer l'étape :"Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT"

[pear]

Comme vous le dit la procédure, vous ne touchez pas aux SSDT.

 

Poursuivez avec Zhpfix.

[jufi]

je copie toutes les lignes vertes et je n'obtiens pas le bouton GO