[Résolu] Infection par rootkit inconnu et impossible à retirer

[Bigbadaboum]

--- 5 décembre 2013 à 4h54 ---

J'ai constaté que mon pc avait ralenti sur internet, j'ai cherché à comprendre, puis en réparant le pc d'une personne, j'ai constaté que celui-ci a été infecté de manière inconnue également. J'avais été chercher sur 01net malware byte, j'ai du le pomper avec leur interface à la con et deux programmes non désiré sont apparu, mobogenie et un autre. Qui ce sont dupliquer sur Google drive, sur mes sauvegardes automatique donc...

Je ne sais pas si l'origine est le pc de la personne ou la mienne, car après plusieurs analyse il semblerait que mon pc soit infecté depuis un moment déjà, mais j'ai ce pc en réparation (une connaissance) depuis des mois chez moi.

Mais ce problème dépasse mes compétences, j'en viens donc vers vous.

Chrome semble atteint, des fichiers ont été copié sur Google drive et ce n'est pas de mon fait, sur skydrive aussi, mon anti virus McAfee voit son analyse en temps réel se couper non stop, puis finalement se met à jour et ne dit plus rien (je soupçonne que McAfee est denouveau leurrer par ce logiciel intrusif)

J'ai déjà commencé par désinstaller tout un tas de chose et j'ai passé combofix qui a enlever pour 400Mo de fichier.

Mais les problèmes sont toujours présent.

J'ai un fichier log combofix à vous passer :

--- 5 décembre 2013 à 5h42 ---

Je pense être infecté par un rootkit ou quelque chose d'assez sophistiqué et dur à enlever, pourriez vous m'aider?

Tout a commencé quant j'ai rallumé le pc d'une connaissance qui m'avait demandé de débloquer sa machine (mot de passe Windows oublié)

J'avais fait ça depuis des mois et leur pc était resté chez moi à prendre la poussière, au moment de leur rendre car ils en avaient absolument besoin j'ai rallumé le pc pour vérification et faire les mises à jours... je l'ai connecté à mon wifi et depuis mon pc semble avoir quelques soucis. D'autant plus que le pc de la personne étaient infectée, je ne sais comment à vrai dire, pour l'instant je leur ai rendu mais ce qui m'inquiète en premier c'est ma machine.

J'ai passé combofix dessus car j'avais passé catchme qui semblait trouvé des modifications NTDLL

Je pense que mon pc fait office de zombie, combofix a enlevé pour 400Mo de fichier, un cpuZ était installé en caché sur l'ordinateur, j'ignore la raison de tout ceci, mais j'aimerais bien y mettre un terme, j'ignore la date d'infection? Peut-être via le réseau au moment de mettre à jour l'autre machine ou bien il y a un mois car des modifications dataient de du 4 octobre dans les log des programmes de désinfection.

Mon antivirus semble avoir été actif tout ce temps mais incapable de détecter la chose, j'ai fais un premier nettoyage et l'antivirus a été réinstallé, mais je pense être toujours infecté car mon antivirus se désactivait tout seul (l'analyse en temps réel de McAfee se coupait) et puis il s'est mis à jour et ensuite plus rien, puis un trojan Artemis détecté sur combofix.exe.

Des fichiers copiés dans Googledrive et skydrive...

Une vraie saleté. A l'aide !

--- 5 décembre 2013 à 6h48 ---

Bonjour,
Quand je télécharge un fichier il remplace le *.exe par *_exe
Et le téléchargement se bloque il faut cliquer sur réessayer plusieurs fois.

Modifié le 6 décembre 2013 par Bigbadaboum
3 sujets rassemblés en un message unique... ;o)

[pear]

Bonjour,

 

Il vous faut télécharger les outils sur clé usb à l'aide d'une machine saine avant de les lancer sur le pc malade.

 

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

1) Télécharger RogueKiller (by tigzy) sur le bureau
En fonction de votre système ,choisissez la version 32 ou 64 bits
Quitter tous les programmes
Lancer RogueKiller.exe.Acceptez le disclaimer
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées
(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )
Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Host RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver, réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des index)

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait
Il y aura 6 rapports à poster.

2)Télécharger AdwCleaner
Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

3)Nettoyage
Relancez AdwCleaner avec droits administrateur
Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

4)Télécharger Junkware Removal Tool de thisisu
OS:Windows XP/Vista/7/8
Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur.
Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus
Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.
Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.


5)
Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.

[Bigbadaboum]

Voila, j'ai suivi tout ce que vous avez demandé.

 

Je tiens à préciser que mon anti virus était désinstallé durant tout ce temps ainsi que Google chrome que j'utilise habituellement qui était désinstallé.

 

https://drive.google.com/folderview?id=0B9MLmNIKrmAQWjZxQmJNVEVCOE0&usp=sharing

Modifié le 5 décembre 2013 par Bigbadaboum

[pear]

C'est déjà mieux.

 

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag
Autres liens en cas de défaiillance du précédent
Ici ou Là


Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquer Configurer
Cliquez sur le bouton
et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :
Ci-Joint
ou
Pijoint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Bigbadaboum]

Voila merci beaucoup déjà, comment se porte mon système?

 

Par quoi ai je été infecté?

 

https://drive.google.com/folderview?id=0B9MLmNIKrmAQWjZxQmJNVEVCOE0&usp=sharing

[pear]

 

Par quoi ai je été infecté?

Pups et toolbars.

Vous aurez une prévention dans mon prochain message, après que vous aurez répondu à ce qui suit.

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Cliquer Importer

pour inscrire le texte dans la fenêrtre vide qui s'ouvre

 

[

Script Zhpfix

 

G0 - GCSP: Preference [user Data\Default] http://websearch.pu-results.info

O44 - LFC:[MD5.424C9164F86131434BC6C81BCC447FFD] - 04/12/2013 - 15:41:59 ----- . (...) -- C:\bootsqm.dat [3288]

O44 - LFC:[MD5.2CADB2C917860A3B6861EFE59CF7844A] - 04/12/2013 - 18:19:17 ---A- . (...) -- C:\Windows\IE11_main.log [11515]

O87 - FAEL: "{F7983482-8FE9-459D-A970-A39DF794165D}" |In - Private - P6 - TRUE | .(...) -- D:\Users\Altaïr\Downloads\solutoinstaller-g28cp53mr49t_u59940227.exe (.not file.)

O87 - FAEL: "{38A6C418-0707-44FE-961A-00E87A6A891F}" |In - Private - P17 - TRUE | .(...) -- D:\Users\Altaïr\Downloads\solutoinstaller-g28cp53mr49t_u59940227.exe (.not file.)

O87 - FAEL: "TCP Query User{35C55737-EC96-48B5-813B-B5FE83907876}C:\users\asus\appdata\local\akamai\netsession_win.exe" |In - Private - P6 - TRUE | .(...) -- C:\users\asus\appdata\local\akamai\netsession_win.exe (.not file.)

O87 - FAEL: "UDP Query User{45199422-67B7-43A6-B274-322CD6562284}C:\users\asus\appdata\local\akamai\netsession_win.exe" |In - Private - P17 - TRUE | .(...) -- C:\users\asus\appdata\local\akamai\netsession_win.exe (.not file.)

O87 - FAEL: "{57F4F178-CACE-458C-8327-05C3E580F4BF}" |In - Private - P6 - TRUE | .(...) -- D:\Program Files (x86)\Origin\Mass Effect 2\Binaries\MassEffect2.exe (.not file.)

O87 - FAEL: "{B782FD00-BE4A-46EE-A46A-9B527F9D354A}" |In - Private - P17 - TRUE | .(...) -- D:\Program Files (x86)\Origin\Mass Effect 2\Binaries\MassEffect2.exe (.not file.)

O87 - FAEL: "TCP Query User{E37493F8-C5FE-44CF-BE19-A6D716132D7A}E:\programmation\qtchat\release\qtchat.exe" |In - Public - P6 - TRUE | .(...) -- E:\programmation\qtchat\release\qtchat.exe (.not file.)

O87 - FAEL: "UDP Query User{44823339-CF28-4006-8630-458A16074A94}E:\programmation\qtchat\release\qtchat.exe" |In - Public - P17 - TRUE | .(...) -- E:\programmation\qtchat\release\qtchat.exe (.not file.)

[HKCU\Software\Conduit]

[HKCU\Software\Conduit]

EmptyTemp

EmptyClsid

Proxyfix

Hostfix

FirewallRaz

SysRestore

 

 

Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

 

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt

 

 

 

Télécharger SFTGC.exe

sur le Bureau, impérativement sous peine de risquer un plantage

 

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.

Comment désactiver les protections résidentes

Bien évidemment, vous les rétablirez ensuite.

 

Sous XP, double cliquer sur le fichier.

Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport (SFT.txt) va s'ouvrir à la fin enregistré sur le bureau .

 

 

Comment poster les rapports

Aller sur le site :Ci-Joint

ou PIjoint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

[Bigbadaboum]

Et voila

 

Ca dit quoi? Je me demande si il n'y a pas eu un problème pour l'avant dernier rapport ZHPFix, il a pas pu changer le fichier host? :/

 

https://drive.google.com/folderview?id=0B9MLmNIKrmAQWjZxQmJNVEVCOE0&usp=sharing

Modifié le 6 décembre 2013 par Bigbadaboum

[pear]

 

Je me demande si il n'y a pas eu un problème pour l'avant dernier rapport ZHPFix, il a pas pu changer le fichier host? :/

Pas de problème.

Rogue killer s'en est occupé .

 

C'est propre.

 

A)Pubs intempestives ?

Un PUP (Potentially Unwanted Programs) est un programme indésirable.

par exemple: 01NetToolbar ,Conduit, Babylone,Delta Search , Wajam Kiwee etc..

C'est ainsi que 01net depuis quelques temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés.

Alors .ATTENTION

Le but est de gagner de l'argent à chaque installation réussie.

 

Pour vous éviter cela ou, au moins ,limiter ce genre de problèmes:

 

1)Cliquez sur le lien suivant

Comment se protéger des Pups Indésirables

2)Quelques solutions complémentaires

HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares :

 

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec :HOSTS Anti-PUPs/Adwares

HOSTS Anti-PUPs/Adwares par Malekal

Le message ci-dessous va s’ouvrir – Cliquez sur OK pour lancer l’installation :

 

Le programme va créer un dossier dans %PROGRAMDIR/Hosts_Anti_Adwares_PUPs, un service HOSTS Anti-PUPs et une Clef Run.

Enfin un raccourci Desinstaller_HOSTS_Anti-PUPs est créé sur le bureau si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware

 

Le programme va donc être lancé à chaque démarrage,le fichier HOSTS.txt sera téléchargé pour mettre à jour le fichier HOSTS de filtrage.

Le programme va aussi checker la version, et,dans le cas où une nouvelle version est disponible, le programme va la télécharger et l’installer.

 

Si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware, lancez le raccourci qui a été créé sur le bureau.

 

Et ,si ce n'est déjà fait,installez ces 2 extensions pour Firefox:

 

Adblock+ 2.2.1

Ghostery 2.8.4

 

B)Ce logiciel va désinstaller les outils utilisés pour la désinfection:

 

Télécharger DelFix de Xplode

 

Lancez-le.

 

Cochez [suppression des outils]

et Cliquez [Exécuter]

 

 

C)Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,

éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

[1] En bas de votre premier message, cliquer sur Modifier

[2] En bas de l'éditeur qui s'ouvre, cliquer sur Utiliser l'éditeur complet

[3] En haut de l'éditeur complet, ajouter Résolu au début du titre de votre sujet.

[4] Enregistrer les modifications

 

 

 

 

[Bigbadaboum]

Un tout grand MERCI !