FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[nans87]

Bonjour,
je viens demander de l'aide aux personnes compétentes suite à une infection rootkit zero access

après nettoyage, Ad aware, Malwarebytes anti-malware, combofix.exe.

voici les liens des rapports :
ZHPDiag.txt: http://pjjoint.malekal.com/files.php?id ... 13d10u9r12
ComboFix.exe : http://pjjoint.malekal.com/files.php?id ... 12c6v12f65
HijackThis : http://pjjoint.malekal.com/files.php?id ... l12t7t7u12

En Attente de vos commentaires, je vous souhaite un bon Week-end.

[Heraultais]

Bonjour nans87,

Lorsque tu es confronté à une infection, il est inutile de lancer des outils sans que la personne qui t'aide te l'autorise.
Exemple:

1) Tu as lancé Ad aware, Malwarebytes anti-malware. Quel a été le résultat de ces outils? Où sont les rapports?

2) Tu as lancé ZHPDiag qui est un outil d'analyse, c'est la bonne action qu'il faut réaliser en première étape. Ensuite inutile de lancer les deux autres outils :
ComboFix est un outil puissant qui est à utiliser avec précaution car derrière il nécessite des scripts que seul un Helper est en mesure de te donner.
Quant à HijackThis, c'est un outil obsolète. Il n'est donc plus mis à jour depuis longtemps et n'est quasiment plus utilisé.

Je reviens à ton infection, tu as des barres d'outils néfastes et un rootkit, nous allons donc commencer comme ceci:

Quelques rappels:
A priori tes infections proviennent de ton comportement sécuritaire vis à vis d'Internet.

• Il ne faut télécharger aucun programme proposé dans des publicités
• Il ne faut pas aller sur des sites suspects.
• Lorsque tu installes un programme, prends la précaution de bien faire attention aux logiciels tiers qui sont proposés proposés sur l'assistant d'installation. Ces logiciels sont généralement pré-cochés,
  si tu ne prêtes pas une attention bien particulière, tu ne t'en rendra pas compte mais ces programmes malveillants vont s'installer sur ton ordinateur..

Je te rappelle que certains sites comme 01net modifient parfois les programmes proposés au téléchargement pour y ajouter des logiciels publicitaires.
Il est conseillé de télécharger directement le logiciel sur le site de l'éditeur.

Nous allons commencer la désinfection en faisant ceci:

Etape 1:

Le logiciel Adwcleaner est un outil d'Xplode spécialisé dans la détection et la suppression des logiciels publicitaires.

• Télécharge sur ton bureau AdwCleaner ( d'Xplode )
• Lance le, clique sur [Suppression] puis patiente le temps du scan.
• Une fois le scan fini, l'ordinateur devrait redémarrer
• Après le redémarrage, un rapport s'ouvrira.
  Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
• Héberge-le sur ce site
• Envoie-moi le lien fournit par l'hébergeur dans ta prochaine réponse sur le forum.

Etape 2:

Nous allons traiter le rootkit :

• Télécharge TDSSKiller (de Kaspersky) sur ton bureau
• Clic droit sur TDSSKiller, sélectionne "exécuter en tant qu'administrateur" pour le lancer
• Clique sur Start scan, et laisse l'outil travailler
• Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir
  
  - Si TDSS. tdl2 est détecté, l'option delete sera cochée par défaut
  - Si TDSS.tdl3 est détecté, vérifie que Cure est bien cochée
  - Si TDSS.tdl4 (\HardDisk0\MBR) est détecté, vérifie que Cure est bien cochée
  - Si Suspicious file est indiqué, laisse l'option cochée sur Skip
  - Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
  - (Lorsque c'est un fichier .sys, faire Cure)
• Clique sur Continue, puis sur Reboot now pour redémarrer le PC
• Un rapport s'ouvrira au redémarrage de l'ordinateur.
• Sauvegarde ce rapport sur ton bureau
• Héberge ce fichier sur ce site
• Copie/colle le lien dans ta prochaine réponse.

Etape 3:

• Relances un scan avec ZHPDiag
• Héberge le rapport sur ce site
• Copie/colle le lien dans ta prochaine réponse.

Bonne journée et à bientôt.

[nans87]

Bonjour
et merci pour ton aide.

Voici le rapport de adwcleaner : http://cjoint.com/data/0Hzl5tpfWLe.htm

Concernant Kaspersky TDSSKiller : Après lancement du Scan avec les paramètres par défaut (je n'ai rien changé)
Le résultat est : No threats found. Voici le fichier résultat : http://cjoint.com/?BHzmwP34q72

Voici enfin le rapport ZHPDiag : http://cjoint.com/?0HzmcV3Or0u

Encore merci et bonne journée.

[Heraultais]

hello nans87,

Bon AdwCleaner a supprimé un dossier (C:\Users\Salon\AppData\Roaming\pdfforge)
Par contre TDSSKiller ne voit pas le rootkit. Nous allons changer de méthode.

Etape 1:

Commence par désinstaller SpyBot Search Destroy qui est obsolète et est remplacé par MalwareBytes.
Pour réaliser cette désinstallation, fais ceci :

1/. Désactive Tea Timer (si actif) :
• Lance Spybot
• Clique sur Mode, puis cocher Mode avancé
• Clique sur Outils puis sur Résident
• Décoche la case Résident "Tea Timer"

2/. Retire la vaccination de Spybot :
• Ferme tes navigateurs.
• Lance Spybot SD, et va à l'onglet "vaccination" : clique sur "Vaccination" dans la colonne sur la gauche :
• Clique sur le bouton annuler (la flèche bleue qui part vers la gauche) pour annuler la vaccination.
• Confirme si demandé.
• Ferme Spybot.

3/. Désinstalle Spybo SD :
• Faire la désinstallation classique via "Ajout/suppression de programmes" (qui se trouve dans le panneau de configuration) ou via l'outil équivalent que l'on trouve dans CCleaner.
• Passe CCleaner.

Etape 2:

• Mets en surbrillance les lignes ci-dessous:
  
  O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
  O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
  OPT:O4 - Global Startup: C:\Users\Salon\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\WildTangent Games App - packardbell.lnk . (.WildTangent.)  -- C:\Program Files (x86)\WildTangent Games\App\GameConsole-wt.exe 
  O8 - Extra context menu item: Télécharger avec Mipony - (.not file.) - file:\\C:\Program Files (x86)\MiPony\Browser\IEContext.htm
  [MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)
  [MD5.00000000000000000000000000000000] [APT] [Your File Updater] (...) -- C:\Program Files (x86)\YourFileDownloader\YourFileUpdater.exe (.not file.) 
  [MD5.00000000000000000000000000000000] [APT] [{C5400760-7634-4719-ACFA-91BC9EC6CA48}] (...) -- C:\Users\Salon\Downloads\HM_V3.60.00.0160.090901\Hybrid_Driver_V5.9.0721.090812\setup.exe (.not file.)
  O43 - CFD: 23/08/2012 - 13:50:44 - [0] ----D C:\Users\Salon\AppData\Local\{86191a2f-5547-1b28-b389-d1e6ad185eee} 
• Fais un clic droit dessus puis sélectionne "Copier"
• Lance ZHPFix qui est sur ton bureau (clic droit sur l'icône -- "Exécuter en tant qu'administrateur")
• Clique sur l'icône représentant le presse papier (icône immédiatement à droite de l'icône représentant l'appareil photo)
• Les lignes que tu as copiées se sont collées dans ZHPFix
• Clique sur "GO"
• Laisse travailler l'outil
• A la fin un rapport s'ouvrira
• Enregistre ce rapport sur ton bureau
• Héberge-le sur ce site
• Copie/colle le lien dans ta prochaine réponse sur le forum.
• Redémarre ton ordinateur

Etape 3:

• Relance MalwareBytes (clic droit sur l'icône == Exécuter en tant qu'Administrateur")
• Fais la mise à jour du logiciel
• Lance une analyse complète en cliquant sur "Exécuter un examen complet"
• Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
• L'analyse peut durer un bon moment.....
• Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
• Vérifie que tout est bien coché et clique sur "Supprimer la sélection" = et ensuite sur "OK"
• Un rapport va s'ouvrir dans le bloc-notes
• Sauvegarde ce rapport sur ton bureau
• Il se pourrait que certains fichiers demandent à être supprimés au redémarrage du PC... Fais-le en cliquant sur "oui" à la question posée
• Héberge-le sur ce site
• Envoie-moi le lien fournit par l'hébergeur dans ta prochaine réponse sur le forum

Etape 4 :

Relance un scan avec ZHPDiag et envoies-moi le rapport

A+

[nans87]

Re bonjour

voici pour commencer le rapport de ZHPFix : http://cjoint.com/data/0HzoUYiMyvs.htm

Maintenant c'est parti pour le scan de Malwarebytes.... après 1 heure de scan. 0 Element détecté.
voici le rapport : http://cjoint.com/12au/BHzqaPtQHnd.htm

et celui de ZhpDiag sans redémarré car malwarebytes ne me le demande pas : http://cjoint.com/12au/BHzqeitaU1I.htm

Encore merci de ta patience

[Heraultais]

Hello nans87,

Allez on continue encore et encore ...

As-tu désinstallé SpyBot SearchDestroy car il est encore présent sur ta machine?
ZHPFix est aveugle au rootkit.

Etape 1 :

Nous allons restaurer le fichier Hosts de ton ordinateur qui a subit une modification :

• Télécharge sur ton Bureau MyHosts.exe (de jeanmimigab)
• Lance le programme (fais un clic-droit sur l'icone et choisis "Exécuter en temps qu'administrateur")
• Lorsque le programme aura terminé son travail, un rapport doit s'ouvrir
• Si aucun rapport ne s'ouvre, tu peux le retrouver à l'emplacement suivant : C:\MyHosts.txt
• Héberge-le sur ce site
• Envoie-moi le lien fournit par l'hébergeur dans ta prochaine réponse sur le forum

Etape 2 :

• Télécharge sur ton Bureau OTM (OtmoveIT de Old_Timer)
• Double-clique sur OTM.exe pour le lancer.
• Mets en surbrillance les lignes ci-dessous:
  
  :reg
  [HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
  "svchost.exe"=-
  [HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
  "svchost.exe"=-
  :commands
  [EmptyFlash]
  [emptytemp]
• Fais un clic droit sur la surbrillance
• Sélectionne "Copier"
• Colle-la dans le cadre de gauche de OTM sous "Paste Instructions for Items to be Moved"
• clique sur MoveIt! puis ferme OTM.
• Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
• Accepte en cliquant sur YES.
• Le nom du rapport correspond au moment de sa création : date_heure.log ; ce rapport est situé dans C:\_OTM\MovedFiles.
• Héberge ce rapport sur ce site
• Copie/colle le lien dans ta prochaine réponse sur le forum.

Etape 3 :

Relances un scan ZHPDiag et renvoies-moi le rapport.

A+

[nans87]

C'est reparti...

Pour Spybot, je l'ai supprimé à partir de ccleaner en suivant au préalable tes instructions
En allant sous "C:\Program Files (x86)\Spybot - Search Destroy\" il reste SDWinSec.exe et les fichiers d'aide sous le répertoire Help !

etape 1 : Voici le lien du fichier host : http://cjoint.com/?BHzrmGSJSA4
Le fichier host est bien modifié, il n'est plus en lecture seule, est normal ?

etape 2 : pb, avg détecte OTM comme cheval de Troie ? qu'est ce je fais?

J'avais oublié de dire dans mon premier message : j'avais utilisé également Roguekiller après que adware m'avait trouvé les rootkits !

A+

[Heraultais]

Hello nans87,

En allant sous "C:\Program Files (x86)\Spybot - Search Destroy\" il reste SDWinSec.exe et les fichiers d'aide sous le répertoire Help !
Tu peux supprimer ce dossier.

Le fichier host est bien modifié, il n'est plus en lecture seule, est normal ?
Très bien pour le fichier hosts. Tu peux le mettre manuellement en lecture seule, pas de problème.

etape 2 : pb, avg détecte OTM comme cheval de Troie ? qu'est ce je fais?
Désactive temporairement tes programmes de sécurité (antivirus+pare-feu) avant d'utiliser OTM. Après édition du rapport, réactive les logiciels de sécurité.

A+

[nans87]

Suite OTM

je désactive AVG , lance OTM puis voici le rapport http://cjoint.com/12au/BHzrOakBDgz.htm

puis celui de zhpDiag : http://cjoint.com/12au/BHzrWNKE8rl.htm


J'avais oublié de dire dans mon premier message : j'avais utilisé également Roguekiller après que adware m'ait trouvé les rootkits !

A+

[Heraultais]

Hello nans87,

Très bien pour les rapports. On va terminer comme ceci :

Fixe les lignes ci-dessous de la manière suivante :

• Mets en surbrillance les lignes ci-dessous:
  
  O43 - CFD: 25/08/2012 - 14:42:37 - [0,030] ----D C:\ProgramData\Spybot - Search Destroy
  OPT:[MD5.EEC2835879188CE91EFC345DBAEFE6AF] - (...) -- C:\Program Files (x86)\Lexmark S300-S400 Series\ezprint.exe  [148280] [PID.1364] 
  OPT:O4 - HKLM\..\Run: [EzPrint] . (...) -- C:\Program Files (x86)\Lexmark S300-S400 Series\ezprint.exe
• Fais un clic droit dessus puis sélectionne "Copier"
• Lance ZHPFix qui est sur ton bureau (clic droit sur l'icône -- "Exécuter en tant qu'administrateur")
• Clique sur l'icône représentant le presse papier (icône immédiatement à droite de l'icône représentant l'appareil photo)
• Les lignes que tu as copiées se sont collées dans ZHPFix
• Clique sur "GO"
• Laisse travailler l'outil
• A la fin un rapport s'ouvrira
• Enregistre ce rapport sur ton bureau
• Héberge-le sur ce site
• Copie/colle le lien dans ta prochaine réponse sur le forum.

Comment se comporte le PC? S'il va bien, continue de la sorte :

• Télécharge sur ton bureau DelFix
• Lance-le puis clique sur le bouton [Suppression]
• Après quelques secondes, un rapport s'ouvrira.
• Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )
• Héberge-le sur ce site
• Copie/colle le lien dans ta prochaine réponse sur le forum.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Désinstallation de Delfix
* Afin de ne laisser aucune trace de DelFix sur ton PC, tu le relances et cette fois-ci, clique sur [Désinstallation].
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

J'avais oublié de dire dans mon premier message : j'avais utilisé également Roguekiller après que adware m'ait trouvé les rootkits !
Oui j'ai vu. Nous aurions pu l'utiliser pour modifier ton fichier hosts mais comme il existe plusieurs méthodes, j'ai pris celle de MyHosts.

A+

[nans87]

RE RE RE bonjour

Voici le rapport après ZHPFix : http://cjoint.com/12au/BHztV6KO5NH.htm

Le Pc va bien je continue et voici le rapport de delfix : http://cjoint.com/12au/BHztZUNexE0.htm


Est ce que je peux lever les bras ?

en tout les cas merci à toi !

[Heraultais]

hello nans87,

Est ce que je peux lever les bras ? cheers

Oui c'est bon, tu peux mettre ton sujet en Résolu.

Je te souhaite une bonne soirée.