[résolu] PC infecté par rootkit

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[résolu] PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 09:38

Bonjour à toute l'équipe! :)

Cette demande s'adresse au N'apache: :king:

Le 31 octobre mon antivirus Avast a détecté un rootkit dans un fichier nommé: C:/drv/GGA0/hcw88bar.sys

Le PC, une tour sous XP (2002) était très lent, le browser internet se modifiait d'une session à l'autre, plus de pop up que d'habitude et des icônes non demandées sur le bureau.

J'ai scanné, mis en quarantaine et supprimé le truc avec Avast, passé MalwareBytes, Rogue Killer, Adw Cleaner, j'ai supprimé tout un tas de trucs mais je ne suis absolument pas sûr d'avoir enlevé la bestiole et j'ai le doute d'avoir supprimé des process, des clefs ou des trucs comme ça.

Dis moi Le n'apache, peux tu m'aider à y voir plus clair et si besoin à cleaner le bazar?
Dernière édition par Ziploc le 07 Nov 2013 14:56, édité 1 fois.
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté: Demande d'aide au N'apache

Messagepar Hapax » 06 Nov 2013 09:50

salut et bienvenue
merci de suivre préalablement cette procédure :
procedure-de-demande-de-desinfection-nettoyage-analyse-t26986.html
et de poster le rapport du scan demandé en lien "cjoint"
Un helper...pardon...lenapache s'occupera ensuite de toi ...
Si vous pensez que la technologie peut résoudre vos problèmes de sécurité, alors vous n’avez rien compris aux problèmes ni à la technologie. ( Bruce Schneier )
Avatar de l’utilisateur
Hapax
Modérateur
Modérateur
 
Messages: 11563
Inscription: 16 Juil 2008 09:45

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 12:52

Bonjour Ziploc

Fais le scan demandé par Hapax ce sera déjà une bonne base de départ
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 13:08

Salut Hapax et Le n'apache!

Merci pour votre accueil! :supers:

Rapport ZHPDiag:

http://cjoint.com/?0Kgnh7RyL1R
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 14:25

Il n'y a pas de traces d'infection dans le rapport posté, on va vérifier maintenant la piste du rookit avec MBAR l'anti rootkit de Malwarebytes
La procédure est ici http://www.bleepingcomputer.com/virus-r ... ti-rootkit
Si MBAR a détecté quelque chose ne clique pas tout de suite sur CLeanup
Fais une capture d'écran et poste la.
Je te conseille fortement de lire la page de bleepingcomputer avant de faire quoi que ce soit : MBAR n'est pas un outil anodin.
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 15:22

MBAR n'a rien trouvé: Scan finished no malware found!

Rapport system -log.text:
http://cjoint.com/?0KgpuQBiG5U

Rapport mbar-log-2013-11-06 (14-53-36).txt
http://cjoint.com/?0KgpxpSmbX6
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 15:47

Il n'y a rien ce rapport est blanc comme neige quel outil a détecté ce rootkit ?
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 16:12

Avast.
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 16:14

La ça sent le faux positif si RogueKiller est présent sur ce pc fais un scan avec poste ensuite son rapport.
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 16:26

Rapport Rogue Killer:

http://cjoint.com/?0KgqzVopthA
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 16:37

Il y a quelque chose de bizarre dans ce rapport on dirait que tu as un fichier système de patché et ça on va le savoir tout de suite.

Suis précisément les instructions données pour le téléchargement et l'enregistrement du fichier c'est important
1) Crée un nouveau point de restauration
2) Fais une sauvegarde de tes données sur un support externe (clé usb, disque dur externe)
  • Télécharge ComboFix à partir de l'un de ces liens
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://subs.geekstogo.com/ComboFix.exe
    • Enregistre le sur le bureau c'est important
    • Désactive où quitte tous tes logiciels de sécurité ( Antivirus, antispyware ect..)
    • Fais un double clic sur ComboFix.exe
    • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage
    Note : Si la Console de récupération est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.
  • Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
    Image
  • Une fois que la Console de récupération est installée via ComboFix, tu dois voir le message suivant:
    Image
  • Clique sur Oui ou appuie sur la touche o
  • Laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris.
  • Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 17:19

Help!
Combofix me dit:
Suppression de fichiers:
C:/WINDOWS/system32/SET58.tmp
C:/WINDOWS/system32/SET59.tmp
C:/WINDOWS/system32/SET60.tmp
Suppression de dossiers:
C:/Document and Setting / Default User/WINDOWS

Et bien sûr, plus d'icônes....juste l'écran d'accueil.
J'ai accepté d'installer la console windows et j'ai crée un point de restauration.

Mais je n'ai JAMAIS demandé de supprimer quoi que ce soit.... :pouark:

Plus de connexion internet, plus rien aaaaaaarrrrrgggghhhh!
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 17:35

Poste le rapport complet stp
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 17:38

Mais je n'ai plus accès à rien: plus d'icône, plus rien, pas de rapport, nulle part.
Il y a l'écran d'accueil avec rien, combofix était en écran bleu avec ce que je t'ai écrit dessus, c'est tout, il y a eu un pb pendant le scan, un truc sur lequel ça a butté et qui a généré un rapport d'erreur Windows. C'est tout ce que je peux te dire.

J'ai bien désactivé Avast.
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 17:44

La ce n'est pas étonnant il avait été bien bricolé avant depuis quelle date exacte ce pc était censé être infecté par un rootkit
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 18:07

Avast a vu un Win32: Rootkit - gen [Rtk] dans un fichier nommé: C:/drv/GGA0/hcw88bar.sys le vendredi 1er novembre 2013.

Bon j'ai réussi à récupérer le bureau via le gestionnaire des tâches et j'ai retrouvé la connec internet qui avait disparu (je suis sur 2 pc).

Pendant le scan il y a eu un pépin qui a généré un rapport Windows.

J'ai recherché le rapport combofix sur C et là bizarre: Il y a bien une icône combofix mais quand on clique dedans il y a le poste de travail.

En plus, plein d'icônes en transparence sont apparues.

Je te met des captures d'écran de C et D en dessous.

http://cjoint.com/?0KgsgbRJ9Dt
http://cjoint.com/?0KgsgP5Q6di

C'est quoi ce bazar?
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 18:19

Le fichier en question ressemble fort à un pilote d'une carte Hauppauge Win TV on le fera analyser après.
Le bazar il date d'avant ton post ici on va faire machine arrière toute pour revenir à une base saine, on va faire une restauration du système mais pas n'importe comment.

Redémarre le PC infecté en Invite de commande en mode sans échec
Tape la ligne de commande ci dessous valide ensuite par la touche Entrée

Pour Vista et Windows7
%systemroot%/system32/rstrui.exe

Pour XP
%systemroot%/system32/restore/rstrui.exe

Coche en bas Afficher d' autres points de restauration
Choisis une date de restauration antérieure à ce problème, la restauration terminée redémarre ton PC, on passera à la suite après.
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 18:54

Oula, j'ai jamais fait ça de ma vie! J'ai un peu la flippe de tout foirer en faisant ça, est ce qu'il y a un moyen d'être sûr que ça ne peut pas aggraver le pb: je ne sais pas où et quand taper la ligne en fait.

Bon allez, j'essaye: adieu... :shock:
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar Ziploc » 06 Nov 2013 19:09

Une fois que j'ai choisi "invite de commande en mode sans échec", je mets console Microsoft Windows recovery console ou Windows XP familial?, j'ai déjà essayé avec Windows XP familial et ça s'est bloqué.
Désolé je suis total newbee et j'ai l'impression de tenter le diable avec tous ces plantages....
Ziploc
 
Messages: 31
Inscription: 06 Nov 2013 09:10

Re: PC infecté par rootkit

Messagepar lenapache » 06 Nov 2013 19:32

Non c'est Invite de commande en mode sans échec que tu dois choisir
Image
C'est le mode console, une fois le pc redémarré dans ce mode tape cette commande : %systemroot%/system32/restore/rstrui.exe
La suite est dans ma précédente réponse
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5588
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités