Bonjour à toute l'équipe!

Cette demande s'adresse au N'apache:

Le 31 octobre mon antivirus Avast a détecté un rootkit dans un fichier nommé: C:/drv/GGA0/hcw88bar.sys

Le PC, une tour sous XP (2002) était très lent, le browser internet se modifiait d'une session à l'autre, plus de pop up que d'habitude et des icônes non demandées sur le bureau.

J'ai scanné, mis en quarantaine et supprimé le truc avec Avast, passé MalwareBytes, Rogue Killer, Adw Cleaner, j'ai supprimé tout un tas de trucs mais je ne suis absolument pas sûr d'avoir enlevé la bestiole et j'ai le doute d'avoir supprimé des process, des clefs ou des trucs comme ça.

Dis moi Le n'apache, peux tu m'aider à y voir plus clair et si besoin à cleaner le bazar?

salut et bienvenue
merci de suivre préalablement cette procédure :
procedure-de-demande-de-desinfection-nettoyage-analyse-t26986.html
et de poster le rapport du scan demandé en lien "cjoint"
Un helper...pardon...lenapache s'occupera ensuite de toi ...

Bonjour Ziploc

Fais le scan demandé par Hapax ce sera déjà une bonne base de départ

Salut Hapax et Le n'apache!

Merci pour votre accueil!

Rapport ZHPDiag:

http://cjoint.com/?0Kgnh7RyL1R

Il n'y a pas de traces d'infection dans le rapport posté, on va vérifier maintenant la piste du rookit avec MBAR l'anti rootkit de Malwarebytes
La procédure est ici http://www.bleepingcomputer.com/virus-r ... ti-rootkit
Si MBAR a détecté quelque chose ne clique pas tout de suite sur CLeanup
Fais une capture d'écran et poste la.
Je te conseille fortement de lire la page de bleepingcomputer avant de faire quoi que ce soit : MBAR n'est pas un outil anodin.

MBAR n'a rien trouvé: Scan finished no malware found!

Rapport system -log.text:
http://cjoint.com/?0KgpuQBiG5U

Rapport mbar-log-2013-11-06 (14-53-36).txt
http://cjoint.com/?0KgpxpSmbX6

Il n'y a rien ce rapport est blanc comme neige quel outil a détecté ce rootkit ?

Avast.

La ça sent le faux positif si RogueKiller est présent sur ce pc fais un scan avec poste ensuite son rapport.

Rapport Rogue Killer:

http://cjoint.com/?0KgqzVopthA

Il y a quelque chose de bizarre dans ce rapport on dirait que tu as un fichier système de patché et ça on va le savoir tout de suite.

Suis précisément les instructions données pour le téléchargement et l'enregistrement du fichier c'est important
1) Crée un nouveau point de restauration
2) Fais une sauvegarde de tes données sur un support externe (clé usb, disque dur externe)

• Télécharge ComboFix à partir de l'un de ces liens
  http://download.bleepingcomputer.com/sUBs/ComboFix.exe
  http://subs.geekstogo.com/ComboFix.exe
  
  • Enregistre le sur le bureau c'est important
  • Désactive où quitte tous tes logiciels de sécurité ( Antivirus, antispyware ect..)
  • Fais un double clic sur ComboFix.exe
  • Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur votre PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de t'aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage
  Note : Si la Console de récupération est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.
• Suis les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela t'est demandé, accepte le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
  
• Une fois que la Console de récupération est installée via ComboFix, tu dois voir le message suivant:
  
• Clique sur Oui ou appuie sur la touche o
• Laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris.
• Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
  
  NOTE : Le rapport se trouve également ici : C:\Combofix.txt

Help!
Combofix me dit:
Suppression de fichiers:
C:/WINDOWS/system32/SET58.tmp
C:/WINDOWS/system32/SET59.tmp
C:/WINDOWS/system32/SET60.tmp
Suppression de dossiers:
C:/Document and Setting / Default User/WINDOWS

Et bien sûr, plus d'icônes....juste l'écran d'accueil.
J'ai accepté d'installer la console windows et j'ai crée un point de restauration.

Mais je n'ai JAMAIS demandé de supprimer quoi que ce soit....

Plus de connexion internet, plus rien aaaaaaarrrrrgggghhhh!

Poste le rapport complet stp

Mais je n'ai plus accès à rien: plus d'icône, plus rien, pas de rapport, nulle part.
Il y a l'écran d'accueil avec rien, combofix était en écran bleu avec ce que je t'ai écrit dessus, c'est tout, il y a eu un pb pendant le scan, un truc sur lequel ça a butté et qui a généré un rapport d'erreur Windows. C'est tout ce que je peux te dire.

J'ai bien désactivé Avast.

La ce n'est pas étonnant il avait été bien bricolé avant depuis quelle date exacte ce pc était censé être infecté par un rootkit

Avast a vu un Win32: Rootkit - gen [Rtk] dans un fichier nommé: C:/drv/GGA0/hcw88bar.sys le vendredi 1er novembre 2013.

Bon j'ai réussi à récupérer le bureau via le gestionnaire des tâches et j'ai retrouvé la connec internet qui avait disparu (je suis sur 2 pc).

Pendant le scan il y a eu un pépin qui a généré un rapport Windows.

J'ai recherché le rapport combofix sur C et là bizarre: Il y a bien une icône combofix mais quand on clique dedans il y a le poste de travail.

En plus, plein d'icônes en transparence sont apparues.

Je te met des captures d'écran de C et D en dessous.

http://cjoint.com/?0KgsgbRJ9Dt
http://cjoint.com/?0KgsgP5Q6di

C'est quoi ce bazar?

Le fichier en question ressemble fort à un pilote d'une carte Hauppauge Win TV on le fera analyser après.
Le bazar il date d'avant ton post ici on va faire machine arrière toute pour revenir à une base saine, on va faire une restauration du système mais pas n'importe comment.

Redémarre le PC infecté en Invite de commande en mode sans échec
Tape la ligne de commande ci dessous valide ensuite par la touche Entrée

Pour Vista et Windows7
%systemroot%/system32/rstrui.exe

Pour XP
%systemroot%/system32/restore/rstrui.exe

Coche en bas Afficher d' autres points de restauration
Choisis une date de restauration antérieure à ce problème, la restauration terminée redémarre ton PC, on passera à la suite après.

Oula, j'ai jamais fait ça de ma vie! J'ai un peu la flippe de tout foirer en faisant ça, est ce qu'il y a un moyen d'être sûr que ça ne peut pas aggraver le pb: je ne sais pas où et quand taper la ligne en fait.

Bon allez, j'essaye: adieu...

Une fois que j'ai choisi "invite de commande en mode sans échec", je mets console Microsoft Windows recovery console ou Windows XP familial?, j'ai déjà essayé avec Windows XP familial et ça s'est bloqué.
Désolé je suis total newbee et j'ai l'impression de tenter le diable avec tous ces plantages....

Non c'est Invite de commande en mode sans échec que tu dois choisir

C'est le mode console, une fois le pc redémarré dans ce mode tape cette commande : %systemroot%/system32/restore/rstrui.exe
La suite est dans ma précédente réponse