Eradiquer un Rootkit

[chrisdu26]

Bonjour,
J'ai été infecté par le virus myalbum sur msn live messenger, j'ai pu réussir à rétablir un peu de stabilité sur mon PC mais il persiste les malwares suivants:

Rootkit.Agent.ey
Downloader.Agent.brk
Downloader.Agent.acl

Que j'ai detecté avec le logiciel AVG Anti-Spyware , les mises en quarantaine de ces virus n'ont aucun effet.

Depuis cette infection les conséquences se traduisent par une extrême lenteur pour l'ouverture des pages web et beaucoup d'autres accés à d'autres logiciels liés à ma connection ADSL? A moins qu'il y ait encore autre chose qui m'aurait echappé?

J'ai procédé aux préliminaires recommandés par Futura-Sciences sauf le paragraphe 5
Je joins les rapports en Pieces Jointes

Merci pour votre aide, et j'ai bien noté qu'en août les effectifs sont restreints ,je patiente.
-----

[igor51]

Bonsoir,

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne soirée

[chrisdu26]

bonsoir
merci igor de t'occuper de mon cas

voici les rapports demandés

par ailleurs et en attendant une réponse hier j'ai fait un scan avec kapersky antivirus en ligne et il a été trouvés 4 virus, 3 objets infectés et 2 objets suspects, veux tu avoir ce raport de kapersky pour info dans l'immediat?
a + pour la suite.........

[igor51]

Bonjour,

pour le scan kaspersky, il doit être faussé car SDFix a fait un gros boulot.

Attention : Ton système ne dispose pas de Firewall, ce qui est très dangeureux ! Pour éviter de prendre une autre infection, il est indispensable que tu installes un firewall, je te conseille de choisir parmis les pare-feu suivants qui sont gratuits :

• Zone alarm
• kerio
• outpost
• Comodo Pro
• Jetico

Si tu ne sais pas configurer, tu trouveras ci-dessous des aides :

• Tutorial pour kerio
• Tutorial pour Zone Alarm
• Tutorial pour Outpost Free

============================== ============================

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Poste moi les deux rapports générés ainsi que celui de Kaspersky, que je voille ce qu'il trouvé quand même

Bonne journée

[A voir en vidéo sur Futura]

[chrisdu26]

Bonjour

pour le pare feu le centre de sécurité Windows pare feu et sa mise à jour son activés sur mon pc, cela ne suffirait il pas?auquel cas j'installerai un de ceux proposés!

Ci joint les rapports demandés
+ le rapport scan kapersky en copier/coller je n'ai pas pu le mettre en PJ

C'est fait.

yoda1234.


merci

[igor51]

Bonjour,

le pare feu de Windows ne filtre pas les sorties, donc je te conseille d'installer un de ceux que je te cite et de désactiver celui de Windows pour ne pas qu'il y a des confilts.

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste moi le rapport généré.

Bonne journée

[chrisdu26]

Bonjour

Tout semble correct à présent ,un grand merci a toute l'equipe de futura sciences pour leur dévouement et compétences.

Et pour le pare feu que me conseillez vous rester comme je suis avec Windows ou en installer un autre proposé par Igor?

Bonne journée.....Merci encore

[chrisdu26]

oups, j'avais pas eu message de Igor, je repondais sur message précédent a Yoda qui me disait "c'est fait" j'ai dejà AVG antispayware d'installé sur mon pc, je fait la manip demandée par Igor et poste le rapport ..........

[chrisdu26]

Voici le rapport de AVG anti-spyware

Il persiste Downloaer.Agent.acl avec une anotation risque élevé ???

Ok pour ta réponse sur le pare feu je vais en installer un a la place de celui de windows

[chrisdu26]

J'ai omis de te dire que j'ai fait les actions de suppression et quarantaine des fichiers trouvés par AVG anti-spyware, apres avoir enregistré le rapport, c'est pour ça qu'on peut lire sur le rapport aucune action entreprise,

[igor51]

Bonjour,


as-tu encore des problèmes ?

Si la réponse est non, je te donnerai les dernières manipulations à faire ainsi que les conseils de prévention.

Bonne journée

[chrisdu26]

Bonjour

La navigation sur le net est devenue fluide et je ne constate plus de lenteur d'ouverture des pages web.je peux dire qu'apparemment tout est redevenu "normal"

Mais ce Downloader.Agent.acl qui rode sur mon pc ne me plait pas,peut on l'eradiquer une bonne fois pour toute?

[igor51]

Bonjour,

il a été supprimé, deux fois même
La première fois, il a été renommé et mis en quarantaire

Supprime le dossier suivant :

C:\QooBox

Maintenant que nous avons fini la désinfection, tu peux supprimer les outils que je t'ai fait télécharger. Pense à passer par Ajout/Suppression de programmes pour réaliser un désinstallation propre des logiciels. Lorsque l'outil n'a crée qu'un Dossier, supprime ce dossier ainsi que le fichier que tu as téléchargé.

----------------------------------------------------------------------------

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Clique sur « Appliquer »
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

---------------------------------------------------------------------------

Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

Maintenant que ton ordinateur est désinfecté, tu as aussi la possibilité de nous aider à poursuivre les créateurs de ces malwares en justice en déposant un témoignage de ton infection sur Malware Complaints.

Pour cela, rends-toi sur Malware Complaints, et inscris-toi sur le forum.
Poste une réponse (en cliquant sur Post reply) dans ce type d'infection : Autre infection
Nom de l'infection : Downloader.Agent.acl

Aide-toi des règles de Malware Complaints pour formater ton message.
Merci de ton aide

Bonne journée

[chrisdu26]

Bonjour,

Ok pour la suppression de Downloader.Agent.acl, tu me rassures!

J'ai supprimé :

- les logiciels par ajout suppression des programmes, par contre je n'ai pas trouvé certains de ceux que j'avais installé sur le bureau,j'ai donc supprimé les icones visibles sur le bureau, cela suffit il pour supprimer la présence de ces programmes de mon PC?

- le dossier C:\Qoobox

J'ai fais la manip pour restauration systeme

Merci pour les conseils sur la prévention.

Pour l'instant plus de soucis liés à ce problème de malwares ,pourvu que ça dure !!

Merci à toi Igor51, et à toute l'équipe de Futura Sciences
______________________________ ____
PS: par contre parfois mon pc ,reboot intempestivement et au redemarrage j'ai une alerte de Microsoft :

Le systéme a récupéré d'une erreur sérieuse

et le rapport dit:
C:\DOCUME~1\HP_PRO~1\LOCALS\Te mp\WERf7fe.dir00\Mini082207-01.dmp

et
C:\DOCUME~1\HP_PRO~1\LOCALS~1\ Temp\WERf7fe.dir00\Sysdata.xml

Suis je dans le bon post pour ce nouveau souci?

merci

[igor51]

Bonjour,

pour la suppression oui, cela devrait suffir, tu peux néanmoins regarde à la racine pour voir s'il ne reste de dossier ( C:\ )

Lors des plantages, est-ce que tu fais quelque chose de spécial ?

Sinon tu peux faire ceci :

Démarrer -> clique droit sur le Poste de travail -> Propirètés -> onglet Avancés -> Paramètres -> décoche la case Redémarrer automatiquement -> Appliquer puis Ok

Un nettoyage du registre aussi pourrait résoudre ceci :


Télécharge CCleaner et installe le(attention à l'installation pense à decocher l'installation de Yahoo toolbar discrètement proposé en plus de CCleaner). Lance le en double cliquant sur CCleaner.exe

-=Suppression des fichiers temporaires=-

• Va dans la section "Options" situé dans la marge gauche. Va dans "Avancé" et décoche "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Retourne ensuite dans la section "Nettoyeur"
• Fais bien attention de cocher toutes les cases dans la marge gauche (Internet Explorer/Windows Explorer/Système/Avancé)
• Clique sur Analyse
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur Lancer le Nettoyage

-=Suppression des incohérence du registre=-

• Clique sur l'icône Erreurs situé dans la marge à gauche.
• Puis clique sur Analyser les erreurs
• Patiente pendant que CCleaner scanne ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur Corriger les erreurs.
• Si tu n'est pas sur de ce que tu fais, tu peux choisir de sauvegarder les entrèes cochées pour les restaurer ultérieurement.

Bonne journée

[chrisdu26]

bonjour

Voilà Igor sur tes conseils j'ai fait tout ce que tu as proposé, plus de probleme de demarrage intempestif, je redemarrais sans rien faire de special(pour repondre a ta question) ,desormais et apparemment plus de problemes particuliers.

Merci mille fois pour le travail et le depannage resolu.

[invite275db609]

Bonsoir

Igor ne sera pas présent pendant quelques jours.
Si tout va bien, tant mieux, reprend le post #13 et tout va bien ... lis bien le dossier de prévention pour éviter de retomber dans les pieges d'internet ...

Bonne soirée

[chrisdu26]

bonjour
ok merci encore à toute l'equipe de futura sciences.