Rootkit MBR://./PHYSICALDRIVE0

[invite7e285177]

Bonjour,

Il y a 2 jours, j'ai eu sur mon ordinateur une alerte Avast à propos d'un rootkit, qu'il me recommandait de supprimer, ce que j'ai fait. Il me conseillait ensuite d'effectuer un scan au démarrage (qui a identifié et supprimé deux troyens). Mais une fois l'ordinateur redémarré, Avast m'a remis exactement la même alerte. Un nouveau scan au démarrage n'a rien donné, et le rootkit réapparaît à chaque démarrage. Un scan Malwarebytes en mode sans échec n'a rien donné non plus.
Je me tourne à présent vers vous, car mes capacités en informatique ne me permettent pas d'aller plus loin tout seul...

Je vous joins donc les fichiers de rapport, et vous remercie d'avance du temps que vous voudrez bien accorder à mon problème.

PS : à toutes fins utiles, je précise également que l'ordinateur dont je parle est assez vieux (4 ou 5 ans, sous Windows XP), et a eu quelques petits problèmes, notamment un SecurityTool dont je me suis débarrassé avec Malwarebytes, et une tendance à diffuser parfois des sons (de la pub, généralement) alors qu'aucun logiciel ou navigateur n'est ouvert, je n'ai pas tenté de régler ce problème jusqu'à maintenant. J'ai également déconnecté cet ordinateur d'Internet pour l'instant, afin d'éviter d'éventuelles intrusions : si une connexion est nécessaire pour régler le problème (eg : mise à jour d'un log), je le reconnecterai.
-----

[b marlow]

Salut,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite7e285177]

Merci pour la rapidité de votre réponse.

Malheureusement, je crains qu'il y ait eu un souci.
J'ai suivi les instructions, en prenant soin de désactiver Avast avant de lancer l'exe, puis j'ai rebranché ma connexion Internet au moment où ComboFix voulait installer la console de récupération.
Le scan a démarré, avec un message d'information disant que le Master Boot Record était infecté et un rappel pour désactiver l'antivirus, puis rien d'autre... La fenêtre de ComboFix est immobile depuis maintenant plus d'une heure (il ne m'a pas parlé de reparamétrage d'horloge, et aucune étape de scan n'est affichée), et alors que l'ordinateur manifestait son activité de manière sonore au début du scan, il est devenu silencieux après le message d'alerte concernant le MBR.
Dois-je continuer à attendre, ou est-ce qu'il y a eu un problème ?

[b marlow]

démarrer/executer tapes : combofix /uninstall
valide par Entrée.
retélécharge Combofix renommé en hawk.exe ici:
http://www.sendspace.com/file/9o0psw
puis recommence la manip

[A voir en vidéo sur Futura]

[invite7e285177]

Décidément, je joue de malchance... La fenêtre d'AutoScan ne se ferme pas, même en tapant plusieurs fois cette commande dans "exécuter". J'ai voulu essayer de redémarrer l'ordinateur pour ensuite relancer Combofix à partir de cet autre exe, mais ça ne marche pas, la fenêtre est toujours à l'écran, et si je réessaie de taper la commande combofix /uninstall, il me dit que l'application n'a pas pu s'initialiser car la station de travail est en train d'être arrêtée...

[b marlow]

tu as essayé de la fermer en passant par ctrl+alt+suppr, ou redémarrer l'ordi à plusieurs reprises ?

[invite7e285177]

Oui, en voyant que ça ne se fermait pas, j'ai essayé, par réflexe, de fermer avec ctrl+alt+suppr. Par contre, je n'ai essayé de redémarrer l'ordi qu'une seule fois.

[b marlow]

ou en es-tu, tu as redémarré , sinon tu peux faire la désinstallation en mode sans echec
puis refaire la manip avec le nouveau combofix après avoir redémarrer en mode normal.

[invite7e285177]

Après avoir redémarré l'ordinateur manuellement, j'ai désinstallé ComboFix et je l'ai relancé avec le nouvel exécutable, cette fois sans souci. Je vous joins le rapport.

[b marlow]

Télécharge TDSSKiller http://support.kaspersky.com/downloa...tdsskiller.exe
Double-clic dessus (pour Vista/Seven clic-droit exécuter en tant qu'admin)
Coche les cases puis clique sur Start scan , laisse-le travailler sans l'interrompre, ni utiliser
le PC pour autre chose. En cas d'infection trouvée une nouvelle fenêtre s'ouvrira:

Si Tdl2 est détecté l'option Delete sera cochée par défaut.

Si Tdl3 est détecté assure-toi que Cure est bien cochée.

Si Tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Poste le rapport généré dans ta prochaine réponse
(Il sera aussi sauvegardé en C:\TDSSKiller_Quarantine\JJ.MM .AA_HH.MM.SS. (JJ.MM.AA date du passage du tool, HH.MM.SS heure de passage).

[invite7e285177]

Voilà... Le scan a été très rapide (14 secondes), il n'a apparemment rien trouvé et ne m'a pas demandé de redémarrer.

[b marlow]

Ok, j'aimerais vérifier un autre truc:
Télécharges sur ton bureau MBRCheck
Double-clic sur MBRCheck.exe , laisse-le travailler quelques secondes

* Une fenêtre s'ouvre :
* Si tu as un message : Done! Press ENTER to exit...
* Appuie sur Entrée
* Si tu as un message : Found non-standard or infected MBR.
Enter 'Y' and hit ENTER for more options, or 'N' to exit:
* Appuie sur la touche N puis sur Entrée
* Le rapport du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt sera sur le bureau

[invite7e285177]

Voilà le fichier de rapport.

[b marlow]

Ceci va supprimer les outils ayant servi à la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista/Seven l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.



Ensuite fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invite7e285177]

J'ai utilisé ToolsCleaner, je joins le rapport.
Par contre, en ce qui concerne le scan ESET, je l'ai d'abord fait à partir de Firefox et non IE (il m'a demandé de télécharger un exe pour lancer le programme quand même), et suite à ce scan il a trouvé 4 fichiers infectés, dont 2 trojans (j'ai coché Delete quarantined files et Uninstall ESET à la fin du scan). En revanche, je n'ai pas trouvé de fichier de rapport (le chemin d'accès est C:\Program Files\ESET\ESET Online Scanner, et il ne contient pas de txt, juste des applications et un contrôle ActiveX). J'ai refait un scan ESET avec IE au cas où : cette fois il n'a rien trouvé en terme de fichiers infectés, mais je n'ai pas trouvé de fichier de rapport non plus.

[b marlow]

Supprime le dossier C:\qoobox
as-tu encore les alertes du début de sujet ?

[invite7e285177]

Je ne peux pas le supprimer, il me dit que l'accès est refusé par rapport au dossier BackEnv contenu dans Qoobox.
Non, je n'ai plus les alertes Avast concernant le rootkit.

[b marlow]

installe Unlocker puis avec un clic-droit sur le dossier choisis de le virer.

[invite7e285177]

Je n'arrive pas à le télécharger, j'ai une erreur 403 du serveur Free... Pareil si j'essaie de le récupérer sur 01net.

[b marlow]

prends-le ici:
http://fs21.filehippo.com/5770/fb10e...ocker1.9.0.exe

[invite7e285177]

Je l'ai téléchargé, et j'ai fait clic droit, Unlocker (pas d'attache), effacer. Après un moment, il l'a mis dans la Corbeille. Par contre, maintenant qu'il y est, je n'arrive pas à le supprimer définitivement, le menu clic droit ne propose pas Unlocker, et je ne peux pas non plus le restaurer.

[b marlow]

redémarre l'ordi puis vide ta corbeille.

[invite7e285177]

Décidément, il s'accroche... Même après redémarrage, je n'arrive pas à le supprimer de la Corbeille, il me dit que je n'ai pas accès au dossier Dc25.

[b marlow]

passe en mode sans échec.

[invite7e285177]

En mode sans échec, la corbeille est vide.

[b marlow]

en mode sans échec, dans CCleaner>options>avancé>décoche:
Effacer uniquement les fichiers datant de plus 24h
retour à Nettoyeur>lancer le nettoyage>ok. 2 à 3 fois.
ensuite tu peux le remettre avec ses paramètres par défaut.

[invite7e285177]

CCleaner a supprimé un certain nombre de fichiers en mode sans échec, mais après avoir redémarré en mode normal, le dossier BackEnv est toujours dans la Corbeille. A tout hasard, j'ai relancé un CCleaner avec l'option de conservation de fichiers récents décochée, et j'ai refait un nettoyage : le vidage de la Corbeille figure parmi les opérations, mais une fois le nettoyage terminé, le dossier est toujours dans la Corbeille (après le nettoyage de CCleaner, si je refais une analyse, j'ai de nouveau Vider la corbeille).

[b marlow]

Ce n'est pas un problème, la corbeille finira par accepter le vidage après différents redémarrages.

[invite7e285177]

D'accord. Si la procédure est terminée, merci beaucoup pour votre aide et votre patience... Vous m'avez rendu un grand service !

[b marlow]

Bon surf et @+