A l'aide Avast détecte ROOTKIT Physicaldrive0

[juliette91]

Bonjour à tous et merci d'avance à ceux qui accepteront de prendre de leur temps pour m'aider.
Depuis une semaine un peu moins je suis ennuyée par un virus détecté par avast. J'ai fait plein de ménage avec notamment Malwarebytes, spybot, divers scans... Aujourd'hui j'ai encore éliminé un truc ressemblant à hitjackmachin via spybot. Les symptômes outre détection avast c'est aussi des redirections intempestives vers des pages non demandées ... Ca fait 3 fois que je réinstalle l'ordi après écran bleu, disparition incompréhensible des icones du bureau et de la barre d'outil... Je suis désespérée, j'en ai ras le bol. Et tous les conseils dans les forums semblent si complexes... Donc là j'ai suivi la méthode de votre site et voici les docs de Rsit (que malheureusement je ne saurais pas analyser moi-même).
Je n'arrive pas à joindre mes fichiers (ce n'est pas la 1ere fois que le navigateur ne peut atteindre une page web, j'avais le mm souci avec windows update).... Je refais à partir d'un autre ordi en collant les 2 txt en un dsl encore...

Encore merci pour vos idées.
Bises

[b marlow]

Salut,

Télécharge TDSSKiller
Double-clique dessus ( pour Vista/Seven clic-droit Exécuter en tant qu'admin...)
Coche les cases puis clique sur Start scan , laisse-le travailler sans l'interrompre, ni utiliser
le PC pour autre chose. En cas d'infection trouvée une nouvelle fenêtre s'ouvrira:

- Si Tdl2 est détecté l'option Delete sera cochée par défaut.

- Si Tdl3 est détecté assure-toi que Cure est bien cochée.

- Si Tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.

- Si Suspicious file est indiqué, laisse l'option cochée sur Skip

- Clique sur Continue puis sur Reboot now pour redémarrer le PC.

Poste le rapport généré dans ta prochaine réponse
(Il sera aussi sauvegardé en C:\TDSSKiller_Quarantine\JJ.MM .AA_HH.MM.SS. (JJ.MM.AA date du passage du tool, HH.MM.SS heure de passage).



Ensuite télécharge et installe Malwarebytes' Anti-Malware
Fait un scan Complet, coche puis clique sur Supprimer la sélection
Poste le rapport final.

[juliette91]

Coucou B Marlow,
Merci de ton aide. J'espère que ces manips vont marcher car les problèmes continuent. Ce matin j'ai eu droit à un joli écran bleu avec "Hard error"... Enfin. J'ai supprimé un virus malicieux avec TSSkiller et 9 trojans avec Malwarebyte's...
Affaire à suivre donc. Encore merci de ton aide.
Bizzzz

[b marlow]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[juliette91]

Bonjour B Marlow,
Merci de me suivre dans cette galère. Je te joins le log obtenu.
Bonne soirée et à bientôt.
Bises

[b marlow]

Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_CLASSES_ROOT\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9a95b751-bf3e-4ea8-a938-2d4d84cd4964}]
[-HKEY_CLASSES_ROOT\CLSID\{9a95b751-bf3e-4ea8-a938-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BDF3E430-B101-42AD-A544-FADC6B084872}]
[-HKEY_CLASSES_ROOT\CLSID\{BDF3E430-B101-42AD-A544-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9a95b751-bf3e-4ea8-a938-2d4d84cd4964}"=-
[-HKEY_CLASSES_ROOT\CLSID\{9a95b751-bf3e-4ea8-a938-2d4d84cd4964}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"=-
"PHIME2002ASync"=-
"PHIME2002A"=-
"RTHDCPL"=-
"Alcmtr"=-
"SunJavaUpdateSched"=-
"QuickTime Task"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
 
:Files
C:\Documents and Settings\louis\Application Data\lpbandmltbpi      
C:\Documents and Settings\All Users\Application Data\Viewpoint
C:\Program Files\Viewpoint    
 
:Commands
[purity]
[emptytemp]
[emptyflash]
[resethosts]
[start explorer]
[Reboot]

Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[juliette91]

Bonsoir B Marlow,
J'espère que l'on progresse un peu...
Ce virus semble résistant à en croire toutes les démarches qu'il faut accomplir et suivre. Merci encore de votre aide.
Ci-joint le fichier indiquant où en est l'ordi et sa santé /
Bonne soirée.

[b marlow]

qu'en est-il des symptômes et avast te signale-t-il encore l'infection ??

[juliette91]

Bonjour B Marlow,
Avast ne mentionne plus le rootkit mais il n'empêche qu'à chaque nouveau scan il me détecte de nouvelles menaces... que je supprime, j'accepte un redémarrage et un scan qui me diagnostique encore des saletés dont ce matin : win32eorezo-G [PUP] qui se trouvait apparemment sur le system volume information\restore etc. Je l'ai supprimé et là j'attends qu'avast finisse un nouveau scan minutieux de l'ordi. Cela n'engage que moi mais jusqu'à ce qu'apparaisse ce virus je n'avais jamais été autant enquiquinée par des programmes malicieux. Est-ce que ce rootkit est un ensemble de virus, en gros un package de virus qui les uns après les autres se manifestent ? Y a-t-il eu ces derniers temps une vague spéciale de ce virus ? Sait-on comment il infeste, où il se place, ses ramifications dans le système ? J'ai lu quelque part que malgré des réinstallations il était toujours là, est-ce vrai ? Comment lire les fameux log que je t'ai envoyés, comment moins polluer les forums en suivant pas à pas vos instructions et les effets décris par les logs... pour les profanes qui cherchent à comprendre mais non informaticiens...
J'attends la fin du scan et je reviens te dire ce qu'il me trouve.
En tout cas merci de ta patience et de ton secours (et à ce site qui permet de résoudre de tels problèmes).
Plein de bises merci

[juliette91]

Re,
le scan est parfait !! Ai-je supprimé les derniers pb ce matin ou demain va-t-il voir d'autres virus/menaces arriver impossible de le dire. Mais en tout cas nous pouvons dire que ce post est résolu. Encore et toujours merci de ta patience pour aider tous les profanes et leurs problèmes. Je te suis reconnaissante de ton aide.
Bises

[b marlow]

Ce n'est pas tout à fait terminé, il faut supprimer les outils ayant servi à la procédure
avec leurs dossiers de quarantaine qui ont provoqué surement des détections sans danger
par avast. Quant à au system volume information c'est tout simplement la restauration du
système. si elle est clean il n'y a rien a toucher. l'adware eorezo ne présente pas un grand danger
c'est juste un pollueur en pubs intempestives.

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista/Seven procéder par clic-droit Exécuter en tant qu'administrateur.

[juliette91]

Coucou,
Voici le fichier joint. J'ai parcouru votre dossier sur les virus et leurs modes d'installation et j'ai compris comment le virus s'était installé : via un faux anti-virus. Suite à cela j'ai dû réinstaller et après des pb persistants et un scan d'avast j'ai découvert le fameux rootkit. Voilou. Je vais aussi suivre les conseils sur votre site... Cette fois j'espère que l'ordinateur sera tout propre pour longtemps. Vrai que quand on ne fait pas attention on accepte des toolbars ou autres saletés plus ou moins graves.
Merci encore et à bientôt de vos nouvelles.

[b marlow]

supprime le dossier C:\qoobox , si tu n'y parviens pas utilises Unlocker:
http://files.brothersoft.com/interne...ocker1.9.0.exe
tu l'installes ensuite tu fais u clic-droit sur le dossier qoobox, tu choisis de
l’effacer, un tuto:
http://www.tutomaker.com/tutoriaux/i...itrant,15.html

[juliette91]

Bonsoir B Marlow,
J'ai téléchargé Unlocker et grace à lui j'ai pu effacer le dossier qui bloquait sinon. Mais une fois que je l'ai mis à la poubelle, un autre dossier ne pouvait être supprimé dans la poubelle. J'ai donc appliqué unlocker comme dit dans le tuto et là rebelotte qd je veux vider la corbeille un autre dossier apparaît D21, D23, D27 etc... Y at-il moyen de virer tout ça ?

Merci encore de ton aide. Bises

[b marlow]

tu passeras un coup de ATF-Cleaner après redémarrage, cela devrait suffire.