Rootkit sans nom...

[invite4c4dbe9d]

Bonjour,

Sur un PC,Windows XP SP2
J'ai un message de la part d'Avast "Un rootkit a été trouvé !"

avec:
Nom du fichier : MBR: \\.\PHYSICALDRIVE0
Tapez: Rootkit: fichiers cachés

Il propose de le supprimer mais n'y arrive pas bien sur.
Antivir ne le détecte plus après l'avoir trouvé une première fois et normalement supprimé. Mais après rescanne, Avast continue de le trouver.
J'ai essayé Antirootkit qui ne trouve pas de rootkit.

D'où mes questions
1) Est-ce normal qu'Avast trouve un rootkit que 2 autres outils ne trouvent pas ou plus ?
2) Comment connaitre le nom du rootkit pour essayer de réparer le MBR sans endommager les partitions ?



Merci beaucoup pour votre aide
Toshi
-----

[JPL]

Tu as su trouver le bon forum pour poster ta question. Mais tu n'as pas su trouver l'information qui y figure en tête. Donc applique cette procédure : http://www.futura-sciences.com/fr/co...701/c3/221/p1/

S'agissant d'un rootkit le groupe antimalware te proposera certainement d'appliquer d'autres outils, mais commence par le début et en attendant abstiens-toi de toute autre tentative qui pourrait obscurcir la situation.

[Cyrrus]

Bonjour,

Aaaah enfin....me demandait quand est ce qu'on allait être livré en mebroot

Surtout ne tente rien (ou alors tente mais ne compte pas sur nous pour réparer ls posts cassés), c'est pas si méchant que çà mais c'est uand même le mbr.

Bonne journée
Cyrrus

[invite4c4dbe9d]

Vraiment désolé...
J'ai suivi la procédure (joli travail en passant !)

Je joins les 2 rapports.
Il s'agit d'un pc portable IBM R50e si l'info est utile

J'ai installé aussi Jetico, mais un peu tard... D'ailleurs, je vais lire les infos pour bien le configurer.

Merci
Toshi

[A voir en vidéo sur Futura]

[JPL]

Aaaah enfin....me demandait quand est ce qu'on allait être livré en mebroot

Cyrrus se réjouit de ton malheur
Rassure-toi il va te dépanner.

[invite4c4dbe9d]

J'ai oublié de dire qu'un virus existait il y a peu de temps, attrapé par MSN... Apparemment il est efface, mais c'est peut-être celui-ci qui a installé le Rootkit.

Dans tous les cas, même si vous n'arriverez pas à trouvez l'origine du problème, merci beaucoup de prendre ma demande en considération, j'imagine que vous devez avoir beaucoup de travail... Avec tous les imprudents du net

Toshi

[Cyrrus]

Bonsoir Toshi,

Avant toutes choses (et comme tu l'auras peut être deviné), je préviens que c'est ma première infection mbr, donc il n'y a pas plus de risque pour ton pc, mais je ne promets pas un coup au but du premier coup...voilou.

Ceci dit :

- Télécharge http://www2.gmer.net/mbr/mbr.exe sur ton Bureau
- Double clique dessus. Laisse le travailler.
- Un rapport va apparaitre sur ton Bureau. Poste le en pièces jointes.

Bonne soirée
Cyrrus

[JPL]

Les infections du MBR c'est le retour d'un vieux classique qu'on croyait oublié. Pour plus d'informations, je l'avais annoncé en janvier :
http://www.futura-sciences.com/fr/si...-du-mbr_14206/

[invite4c4dbe9d]

Merci !

Apparemment il a trouvé le Rootkit, et il a fait une copie du secteur sur le secteur 62 avant de l'infecter si j'ai bien compris

Le but du jeu serait donc de remettre le secteur 62 là où il était ? Mais comment sans faire de bêtise ?

Merci pour votre précieuse aide !

Toshi

[Cyrrus]

Re,

Avant de faire cette étape, soit conscient qu'elle pourrait planter ton pc (due à l'infection elle même). Par conséquent sauvegarde tes documents importants, c'est plus prudent.

~~~~~~~~
Déplace le fichier mbr.exe dans C:\ (pour avoir donc le fichier ici : C:\mbr.exe).

Fais Demarrer > Executer et tape cmd [valide par Entrée]
Tape ceci en validant par Entrée à chaque fois :

Code:

cd \
mbr.exe -f

Laisse l'outil travailler. Une fois son travail terminé, poste son rapport (s'il en crée un). Si aucun rapport n'est créé, relance l'outil pour avoir un nouveau rapport comme au début.

Bonne soirée
Cyrrus

[invite4c4dbe9d]

J'ai collé ici le résultat parce que c'est court :

C:\>mbr.exe -f
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
MBR rootkit infection detected !
MBR INT 0x13 hook detected !
malicious code @ sector 0x6fc79c4 size 0x1e4 !
copy of MBR has been found in sector 62 !
original MBR restored successfully !

C:\>mbr
Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Dois-je crié YOUPI ! ?

Merci infiniment.

Il me reste un problème, la mise en veille du portable ne se fait plus depuis l'infection. Le message "Préparation de la mise en veille" apparait mais il ne se met jamais en veille. Des fichiers systèmes touchés ?
Par contre on peut arrêter la machine et quitter Windows sans problème.
Mais peut-être que je dois aller voir ailleurs pour réparer ce problème ?

Je rescanne letout pour voir si le Rootkit est bien parti et qu'un autre programme ne le réinstalle pas

MERCI MERCI MERCI !

[Cyrrus]

Re,

Dois-je crié YOUPI ! ?

Non...

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

Cyrrus

[invite4c4dbe9d]

Voilà

Dors quand même

[Cyrrus]

Bonsoir,

Méchante infection de rootkit...

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Cyrrus

[invite4c4dbe9d]

Ci-joint les fichiers,

Merci pour les explications détaillées

Toshi

[invite4c4dbe9d]

Apparemment, il n'y a plus de trojan.
Mais je ne suis pas sûr que tout soit fini...

Une question me trotte : comment aurions-nous fait si le rootkit ne faisait pas un double avant de procéder à l'infection... ?

[yoda1234]

Une question me trotte : comment aurions-nous fait si le rootkit ne faisait pas un double avant de procéder à l'infection... ?

Pour plus d'informations, je l'avais annoncé en janvier :
http://www.futura-sciences.com/fr/si...-du-mbr_14206/

Bonsoir,

une partie de la réponse est dans le lien que JPL a donné.

[Cyrrus]

Bonsoir,

Personellement je n'ai pas compris la question

Mais je ne suis pas sûr que tout soit fini...

Tu as bien raison :

Télécharge Malware Byte's Antimalware et installe le (assure toi qu'il se soit bien mis à jour avant de passer à la suite).

• Redémarre en mode sans échec :
  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

• Lance MBAM et sélectionne "Exécuter un examen complet". Patiente le temps du scan.
• Une fois le scan terminé,clique sur "Supprimer la sélection".

Si MBAM a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok. Enregistre le rapport sur ton Bureau lorsqu'il s'affichera. Poste le en pièces jointes (vide le cache de ton navigateur si le bouton Gérer les pièces jointes n'apparait pas).

Bonne soirée
Cyrrus

[JPL]

En fait tout virus du MBR doit recopier quelque part le code du MBR sain. En effet après avoir fait son travail pervers au démarrage il doit obligatoirement redonner la main au vrai code du MBR pour que Windows soit lancé et les partitions reconnues.
Il y a deux cas de figure : ou bien le code infectieux est court et ne s'étend pas à la table des partitions qui figure dans le MBR, et il suffirait en théorie, et sous réserve qu'il n'y ait pas d'autre infection associée, de faire un fixMBR pour rétablir la situation (opération qui remet en place les octets communs à tout MBR). Ou bien le code infectieux est plus long et déborde sur la zone de la table des partitions, et là il faut impérativement récupérer à partir de la copie du MBR. En effet la table des partitions est propre à chaque ordinateur.

[invite4c4dbe9d]

Merci Yoda1234 et JPL pour votre aide, je commence à comprendre

Cyrrus, mbam a trouvé quelque chose, tu avais encore raison, merci !

Toshi

[Cyrrus]

Bonjour,

Dernière vérification, notamment niveau rootkit :

Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.

~~~~~~~~

Assure toi que les contrôles activeX soient bien configurés dans les options internet comme décrit sur ce lien=> Cybersécurité

• Fais un scan en ligne Kaspersky
• Clique sur Accept
• Une barre jaune va te demander si tu acceptes d'installer le Kavwebscan_Unicode.cab, installe l'Active X.
• clique une nouvelle fois sur "Accept"
• Les bases de mises à jour vont s'installer, patiente un moment
• Clique sur Next.
• Clique sur My Computer, le scan se met en route; attends la fin du scan sans fermer la fenêtre sinon il s'arrêtera.

A la fin du scan, si des objets infectés sont découverts, clique sur Save report as... Choisis bureau et nomme le rapport "rapport Kaspersky" et dans le champ d'enregistrement, choisis "fichiers texte" enregistre alors le rapport.

Enregistre le rapport généré.

Poste ce rapport dans ta réponse sur le forum.

NOTE: Le scan est à faire avec Internet Explorer.

Bonne journée
Cyrrus

[invite4c4dbe9d]

Bonsoir,
Alors, pour Gmer, il n'a rien trouvé et donc rien affiché ni copié...

Pour Kapersky par contre, le fichier est joint et il à trouvé trace de 3 virus
(Lignes 43, 44 et 45 dans le fichier pour gagner du temps)
Infected: Virus.JS.Fortnight.b

Chaque outil trouve des virus différents, combien d'anti-virus/anti-malwares/... doit-on avoir ? Ou alors notre bon sens devrait être le meilleur outil ?

Tu es patient Cyrrus, merci pour tout !

Toshi

[Cyrrus]

Bonjour,

Pour Kapersky par contre, le fichier est joint et il à trouvé trace de 3 virus

Rien de méchant, ce sont des pièces jointsi nfectieuses dans ta boite de reception outlook. Tu devrais y faire une peu de ménage.

Chaque outil trouve des virus différents, combien d'anti-virus/anti-malwares/... doit-on avoir ?

Un antivirus, un firewall, et accesoirement un antispyware. That's all...

Ou alors notre bon sens devrait être le meilleur outil ?

Non. Mais votre prudence devrait être votre meilleur défense...


Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.


Bonne journée
Cyrrus
PS : Tu peux désinstaller ce qu'on a utiliser, excepté MBAM que tu peux garder en antispyware.

[Laddy]

je ne connaissais pas ce type d infection

[Cyrrus]

Bonjour Laddy,

Dejà, bienvenue sur Futura.

T'intérresses tu aux infections ? Où à l'informatique plus globalement ?

Bonne journée
Cyrrus