PC Infecté (rootkit?)

[invitef27a16f5]

Bonjour je suis nouveau et je voudrais tout d abord vous dire bonjour et vous remercier pour l aide que vous allez pouvoir m apporter.
J ai ete infecté par un rootkit (avast n a cessé de le detecter sans pouvoir le supprimer), j ai donc installé avira qui me semble plus performant.
J ai trouvé le fichier infecté(nommé:ctsaz, dans :c/windows/system32/drivers)
J ai executer un scan de ce fichier avec malwarebyte, celui ci detecte bien l infection, mais pas en mode sans echec (normal?)
Le symptomes sont des lags assez embetant lorsque je joue.
Y a t i l un moyen de supprimer ce dossier (impossible avec unlocker)?
Merci de bien vouloir accorder un peu de temps à mon probleme^^.
-----

[invitef27a16f5]

Voici le rapport de malwarebyte, en mode "normal".
Si sa peut vous aider?Sinon n hesiter pas à me demander les choses importantes à donner.
Merci

[yoda1234]

Bonjour et bienvenue!

Consulte je te prie la procédure préliminaire du forum.

Reviens ensuite dans ce sujet pour poster en pièces jointes les rapports générés par la procédure.

[invitef27a16f5]

Merci yoda, j ai donc fait la procedure, je poste les 2 resultats.

[A voir en vidéo sur Futura]

[b marlow]

Salut,
Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix


Il est préférable de désactiver le guard d'AntiVir avant de lancer ComboFix

[invitef27a16f5]

Voila marlow, manip faites, je t envoie le log.
Merci de ton aide

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Folder::
c:\documents and settings\Administrateur\Application Data\Search Settings       
c:\documents and settings\Administrateur\Application Data\Dealio 
C:\Documents and Settings\All Users\Application Data\86315427
 
File::
c:\windows\NV3500216.TMP
c:\windows\system32\drivers\ctsaz.sys
c:\documents and settings\NetworkService\Application Data\fvgqad.dat        
c:\documents and settings\LocalService\Application Data\fvgqad.dat       
c:\windows\system32\tmpBE.tmp      
c:\windows\system32\tmpBD.tmp          
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ctsaz]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invitef27a16f5]

Voici le dernier log.
En revanche lors du redemarrage du pc (de combofix) avira a detecté un virus nommé:"C:\WINDOWS\temp\_ex-68.exe".
Je n ai rien fais pour le moment, dois je le deplacer en quarantaine, le supprimer, le renomer, refuser l acces, ou ignorer l action??
Je te remercie de ton aide.

[b marlow]

Choisis supprimer. Télécharge et enregistre TFC ( OldTimer) sur le Bureau

• Fais un double-clic sur TFC.exe pour le lancer.
• L'outil va fermer tous les programmes lors de son exécution, donc vérifier
  

que tout travail en cours est sauvegardé avant de commencer.

• Clique sur le bouton Start pour lancer le processus. Cela peut durer de quelques

secondes à une ou deux minutes. Laisse le programme s'exécuter sans l'interrompre.

• Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, fais
  

redémarrer manuellement l'ordi pour parachever le nettoyage.

Puis fais un scan en ligne Bitdefender avec Internet Explorer
en cliquant sur ce bouton :

Poste le rapport final.

[invitef27a16f5]

Ok je fais le scan, merci, mais la il me semble qu il est bloqué à 13%.
Le scan bitdefender met t il du temps en general?
Peux etre devrais je le relancer?
Merci

[invitef27a16f5]

Bitdefender ne demarre carement plus^^.
Faut t i l desactiver mon anti virus pendant le scan?
Merci

[invitef27a16f5]

J ai fais un scan mais je ne trouve pas le rapport(dsl), comment l obtient t on?
En revanche j ai ete voir dans le dossier ou j avais le fichier infecté, il a disparu, mais probleme j ai decouvert un autre fichier crée a l heure ou j ai utilisé combofix, je pensse que le virus a donc changé de nom,pffff.
Enfin je prefere voir ça avec toi marlow, merci encore pour ton aide^^.

[b marlow]

Supprime le précédent et enregistre ceci en fichier CFScript.txt

Code:

Folder::
C:\Program Files\RegistryDoktor 4.1
C:\Program Files\Search Settings
C:\Documents and Settings\All Users\Application Data\86315427
C:\Program Files\Search Settings
 
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}"=-
[-HKEY_CLASSES_ROOT\CLSID\{0579B4B6-0293-4d73-B02D-5EBB0BA0F0A2}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{E312764E-7706-43F1-8DAB-FCDD2B1E416D}"=-
[-HKEY_CLASSES_ROOT\CLSID\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
[-HKEY_CLASSES_ROOT\CLSID\{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_CLASSES_ROOT\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}"=-
[-HKEY_CLASSES_ROOT\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SearchSettings"=-
"sysgif32"=-
"86315427"=-
"UnlockerAssistant"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
"RegDokFRT"=-
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-

Fais-le glisser sur ComboFix, à la fin poste le nouveau rapport


edit: on fera un autre scan en ligne après

[invitef27a16f5]

Ok je fais sa de suite^^
Merci

[invitef27a16f5]

Voila le nouveau rapport^^

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
c:\windows\system32\drivers\jroutw.sys      
c:\windows\system32\fjhdyfhsn.bat
c:\documents and settings\LocalService\Application Data\fvgqad.dat      
c:\documents and settings\Administrateur\Application Data\Azureus\tmp\AZU49803.tmp 
c:\documents and settings\Administrateur\Menu Démarrer\Programmes\Démarrage\siszyd32.exe
 
Driver::
MEMSWEEP2
jroutw
 
Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\MEMSWEEP2]
[-HKEY_LOCAL_MACHINE\System\ControlSet003\Services\jroutw]

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invitef27a16f5]

Voila le log^^
Encore merci pour ton aide, c est cool

[b marlow]

c'est mieux, tu peux faire le scan Eset.

[invitef27a16f5]

Je suis en train de le faire^^(un peu long^^), 18% mais il a deja un fichier contaminé de trouver(bon ou mauvais??)
Merci en tout cas tu es super sympa, jte poste au plus vite les resultats du scan^^

[invitef27a16f5]

Voila le log scan avec ESET^^
Qu en pensse tu?
Excuse moi mais ne voulant pas faire de fausse manip, que dois je faire une fois le scan fini?
Merci beaucoups

[invitef27a16f5]

Apparament je peux faire "finish", 11 fichiers en quarantaine, j ai ete voir dans system 32 , les fichier infectés n y sont plus^^, sa me parait pas trop mal cette histoire^^.

[invitef27a16f5]

Lorsque je joue je ne lag plus^^, d apres le rapport le pc est desinfecté b murlow?
En tout cas bravo a toi, tu m a ete d une aide tres precieuse, merci beaucoups et je n espere pas avoir besoin de vous revoir de suite
Merci
PSuis je supprimer tous les logiciel instalés??
Merci

[b marlow]

Pour supprimer les logiciels ayant servi à la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.


Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés


@+

[invitef27a16f5]

Voila le rapport de tcleaner.
Ils sont encore sur mon bureau (ce n est que les raccourcis peut etre?)^^
Merci

[b marlow]

que reste-il sur ton Bureau ?

[invitef27a16f5]

ATF Cleaner, TFC et combofix^^

[b marlow]

ToolsCleaner n'a pas pu supprimé ComboFix , par contre il n'a pas pris en charge les deux autres
tu peux les mettre tous dans la corbeille.

[invitef27a16f5]

Ok ok je te remercie b marlow, bonne continuation, ciao, et encore merci^^