Récupérer les données d'un pc infecté par 1 rootkit

[invite5103594b]

Bonjour à tous,

Ca fait un petit moment qu'au démarrage, mon AVIRA Antivir ne se met plus en marche (il m'indique que l'Antivir Guard est INCONNU!)

Du coup, j'ai installé AVAST qui m'a détecté un Rootkit !

Je comptais changer de PC, mais j'aimerais récupérer mes données personnelles comme photos, mp3, textes etc.

Est ce important que je désinfecte avant et si oui, comment ?

Quel est le risque pour ces données personnelles ?

Est ce que changer de PC résoudra le problème ?

Je vous remercie d'avance pour votre attention.
-----

[invite4c6c2965]

Salut,
Tu peux désinfecter cet ordi pour être sur des fichiers que tu voudras récupérer.
Applique la procédure décrite dans ce sujet , à la fin poste les rapports.

[invite5103594b]

Voilà, j'ai suivi la procédure.

Voici les rapports !

[invite4c6c2965]

Ce qui est étonnant c'est que tu parviennes à te servir encore de ta machine
avec tous les antivirus qu'il y a dessus. Pas moins de trois, elle doit ramer comme
ce n'est pas permis.
Désinstalle deux des trois antivirus qu'il y a : Norton, Avast, AntiVir. (Perso je garderais AntiVir)

Ensuite télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[-HKEY_CLASSES_ROOT\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"=-
[-HKEY_CLASSES_ROOT\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ISUSPM Startup"=-
"ISUSScheduler"=-
"iTunesHelper"=-
"nwiz"=-
"AlcxMonitor"=-
"IndexSearch"=-
"OneTouch Monitor"=-
"RemoteControl"=-
"QuickTime Task"=-
"Adobe Reader Speed Launcher"=-
"ctfmon.exe"=-
"incognito"=-
"Windows Date Serivces"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"=-
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
 
 
:Files
C:\WINDOWS\system32\incognito.exe 
C:\WINDOWS\msnmsgrs.exe 
C:\Documents and Settings\Tùng\Application Data\kksw.exe       
C:\Documents and Settings\Tùng\Application Data\kvmm.exe   
    
:Services
uwtcqkod
aaz6obtf
mfxnt
 
:Commands
[purity]
[emptytemp]
[Reboot]

Retourne dans la fenêtre de OTM, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)


Enfin télécharge et installe Malwarebytes' Anti-Malware
Fait un scan rapide,coche puis clique sur Supprimer la sélection
Accepte le reboot de l'ordi pour le nettoyage, puis poste le rapport final.

Aide en images.

[A voir en vidéo sur Futura]

[invite5103594b]

Merci de ton soutien.

Voilà les deux rapports en résultant.

[invite5103594b]

Merci de ton soutien.

Voici les deux rapports !

[invite4c6c2965]

Qu'en est-il de la désinstallation des 2 antivirus en trop ?

Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images



Ensuite poste un nouveau rapport log.txt avec le programme RSIT qui t'a servi en tout début de procédure.
Pour l'instant cela présente plus que bien.

[invite5103594b]

Hier, j'ai lancé l'ESET qui a duré environ 4 heures et comme un boulet, j'ai enlevé l'application sans isoler le log...

Il avait détecté 4 Inject.NDA.Trojan qu'il a mis en quarantaine et supprimé.

J'ai refait un ESET ce matin (et encore 4 heures...) et il n'a rien détecté.

Je poste ça là avec le rapport RSIT.

Je suis content si tu le sens bien ça me rassure...

[invite5103594b]

Ah oui, j'ai désinstallé Norton et Antivir ( car Avast est encore actif et Antivir parapluie ne s'ouvrait plus )

Actuellement, j'ai l'impression que la navigation est plus fluide.

[invite4c6c2965]

Norton antivirus est encore présent dans les logs, que ce soit dans les processus actifs que
dans les entrées de registre, au démarrage etc...

[invite5103594b]

C'est curieux...

Je dois retirer le Security Center et le Firewall de Norton aussi ?

[invite4c6c2965]

Norton s'incruste partout, gourmand en beaucoup de ressources, pas mieux pour ralentir une machine.
Perso je te conseillerais de supprimer tout ca, des pare-feux performants et gratuits il y en a plein.
celui-ci est très bien considéré http://b.marlow.free.fr/online_armor_.html

Idem pour Spybot et avg antispy, ils font double emploi en temps réel. Surtout que la version
de avg est caduque, elle n'est plus mise à jour. à supprimer sans regrets. Garde spybot.

[invite5103594b]

Voilà, j'ai suivi ton conseil.

Que devrais je faire à présent ?

Mon PC est il sain ? Puis je transférer toutes mes données personnels sur un autre PC sans risque ?

[invite4c6c2965]

Ensuite CCleaner>options>avancé>décoch e:
Effacer uniquement les fichiers datant de plus 24h
retour à Nettoyeur>lancer le nettoyage>ok. 2 à 3 fois.
coche toutes les cases de l'onglet Registre>Chercher les erreurs>Réparer les erreurs.
ensuite tu peux le remettre avec ses paramètres par défaut.
Tuto en images.

Puis on pourra supprimer les outils qui nous ont servi à la procédure:

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

Oui tu peux transférer tes données en sécurité.

[invite5103594b]

Voilà le rapport de Tcleaner.

Merci beaucoup pour ton aide !

Il me reste toutefois quelques questions :

- Est ce que le rootkit est éradiqué ?

- Sachant que je veux transférer mes données de cette unité centrale vers une nouvelle pourvue de Windows 7, me conseilles tu d'établir un réseau entre les deux unités centrales ou d'utiliser un disque dur externe ?

- Sachant que je viens de désinfecter mon pc, est il possible qu'il y ait eu infections de toutes clés usb ou disque dur externe en rapport avec ce dernier ? Faut il tout re-désinfecter avant ?

[invite4c6c2965]

je ne suis pas trop pour les réseaux quand les particuliers ne dominent pas les problèmes de sécurité.
Perso j'ai 2 PC et 2 Portables chez moi, tous connectés via la même Box mais indépendants les uns des autres.
Par contre pour faire les sauvegardes j'utilise un DD externe de 1To.

Pour les infections par USB tu peux par précaution passer ceci dans chaque ordi avec tous les disques
amovibles connectés (clés USB, DD externe etc)

Code:

Télécharge et installe >UsbFix< de C_XX & El Desaparecido
 
Branche tes sources de données externes à ton PC : clé USB, 
disque dur externe,etc susceptible d'avoir été infectés mais sans les ouvrir
 
 - Double clique sur le raccourci UsbFix présent sur ton bureau .
- Choisis l'option 2 ( Suppression )
- Ton bureau va disparaitre et le pc redémarrera,c'est normal.
-  Au redémarrage ,UsbFix scannera ton pc,laisse-le travailler.
 - Le rapport UsbFix.txt est en outre sauvegardé a la racine du disque.( C:\UsbFix.txt )
 
Note : "Process.exe", un composant de l'outil,est détecté par certains antivirus :
(AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.

Après utilisation désinstaller UsbFix et supprimer le dossier crée en racine de C


Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

[invite5103594b]

Ok j'ai utilisé USB fix et je suis en train de le désinstaller.

En revanche je lance un AVAST et je vois 63 fichiers infectés !

Que des WORMS et des TROJANS !!!

Je les supprime !

[invite5103594b]

Que s'est il passé ?

J'ai procédé à l'USB fix sur un disque dur externe et deux clés USB.

[invite4c6c2965]

poste le rapport de scan avast.

[invite5103594b]

ah j'ai remarqué qu'Avast et Armor avaient été désactivés après USB fix !

[invite5103594b]

Je n'arrive pas à extraire le rapport de scan d'Avast. ou plutot, je ne sais pas comment faire.

[invite4c6c2965]

je n'utilise pas cet "antivirus" mais regarde dans C:\Program Files\Alwil Software\Avast\DATA\report
si tu trouves le rapport de scan. tu fais clic-droit dessus<ouvrir.

[invite5103594b]

Comme c'est une version de démonstration, je n'ai pas de rapports.

Après suppression de toutes ces menaces, j'ai refait un scan et elles ont apparemment disparu. Elles se trouvaient toutes au meme endroit.

J'ai redémarré et là, je refais un scan.

[invite4c6c2965]

Après suppression de toutes ces menaces, j'ai refait un scan et elles ont apparemment disparu. Elles se trouvaient toutes au meme endroit.

C'est ce que je voulais savoir justement, quel endroit ? c'était quoi le chemin ?

[invite5103594b]

C:\System Volume Information\_restore{D7AEF27E-251E-434F-8471-67CC925E0801}\RP411\A012....ex e

Parmi les menaces, il y avait :

Win32 VB-OSK [Drp], Win 32 Inject-XW [Trj], Win32 Pushbot [Wrm], Win 32 Flot [Trj]

Le 2e scan vient de s'achever et il ne détecte plus rien. J'attends ton avis.

[invite4c6c2965]

Tu me rassures, c'est juste la restauration du systeme. il n'y a pas de problèmes.

[invite5103594b]

Voilà, il ne détecte plus rien donc je pense que ça va !

Je te remercie de tout coeur pour ton aide, ta patience et tes compétences !

Je vais me servir de mon disque dur externe de 120 Gb pour transférer.

J'aurai préféré établir un réseau mais bon vu le risque je ne m'y risquerais pas.

[invite4c6c2965]

Il n'est pas interdit de faire un réseau, si tu tu maintiens ton systeme à jour,
tes antivirus à jour, ca ne pose pas de problèmes.

[invite5103594b]

Comme nous venons de désinfecter ce pc, je ne pense pas que ça posera de problême.

Ici, il y a Avast, Spybot et Armor, de l'autre côté, je vais mettre Antivir, Spybot et Armor.

Il me reste juste à voir comment configurer un réseau entre deux UC xp et windows 7.

[invite5103594b]

Voilà, en fait, j'aimerais connaitre les modalités de sécurité avant d'établir un réseau entre le pc qu'on vient de désinfecter et un tout neuf.