Rootkit: C:\Windows\system32\drivers\re dbook.sys

[invite7b0b6187]

Bonjour à tous,

Constatant que mon PC n'a plus de son et après vérification de tous les branchements et divers manipulations visant à corriger ce problème, je décide de faire un scan via Avast et il m'indique qu'un fichier est infecté par un rootkit (nom du fichier en intitulé). J'essai de le mettre en quarantaine puis de le supprimer mais cela m'indique "Action décalée jusqu'au prochain démarrage". Je redémarre donc et fais un scan au démarrage et là aucun virus détecté mais toujours pas de son... :/ Et un PC trèèèès lent!

Je poursuis donc mes investigations et télécharge GMER. Scan, et là rien, pas de ligne rouge...
Je poursuis avec Malwarebytes, je télécharge et lors de l'éxécution rien ne se passe, le logiciel ne se lance pas (j'ai essayé de le réinstaller mais toujours rien).

Je suis finalement tombé sur votre site et est scrupuleusement suivie la procédure indiquée, je poste donc les 2 rapports ne espérant que quelqu'un pourra m'aider.

Merci d'avance.
-----

[invite4c6c2965]

Salut,
Ton ordi présente, au moins, une infection avec détournement de DNS.
Ouvre le poste de travail, vas dans le dossier C:\Program Files\Malwarebytes' Anti-Malware:
clic-droit sur mbam.exe > "renommer" et renomme-le JayCutler.com (réponds oui au message d'avertissement).
Double-clique sur ce JayCutler.com, si l'application se lance, effectue un Scan complet, poste le
rapport final, celui qui apparaitra après avoir cliqué sur "Supprimer la sélection".


Fais la mise à jour de MBAM avant le scan.

[invite7b0b6187]

Merci beaucoup b marlow pour votre rapidité de réponse et vos judicieux conseils!

J'ai suivi à la lettre votre démarche et ça a fonctionné.

Voici donc le rapport final après suppression des éléments sélectionnés.

Par ailleurs, Spybot (que j'avais désactivé ainsi qu'Avast durant le scan complet) me demande au redémarrage d'autoriser certaines modifications. Dois-je accepter?

Merci encore

[invite4c6c2965]

suite aux modifications c'est normal que Spybot veuille enregistrer. accepte.
relance RSIT puis poste le nouveau rapport log.txt

[A voir en vidéo sur Futura]

[invite7b0b6187]

Le voici! (par contre je précise que je n'ai toujours pas de son sur mon pc...)

[invite4c6c2965]

cherche ce programme C:\Program Files\trend micro\Administrateur.exe
double clique dessus, clique sur Do a system scan only
coche ces lignes, ferme les fenetres actives puis clique sur Fixchecked:

Code:

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)  
O4 - HKLM\..\Run: [LVCOMSX] C:\Windows\System32\LVCOMSX.EXE 
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Windows\system32\NeroCheck.exe   
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime   
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe    
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"    
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"    
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKCU\..\Run: [CTFMON.EXE] C:\Windows\system32\ctfmon.exe   
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe 
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')    
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')     
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM')     
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user')    
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Program Files\OpenOffice.org 2.0\program\quickstart.exe    
O16 - DPF: {2472DCCC-68CE-49DA-AA81-E7E6D83C1DFA} - http://acces.blonde.com/package/op/PackageHtmlCab.CAB   
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 93.188.163.182,93.188.166.182

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Désactive ton antivirus.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite7b0b6187]

Alors, j'ai suivi scrupuleusement vos instructions, tout s'est bien passé jusqu'au lancement de Combofix.

Je l'ai téléchargé via votre lien, enregistré sur le bureau, désactivé l'antivirus et au moment où j'ai double cliqué, rien... J'ai alors réessayé en le renommant et là une barre de téléchargement est apparue, est allée à son terme et... rien!

[invite4c6c2965]

démarrer/executer/tapes combofix /uninstall puis valide par Entrée.
désactives l'antivirus, etc, puis télécharge à nouveau combofix, passe en mode sans échec
et essaye à nouveau en ce mode.

[invite7b0b6187]

Ça n'a pas été facile et j'ai eu qq petites difficultés mais j'y suis finalement arrivé! Voici le rapport de ComboFix. Tout à l'air de fonctionner normalement maintenant

Merci encore!!

[invite4c6c2965]

Fais un scan en ligne >< coche toutes les cases qui se présenteront à la fin poste
le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invite7b0b6187]

Voici le rapport d'Eset:

[invite4c6c2965]

Ceci va supprimer les outils ayant servi à la procédure:
Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista/Seven l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[invite7b0b6187]

Voici le rapport de Tools Cleaner:

[invite4c6c2965]

supprime le dossier C:\qoobox

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P

Avoir une image disque pour faire un backup en cas de crash ou autres gros soucis

Bon surf & @+