Se débarrasser d'un rootkit [Résolu]

Bonjour,

▶ Télécharge Reload_TDSSKiller

▶ Lance le

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis

TDSSKiller va s'ouvrir , clique sur "Start Scan" Clique ici pour l'aide en image

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip
une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

▶ Copie/Colle son contenu dans ta prochaine réponse.

Message d'erreur lors de Initialization à 40% : Can't load driver. En continuant et après le scan, il ne trouve rien "infection not found".
Juste derrière, message habituel d'avast! de son "rootkit trouvé".

Mouarf ça craint tout ça ^^

Nous allons effectuer un diagnostic de ton PC:
▶ Télécharge ZHPDiag

▶ Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

▶ Clique sur l''icône représentant une loupe (« Lancer le diagnostic »)

▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

▶ Rends toi sur pjjoint.malekal.com
▶ Clique sur le bouton Parcourir
▶ Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
▶ Clique sur le bouton Envoyer
▶ Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : http://pjjoint.malekal.com/files.php?id=df5ea299241015) Copie le lien dans ta prochaine réponse.

A bientôt.

J'ai réessayé en désactivant l'antivirus, qui devait bloquer l'application.
Je suis tombé sur TDSS.tdl4, que j'ai Cure et Reboot.

Le rapport de TDSSKiller : http://cjoint.com/data3/3HwoJizH31e.htm
Et celui de ZHP, effectué après le reboot : http://cjoint.com/data3/3HwoNtTntGn.htm

Ah oui, ce satané sandbox d'avast.

Garde avast désactivé tout le long de la désinfection sinon ça va encore merder.

Désinstalle Sophos Anti Rootkit il sert à rien (la preuve avec TDSS.TDL4)

Désinstalle Mac à fric avec ça : http://service.mcafee.com/FAQDocument.aspx?lc=1036&id=TS100507

Tiens moi au courant quand c'est fait.

Avast! désactivé. Sophos et Mc Café ont rejoint les limbes de la matrice.

J'apprécie ton vocabulaire ^^

A priori y'a plus rien sur ton ordi.

Fais quand même un coup de Malwarebytes, un puissant utilitaire généraliste.

▶ Télécharge MBAM et installe le selon l'emplacement par défaut
http://www.malwarebytes.org/mwb-download.php
▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware
▶ Clique dans l'onglet du haut "Recherche"
▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

▶ Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

▶ Clique sur OK puis "Afficher les résultats"
▶ Choisis l'option "Supprimer la sélection"
▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
▶ Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

Ensuite je te filerai quelques conseils pour l'avenir.

Et moi j'apprécie grandement ton aide ^^
TDSSKiller est bien foutu, je ne le connaissais pas.

MBAM n'a rien trouvé en examen complet : http://cjoint.com/data3/3Hwpz06MPtQ.htm

Nickel :)

Bah TDSS Killer ça vient des labos Kaspersky.
MBAM tu peux le garder, il a fait depuis longtemps ses preuves, pas la peine d'en faire plus d'éloges ^^

Procédure d'optimisation/d'entretien/de prévention

▶ Télécharge ici : PureRa (par l''editeur de JavaRa)

▶ Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7)

=> Configuration en vidéo ( merci gen-hackman )

▶ clique sur "Clean"

▶ L''outil va faire son scan puis son nettoyage

▶ à la fin du rapport tu auras une ligne comme ca :

Total space cleaned: 8140878 bytes

▶ transmets juste cette ligne , le reste importe peu

------

▶ télécharge et installe Ccleaner

▶ double-clique sur le fichier pour lancer l''installation

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »

▶ ▶ une fois ouvert tu cliques sur option et puis avancé
▶ tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures "
▶ ▶ cliques sur nettoyeur
▶ cliques sur windows et dans la colonne avancé
▶ coches la première case "vieilles données du perfetch"
▶ cliques sur analyse une fois l''analyse terminé
▶ cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" ▶ ▶ cliques maintenant sur registre et puis sur "rechercher les erreurs "
▶ laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"
▶ il te demande de sauvegarder ==> OUI
▶ tu lui donnes un nom pour pouvoir la retrouver et enregistre
▶ cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK
▶ Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"
▶ tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur windows, sous avancé, tu décoches la première case "vieilles données du perfetch"
▶ tu peux fermer Ccleaner

------

▶ Désactivation, puis Réactivation de la restauration système après désinfection :

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm

------

▶ Mises à jour Windows :

Il est très important de maintenir son système à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ...


▶ Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5


▶ Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat.

-----

▶ Mets à jour Java : http://www.java.com/fr/download/installed.jsp

▶ Désinstaller les anciennes versions de Java :

▶ Télécharge JavaRa.zip

▶ Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)

▶ Double-clique sur le répertoire JavaRa obtenu.

▶ Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)

▶ Clique sur Remove Older Versions.

▶ Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.

▶ Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.

▶ Note : le rapport se trouve aussi là : ( C:\JavaRa.log )

▶ Tu peux fermer l''application

▶ ▶ Met à jour les logiciels Adobe :

▶ Reader : http://get.adobe.com/fr/reader/

▶ Flash Player: http://get.adobe.com/fr/flashplayer/

-----

▶ ▶ pour supprimer les outils de désinfection :

▶ Télécharge Delfix sur ton bureau :

▶ Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message
▶ ▶ Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.

------

Tu peux garder Malwarebytes pour un scan de temps à autres

-----

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web
Et celui ci, sur les logiciels gratuits à éviter

------

Si tu utilise FireFox, vérifie que tes plug in sont à jour : http://www.mozilla.com/en-US/plugincheck/

-----

▶ ▶ Pense à marquer le fil comme résolu

------

Si tu as d''autres questions, je t''écoute avec plaisir :)
On se quitte si le rapport DelFix est ok...

@+

PureRa : fait.
Ccleaner : fait.
Restauration système : fait.
Delfix : fait.

Java, Adobe et Flash vont suivre.

Delfix : http://cjoint.com/data3/3Hwp4Ys73Wk.htm
Pour MBAM j'ai l'habitude de l'utiliser régulièrement, merci.

Merci beaucoup pour ton aide. Un reboot pour la forme. On verra si ça replante ou pas (la dernière fois il a attendu que j'ai tout réinstallé pour agir ce salopiaud).

Normal il est hors d'état de nuire, TDSS Killer l'a envoyé "dans les limbes de la matrice" (je vais essayer de retenir cette phrase, j'ai bien rigolé en la lisant tout à l'heure ^^)