rootkit: hidden file windows/system32/driver/Résolu/Fermé

Question

Bonjour, 
et bravo pour le site et merci à tous les contributeurs

Windows XP / Firefox 9.0.1 x86 fr
Bonjour
Une petite présentation........d'abord,
J'utilise un pc pour mon « plaisir », un peu de navigation,  publisher,  photoshop  et puis excel ,  word et power point pour le milieu associatif, je ne pratique pas le téléchargement.
Wind.... XP est installé sur un portable « asus » de 2007, j'ai abandonné avast  pour aller chez norton, puis délaissé  norton pour revenir chez avast payant(licence avril 2012).
Aux environs de fin décembre, après un de ces fameux scan,  avast a détecté deux fichier infectés, l'un d'eux mis en quarantaine ss pb, et l'autre un ROOTKIT : hidden file, logé dans « system 32 driver isapns.sys »  qui ne veut plus me lâcher !
Je suis intervenu auprès d'Avast,  à qui j'ai envoyé le-dit fichier, et voici la réponse qui m'est adressée : 
« « « Monsieur,
le fichier meme est sain. Mais il se peut qu'un malware s'accroche au processus a son lancement, c.a.d. n'est detectable que quand le processus est actif. Mais comme avast! ne detecte rien de speciallement malveillant, vous informe sur un risque seulement a cause de comportement de ce processus (qui est cache, comme le font les "rootkit"), il est aussi bien possible qu'il n'y a rien de malveillant, qu'il s'agit seulement d'un comportement non standard du a un parametreage ou similaire.
D .P. equipe de support avast! » » »
Très bien,  mais ils ne solutionnent rien pour désinfecter le fichier ; alors je ne vois pas comment me sortir de cette situation, sinon de ré-intervenir auprès d'eux, je reste  sceptique, puisqu'ils n'ont pas été en mesure d'emblée de régler mon pb.
Je viens de lire qq articles qui me font froid dans le dos !!
Qq'un d'entre vous peut il me donner  une assistance pour me sortir de là?
Merci de tout coeur et bien cordialement 
micheljan

anthony5151 · Answer

Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser cet outil spécifique à certains rootkits :

¶ Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
¶ Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
¶ Clique sur Start Scan pour démarrer l'analyse.
¶ Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.
¶ Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
¶ Un rapport s'ouvrira au redémarrage de l'ordinateur.
¶ Copie/colle son contenu dans ta prochaine réponse (il se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt)


Puis utilise ce logiciel de diagnostic :

- Télécharge ZHPDiag (de Nicolas Coolman)
- Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
- Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
- Il se lancera automatiquement à la fin de l'installation
- Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
- Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
- Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

micheljan · Answer

bonsoir Anthony
les éléments étaient ils exploitables?
bien cordialement

anthony5151 · Answer

Bonsoir,

Apparemment, ton message précédent n'est pas passé... Je vais demander à un modérateur de le restaurer, puis je vais aller dormir. Je te répondrai donc demain (rappelle le moi si j'oublie)

micheljan · Answer

bonjour

voici le lien
il est vrai que dans ma précipitation, je n'avais pas lu l'instruction donnée jusu'au bout

bien cordialement

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120203_e5p11i1110s11

anthony5151 · Answer

Tu es sûr de ne pas avoir eu d'autre rapport pour TDSSKiller ? Est-ce qu'il ne t'a pas proposé l'option "Cure" pour désinfecter ?

Peux-tu le relancer et poster à nouveau le rapport stp ? (en l'hébergeant comme tu l'as fait pour le rapport ZHPDiag).

micheljan · Answer

bonsoir,

je viens de relancer tdsKIller , je n'ai qu'une option, celle de démarrer le scan, la réponse est "no threats found" et je ne sais pas où peux aller se loger le nouveau rapport de scan;lorsque je clic sur le détail examiné (218 objets) et que je demande le détails, la réponse est OK pour tous, je pense que ce sont des ""drivers""  ,j'y vois notamment le ""isapnp""

lorsque je tente de joindre le fichier d'origine via malékal, voici la réponse, 

""Les fichiers avec l'extension .ini      ne peuvent pas être uploadés !"", 
 je ne sais pas comment faire pour les envoyer;

ils sont sur C: dans un répertoire principal ""TDSSKiller_quarantine"", les . ini quant à eux, se trouvant dans rtkt0000,   svc0000 et    tdlfs0000.

je pense avoir correctement suivi tes instructions de départ, je ne me souviens pas si ""cure"" était bien coché au départ;

micheljan · Answer

En fait ça marche avec le copier coller 

https://pjjoint.malekal.com/files.php?id=20120204_k13d15u11t8y11

merci et bien cordialement

anthony5151 · Answer

Les barres d'outils sont inutiles, elles ralentissent le navigateur et peuvent le rendre instable : je te conseille de les désinstaller. Pour ça, ouvre le menu démarrer --> panneau de configuration --> Ajout/suppression de programmes --> Sélectionne "PDFCreator Toolbar" et désinstalle le.


Ensuite :

Attention : Le logiciel qui suit peut faire des dégâts en cas de mauvaise utilisation ! Désactive tous tes logiciels de protection avant de l'utiliser.

¶ Télécharge ComboFix (de sUBs) sur ton Bureau.
¶ Double-clique sur ComboFix.exe afin de le lancer.
¶ Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
¶ Ne touche à rien pendant le scan.
¶ Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Tutoriel officiel de Combofix : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

micheljan · Answer

bonjour Anthony
j'ai désinstallé les  barres d'outils et fait le scan avec combofix
voici le rapport

https://pjjoint.malekal.com/files.php?id=20120205_b8v12k8x13x11

bien cdt

anthony5151 · Answer

OK. Utilise ce logiciel de désinfection généraliste :

¶ Télécharge et installe Malwarebytes' Anti-Malware
¶ A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
¶ Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
¶ Puis va dans l'onglet "Recherche", coche "Exécuter un examen rapide" puis "Rechercher"
¶ A la fin de l'analyse, clique sur Afficher les résultats
¶ Coche tous les éléments  détectés puis clique sur Supprimer la sélection
¶ Enregistre le rapport
¶ S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
¶ Poste dans ta prochaine réponse le rapport apparaissant après la suppression


Ensuite, fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag s'il te plait.

micheljan · Answer

bonsoir Anthony  
voici le lien
https://pjjoint.malekal.com/files.php?id=20120206_w10g15h5t14l15

j'ai vu qu'à la précédente étape de nombreux fichiers  "found" avaient été créés
bien cordialement

micheljan · Answer

RE.
je viens de redémarrer , et comment j'obtiens le nouveau rapport de ZHPdiag?
je relance un diag "avec la loupe"?
merci pour ta réponse

micheljan · Answer

le voici
j'ai renommé en "2"
je ne sais pas si c'est bien utile

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120206_g5m8u7n15s14

anthony5151 · Answer

Ce script va cibler certains éléments à supprimer :

¶ Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
¶ Lance ZHPFix à partir du raccourci sur ton Bureau
¶ Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
¶ Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
¶ Clique sur le bouton « GO » pour lancer le nettoyage,
¶ Copie/colle la totalité du rapport dans ta prochaine réponse


Fais redémarrer ton ordinateur et poste un nouveau rapport ZHPDiag (pense à l'héberger sur pjjoint, comme le précédent). Dis moi aussi si Avast détecte encore le rootkit (normalement ce n'est plus le cas).

micheljan · Answer

voici
Rapport de ZHPFix 1.12.3379 par Nicolas Coolman, Update du 22/01/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-06-02-2012-23-19-58.txt
Run by janimi at 06/02/2012 23:19:58
Windows XP Home Edition Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\pdfforge.org
SUPPRIME Key: HKLM\Software\pdfforge.org
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
ABSENT Key: HKCU\Software\pdfforge.org
ABSENT Key: HKLM\Software\pdfforge.org
SUPPRIME Key: Service: isapnp
SUPPRIME Key: SearchScopes :{31CF9EBE-5755-4a1d-AC25-2834D952D9B4}
SUPPRIME Key: Service: CLTNetCnService
SUPPRIME Key: HKCU\Software\Norton
SUPPRIME Key: HKCU\Software\Symantec
SUPPRIME Key: HKLM\Software\Norton
SUPPRIME Key: HKLM\Software\Symantec
SUPPRIME Key: Service Legacy: LEGACY_CLTNETCNSERVICE
ABSENT Key: Service: CLTNetCnService

========== Valeur(s) du Registre ==========
SUPPRIME IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
ABSENT IFC: [FEATURE_BROWSER_EMULATION] svchost.exe
SUPPRIME FirewallRaz (DP) : C:\Program Files\Lexmark 1400 Series\app4r.exe
Aucune valeur présente dans la clé d'exception du registre (FirewallRaz)

========== Elément(s) de donnée du Registre ==========
REMPLACE Value AntiVirusOverride :   Good (0) - Bad (1)

micheljan · Answer

Anthony bonjour

je suis sur un vieux pc sans protection, avast étant expiré

je n'ai plus accès à mon clavier sur l'autre PC, je veux dire , il n'est plus actif depuis la dernière manip
merci pour ton aide

anthony5151 · Answer

Ah :\  J'ai peut-être fait une erreur dans le script, je voudrais vérifier quelque chose : clique sur le Menu démarrer --> poste de travail --> Disque C --> ZHP --> envoie moi le contenu du fichier ZHPExportRegistry-06-02-2012

micheljan · Answer

https://pjjoint.malekal.com/files.php?id=20120207_u11g7j5h14f14

anthony5151 · Answer

Télécharge ce fichier sur ton Bureau --> Lance le --> Accepte la modification du Registre.

Ensuite, fais redémarrer ton ordinateur et dis moi si ton problème de clavier est réglé ?

micheljan · Answer

bonsoir Anthony
merci encore pour tout ce temps que tu passes

j'ai  récupéré le clavier

je t'adresse le dernier zhp diag fait hier soir; ce matin j'ai fait 1 scan minutieux avec avast , il a trouvé 4 fichiers infectés, puis dans la foulée un scan au démarrage  pour compléter le processus puis plus rien. 


https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120207_l6s11u7z6u6
 et le lien montrant les fichiers infectés

https://pjjoint.malekal.com/files.php?id=20120207_f11n11c14y14w8

anthony5151 · Answer

Tant mieux pour ton clavier :)  C'était donc bien une erreur de ma part, désolé.

Concernant les 4 détections d'Avast, ne t'inquiète pas : 3 correspondent à des éléments situés dans la quarantaine de TDSSKiller, la 4ème correspond à un point de restauration (ce n'était donc pas un élément actif). Ton ordinateur n'est donc plus infecté :) 
Voici les conseils de finition :


1) Sécurise ton ordinateur 

* Logiciels de protection : 
Garde un antivirus (Avast dans ton cas, en faisant absolument ce réglage) et en complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps. Ni plus, ni moins.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur Firefox. Une fois que c'est fait, lance le et installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* Si tu préfères utiliser Google Chrome, il existe des extensions équivalentes : 
- WOT 
- AdBlock 

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Adobe Reader n'est pas à jour, c'est une faille de sécurité. Désinstalle le en allant dans menu démarrer --> panneau de configuration --> ajout/suppression de programmes. Puis télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle toutes les versions de Adobe Flash Player. Ensuite, télécharge et installe la nouvelle version (tu peux décocher le programme qui est proposé en option lors du téléchargement).

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce programme : Secunia PSI.

* Vaccine tes disques amovibles à l'aide de MKV (de ElDesaparecido et C_XX) : il suffit de brancher tous tes disques amovibles (clé USB, disque dur externe, lecteur mp3, cartes mémoire...) sans les ouvrir, puis de lancer MKV et cliquer sur "Vacciner".



2) Optimisation : 

* Ton disque dur a l'air d'être presque rempli (seulement 9% d'espace libre). Si tu le peux, désinstalle des programmes que tu n'utilises pas, supprime ou sauvegarde sur un support externe certains documents volumineux (musiques, vidéos, photos...)

* Télécharge Ccleaner. Installe le et lance le. Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

* Pour limiter le nombre de programmes qui se lancent automatiquement au démarrage : toujours dans CCleaner, clique sur Outils --> Démarrage --> Sélectionne les lignes suivantes et clique sur "Désactiver" : Adobe Reader Speed Launcher / Adobe ARM / NvCplDaemon / nwiz / RemoteControl / RTHDCPL / SMSERIAL / NeroFilterCheck / CanonMyPrinter / CanonSolutionMenuEx / ctfmon.exe

* Télécharge ce fichier --> lance le --> accepte la modification du Registre.

* Télécharge Defraggler. Installe le puis lance le. Ferme tous tes autres programmes, sélectionne ton disque dur et clique sur "Défragmentation rapide".



3) Il faut supprimer tous les outils que nous avons utilisés : Télécharge DelFix (de Xplode) sur ton Bureau --> Lance le et clique sur Suppression --> quand il aura terminé, clique sur Désinstallation.
Si certains éléments ne sont pas supprimés par DelFix, tu peux les supprimer manuellement.



4) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel.



5) Prévention : Je te conseille vivement de lire cet article qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet



6) Précautions Pour finir, je t'invite à changer tous tes mots de passe importants (banque, ebay, paypal...), car certaines infections les récupèrent... De même, fais régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...) 
Ici, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre. 




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)

micheljan · Answer

Bonjour Anthony,

je fais du rangement pour mettre des applis sur un hdd,

tt m'a l'air nickel ,il y a une fenêtre qui s'ouvre très brièvement à la mise en route,

http://pjjoint.malekal.com/files.php?id=20120210_p7f11i6w12e7
qui n'existait pas avant, me semble -t il, ceci dit ça ne me gêne pas; 

je peux ss pb éliminer les fichiers "found..." j'ai cru comprendre que c'était des morceaux de fichiers récupérés...

j'ai lu les textes sur la prévention et la sécurité, ce n'est pas inutile!! 
Encore merci pour tout ce travail que vous faites, qui est je suppose du véritable bénévolat, et à point d'heure, comme j'ai pu le constater, 
et au fait sur quel site sécurisé verser une participation??

je vais de ce pas, faire constater à avast que mon pc est désinfecté

anthony5151 · Answer

L'écran que tu obtiens au démarrage de l'ordinateur est normal, ça correspond à la console de récupération qui a été installée par Combofix. Cet écran ne reste normalement que 2 secondes, mais il sera bien utile en cas de problème dans le futur.

Mon "travail" sur ce forum est effectivement totalement bénévole ;)
Par contre, je ne suis pas sûr d'avoir bien compris ta dernière question ?

micheljan · Answer

je te demandais si tu/ vous acceptiez une participation, une sorte "d'adhésion" pour votre bénévolence?, si oui sur quel site sécurisé?
merci
et bien cordialement
michel

micheljan · Answer

http://pjjoint.malekal.com/files.php?id=20120213_e11j12f6n11q11

micheljan · Answer

bonjour Anthony, 
j'ai encore qq petits soucis

le message de 17:48  est parti plus vite que prévu

tu vois que toutes les données chiffrées sont empilées sur la gauche de l'image; sur le lien ci dessous, "image tronquée 2" tu vois qu'il y a toute une partie noire sur la droite de l'écran.
Ce matin l'écran est devenu tout noir, le disque dur semblait ne pas travaillé, seul le ventilateur était en route.
j'ai fait "un redémarrer" et c'est reparti, jusqu'à ce que............
J'ai vu que sweetim et sweetpacks s'étaient installés à "mon insu" je les ai supprimés à l'instant, car j'ai vu sur CCM que c'était néfaste;  est ce qu'il y avait une relation de cause à effets? ou y a t il une autre raison?
 merci d'avance pour ta réponse
bien cdt


http://pjjoint.malekal.com/files.php?id=20120213_e9x13s15r13t8

micheljan · Answer

RE...........
je ne me suis pas complètement débarrasser de sweet à priori , car il prend le "relais" de google dans les recherches

anthony5151 · Answer

Pour l'affichage de la météo, ça venait du site de météo france, ça doit être réglé ;)
Pour ton écran, rappelle moi si tu utilises un ordinateur fixe ou portable ?

Pour SweetIM, utilise AdwCleaner.

micheljan · Answer

re

sweet est éliminé,  (j'essayais de faire avec C cleaner) la carte météo est ok,  j'ai un portable asus A 6J de 2007
merci

micheljan · Answer

re

ok tout va bien
 vous êtes vraiment des "supers pros"
merci

Rootkit: hidden file windows/system32/driver/

30 réponses

Discussions similaires

Newsletters