Sujet Précédent Sujet Suivant

Fiasco suite à un rootkit balaise (driver caché Prohlp02.sys)

Fermé
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014 - Modifié par alibabs le 22/09/2014 à 03:21
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014 - 25 sept. 2014 à 20:27
Bonjour,

Je me prends la tête depuis hier pour virer un rootkit qui m'avait saboté mes paramètres réseau. Des menus disparaissaient etc. Plus d'internet, j'ai tenté de réinstaller le pilote de la carte réseau sans fil, mais tout ceci était en fait empêché par un processus malveillant. N'étant pas un grand spécialiste je me suis mis à rechercher sur le net, et à utiliser des logiciels comme GMER, adwcleaner, combofix, OTL, RootRepeal... j'arrivais à détecter des processus que je "killais" avec GMER mais ils réapparaissaient avec les infos toujours cachées. Des objects cachés aussi (drivers). Je regardais bien les PID etc... et j'ai trouvé un driver caché "Prohlp02.sys". En recherchant à nouveau sur le net j'ai lu que ce processus pouvait être dangereux et dans mon cas il l'était. Bref j'ai "killé" le driver comme un con et là c'est la merde, mon pc après redémarrage n'arrive plus à Windows, il "charge les fichiers" , n'y arrive pas, me lance l'outil de réparation qui n'y arrive pas non plus. Y'a-t-il une âme charitable qui va pouvoir m'aider ?
A voir également:

10 réponses

Réponse 1 / 10
Amar
Modifié par Amar le 22/09/2014 à 07:23
Salut,


Prohlp02.sys c'est Starforce...

Redémarre en mode sans échec pour voir, et essaye de le virer.
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
22 sept. 2014 à 08:34
Salut amar et merci de me répondre. Mode sans échec c'est mort il me fait pareil. Restauration système j'ai fait aussi...
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014 > alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
22 sept. 2014 à 08:39
Starforce c'est grave ? C'est connu ?
0
Réponse 2 / 10
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
22 sept. 2014 à 07:23
Hello,


As-tu essayé une Restauration système ?

Oui, je sais tu vas récupérer tout ce que tu as viré et qui était nuisible, mais c'est mieux que rien non ?

A+
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
22 sept. 2014 à 08:38
Salut ! Oui j'ai ressayé mais rien n'y fait.
0
Réponse 3 / 10
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
22 sept. 2014 à 08:44
Re,



Et avec un CD live ?
0
Amar
Modifié par Amar le 22/09/2014 à 08:59
Ou réinstalle d'usine si PC de marque, une touche à pianoter dès le démarrage, à trouver selon la marque (HP, Dell etc...)..
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
22 sept. 2014 à 08:57
Re, cd live c'est le disque Windows je suppose ? Je n'ai eu aucun cd à l'achat de mon PC à l'époque. Tout est dans le disque dur en mode restauration usine. Je suis sur Windows Vista pack 1
0
Amar
22 sept. 2014 à 09:00
Quelle marque le PC?
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014 > Amar
22 sept. 2014 à 09:02
Je me suis renseigné c'est la touche F11 (packard bell). Mais j'ai des trucs super importants à récupérer d'abord. Mais j'ai eu peur de copier le rootkit en même temps que les données enfin je savais pas trop.
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014 > Amar
22 sept. 2014 à 09:03
Packard Bell
0
Réponse 4 / 10
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
22 sept. 2014 à 17:06
alibabs,


Voici un article et un lien de téléchargement d'un CD live qui te permet de démarrer sur un CD ou une clé USB.

A partir de là tu peux accéder à tes fichiers perso et les sauvegarder.

Note que sur CD tu as RogueKiller que tu peux lancer et qui sait "virer" certains RootKits.


Bien sur il faut que ton BIOS soit configuré pour booter d'abord sur le CD ou la clé USB.

A+
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
22 sept. 2014 à 20:44
Merci Cabrier, par contre je ne vois pas de lien c'est peut-être à cause de mon phone ou bien j'suis miro... Sinon y'a du nouveau j'ai réussi à négocier une tour dans laquelle j'ai placé mon disque dur en esclave pour copier mes données. Est ce que si je m'en sert aussi pour nettoyer le rootkit (qui logiquement devrait être plus facile à détecter puisque inactif) j'aurais des chances que mon Windows remarche comme avant ? Merci de ta réponse
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
cabrier Messages postés 5588 Date d'inscription dimanche 7 août 2011 Statut Contributeur sécurité Dernière intervention 27 octobre 2020 702
22 sept. 2014 à 20:51
alibabs,


Autant pour moi, j'ai oublié le lien !!!

Oui tu peux essayer de nettoyer ce RootKit avec GMER.

Essaie aussi RogueKiller :

Télécharge sur le bureau Roguekiller (by tigzy)
Choisis la version correspondant à ta machine (x64 si 64 bits)

Je te laisse faire la suite, tu as l'air d'en connaitre un rayon !



A+
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
22 sept. 2014 à 21:18
Ça marche j'te tiens au jus ainsi que les lecteurs que ça intéressera...
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
24 sept. 2014 à 15:38
Rebonjour, alors j'ai réussi à nettoyer une partie du rootkit en mettant mon disque dur en esclave, en fouillant manuellement dans les drivers etc... Et beaucoup de lecture et de patience. À ma grande surprise j'ai réussi à redémarrer mon disque dur et mon système ! Mais en mode sans échec seulement car le mode normal m'affiche un message comme quoi mon Windows a été modifié et que ça restreint les droits ou je ne sais plus quoi. Dans GMER il reste un processus actif caché (beaucoup moins agressif qu'avant) et GMER ne le localise pas. Donc il peut pas le traiter. Rootrepeal lui me détecte un driver caché écrit en chinois (en mode esclave j'en avais débusqué pas mal) voilà quoi je crois que j'ai atteint la limite de les compétences dans ce domaine. Merci beaucoup d'avance à ceux qui m'aideront.
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
24 sept. 2014 à 15:48
Alors là c'est le comble ! Windows me redemande ma clé produit celle qui est sur le côté de mon PC, celle qui a toujours été associée à mon système, et il en veut plus il le demande une autre !
0
Réponse 6 / 10
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 638
24 sept. 2014 à 15:39
et j'ai trouvé un driver caché "Prohlp02.sys". En recherchant à nouveau sur le net j'ai lu que ce processus pouvait être dangereux et dans mon cas il l'était. Bref j'ai "killé" le driver comme un con et là c'est la merde, mon pc après redémarrage n'arrive plus à Windows

Le driver n'est pas malicieux.
Fallait pas toucher.

Tu ne devrais pas utiliser GMER.
0
Réponse 7 / 10
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
24 sept. 2014 à 16:07
Ok mais sinon ? Une soluce ou pas ?
0
Réponse 8 / 10
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
24 sept. 2014 à 16:37
Rootrepeal m'a détecté un mbr rootkit et il me propose de restaurer et redémarrer immédiatement je fais ou pas ?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 638
24 sept. 2014 à 17:59
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Fais skip sur les détections.
Clic en haut à droite sur reports.
Vas sur http://pjjoint.malekal.com et copie/colle le contenu du rapport TDSSKiller en bas, fais envoyer.
Donne le lien du rapport pjjoint ici dans un nouveau message.
0
Réponse 9 / 10
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
24 sept. 2014 à 21:03
D'accord je vais faire ça. Merci de m'aider.
0
Réponse 10 / 10
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
Modifié par alibabs le 24/09/2014 à 22:35
https://pjjoint.malekal.com/files.php?id=20140924_y15u12t1515z10
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
Modifié par alibabs le 24/09/2014 à 22:39
Il n'a rien trouvé.

P.S. c'était du mode sans échec je n'ai plus que ça.
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
25 sept. 2014 à 10:13
Pour info j'ai viré IUN6002.exe avec Combofix et un autre fichier genre spsys.qqch
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
25 sept. 2014 à 10:45
Please ^^ ce rootkit commence à me casser les... À me prendre le chou quoi...
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 638
Modifié par Malekal_morte- le 25/09/2014 à 14:38
Si tu arretais de passer tous les programmes que tu trouves, ce serait pas mal.
Tu psychotes, y a pas de rootkits.
0
alibabs Messages postés 45 Date d'inscription lundi 22 septembre 2014 Statut Membre Dernière intervention 27 septembre 2014
25 sept. 2014 à 15:05
Lol. Malekal_morte ne fais pas des tutos si on n'a pas le droit de s'en servir. Gmer me détecte un "hidden" processus en rouge mais il est incapable de le localiser et quand je le kill il revient toujours. J'ai un rootkit qui m'a shooté ma connexion internet qui a masqué mes propriétés connexion internet (tcp/ip inaccessible)... Même si le prohlp02 n'est pas le rootkit il n'est pas vital à Windows il appartient à Starforce et je n'ai pas confiance. Et j'ai viré pas mal de fichiers cachés écrits en chinois.
0

Discussions similaires

Retrouver l'image originale après avoir fait des modifications ?
Raven -
bonjou -

9 réponses
Pilote incompatible
bandy87 -
kaneagle -

25 réponses
retrouver un texte caché dans une image jpg
iamborg8of9 -
Haldas -

13 réponses