Author Topic: [résolu] Problème avec un rootkit  (Read 17730 times)

0 Members and 1 Guest are viewing this topic.

philippe46

  • Guest
[résolu] Problème avec un rootkit
« on: February 24, 2011, 06:39:30 PM »
Bonjour

Voilà mon problème.

J'ai un message d'alerte de Avast depuis 2 jours qui me prévient qu'il a détecté un "Rootkit : secteur de démarrage caché" : "mbr: \\.\physicaldrive0".

Il me demande une action, supprimer ce rootkit.

J'accepte et ensuite il me demande de redémarrer l'ordinateur pour effectuer un scan avant démarrage de windows.

Je le fait, il scan le disque et trouve "whistler@mbr [rkt]", ensuite il relance windows.

10 minutes après, message d'alerte d'Avast qui me prévient qu'il a détecté un "Rootkit : secteur de démarrage caché" : "mbr: \\.\physicaldrive0"...

Je refait toute les manipulations et... ca continue !

A chaque démarrage de l'ordinateur, environ 10 minutes après Avast me met ce message d'alerte.

Frustrant.

Y a t-il un moyen de supprimer ce Rootkit ? Que fait ce Rootkit exactement (détecte achat en lignes, ou destruction du disque dans x jours ?  ;D)

Help  :-\

Philippe
« Last Edit: February 26, 2011, 09:44:47 AM by philippe46 »

hijack

  • Guest
Re: Problème avec un rootkit
« Reply #1 on: February 24, 2011, 10:59:47 PM »
bONSOIR
INSTALLE Malwarebytes et scan ton pc, puis vire ce qu'il te trouve
Très puissant

philippe46

  • Guest
Re: Problème avec un rootkit
« Reply #2 on: February 25, 2011, 09:50:51 AM »
Hijack, j'ai installé et lancé malwarbytes, et il n'a rien trouvé.

Le rapport :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5874

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

25/02/2011 09:45:25
mbam-log-2011-02-25 (09-45-25).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 161083
Temps écoulé: 2 minute(s), 19 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

J'ai relancé l'ordinateur et au bout de 10 minutes... même problème.

Philippe

hijack

  • Guest
Re: Problème avec un rootkit
« Reply #3 on: February 25, 2011, 03:17:02 PM »
Salut
donc voilà déjà un peu de lecture pris chez Malekal:
Le MBR Rootkit comme son nom l'indique est un rootkit qui se place dans le secteur d'amorce du disque dur (MBR - Master Boot Record, voir : http://fr.wikipedia.org/wiki/Master_boot_record).

C'est un stealer qui a pour but de voler des identifiants de connexion au site de banque, mot de passe etc.

Les principaux avantages sont :
* Le rootkit peut se charger avant le système d'exploitation et donc bien avant les programmes de sécurité (antivirus etc..). Le premier programme chargé à un avantage sur celui qui tente de se charger (possibiliter de l'empécher de se charger etc.)
* Il est plus difficile à supprimer (surtout que la majorité des antivirus ne sont pas prévus pour le faire).

Donc pour en venir à bout, on va tester ce qui est préconisé sur le forum de Malekal

Supprimer le rootkit MBR

il existe deux méthodes à ma connaissance pour supprimer le rootkit MBR.

Supprimer le Rootkit MBR avec la console de récupération et fixmbr
La première méthode consiste à reconstruire le secteur d'amorce, pour cela vous devez avoir en votre possession le CD de Windows.

    * Démarrez sur le CD de Windows.
    * Démarrez sur la console de récupération (voir la page Booter sur la console de récupération Windows
    * Une fois sur la console de récupération, saisissez la commande fixmbr \device\harddisk0 puis valider par Entrée.

Une page explicative sur le fonctionne de ce rootkit par l'auteur du programme Gmer

Supprimer le Rootkit MBR avec mbr.exe de Gmer

Gmer a sorti un programme qui détecte et permet de supprimer le rootkit MBR.
Vous pouvez télécharger le programme à l'adresse : http://www2.gmer.net/mbr/mbr.exe
Placez le fichier sur votre bureau

    * Désactiver tous les programmes de protection (antivirus, antispyware etc.)
    * Double-cliquez sur mbr.exe.. une fenêtre noire va s'ouvrir et se refermer.
    * Un rapport sera généré mbr.log, voici un extrait de log en cas d'infection :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    MBR rootkit code detected !
    malicious code @ sector 0x365340 size 0x1e8 !
    copy of MBR has been found in sector 62 !
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.



Si vous êtes infecté, le message MBR rootkit code detected apparaît.

Pour supprimer le rootkit :

    * Menu Démarrer / exécuter et tapez la commande : "%userprofile%\Bureau\mbr" -f
      (veuillez à bien respecter les guillemets)
    * dans le rapport mbr.log, la ligne suivante s'est ajoutée original MBR restored successfully !
    * Supprimer le fichier mbr.log
    * Relancez mbr.exe et revisualiser mbr.log, si vous n'êtes plus infecté, vous devez avoir un rapport disant qu'aucune infection n'a été détectée, comme ceci :

    Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK

Tu peux aussi prendre tdskiller http://forum.malekal.com/tdsskiller-kaspersky-t28637.html
tu le lances et si il trouve qqchose, tu acceptes de virer le rootkit et le reboot

Tiens moi au courant

philippe46

  • Guest
Re: Problème avec un rootkit
« Reply #4 on: February 25, 2011, 05:23:18 PM »
J'ai choisi la méthode n°2, qui me semblait plus facile d'utilisation.

J'ai téléchargé et exécuté tdsskiller de chez kaspersky. Il a trouvé un fichier infecté et m'a demandé de le supprimer, ce que j'ai fait.

Un reboot, je relance tdsskiller et il ne trouve rien. Je lance Avast pour un scan, et il ne trouve plus rien  8).

Donc, mon ordinateur n'est plus infecté (je touche du bois en ce moment)!

Je vais voir si dans les jours à venir ce rootkit ne revient pas et je vais surtout surveiller mes comptes dans les mois qui viennent.

Hijack, je te remercie pour tes conseils et tes réponses rapides.

Merci

Philippe

 

hijack

  • Guest
Re: Problème avec un rootkit
« Reply #5 on: February 26, 2011, 01:50:32 AM »
Je t'en prie.
Le principal est d'avoir solutionné ton problème.
Puis qui est aidé un jour aidera à son tour un jour
Surveilles bien tes comptes si tu passais par internet pour consulter.

N'oublies pas de marquer résolu dans le sujet de ton premier post
« Last Edit: February 26, 2011, 08:46:13 PM by hijack »

philippe46

  • Guest
Re: [résolu] Problème avec un rootkit
« Reply #6 on: February 26, 2011, 09:51:40 AM »
Avast a découvert le problème trés vite. En plus je pense qu'il vient d'un fichier zip que j'ai ouvert ce mercredi.

Et je n'ai pas consulté mes comptes depuis ces jours, alors je risque d'être épargné de ce désagrément, mais je surveille.

Ce qui est rageant c'est que c'est la première fois que mon ordinateur est infecté pas un virus en... pfff, je ne compte plus !, un indice, j'ai commencé avec minitel et ensuite avec modems 56k, et non ce n'est pas si vieux que çà  ;D

Philippe

Mr.Agent

  • Guest
Re: [résolu] Problème avec un rootkit
« Reply #7 on: February 27, 2011, 12:23:33 AM »
Si tu veux etre tres sur ta juste a faire un "Scan au demarrage" et hop si rien est pris en main par avast! alors tes libre de dire merci a tes programmes.

philippe46

  • Guest
Re: [résolu] Problème avec un rootkit
« Reply #8 on: March 02, 2011, 11:30:47 AM »
Scan au démarrage négatif (j'en ai fait 2) et scan minutieux négatif... merci mes programmes  ;D