VM Win7 infectée par un rootkit ? 2015-01-21T00:03:25+00:00

Dépannage Informatique : VM Win7 infectée par un rootkit ?

  • Auteur
    Messages
  • regadpellagru
    Nombre d'articles : 0

    Hello hello,

    Une de mes VMs (Parallel desktop sur MAC) Win7 est apparemment infectée par un rootkit, reporté par AVast comme fichier RCXZZZZ.tmp (ZZZZ changeant à chaque boot) dans C:/users/$monuser/AppData/Roaming/Parallels/Shared Applications et marqué
    comme Win64:Evo-Gen par Avast.

    J’ai fait un rapport complet ZHPDiag mais suis complètement incapable de l’interpréter.

    Le voici: http://cjoint.com/?0AvblZ9Yw8Q” onclick=”window.open(this.href);return false;

    Une idée quelqu’un ?

  • Anonyme
    Nombre d'articles : 0

    Hello :hello: ,

    Bienvenue sur SosVirus :welcome:

    • Télécharge RogueKiller (de Tigzy) sur ton Bureau.
    • Lance RogueKiller, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      Note : Attends que le PreScan ait fini.

    • Clique sur Scan.

      Note : Patiente le temps du scan.

    • Clique sur Suppression.

      Note : Patiente le temps de la Suppression.

    • Clic sur Rapport

    • Copie puis colle son contenue sur le forum
  • regadpellagru
    Nombre d'articles : 0

    Hello et merci pour le coup de main :merci2:

    J’ai tout fait et voici le rapport, ci-dessous.
    A noter que le problème semble persister, après reboot :unhappy:

    RogueKiller V10.2.0.0 [Jan 19 2015] par Adlice Software
    email : http://www.adlice.com/contact/” onclick=”window.open(this.href);return false;
    Remontées : http://forum.adlice.com” onclick=”window.open(this.href);return false;
    Site web : http://www.adlice.com/fr/logiciels/roguekiller/” onclick=”window.open(this.href);return false;
    Blog : http://www.adlice.com” onclick=”window.open(this.href);return false;

    Système d’exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
    Démarré en : Mode normal
    Utilisateur : Herve [Administrateur]
    Mode : Suppression — Date : 01/21/2015 12:28:08

    ¤¤¤ Processus : 0 ¤¤¤

    ¤¤¤ Registre : 10 ¤¤¤
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParameters | DhcpNameServer : 10.254.254.254 [(Private Address) (XX)] -> Remplacé(e) ()
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINESystemControlSet001ServicesTcpipParameters | DhcpNameServer : 10.254.254.254 [(Private Address) (XX)] -> Remplacé(e) ()
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINESystemControlSet002ServicesTcpipParameters | DhcpNameServer : 10.254.254.254 [(Private Address) (XX)] -> Remplacé(e) ()
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINESystemCurrentControlSetServicesTcpipParametersInterfaces{A5FD90BF-80C3-4972-8FAE-950A7A991780} | DhcpNameServer : 10.254.254.254 [(Private Address) (XX)] -> Remplacé(e) ()
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINESystemControlSet001ServicesTcpipParametersInterfaces{A5FD90BF-80C3-4972-8FAE-950A7A991780} | DhcpNameServer : 10.254.254.254 [(Private Address) (XX)] -> Remplacé(e) ()
    [PUM.Dns] (X64) HKEY_LOCAL_MACHINESystemControlSet002ServicesTcpipParametersInterfaces{A5FD90BF-80C3-4972-8FAE-950A7A991780} | DhcpNameServer : 10.254.254.254 [(Private Address) (XX)] -> Remplacé(e) ()
    [PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Remplacé(e) (0)
    [PUM.DesktopIcons] (X64) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Remplacé(e) (0)
    [PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> Remplacé(e) (0)
    [PUM.DesktopIcons] (X86) HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionExplorerHideDesktopIconsNewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1 -> Remplacé(e) (0)

    ¤¤¤ Tâches : 0 ¤¤¤

    ¤¤¤ Fichiers : 0 ¤¤¤

    ¤¤¤ Fichier Hosts : 2 ¤¤¤
    [C:WindowsSystem32driversetchosts] 0.0.0.0 .psf -> Supprimé(e)
    [C:WindowsSystem32driversetchosts] 0.0.0.0 psf -> Supprimé(e)

    ¤¤¤ Antirootkit : 0 (Driver: Non chargé [0xc000036b]) ¤¤¤

    ¤¤¤ Navigateurs web : 2 ¤¤¤
    [FIREFX:Addon] xqepodxt.default : Mozilla Firefox hotfix [firefox-hotfix@mozilla.org] -> Supprimé(e)
    [FIREFX:Addon] xqepodxt.default : Avast Online Security [wrc@avast.com] -> Supprimé(e)

    ¤¤¤ Vérification MBR : ¤¤¤
    +++++ PhysicalDrive0: Windows 7-0 SSD ATA Device +++++
    — User —
    [MBR] 9cf1efac69f17a4c628829ccdf35026c
    [BSP] b755ff4ce44331d85100b89fb06f8ac5 : Windows Vista/7/8 MBR Code
    Partition table:
    0 – [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 350 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    1 – [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 718848 | Size: 65184 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
    User = LL1 … OK
    User = LL2 … OK

    ============================================
    RKreport_SCN_01212015_122524.log

  • Anonyme
    Nombre d'articles : 0

    oki; ca n’a pas l’air bien méchant en tout cas

    • Télécharge MalwareBytes
    • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”
    • Clic sur Mettre à jour (à droite, au centre)
    • Clic sur Examen (en haut)
    • Sélectionne Examen “Menaces”
    • Clic sur Examiner maintenant

    • A la fin du scan clic sur Tout mettre en quarantaine !
    • Clic sur Copier dans le Presse-papiers
    • Un rapport va s’ouvrir. Copie/Colle son contenue dans ta prochaine réponse.
  • regadpellagru
    Nombre d'articles : 0

    Voici, ci-dessous, le log.

    Malwarebytes Anti-Malware
    http://www.malwarebytes.org” onclick=”window.open(this.href);return false;

    Scan Date: 21/01/2015
    Scan Time: 21:37:17
    Logfile:
    Administrator: Yes

    Version: 2.00.4.1028
    Malware Database: v2015.01.21.10
    Rootkit Database: v2015.01.14.01
    License: Trial
    Malware Protection: Enabled
    Malicious Website Protection: Enabled
    Self-protection: Disabled

    OS: Windows 7 Service Pack 1
    CPU: x64
    File System: NTFS
    User: Herve

    Scan Type: Threat Scan
    Result: Completed
    Objects Scanned: 337831
    Time Elapsed: 4 min, 38 sec

    Memory: Enabled
    Startup: Enabled
    Filesystem: Enabled
    Archives: Enabled
    Rootkits: Disabled
    Heuristics: Enabled
    PUP: Enabled
    PUM: Enabled

    Processes: 0
    (No malicious items detected)

    Modules: 0
    (No malicious items detected)

    Registry Keys: 1
    PUP.Optional.1ClickDownload.A, HKUS-1-5-21-3686119443-2834962262-3914545340-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0SOFTWARE1ClickDownload, Quarantined, [7c9220da25640f27421eb221c83c22de],

    Registry Values: 0
    (No malicious items detected)

    Registry Data: 0
    (No malicious items detected)

    Folders: 0
    (No malicious items detected)

    Files: 0
    (No malicious items detected)

    Physical Sectors: 0
    (No malicious items detected)

    (end)

  • regadpellagru
    Nombre d'articles : 0

    Ah oui, j’oubliais, le problème est toujours là, après reboot …

  • regadpellagru
    Nombre d'articles : 0

    Ah oui, j’oubliais, le problème est toujours là, après reboot …

  • Anonyme
    Nombre d'articles : 0

    Hello :hello: ,

    Désolé du retard de réponse, on a eu quelques soucis de serveur ..

    • Télécharge ESET Online Scanner (de ESET) sur ton bureau.
    • Lance ESET Online Scanner, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche “Oui, j’accepte les condiftions d’utilisation
    • Clic sur Démarrer
    • Laisse cocher la case “Supprimer menaces détectés
    • Coche “Analyser les archives”

      Note : Tout les éléments néfastes seront supprimés automatiquement

    • Si aucune menace n’est détectée :
      • Dit le moi simplement dans ta réponse.
    • Si des menaces sont détectés :
      • Clique sur “Liste des menaces détectées
      • Clique sur Exporter vers …
      • Copie et colle le contenue du rapport sur le forum.

    ~~ Aide en Image ~~

  • regadpellagru
    Nombre d'articles : 0

    Hello,

    ESET online scanner me dit: aucune menace détectée.

  • Anonyme
    Nombre d'articles : 0

    :hello: ,

    Ca confirme un peut le faux positif, il faudrait effectuer un scan avec Avast et communiquer le rapport stp

  • regadpellagru
    Nombre d'articles : 0

    Ca me rassure un peu, vu que je ne télécharge que depuis des sources sûres, et que je scanne avec Avast tout exe avant de le lancer …

    Le scan Avast (minutieux, programmes en mémoire+programmes se lançant auto+rootkits) est en cours.
    Va durer un bon moment …

  • regadpellagru
    Nombre d'articles : 0

    OK, scan terminé, aucune menace détectée.
    Cela ressemble en effet à un faux positif, et même le fait de décocher “scan for rootkits” dans avast ne corrige pas le pb.

    Voici le log complet:
    https://www.dropbox.com/s/qxty4fckxugtla0/aswAr1.log?dl=0” onclick=”window.open(this.href);return false;

  • Anonyme
    Nombre d'articles : 0

    Oué, on va supprimer les outils utilisés et vider la restauration système mais on pourra rien faire de plus.
    Si tu as encore ces alertes, le mieux serait de remonter ce soucis à Avast.

    • Pour supprimer les outils de désinfections utilisés :
    • Télécharges Delfix sur ton Bureau.
    • Lance Delfix, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche les cases suivantes :
      • Supprimer les outils de désinfection
      • Purger la restauration système

    • Télécharge CCleaner
    • installes la nouvelle version l’ancienne sera écrasé
    • Lance ccsetup¤¤¤.exe, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Procède à l’installation de celui çi
    • Lance Ccleaner, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • clique sur l’onglet “Options” puis coche sur l’onglet “Surveillance
    • Décoche la case “Activer la surveillance du système” & la case “Activer la surveillance
    • Clic sur l’onglet “Nettoyeur
    • Clic sur Oui
    • Clic sur Nettoyer

      Note : Une fenêtre va s’ouvrir

    • Clic sur OK

    Information: Recommence les étapes ci-dessus, jusqu’à ce que tu n’es rien.

    Une fois fini sur nettoyeur fais registre

    • Clique sur Registre
    • Clique sur Chercher les erreurs

    Note: Patiente le temps de la recherche …

    • Clique sur Non à la fenêtre “Voulez vous créer une sauvegarde des clés de registre qui vont être supprimées ?

    • Clique sur la nouvelle fenêtre sur “Corriger les erreurs sélectionnées

    Information: Recommence les étapes ci-dessus, jusqu’à ce que tu n’es plus d’erreur.

    • Clique sur fermer

    [fin2desinf:2ccwp6fg][/fin2desinf:2ccwp6fg]

  • regadpellagru
    Nombre d'articles : 0

    OK, j’ai bien tout fait,

    CCleaner a viré une douzaine d’incohérence dans la registry, probablement un truc habituel sur Windows …

    Merci pour le support :merci2: :merci2: :merci2: :merci2:

    J’ai toujours ce warning d’avast. Je vais donc leur remonter le truc.
    Là où je suis content, c’est que je ne me suis pas choppé une des dizaines de chtouilles qui trainent sur le net :bravo1: :bravo1:

  • Anonyme
    Nombre d'articles : 0

    Là où je suis content, c’est que je ne me suis pas choppé une des dizaines de chtouilles qui trainent sur le net :bravo1: :bravo1:

    C’est clair, c’est la bonne nouvelle 🙂

    Bonne semaine :hello:

Le sujet ‘VM Win7 infectée par un rootkit ?’ est fermé à de nouvelles réponses.