Forum Clubic

Se débarrasser du virus Rootkit.L - Virus Rootkit.L

Impossible de faire une recherche sur Clubic. Moteur de recherche désactivé par l’Administrateur. Donc, je poste.

Le fichier RDRIV.sys est infecté par la virus Rootkit.L
Comment s’en débarrasser.
L’antivirus ne peut pas supprimer ce fichier, c’est un fichier système.
Je ne trouve pas ce virus chez www.secuser.com
Je pourrais supprimer ce fichier avec MoveOnBoot. Il serait supprimé au démarrage. Mais y a t’il des risques à le supprimer…

Avez-vous une solution ?
Merci

Salut,

Non pas de risque. Par contre poste un log HijackThis parce que ce virus installe souvent un service donc la suppression du fichier ne suffirait pas.

Il s’agit du PC de mon fils qui prèpare un mémoire à rendre en septembre, et qui n’est pas sur place. C’est pourquoi, je suis très prudent pour lui faire faire des manips à distance.
Voici le résultat de HijackThis

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Program Files\AVPersonal\AVGUARD.EXE
D:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\rpclocator.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\tsecure.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\vsmom.exe
C:\WINDOWS\msvcrt.exe
D:\Program Files\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\system.exe
D:\Program Files\AVPersonal\GUARDGUI.EXE
C:\WINDOWS\System32\wuauclt.exe
D:\Mes documents\Telechargement\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.com/0SEENUS/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - :D:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll (file missing)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program Files\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Apps\MSN Toolbar\01.02.4000.1001\fr\msntb.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: SYSTRAN Personal 4.0 - {397B3223-7D10-11D6-ABC6-00B0D094B576} - D:\PROGRA~1\Systran\4_0\Personal\IEPlugin.dll
O4 - HKLM\…\Run: [AVGCtrl] “D:\Program Files\AVPersonal\AVGNT.EXE” /min
O4 - HKLM\…\Run: [Microsoft Update 32] system.exe
O4 - HKLM\…\RunServices: [Windows Ethernet Controller] :winpack32.exe
O4 - HKLM\…\RunServices: [MS Unix Binary] :msmq2inst.exe
O4 - HKLM\…\RunServices: [Network Places] :Network.exe
O4 - HKLM\…\RunServices: [MS MSN Menssenger 7.0] :MSMSN7.exe
O4 - HKLM\…\RunServices: [MS Internet Executor 32] :MSIXEC32.exe
O4 - HKLM\…\RunServices: [System Updates] :syssst.exe
O4 - HKLM\…\RunServices: [MS Auto-IPSec Protection] :MSASP32.exe
O4 - HKLM\…\RunServices: [RNBc Test] :wf32vbs.exe
O4 - HKLM\…\RunServices: [MS UniX] :navupdate64.exe
O4 - HKLM\…\RunServices: [Microsoft Update 32] system.exe
O4 - HKCU\…\RunServices: [System Updates] :syssst.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Ouvrir le fichier PDF dans Word - res://D:\Program Files\ScanSoft\OmniPagePro14.0\PdfCnv\IEShellExt.dll /300
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra ‘Tools’ menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5co…b?1110316768247
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061…all/xscan53.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Program Files\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Program Files\AVPersonal\AVWUPSRV.EXE
O23 - Service: Handling the DHCP requests - Unknown - C:\WINDOWS\System32\dhcpclient.exe (file missing)
O23 - Service: Service d’administration du Gestionnaire de disque logique - Unknown - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Service COM de gravage de CD IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe
O23 - Service: Remote Procedure Call (RPC) Locator - Unknown - C:\WINDOWS\System32\rpclocator.exe
O23 - Service: Partage de Bureau à distance NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: avsuite - Unknown - C:\WINDOWS\msuite.exe
O23 - Service: DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: DSDM DDE réseau - Unknown - C:\WINDOWS\system32\netdde.exe
O23 - Service: Plug-and-Play - Unknown - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d’aide sur le Bureau à distance - Unknown - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce - Unknown - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Journaux et alertes de performance - Unknown - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: tsecure - Unknown - C:\WINDOWS\tsecure.exe
O23 - Service: Cliché instantané de volume - Unknown - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Ampi32 - Unknown - C:\WINDOWS\msvcrt.exe
O23 - Service: Carte de performance WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O23 - Service: AntiSpyUltra - Unknown - C:\WINDOWS\vsmom.exe

La machine est gravement contaminée.

Regarde tes lignes O4 (sauf AVGCtrl) et
O23 - Service: avsuite - Unknown - C:\WINDOWS\msuite.exe
O23 - Service: tsecure - Unknown - C:\WINDOWS\tsecure.exe
O23 - Service: Remote Procedure Call (RPC) Locator - Unknown - C:\WINDOWS\System32\rpclocator.exe

Je serais toi, je lui ferais installer un logiciel de prise de controle à distance et je ferais le nettoyage moi-même. Il y a du boulot là.

Pour chaque ligne que j’ai citée, faire une recherche Google pour le nom de l’exe, tu obtiendras une fiche descriptif de Sophos ou Norton ou autres qui te donnera la démarche précise à réaliser (suppression des services malicieux notamment !)

Ces lignes aussi :
O16 - DPF: {42F2C9BA-614F-47C0-B3E3-ECFD34EED658} (Installer Class) - http://www.ysbweb.com/ist/softwares/v4.0/ysb_regular.cab
O23 - Service: Handling the DHCP requests - Unknown - C:\WINDOWS\System32\dhcpclient.exe (file missing)

Merci nglechau.
Je vois ça, avec lui.

A+

:hello:

Tu peux pas te servir d’hijack enregistré dans ce répertoire :
D:\Mes documents\Telechargement\HijackThis\HijackThis.exe

Il faut créer un nouveau dossier consacré Hjck. : C:\HijackThis

les programmes à arrêter avant de fixer dans l’hijack (ou préférable tout faire en mode sans échec)

O4 - HKLM\…\Run: [Microsoft Update 32] system.exe
O4 - HKLM\…\RunServices: [MS Unix Binary] :msmq2inst.exe
O4 - HKLM\…\RunServices: [Network Places] :Network.exe
O4 - HKLM\…\RunServices: [MS MSN Menssenger 7.0] :MSMSN7.exe
O4 - HKLM\…\RunServices: [MS Internet Executor 32] :MSIXEC32.exe
O4 - HKLM\…\RunServices: [System Updates] :syssst.exe
O4 - HKLM\…\RunServices: [MS Auto-IPSec Protection] :MSASP32.exe
O4 - HKLM\…\RunServices: [RNBc Test] :wf32vbs.exe
O4 - HKLM\…\RunServices: [MS UniX] :navupdate64.exe
O4 - HKLM\…\RunServices: [Microsoft Update 32] system.exe
O4 - HKCU\…\RunServices: [System Updates] :syssst.exe

O4 - HKLM\…\RunServices: [Windows Ethernet Controller] :winpack32.exe <-- j’avais oublié celui-là - c’est lié au ? FTP ?

O23 - Service: Handling the DHCP requests - Unknown - C:\WINDOWS\System32\dhcpclient.exe (file missing)
O23 - Service: tsecure - Unknown - C:\WINDOWS\tsecure.exe
O23 - Service: Ampi32 - Unknown - C:\WINDOWS\msvcrt.exe

ce processus parait suspect qui bizarrement apparait dans beaucoup de logs infectés par le processus rdriv.sys
O23 - Service: Remote Procedure Call (RPC) Locator - Unknown - C:\WINDOWS\System32\rpclocator.exe

Tous les services des lignes 023 doivent être arrêtés par la console avant de lancer Hjack et de fixer

Démarrer->exécuter->tape: services.msc
exemple :
recherche --> Service: [Handling the DHCP requests]
Type de démarrage --> sur Désactiver ensuite valide/OK

les processus à supprimer

C:\WINDOWS\tsecure.exe
C:\WINDOWS\vsmom.exe<-- ce processus imitant celui de ZonAlarm : vsmon.exe et pas vsmom.exe
C:\WINDOWS\System32\system.exe

Ewido fonctionne pas mal sur ce type d’infection
http://www.ewido.net/en/
Le mieux c’est de passer en mode sans échec, de lancer 1) Ewido (sauvegarde le rapport txt.files) ensuite de 2) relancer Hijackthis et de fixer toutes les lignes (à condition de faire migrer Hjck dans son dossier dédié)

(re)Lancer Hijackthis -->" Do a system scan only" --> vérifie que la case "Make Backups before fixing items" soit activée

Télécharger CCleaner et en 3) mode normal, le lancer pour un bon nettoyage avec en + le balayage et nettoyage du *registre avec *sauvegarde pour cette partie, en cas de dysfonctionnements clic/droit : fusionner z’au cas z’où :paf: ; c’est méga rare quand même
http://www.ordi-netfr.com/ccleaner.php

Merci pour tous ces renseignements.
Vu l’ampleur de la tâche, je ne vais pas le faire à distance, je vais attendre d’avoir le pc sous la main.