Traiter une infection par TR/Rootkit.Gen

[Eusebe]

Bonjour,

J'essaie de nettoyer un poste de mon entreprise qui a chopé des virus (il n'avait pas de protection jusqu'à présent...).

Nous avons essayé d'y installer McAfee sans succès (une demande est ouverte sur leur support)... Nous avons ensuite installé Antivir et lancé une analyse : il a détecté DR/Aureate.A.18, TR/Crypt.XPACK.Gen, TR/Rootkit.Gen.

Pouvez-vous m'aider à nettoyer ce PC, je ne suis pas vraiment spécialiste en sécurité

Si ça peut vous aider, voici un rapport HijackThis :

Citation:

Logfile of HijackThis v1.99.1
Scan saved at 15:45:10, on 11/08/2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\System32\Ati2evxx.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\AMD\PowerNow!\GemServ.exe
C:\Program Files\AMD\PowerNow!\gemback.exe
C:\Program Files\McAfee\Common Framework\FrameworkService.exe
c:\program files\varian\productline\service\vms.osp.service.exe
C:\Program Files\Varian\ProductLine\Syslogd\Syslogd_Service.exe
C:\Program Files\RealVNC\WinVNC\WinVNC.exe
C:\Program Files\Citrix\Client ICA\ssonsvr.exe
C:\WINNT\SYSTEM32\Ati2evxx.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Program Files\McAfee\Common Framework\UdaterUI.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\McAfee\Common Framework\McTray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\WINNT\system32\ctfmon.exe
C:\WINNT\system32\msiexec.exe
C:\Program Files\Trend Micro\test.exe
C:\Program Files\McAfee\Common Framework\McScript_InUse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://laennec
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\system32\ntos.exe,
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan Enterprise\Scriptcl.dll (file missing)
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program Files\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [WinVNC] "C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\system32\ctfmon.exe
O4 - Global Startup: Lancement rapide d'Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://laennec
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1199972278225
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1217836931640
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = clients.hopital.priv
O17 - HKLM\Software\..\Telephony: DomainName = clients.hopital.priv
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = clients.hopital.priv
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = clients.hopital.priv
O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINNT\system32\WPDShServiceObj.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\System32\Ati2evxx.exe
O23 - Service: Axeda Access Remote - Unknown owner - C:\Program Files\varian\SmartConnect\AccessRemote\aremote.exe" -servicepath "C:\Program Files\varian\SmartConnect\AccessRemote\ (file missing)
O23 - Service: AMD PowerNow! (tm) Technology Service (GemServ) - Advanced Micro Devices - C:\Program Files\AMD\PowerNow!\GemServ.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Program Files\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: Varian OSP Service - Varian Medical Systems, Inc. - c:\program files\varian\productline\service\vms.osp.service.exe
O23 - Service: Varian Syslog Daemon - Varian Medical Systems - C:\Program Files\Varian\ProductLine\Syslogd\Syslogd_Service.exe
O23 - Service: VMS DICOM Daemon 8.1 LTARCHIVEDAEMON1 (vmsdicom_LTARCHIVEDAEMON1) - Varian Medical Systems iLab GmbH, Switzerland - C:\Program Files\Varian\DicomDaemon\8.1\DBDaemon\dd.exe
O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program Files\RealVNC\WinVNC\WinVNC.exe" -service (file missing)

Merci d'avance pour votre aide !

[pi-2r]

Bonjour,

tout d'abord votre ordinateur ne présente que quelques fichiers douteux , pour vous en rendre compte par vous meme il vous suffit de faire copier/coller sur le site de Hijackthis.
Ensuite, je vous connseil d'utiliser le logiciel antivirus Chinois Rising.
Une foi l'antivirus installer, cocher les cases nécéssaire à la protection que vous désiré avoir, puis il vous suffit de mettre à jours Rising.
Si Rising ne détecte rien au premier scan, redémarre votre ordinateur et laissé Rising se lancer avant Windows.

edit: je viens de me rendre compte aussi que vous avez la possibilité d'utiliser le logiciel Rootkit Unhooker

voilà en espérant que cela marche

[Eusebe]

Bonjour,

Merci pour ton aide !

Je me suis aussi inspiré du message de Manumation sur hijackthis (http://www.developpez.net/forums/d53...his-lutiliser/).

Grace au site de hijackthis, j'ai désactivé la clé O20 - AppInit_DLLs: karina.dat. Ca a déjà permis à McAfee de s'installer (et de supprimer un certain nombre de fichiers...).

J'ai aussi utilisé CCleaner et Spybot qui m'a reconnu des espions sans réussir à les supprimer. A ce stade, tout ne fonctionnait pas encore, notamment impossible de faire des mises à jour Windows Update.

J'ai exécuté ComboFix qui a détecté et nettoyé un RootKit qui trainait, et tout semble maintenant rentré dans l'ordre : Mises à jour Windows ok, McAfee ok.

Merci !