[Win32:Rootkit-gen] en quarantaine mais...

[eriring]

Bonjour a tous.

Je me permets de solliciter votre aide car je me retrouve avec un virus Win32:Rootkit-gen (apparemment un classique, si j'en crois mes recherches sur le web et ce forum) et je ne sais pas trop quoi faire pour rétablir la sécurité de mon pc.

Hier, alors que je surfais sur le net, avast m'a signalé qu'il avait détecté un fichier infecté par win32:rootkit-gen et l'avait mis en quarantaine. Le nom du fichier est "iczsxsgu.dat" localisé dans C:\ProgramData.
Petit coup de panique en voyant ce message, je lance immédiatement un scan complet avec Malwarebytes qui me détecte un trojan dans les dossiers temporaires. Voici le rapport Malwarebytes:

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.05.10.05

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Elizabeth :: E [administrateur]

10/05/2014 15:51:08
mbam-log-2014-05-10 (15-51-08).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 361729
Temps écoulé: 1 heure(s), 21 minute(s), 43 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\Elizabeth\AppData\Local\Temp\Low\ixuul.dll (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

(fin)

A la fin du scan, le fichier en question est mis en quarantaine et je le supprime aussitôt mais Malwarebytes me signale que je dois redémarrer l'ordinateur pour finaliser la suppression, ce que je fais.
Seulement voilà, après avoir redémarré, un message me signale un échec du chargement du module iczsxsgu.dat (là où s'est logé le virus) et me parle "d'éventuels problèmes de fichiers .DLL binaires ou dépendants". Je suppose donc qu'il y a un lien avec le fichier que j'ai essayé de supprimer sous Malwarebytes.

Je tente malgré tout d'ouvrir avast et malwarebytes mais impossible de lancer l'un ou l'autre des programmes (excusez-moi, je n'ai pas fait de capture d'écran et ne me rappelle plus exactement du message d'erreur m'empêchant d'ouvrir les programmes).

Je décide donc de faire une restauration du système grâce à laquelle je peux de nouveau ouvrir avast et malwarebytes.
Le virus win32:rootkit-gen est toujours dans la zone de quarantaine de avast.
Je lance un scan minutieux avec avast qui ne détecte aucune menace, et un nouveau scan complet avec malwarebytes qui cette fois ne détecte rien non plus. Voici le second rapport:

Malwarebytes Anti-Malware 1.75.0.1300
http://www.malwarebytes.org

Version de la base de données: v2014.05.10.07

Windows 7 x86 NTFS
Internet Explorer 9.0.8112.16421
Elizabeth :: E [administrateur]

10/05/2014 18:25:37
mbam-log-2014-05-10 (18-25-37).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 360541
Temps écoulé: 45 minute(s), 8 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Le fichier "iczsxsgu.dat" ayant causé le souci de départ est toujours en quarantaine mais je ne sais pas si je peux/dois ou non le supprimer, car j'ai cru comprendre que les fichiers .dat étaient importants pour le système.
Pourriez-vous me dire quoi faire et si je suis en sécurité ou non avec ce fichier en quarantaine?

Je suis désolée si mes explications manquent de clarté, je ne suis pas très au point en matière d'informatique et suis assez inquiète par cette menace qui couve, même en zone de quarantaine.
Je vous remercie d'avance pour vos conseils.

[EDIT] Je précise que depuis la restauration du système, je n'ai pas constaté de nouvelles anomalies dans le fonctionnement de mon pc.

[Malekal_morte]

Salut,

Mouais bof.

Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

<gras>NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE</gras>

[eriring]

>> Malekal_morte

Merci beaucoup pour votre réponse.

Juste une question avant d'essayer l'analyse avec OTL: qu'est-ce que la sandbox? J'ai jeté un oeil à la définition sur wikipedia mais cela ne me dit pas comment faire pour ne pas lancer le programme dans cette fameuse sandbox.
Il s'agit sûrement d'un truc de base, mais pourriez-vous m'expliquer comment faire?

Merci d'avance.

[Malekal_morte]

C'est une environnement clos et distinct du système où un fichier est executé.
Ca permet soit d'executer un programme sans toucher au système, soit d'évaluer ce que fait le programme pour voir si c'est un malware dans le cas d'un antivirus.

[eriring]

>> Malekal_morte

Merci encore pour votre réponse.
J'ai donc suivi vos instructions et ai fait une analyse avec OTL (pour l'histoire de la sandbox, je ne sais pas trop ce qu'il en est. J'ai ouvert le fichier comme vous me l'avez indiqué avec clique droit, "exécuter en tant qu'administrateur").
Voici les deux rapports:

Rapport OTL
http://pjjoint.malekal.com/files.php?id ... 0j6e15t6e7

Rapport Extras
http://pjjoint.malekal.com/files.php?id ... l11e6w1512

Que dois-je comprendre de tout cela?

Le scan a d'ailleurs été très rapide, j'espère que c'est normal...

[Malekal_morte]

Rapport.

Ca ressemble à une DLL qui est arrivée par exploit sur site WEB :

Fichier(s) détecté(s): 1
C:\Users\Elizabeth\AppData\Local\Temp\Low\ixuul.dll (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.

Peut-être Reveton.

Mais ça semble avoir été viré.

Au cas où, change tes mots de passe.

~~


Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

Maintiens tes logiciels à jour c'est important, utilise ce programme : http://forum.malekal.com/logiciels-pour ... 15960.html
Absolument à faire.

~~

Désactive Java de tes plugins, ce dernier pose des problèmes de sécurité :

• Google Chrome (paragraphe Plugin) : https://www.malekal.com/2013/01/14/secu ... le-chrome/
• Internet Explorer (paragraphe plugin Jav) : https://www.malekal.com/2010/11/12/secu ... xplorer-2/
• Firefox : https://www.malekal.com/securiser-le-na ... firefox-2/

[eriring]

>> Malekal_morte

Merci pour ces nouvelles explications.
Il me reste quelques questions, si vous le permettez.

- Pourquoi, après la suppression par Malwarebytes du fichier .dll infecté et redémarrage de l'ordinateur, y a-t-il eu un message d'erreur concernant le fichier .dat infecté par Win32:rootkit-gen (détecté en premier par Avast!), et pourquoi ne pouvais-je plus ouvrir les antivirus jusqu'à ce que je fasse une restauration du système?
Si le virus était supprimé, comment se fait-il que ce problème soit survenu?

- Que dois-je faire du fichier .dat infecté par Win32:rootkit-gen qui est toujours en zone de quarantaine sous Avast! ?
Puis-je tenter de le supprimer sans encourir de risques?

- En ce qui concerne le changement de mes mots de passe, puis-je le faire depuis mon propre pc ou vaut-il mieux emprunter un autre ordinateur pour faire les démarches (sachant que je ne serai sûrement pas en mesure de faire cela avant plusieurs jours)?

Je note pour les mises à jour, c'est vrai que j'ai été négligente...

Merci d'avance pour vos réponses.

[eriring]

Bonjour.

Excusez-moi de faire remonter le topic mais serait-il possible d'avoir une réponse à mes questions? :s

- Pourquoi, après la suppression par Malwarebytes du fichier .dll infecté et redémarrage de l'ordinateur, y a-t-il eu un message d'erreur concernant le fichier .dat infecté par Win32:rootkit-gen (détecté en premier par Avast!), et pourquoi ne pouvais-je plus ouvrir les antivirus jusqu'à ce que je fasse une restauration du système?
Si le virus était supprimé, comment se fait-il que ce problème soit survenu?

- Que dois-je faire du fichier .dat infecté par Win32:rootkit-gen qui est toujours en zone de quarantaine sous Avast! ?
Puis-je tenter de le supprimer sans encourir de risques?

- En ce qui concerne le changement de mes mots de passe, puis-je le faire depuis mon propre pc ou vaut-il mieux emprunter un autre ordinateur pour faire les démarches (sachant que je ne serai sûrement pas en mesure de faire cela avant plusieurs jours)?

Merci d'avance.

[Malekal_morte]

Aucune idée pour l'antivirus, s'il ne fonctionne plus, réinstalle le.

Pour tes mots de passe, tu peux le faire depuis ton PC oui.

[eriring]

>>Malekal_morte

L'antivirus remarche depuis que j'ai fait la restauration système mais j'ai quand même trouvé cela très étrange qu'il ne soit plus accessible juste après avoir supprimé le trojan...

Et donc, en ce qui concerne le fichier .dat infecté par win32:rootkit-gen et toujours en quarantaine sous avast, puis-je tenter de le supprimer sans risque?