Win32:Rootkit-gen [Rtk] Quarantaine

ChrisMin · par **ChrisMin** » 12 déc. 2014 19:40

Bonjour,

Je trouve la plupart du temps réponse à mes petits problèmes sur le site, cependant solliciter votre aide est une première pour moi.

Après avoir instalé la mise à jour d'Avast hier (version 2015), j'ai effectué un scan ou il me détecte un rootkit se prénommant "Win32:Rootkit-gen [Rtk]".
Nom: $RZWAYSB.exe
Emplacement d'origine: C:\$Recycle.Bin\S-1-5-21-2487686231-3673645768-1485041273-1002

La procédure que me suggère Avast étant de réparer, en cas d'impossibilité le ficher se retrouvera en quarantaine ou supprimé. (Actuellement en quarantaine)
Par la suite, j'ai lancé un scan avec Malwarebites puis de nouveau Avast qui ne m'ont rien trouvé.

Cela m'inquiète d'autant plus étant donné que j'effectue un grand nombre d'achat/paiement sur internet.

Je fais appel à vous afin de m'assurer que le programme à bien été mis hors d’état de nuire et si ça aura des répercutions sur mon système d'exploitation. Je précise que je suis sous Windows 8.1.

J'attend vos instructions pour me guider vers la marche à suivre.

Merci par avance !

par **Malekal_morte** » 12 déc. 2014 21:33

Salut,

C'est la corbeille, vide la.

puis :

Salut,

Tu as installé des adwares et programmes parasites sur ton PC qui ouvrent des publicités et ralentissent l'ordinateur et les navigateurs WEB.
Voici la procédure à suivre pour les supprimer :

Commence par ceci :

Suis ce tutoriel FRST: https://www.malekal.com/tutorial-farbar ... tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

ChrisMin · par **ChrisMin** » 12 déc. 2014 22:48

J'ai accidentellement installé PDFcreator en pensant que c'etait FRST, qui s'avère être un vrai virus et me lance des pubs à touts bout de champ et me ferme les pages webs, je l'ai aussitôt désinstallé...

Résultat des rapports:
FRST: http://pjjoint.malekal.com/files.php?id ... s8j10t15z6
Addition: http://pjjoint.malekal.com/files.php?id ... f11u8o12t5
Addition: http://pjjoint.malekal.com/files.php?id ... 1z7w11f9j6

Je tiens à m'excuser pour les multiples complications.

par **Malekal_morte** » 12 déc. 2014 23:01

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Sur la page d'AdwCleaner, à droite, clic sur la disquette grise avec la flèche verte pour lancer le téléchargement.
Lance AdwCleaner, clique sur [Scanner].
Le scan peux durer plusieurs minutes, patienter.
Une fois le scan terminé, clique sur [Nettoyer]

Une fois le nettoyage terminé, un rapport s'ouvrira. Copie/colle le contenu du rapport dans ta prochaine réponse par un copier/coller.
Si cela ne fonctionne pas, utilise le site http://pjjoint.malekal.com pour héberger le rapport, donne le lien du rapport dans un nouveau message.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

ChrisMin · par **ChrisMin** » 12 déc. 2014 23:26

J'ai téléchargé adwcleaner sur ce lien http://telecharger.malekal.com/download/adwcleaner/

Lors de l'installation je reçois un message d'erreur, que dois-je faire? avez vous un autre lien?

par **Malekal_morte** » 12 déc. 2014 23:32

Retélécharge le pour voir.

ChrisMin · par **ChrisMin** » 12 déc. 2014 23:48

Nous y revoila, la vitesse du scan est incroyable !

Copie/Coller du scan

# AdwCleaner v4.105 - Rapport créé le 12/12/2014 à 23:47:46
# Mis à jour le 08/12/2014 par Xplode
# Database : 2014-12-12.1 [Live]
# Système d'exploitation : Windows 8.1 (64 bits)
# Nom d'utilisateur : Christophe - CHRIS
# Exécuté depuis : C:\Users\Christophe\Downloads\adwcleaner_4.105 (1).exe
# Option : Nettoyer

***** [ Services ] *****

Service Supprimé : {a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\Users\CHRIST~1\AppData\Local\Temp\Hold Page
Dossier Supprimé : C:\Users\Christophe\AppData\Roaming\WSE_Vosteran
Dossier Supprimé : C:\Users\Christophe\Documents\Optimizer Pro
Dossier Supprimé : C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Extensions\oilkkkefbalmbfppgjmgjoefbclebkce
Fichier Supprimé : C:\WINDOWS\System32\drivers\{a16a1775-5ab3-4034-ac52-de0795db97f0}Gw64.sys
Fichier Supprimé : C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage
Fichier Supprimé : C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_www.superfish.com_0.localstorage-journal
Fichier Supprimé : C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.audienceinsights.net_0.localstorage
Fichier Supprimé : C:\Users\Christophe\AppData\Local\Google\Chrome\User Data\Default\Local Storage\hxxp_static.audienceinsights.net_0.localstorage-journal

***** [ Tâches planifiées ] *****

***** [ Raccourcis ] *****

***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\oilkkkefbalmbfppgjmgjoefbclebkce
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\oilkkkefbalmbfppgjmgjoefbclebkce
Clé Supprimée : [x64] HKLM\SOFTWARE\Google\Chrome\Extensions\oilkkkefbalmbfppgjmgjoefbclebkce
Clé Supprimée : HKCU\Software\MICROSOFT\INTERNET EXPLORER\DOMSTORAGE\superfish.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\DOMStorage\www.superfish.com
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{A2D733A7-73B0-4C6B-B0C7-06A432950B66}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\CLSID\{5A4E3A41-FA55-4BDA-AED7-CEBE6E7BCB52}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{4E6354DE-9115-4AEE-BD21-C46C3E8A49DB}
Clé Supprimée : [x64] HKLM\SOFTWARE\Classes\Interface\{FC073BDA-C115-4A1D-9DF9-9B5C461482E5}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : [x64] HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Optimizer Pro
Clé Supprimée : HKCU\Software\AppDataLow\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{1146AC44-2F03-4431-B4FD-889BC837521F}
Clé Supprimée : HKLM\SOFTWARE\{3A7D3E19-1B79-4E4E-BD96-5467DA2C4EF0}
Clé Supprimée : HKLM\SOFTWARE\{6791A2F3-FC80-475C-A002-C014AF797E9C}

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.17416

Paramètre Restauré : HKCU\Software\Microsoft\Internet Explorer\Main [Start Page]

-\\ Google Chrome v39.0.2171.95

*************************

AdwCleaner[R0].txt - [4254 octets] - [12/12/2014 23:45:16]
AdwCleaner[S0].txt - [3596 octets] - [12/12/2014 23:47:46]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [3656 octets] ##########

ChrisMin · par **ChrisMin** » 13 déc. 2014 00:01

Je viens de m’apercevoir que je ne vous ai pas remis le shortcut du rapport FRST.

http://pjjoint.malekal.com/files.php?id ... 7o15m10v15

par **Malekal_morte** » 13 déc. 2014 11:23

il n'y a qu'un rapport pour FRST.
Manque surtout les plus importants FRST.Txt et Additionnal.txt

ChrisMin · par **ChrisMin** » 13 déc. 2014 13:55

Après le scan avec Adwcleaner, j'ai lancé un scan avec Malwarebites qui me détecte deux "Rogue.Multiple" que j'ai mis en quarantaine.
De plus lorsque je lance Google Chrome, je tombe sur le moteur de recherche "Vosteran.com".
Si je restaure tout à partir d'une sauvegarde ou paramètre d'usine, je supprimerais toutes traces du virus et des résidus?

Je vais relancer un scan FRST et t'envoyer le rapport.

FRST
Addition
Shortcut

par **angelique** » 13 déc. 2014 14:19

Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
Copie/colle dedans ce qui suit :

AppInit_DLLs-x32: c:/progra~3/{76479~1/date.dll => "c:/progra~3/{76479~1/date.dll" File Not Found
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
CHR HomePage: Default -> hxxp://Vosteran.com/?f=1&a=vst_ggfc_14_50_ch&cd=2XzuyEtN2Y1L1QzuyC0CyBtC0DzyyBzyyE0FyE0F0BtBtCtDtN0D0Tzu0StCtDyByCtN1L2XzutAtFyCtFtCtDtFyBtN1L1CzutCyEtBzytDyD1V1BtN1L1G1B1V1N2Y1L1Qzu2StA0FzyyD0AtD0AyDtGtB0B0D0AtGtCyEtD0CtGzz0F0AyEtGtB0CyCyByDzzyD0Bzz0C0D0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyByCzyyByC0CyBtGtAtCyD0EtGyE0E0AtAtG0Azy0E0EtG0DyCzzyEzz0FyCzz0FyEtB0D2Q&cr=1174581914&ir=
CHR StartupUrls: Default -> "hxxp://Vosteran.com/?f=7&a=vst_ggfc_14_50_ch&cd=2XzuyEtN2Y1L1QzuyC0CyBtC0DzyyBzyyE0FyE0F0BtBtCtDtN0D0Tzu0StCtDyByCtN1L2XzutAtFyCtFtCtDtFyBtN1L1CzutCyEtBzytDyD1V1BtN1L1G1B1V1N2Y1L1Qzu2StA0FzyyD0AtD0AyDtGtB0B0D0AtGtCyEtD0CtGzz0F0AyEtGtB0CyCyByDzzyD0Bzz0C0D0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyByCzyyByC0CyBtGtAtCyD0EtGyE0E0AtAtG0Azy0E0EtG0DyCzzyEzz0FyCzz0FyEtB0D2Q&cr=1174581914&ir="
CHR DefaultSearchKeyword: Default -> vosteran.com
CHR DefaultSearchURL: Default -> http://Vosteran.com/results.php?f=4&q={ ... 581914&ir=
2014-12-12 22:04 - 2014-12-12 22:04 - 00000000 ____D () C:\Users\Christophe\AppData\Roaming\1H1Q1V1N1N1O1R
2014-12-12 22:01 - 2014-12-12 22:02 - 00802392 _____ ( ) C:\Users\Christophe\Downloads\PdfCreatorSetup.exe
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS
C:\Users\Christophe\AppData\Local\Temp\COMAP.EXE
C:\Users\Christophe\AppData\Local\Temp\optprosetup.exe
C:\Users\Christophe\AppData\Local\Temp\swt-win32-3349.dll
EmptyTemp:
Menu Fichier / Enregistrer-sous
Place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Ferme toutes les applications, y compris ton navigateur
Double-clique sur FRST.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, clique une seule fois sur Fix et patiente le temps de la correction

Un redémarrage peut être nécessaire (pas obligatoire).
L'outil va créer un rapport de correction Fixlog.txt. Poste ce rapport dans ta réponse.

ChrisMin · par **ChrisMin** » 13 déc. 2014 14:41

Bonjour Angélique,

Je te remercie pour ton aide.

Vosteran est toujours actif, je t'envoie le Fixlog.

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-12-2014
Ran by Christophe at 2014-12-13 14:33:42 Run:1
Running from C:\Users\Christophe\Desktop
Loaded Profile: Christophe (Available profiles: Christophe)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
AppInit_DLLs-x32: c:/progra~3/{76479~1/date.dll => "c:/progra~3/{76479~1/date.dll" File Not Found
ShellIconOverlayIdentifiers: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive1] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive2] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} => No File
ShellIconOverlayIdentifiers-x32: [ SkyDrive3] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} => No File
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Policy restriction <======= ATTENTION
CHR HomePage: Default -> hxxp://Vosteran.com/?f=1&a=vst_ggfc_14_ ... 581914&ir=
CHR StartupUrls: Default -> "hxxp://Vosteran.com/?f=7&a=vst_ggfc_14_50_ch&cd=2XzuyEtN2Y1L1QzuyC0CyBtC0DzyyBzyyE0FyE0F0BtBtCtDtN0D0Tzu0StCtDyByCtN1L2XzutAtFyCtFtCtDtFyBtN1L1CzutCyEtBzytDyD1V1BtN1L1G1B1V1N2Y1L1Qzu2StA0FzyyD0AtD0AyDtGtB0B0D0AtGtCyEtD0CtGzz0F0AyEtGtB0CyCyByDzzyD0Bzz0C0D0F2QtN1M1F1B2Z1V1N2Y1L1Qzu2StAyByCzyyByC0CyBtGtAtCyD0EtGyE0E0AtAtG0Azy0E0EtG0DyCzzyEzz0FyCzz0FyEtB0D2Q&cr=1174581914&ir="
CHR DefaultSearchKeyword: Default -> vosteran.com
CHR DefaultSearchURL: Default -> http://Vosteran.com/results.php?f=4&q={ ... 581914&ir=
2014-12-12 22:04 - 2014-12-12 22:04 - 00000000 ____D () C:\Users\Christophe\AppData\Roaming\1H1Q1V1N1N1O1R
2014-12-12 22:01 - 2014-12-12 22:02 - 00802392 _____ ( ) C:\Users\Christophe\Downloads\PdfCreatorSetup.exe
C:\ProgramData\SetStretch.exe
C:\ProgramData\SetStretch.VBS
C:\Users\Christophe\AppData\Local\Temp\COMAP.EXE
C:\Users\Christophe\AppData\Local\Temp\optprosetup.exe
C:\Users\Christophe\AppData\Local\Temp\swt-win32-3349.dll
EmptyTemp:
*****************

"c:/progra~3/{76479~1/date.dll" => Value Data removed successfully.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => Key deleted successfully.
"HKCR\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}" => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => Key deleted successfully.
"HKCR\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}" => Key not found.
"HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => Key deleted successfully.
"HKCR\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}" => Key not found.
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive1" => Key deleted successfully.
"HKCR\Wow6432Node\CLSID\{F241C880-6982-4CE5-8CF7-7085BA96DA5A}" => Key not found.
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive2" => Key deleted successfully.
"HKCR\Wow6432Node\CLSID\{A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E}" => Key not found.
"HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers\ SkyDrive3" => Key deleted successfully.
"HKCR\Wow6432Node\CLSID\{BBACC218-34EA-4666-9D7A-C78F2274A524}" => Key not found.
"HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => Key deleted successfully.
Chrome HomePage deleted successfully.
Chrome StartupUrls deleted successfully.
Chrome DefaultSearchKeyword deleted successfully.
Chrome DefaultSearchURL deleted successfully.
C:\Users\Christophe\AppData\Roaming\1H1Q1V1N1N1O1R => Moved successfully.
C:\Users\Christophe\Downloads\PdfCreatorSetup.exe => Moved successfully.
C:\ProgramData\SetStretch.exe => Moved successfully.
C:\ProgramData\SetStretch.VBS => Moved successfully.
C:\Users\Christophe\AppData\Local\Temp\COMAP.EXE => Moved successfully.
C:\Users\Christophe\AppData\Local\Temp\optprosetup.exe => Moved successfully.
C:\Users\Christophe\AppData\Local\Temp\swt-win32-3349.dll => Moved successfully.
EmptyTemp: => Removed 937.9 MB temporary data.

The system needed a reboot.

==== End of Fixlog ====

par **angelique** » 13 déc. 2014 14:44

Réinitialise chrome, voir > http://forum.malekal.com/google-chrome- ... 35837.html

ChrisMin · par **ChrisMin** » 13 déc. 2014 15:06

Tout m'a l'air bien, vosteran ne ruine plus ma navigation avec Chrome!

Suite au rapport FRST, y a t'il autre chose de suspect?

Selon toi, est-il nécessaire d'entamer une procédure auprès de ma banque afin de prévenir tout prélèvement suspect suite à cet incident?

par **angelique** » 13 déc. 2014 15:20

Non , c'est bon

➫ supprime frst.exe, ses rapports et c:\frst

➫ relance adwcleaner et clic desinstaller.

Malekal.com forum

Win32:Rootkit-gen [Rtk] Quarantaine

Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine

Re: Win32:Rootkit-gen [Rtk] Quarantaine