[Résolu] IRP_MJ sont détectés par RogueKiller sur Windows7

[zgsir]

Bonjour,

Mon Windows7 est infecté. Plusieurs IRP_MJ sont détectés par RogueKiller qui n'arrive pas à les supprimer.
J'ai tenté une restauration qui ne marche pas sans doute à cause des IRP_MJ.
J'ai chargé YAC, mais l'installation s'arrête à 99%.

Qui peut m'aider ?

Merci d'avance

[Malekal_morte]

Salut,

1/ Les "détections" RogueKiller ne sont pas forcément malicieuses.
2/ YAC, c'est limite une arnaque, tu devrais éviter.

Donne le rapport RogueKiller.

[zgsir]

Voici le rapport :

Code : Tout sélectionner

RogueKiller V11.0.0.0 (x64) [Nov 27 2015] (Gratuit) par Adlice Software
email : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site web : http://www.adlice.com/fr/logiciels/roguekiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Démarré en  : Mode normal
Utilisateur : GS [Administrateur]
Démarré depuis : C:\Users\GS\Downloads\RogueKillerX64.exe
Mode : Scan -- Date : 12/07/2015 18:35:15

¤¤¤ Processus : 0 ¤¤¤

¤¤¤ Registre : 0 ¤¤¤

¤¤¤ Tâches : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier Hosts : 4 ¤¤¤
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1	localhost
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ad.fr.doubleclick.net
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 ad.doubleclick.net
[C:\Windows\System32\drivers\etc\hosts] 127.0.0.1 lop.com

¤¤¤ Antirootkit : 37 (Driver: Chargé) ¤¤¤
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CREATE[0] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_CLOSE[2] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_DEVICE_CONTROL[14] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_INTERNAL_DEVICE_CONTROL[15] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_POWER[22] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_SYSTEM_CONTROL[23] : Unknown @ 0xfffffa80023c62c0
[IRP:Addr(Hook.IRP)] \Driver\atapi - IRP_MJ_PNP[27] : Unknown @ 0xfffffa80023c62c0
[IAT:Inl(Hook.IEAT)] (explorer.exe) ntdll!NtSetSystemInformation : Unknown @ 0x701e0 (jmp 0xffffffff88fd1140|jmp 0xfffffffffffffe19|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtWriteVirtualMemory : Unknown @ 0x703a0 (jmp 0xffffffff88fd2650|jmp 0xfffffffffffffc59|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtDuplicateObject : Unknown @ 0x70380 (jmp 0xffffffff88fd2610|jmp 0xfffffffffffffc79|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtCreateEvent : Unknown @ 0x702c0 (jmp 0xffffffff88fd2490|jmp 0xfffffffffffffd39|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtNotifyChangeKey : Unknown @ 0x70480 (jmp 0xffffffff88fd1bf0|jmp 0xfffffffffffffb79|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtTerminateProcess : Unknown @ 0x703d0 (jmp 0xffffffff88fd2760|jmp 0xfffffffffffffc29|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtOpenEvent : Unknown @ 0x702d0 (jmp 0xffffffff88fd2520|jmp 0xfffffffffffffd29|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtAssignProcessToJobObject : Unknown @ 0x70390 (jmp 0xffffffff88fd2160|jmp 0xfffffffffffffc69|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtSetContextThread : Unknown @ 0x703f0 (jmp 0xffffffff88fd1510|jmp 0xfffffffffffffc09|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtCreateSection : Unknown @ 0x70300 (jmp 0xffffffff88fd24b0|jmp 0xfffffffffffffcf9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtOpenProcess : Unknown @ 0x70360 (jmp 0xffffffff88fd2750|jmp 0xfffffffffffffc99|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtNotifyChangeMultipleKeys : Unknown @ 0x70490 (jmp 0xffffffff88fd1bf0|jmp 0xfffffffffffffb69|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ kernel32.dll) ntdll!NtQueryObject : Unknown @ 0x70440 (jmp 0xffffffff88fd2990|jmp 0xfffffffffffffbb9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateIoCompletion : Unknown @ 0x70340 (jmp 0xffffffff88fd2020|jmp 0xfffffffffffffcb9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenSection : Unknown @ 0x70310 (jmp 0xffffffff88fd25f0|jmp 0xfffffffffffffce9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateSemaphore : Unknown @ 0x702a0 (jmp 0xffffffff88fd1e90|jmp 0xfffffffffffffd59|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenSemaphore : Unknown @ 0x702b0 (jmp 0xffffffff88fd1920|jmp 0xfffffffffffffd49|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateMutant : Unknown @ 0x70280 (jmp 0xffffffff88fd1f00|jmp 0xfffffffffffffd79|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenMutant : Unknown @ 0x70290 (jmp 0xffffffff88fd1950|jmp 0xfffffffffffffd69|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateTimer : Unknown @ 0x70320 (jmp 0xffffffff88fd1ee0|jmp 0xfffffffffffffcd9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenTimer : Unknown @ 0x70330 (jmp 0xffffffff88fd1960|jmp 0xfffffffffffffcc9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtCreateThreadEx : Unknown @ 0x703c0 (jmp 0xffffffff88fd1f90|jmp 0xfffffffffffffc39|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtTerminateThread : Unknown @ 0x703e0 (jmp 0xffffffff88fd2500|jmp 0xfffffffffffffc19|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtOpenThread : Unknown @ 0x70370 (jmp 0xffffffff88fd19b0|jmp 0xfffffffffffffc89|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ KERNELBASE.dll) ntdll!NtSuspendThread : Unknown @ 0x70420 (jmp 0xffffffff88fd1290|jmp 0xfffffffffffffbd9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ rpcrt4.dll) ntdll!NtAlpcSendWaitReceivePort : Unknown @ 0x70470 (jmp 0xffffffff88fd2270|jmp 0xfffffffffffffb89|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ rpcrt4.dll) ntdll!NtQueueApcThreadEx : Unknown @ 0x70430 (jmp 0xffffffff88fd1770|jmp 0xfffffffffffffbc9|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ gdi32.dll) ntdll!NtVdmControl : Unknown @ 0x70270 (jmp 0xffffffff88fd0ff0|jmp 0xfffffffffffffd89|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ ntmarta.dll) ntdll!NtOpenEventPair : Unknown @ 0x702f0 (jmp 0xffffffff88fd1a20|jmp 0xfffffffffffffd09|jmp 0x19b)
[IAT:Inl(Hook.IEAT)] (explorer.exe @ ws2_32.dll) ntdll!NtLoadDriver : Unknown @ 0x701d0 (jmp 0xffffffff88fd1a30|jmp 0xfffffffffffffe29|jmp 0x19b)

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Vérification MBR : ¤¤¤
+++++ PhysicalDrive0: WDC WD2500BEVT-22A23T0 +++++
--- User ---
[MBR] d4b42a56b94e3c488035b0486ce8308a
[BSP] f56e8b4ebaadab71b70be3adbe79d425 : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 63 | Size: 13319 MB
1 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 27278370 | Size: 101 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
2 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 27487215 | Size: 142002 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
3 - [XXXXXX] EXTEN (0x5) [VISIBLE] Offset (sectors): 318308352 | Size: 83051 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 2c85f694f6381fe5ce45a5e24ed766f5
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [XXXXXX] FAT32-LBA (0xc) [VISIBLE] Offset (sectors): 8064 | Size: 29553 MB
User = LL1 ... OK

C'est peut-être de fausses détections mais je trouve quand même que Windows ne va pas vite.

[Malekal_morte]

Pour contrôler :

Suis le tutoriel FRST.
(et bien prendre le temps de lire afin d'appliquer correctement - tout y est expliqué).
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie, comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et en retour donne les trois liens pjjoint qui mènent à  ses rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

[zgsir]

Lien pour le fichier addition.txt
http://pjjoint.malekal.com/files.php?id ... 15s13m7n11
Lien pour le fichier FRST.txt
http://pjjoint.malekal.com/files.php?id ... u5h7j13n11
Je n'ai pas eu de fichier Shortcut.txt ce qui m'étonne

Mon ordi est très lent.
Je n'ai pas pu me connecter "sans échec"

Merci de vous intéresser à moi.
Je ne serai pas au bureau demain matin, mais je pourrai continuer à travailler demain après-midi.

[Malekal_morte]

Pas l'air infecté. T'as WampServer qui tourne, ça doit bouffer des ressources. Désinstaller Google Toolbar.
Supprimer ce dossier : C:\Users\GS\AppData\Local\5598e496898a09cbf474bae8eaa1adc8

Histoire de, fais un scan MBAR

Error: (12/07/2015 08:53:19 PM) (Source: Disk) (EventID: 11) (User: )
Description: Le pilote a détecté une erreur du contrôleur sur \Device\Harddisk1\DR1.

Faudra faire un chkdsk / checkdisk du second disque.

[zgsir]

Bonjour ami
Je viens de passer Malware byte anti-rootkit.
Je n'ai pas trouvé le rapport, j'ai vu passer des informations dans la fenêtre, mais je ne peux pas les copier ailleurs.
Toujours est-il que le programme me dit "Scan finshed, no malware found" ce qui me semble de bonne augure.

J'ai vérifié : wamp server ne tourne pas et je n'ai pas vu google tool bar !
J'ai enlevé le fichier que tu m'as indiqué.
Je vais faire un chkdsk des disques
Cet après-midi, la machiner tourne normalement. Je pense donc que l'alerte est finie

Grand merci pour ton aide

Cordialement

[Malekal_morte]

Tu pourrais tester en déconnecte le second disque dur ?

[zgsir]

Comment fait-on pour déconnecter le second disque dur ?
Que veux-tu que je teste ? Quel programme ?

[Malekal_morte]

Sur addition.txt, il y a l'air d'y avoir des erreurs sur le second disque.
Comme y a un XP dessus, il doit être vieux.
Me demande si c'est pas lui qui ralentit ton disque.

Lance HD Tune
Sélectionne le second disque
et vas dans l'onglet Health.
Vois si le statut est en OK et s'il y a des lignes jaunes.

[zgsir]

Bonjour ami,
J'ai chargé HDTune et j'ai passé des tas de trucs auxquels je n'ai rien compris.
J'ai fait des copies d'écran que je t'(ai envoyées par pjjoint.malekal.com.
Voici le lien
http://pjjoint.malekal.com/files.php?id ... 1113t15h12

Merci du soin que tu portes à m'aider.

[Malekal_morte]

Ca c'est le disque dur de 250go.
Ca donne quoi sur l'autre ?

[zgsir]

Je n'ai qu'un seul disque dur.
L'autre disque est une cléUSB de 30Go

[Malekal_morte]

Ha ok, j'avais pas regardé les lecteurs.
Du coup, rien de vraiment anormal.

Tu peux faire ces vérifications classiques :

Installe Real Temp ou Coretemp, vois à combien monte la température de l'ordinateur lors de son utilisation.
Elle ne doit pas dépasser les 60 degrés.
Si possible fournis une capture d'écran de Real Temp/CoreTemp.
=> Tutorial Température ordinateur


Il faut vérifier si tu n'as pas des fichiers corrompus avec SFC (System File Check)
Télécharge et suis la procédure AUTO-SFC : http://forum.malekal.com/sfc-checksur-o ... ml#p402922
A l'issu, du scan, tu vas obtenir un rapport CBS.log
Envoie ce dernier sur http://pjjoint.malekal.com
Donne le lien ici en réponse.


Passe un coup de SFC (System File Check) :
=> http://forum.malekal.com/sfc-outils-ver ... 50094.html
Fais passer le rapport CBS.log via http://pjjoint.malekal.com

[zgsir]

Bonjour
Voici le lien pour tous les résultats que tu me demandes.
http://pjjoint.malekal.com/files.php?id ... 5s12d14b14

Cordialement
zgsir