Disparition d'un DD après netoyage Rootkit

Modérateur: Modérateurs et Modératrices

Disparition d'un DD après netoyage Rootkit

Messagede Wildcat » 13 Nov 2008, 20:02

Bonjour à tous,

Pas sure d'être dans la bonne section, mais allons y: suite à plusieurs soucis divers et varié, j'ai fait un scan de démarrage avec Avast qui m'a trouver un rootkit + 2 ou 3 autre malware et trojan. On supprime tous ça, et ça va déjà mieux.

Sauf que visiblement, ça a fait sauté des petites chose dans les clés de registres : il me redemandait d'activer windows entre autre... enfin, passons. Également page banches sur internet avec un connexion parfaitement opérationnelle : j'ai trouvé un petit logiciel très bien qui répare les "winsock" [WinsockxpFix.exe], et ça fonctionne bien à nouveau.

Sauf que... Sauf que j'ai un disque dur qui a "disparu". Il est visible dans le Bios, mais windows, l'est tout miro : le disque n'apparaît nulle part, ni dans le gestion des disque durs, ni dans le poste de travail.

En résumé :

CM Asus P5 N SLI
HD Sata (2 partitions dont une sur laquelle il y a windows)
HD IDE => c'est celui là qui n'est pas détecté sur canal IDE principal en Slave
CD + DVD (IDE évidement) sur une autre nappe => eux ils sont bien reconnu. Sont sur canal IDE secondaire

J'ai débrancher / rebrancher tous les disques, rien n'a changé.
J'ai essayer désactivation / activation des canaux IDE, mais ça n'a rien changé non plus.

Donc, je ne sais pas trop : est-ce que le rootkit a pu faire tant de "dégats" qu'XP ne voit plus ces petits? Est-ce que le nettoyage n'a pas été fait suffisamment en profondeur? Est-ce qu'il faut désinstaller les canaux IDE comme l'indique certains pour que windows re-détecte le disque tout seul?

Voilà, pas vraiment une aide pour une désinfection, mais besoin d'aide sur les conséquences de celle-ci...

D'avance, merci pour votre aide.
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Messagede Le Sanglier » 13 Nov 2008, 20:49

Bonjour,

essaye la commande Chkdsk via Démarrer/Exécuter avec une des options définies sur le lien suivant :

http://www.infoprat.net/astuces/windows ... chkdsk.php

@+
Avatar de l’utilisateur
Le Sanglier
 
Messages: 405
Inscription: 25 Avr 2007, 13:31

Messagede ricouz » 13 Nov 2008, 21:29

Bonsoir

Je n'ai pas la solution à ton problème, mais je pense que le chkdsk ne peut pas fonctionner puisqu'il faut une lettre de lecteur ou un nom de volume.

Est-ce que tu vois le disque dans la gestion de l'ordinateur/gestion des disques (clic droit sur le poste de travail puis gérer)

2° piste peut-être, est-ce que dans gestion de l'ordinateur/gestion des périphériques, le controleur ATA/ATAPI IDE est bien détecté.

A+
Ricouz (Windows 10, Opera développeur, Norton, Malwarebytes
_________________
Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes.
ricouz
 
Messages: 568
Inscription: 05 Sep 2004, 20:42

Messagede Wildcat » 15 Nov 2008, 14:53

Bonjour,

Merci pour la piste, mais déjà regardé : DD invisible dans gestion de disque, et, les contrôleurs ATA/ATAPI semblent OK : les lecteurs / graveur CD/DVD sont sur la nappe IDE secondaire et sont bien visible par XP... Et le contrôleur IDE Primaire apparaît bien lui aussi et est indiqué comme fonctionnant correctement... Ce DD apparaissait dans XP avant ma désinfection "sauvage", et plus après...

Comme ça apparaît dans BIOS, je ne pense pas à un problème Hardware. La désinfection a vraiment mis le bazar dans XP : comme indiqué, XP a redemandé à être activé, donc, les clé de registres ont été touchées. Je me demande si quelque chose d'autre dans le "coeur" d'XP n'a pas été touché, empêchant la détection de ce DD... Et je n'ai aucune, mais alors aucune envie de réinstaller XP...

Par contre, comme il apparaît dans le BIOS, j'ai son nom au p'tit père, mais pas sûre que ce soit le nom du volume, peut-être plutôt le nom "constructeur", parce que c'est un code avec lettres et chiffres: est-ce que ton chkdsk pourrait fonctionner quand même avec cette référence?

[Edit] Je viens d'avoir une idée : le DD fait plus de 137 Go... Peut-être faut-il réactivé la prise en charge (le truc LBA) dans les registre?
Je vais voir ça et je reviendrai vous dire :D


En attendant, si d'autres ont des idées, je prends :wink:
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Messagede Wildcat » 15 Nov 2008, 16:23

Re,

Bon, raté... En plus j'aurai dû m'en douter, le SATA de 500 Go est détecté, donc un "petit" IDE de 200 Go, il ne devrait pas y avoir de souci...
J'ai aussi essayé le branchement sur l'IDE secondaire, toujours rien, enfin OK dans le BIOS, mais rien dans XP...

Pas d'autres idées por l'instant,

Dans l'attente de vos conseils,

D'avance merci.
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Messagede Le Sanglier » 15 Nov 2008, 17:45

Une idée comme ça

essaye Partition Magic

tuto: http://www.forum-aide.com/tutoriaux-inf ... t10.0.html

version d'évaluation : http://www.clubic.com/lancer-le-telecha ... magic.html

est ce que tu vois ton disque après l'installation de PM ?

malheureusement la version d'évaluation de PM ne permet pas d'enregistrer les modifications sur le disque et la version complète n'est pas donné.

des outils gratuits http://www.commentcamarche.net/faq/suje ... ic-gratuit

Bon courage.
Avatar de l’utilisateur
Le Sanglier
 
Messages: 405
Inscription: 25 Avr 2007, 13:31

Messagede ricouz » 15 Nov 2008, 20:54

Re

Tu devrais essayer de supprimer le controleur Atapi IDE et ensuite de rebooter ta machine.
De toute manière il sera à nouveau détectée et peut-être le disque en même temps.
J'avais eu un problème un peu similaire avec un graveur de cd (mais pas à cause d'un rootkit)

Bon courage
Ricouz (Windows 10, Opera développeur, Norton, Malwarebytes
_________________
Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes.
ricouz
 
Messages: 568
Inscription: 05 Sep 2004, 20:42

Messagede Wildcat » 15 Nov 2008, 20:56

Merci. Je vais essayé ça.

J'ai aussi un disque bootable Gparted, mais je flippe à chaque fois : quand ça formate, ça formate... Et si Gparted le trouve, je ne saurais pas quoi faire, car je ne veux pas le formater (trop de truc dessus)...

Et si Partition Magic le trouve, je fais quoi? Je ne comprends pas bien comment ça peut aider XP à voir ce DD :?
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Messagede nickW » 16 Nov 2008, 00:40

Bonsoir,

Comment as-tu supprimé ce "rootkit"?
Avec quel logiciel/quel outil?
As-tu conservé les rapports de nettoyage?
As-tu le nom de ce "rootkit"?
As-tu le nom des fichiers supprimés/mis en quarantaine?

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede Wildcat » 16 Nov 2008, 10:26

Bonjour NickW,

Comment as-tu supprimé ce "rootkit"? -> Scan de démarrage Avast
Message comme quoi fichier était manqant (quelque chose comme csrss).
Scan Avast qui a détecter l'infection pendant le test mémoire
Scan de démarrage et j'ai demandé la suppression (et non la mise en quarantaine)

Avec quel logiciel/quel outil?
-> Avast

As-tu conservé les rapports de nettoyage?
-> Heureusement qu'Avast fait ça tout seul, je n'y avait pas pensé :oops:

Voici :

2008-11-08 21:19 PropriÈtaire
1932 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Windows\system32\drivers\csrss.exe" file.

2008-11-08 21:22 PropriÈtaire
3968 Sign of "Win32:Trojan-gen {Other}" has been found in "c:\windows\system32\drivers\csrss.exe" file.

2008-11-09 16:32 PropriÈtaire
1760 Sign of "Win32:Agent-AAZG [Rtk]" has been found in "D:\LaMule\Incoming\professeur layton et l'etrange village nds razorback.zip\Setup.exe" file.

2008-11-12 19:48 SYSTEM
1092 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "G:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe" file. => C'est ce disque qui a disparu de l'affichage.

2008-11-13 12:13 PropriÈtaire
1084 Sign of "Win32:Trojan-gen {Other}" has been found in "D:\LaMule\Incoming\Alice Greenfingers 2.rar\Alice Greenfingers 2.exe" file.

Bon, c'est la honte parce que les troyen viennent de Download, et Antivir ne les a pas détecter. C'est pour ça que j'ai remis Avast...
Et c'est effectivement G: qui a disparu de l'affichage, je n'avais pas fait le rapprochement... G: n'est pourtant pas un disque "principal", plutôt utiliser pour stocker des photos, des documents... pas (peu) d'executables...

As-tu le nom de ce "rootkit"? ->
je suppose que c'est ça : ise32.exe

As-tu le nom des fichiers supprimés/mis en quarantaine?
-> supprimer, c'est ceux au dessus, par contre, j'ai regarder la quarantaine, et Avast indique que des "fichiers importants ont été sauvegardés" :

Kernel32.dll
Winsock.dll
Wsock32.dll

Par info, G: est ré-apparu hier en rallumant l'ordinateur, mais ce matin, il a à nouveau disparu...
Avatar de l’utilisateur
Wildcat
 
Messages: 72
Inscription: 01 Mai 2006, 17:51

Suivante

Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité

cron