Pb virus braviax.exe ??? - Page 2
Résolu
Précédent
- 1
- 2
- 3
- 4
Suivant
-
J'ai pu realiser 1, 2 3 et 4 sans problème.
Je me suis reconnecté après 3 et puis après le reboot (message système d'ailleurs sur le fichier beep.sys ) après 4 c'est revenu :-(
Pas de reboot intempestif pour l'instant.
Dois je refaire toute les manips pendant que j'ai encore la main ?
Merci.
resultat :
Fix Navipromo version 4.0.1 commencé le 16/08/2009 18:45:45,56
!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
Outil exécuté depuis C:\Program Files\navilog1
Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
BIOS : Phoenix ROM BIOS PLUS Version 1.10 A01
USER : jp ( Administrator )
BOOT : Normal boot
Antivirus : AntiVir PersonalEdition Classic Virus Protection 0.0.0.0 (Activated)
A:\ (USB)
C:\ (Local Disk) - NTFS - Total:74 Go (Free:27 Go)
D:\ (CD or DVD)
E:\ (CD or DVD)
Recherche executée en mode normal
[b]Aucune Infection Navipromo/Egdaccess trouvé/b
*** Scan terminé 16/08/2009 18:53:36,76 ***
combofix :
http://www.cijoint.fr/cjlink.php?file=cj200908/cijYeLVFL8.txt -
re,
tout est revenu ! ....
ne touche à rien ... arrète tout scan en cour !
je te prépare la suite .... à dans quelques minutes ...
-
Question : tu as ton CD original de Windows ?
la suite :
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
* Rends toi sur cette page > https://www.cjoint.com/?iquuwMiJfQ
* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :
* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau pour analyse et attends la suite ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
-
-
supprime le !
puis reprends ainsi :
Re-télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):
http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .
- le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -
puis reprends la manipe .... poste le rapport obtenu pour analyse ....
-
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
OK je viens de refaire la manip.
mais malheureusement, comme toute à l'heure après l'execution de combofix, c'est revenu...
resultat :
http://www.cijoint.fr/cjlink.php?file=cj200908/cijFCcR2qb.txt -
re,
on va proccèder autrement ....
mais une vérif avant tout :
1- Avoir accès aux fichiers cachés :
Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
* "Afficher les fichiers et dossiers cachés" ---> coché
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )
2- Rends toi sur ce site :
https://www.virustotal.com/gui/
Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
c:\windows\system32\drivers\beep.sys
Clique sur Send File ( = " Envoyer le fichier " ).
Un rapport va s'élaborer ligne à ligne.
Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta prochaine réponse ...
( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses
Fais de même pour :
c:\windows\system32\dllcache\beep.sys
Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...
-
resultat pour c:\windows\system32\drivers\beep.sys
Fichier beep.sys reçu le 2009.08.16 20:40:17 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
ClamAV 0.94.1 2009.08.16 -
Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
GData 19 2009.08.16 Generic.Malware.P!.80497AAE
Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
McAfee 5711 2009.08.16 FakeAlert-C.dr
McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
PCTools 4.4.2.0 2009.08.16 -
Prevx 3.0 2009.08.16 -
Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk
ViRobot 2009.8.14.1885 2009.08.14 -
VirusBuster 4.6.5.0 2009.08.16 -
Information additionnelle
File size: 29184 bytes
MD5...: c4000a48f953d36167a7df84f98a2634
SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
GData 19 2009.08.16 Generic.Malware.P!.80497AAE
Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
McAfee 5711 2009.08.16 FakeAlert-C.dr
McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk
Information additionnelle
File size: 29184 bytes
MD5...: c4000a48f953d36167a7df84f98a2634
SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-
resultat pour c:\windows\system32\dllcache\beep.sys
Fichier beep.sys reçu le 2009.08.16 20:49:31 (UTC)
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
ClamAV 0.94.1 2009.08.16 -
Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
GData 19 2009.08.16 Generic.Malware.P!.80497AAE
Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
McAfee 5711 2009.08.16 FakeAlert-C.dr
McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
PCTools 4.4.2.0 2009.08.16 -
Prevx 3.0 2009.08.16 -
Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk
ViRobot 2009.8.14.1885 2009.08.14 -
VirusBuster 4.6.5.0 2009.08.16 -
Information additionnelle
File size: 29184 bytes
MD5...: c4000a48f953d36167a7df84f98a2634
SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>-
Antivirus Version Dernière mise à jour Résultat
a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
ClamAV 0.94.1 2009.08.16 -
Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
eSafe 7.0.17.0 2009.08.16 -
eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
GData 19 2009.08.16 Generic.Malware.P!.80497AAE
Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
K7AntiVirus 7.10.819 2009.08.14 -
Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
McAfee 5711 2009.08.16 FakeAlert-C.dr
McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
PCTools 4.4.2.0 2009.08.16 -
Prevx 3.0 2009.08.16 -
Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
TheHacker 6.3.4.3.383 2009.08.13 -
TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk
ViRobot 2009.8.14.1885 2009.08.14 -
VirusBuster 4.6.5.0 2009.08.16 -
Information additionnelle
File size: 29184 bytes
MD5...: c4000a48f953d36167a7df84f98a2634
SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
PEiD..: -
TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
PDFiD.: -
RDS...: NSRL Reference Data Set<br>- -
Arf ...
les deux sont daubés ...
va falloire les shooter aussi ...tent mieux si tu as le CD de Windwos car derrière , il va falloir faire une réparation ...
fait ceci :
1- Télécharge OTM (de Old_Timer) sur ton Bureau.
! renomme le au téléchargement en OTMske comme tu as fait pour Combo ... !
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
* Double clique sur "OTM.exe" pour ouvrir le prg .
* Ensuite rends toi sur cette page > https://www.cjoint.com/?iqxHx8go3U
* Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)
! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !
-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...
-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .
Ton PC va redémarrer de lui même pour finir la suppression ...
Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).
-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).
=============================
2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
-
J'ai lance la manip mais je crois que c'est bloque, j'ai lance OTM il y a plus de dix minutes et rien ne se passe , j'ai l'image en fond d'ecran.
Que dois je faire ?
Merci -
re,
redémarre le PC manuellement pour voir ...
-
C'est ce que j'ai fait, RAS c'est pareil (j'ai recommencé une fois)
Ca revient comme avant et les fichiers sont toujours là... -
bon ...
il est tard on continuera demain ...
donc pour demain :
Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...
-
-
bien ....
IMPORTANT !:
Désactive ta restauration :
Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK
Une fois ceci fait ( et pas avant ! ) , tu enchaines :
========================
1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
* Rends toi sur cette page > https://www.cjoint.com/?iriUdpOMUS
* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :
* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
2-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
-
OK manip effectuée.
Ci-joint resultat (j'ai encore du renommer combofix), après le reboot pas de croix rouge...
Ca a l'air de marcher pour l'instant.
https://www.cjoint.com/?irmy2s6i2B -
Salut,
il y a du mieux , mais cette salté est encore bien là ... si tu reboot le PC , tout reviendra ...
je croit savoir d'où provient la chose ... un autre fichier systeme est patché ...
analyses les fichiers suivant sur VirusTotal stp :
c:\windows\system32\drivers\beep.sys
c:\windows\SYSTEM32\DLLCACHE\ntfs.sys
c:\windows\SYSTEM32\DRIVERS\ntfs.sys
c:\windows\SYSTEM32\9670711FF4.sys
c:\windows\system32\tude.inf
c:\windows\system32\ketuja.ban
c:\windows\system32\asaso.scr
c:\windows\system32\kula.vbs
Poste moi les 8 rapports obtenus et attends la suite ....
-
-
oki ....
voilà comment on va procéder dans un premier temps ...
dans l'ordre :
1- 1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .
* Rends toi sur cette page > https://www.cjoint.com/?irn5PbTEbu
* copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :
* Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ... ( sauvegarde le bien sur le bureau )
==========================
2- fait la manipe avec l'outil WinFileReplace qui est parfaitement décrite ici :
> https://forum.malekal.com/viewtopic.php?t=19657&start=
tu copieras donc ceci dans le bloc-note pour la restauration :
c:\windows\system32\drivers\beep.sys
c:\windows\system32\dllcache\beep.sys
c:\windows\system32\drivers\ntfs.sys
c:\windows\system32\dllcache\ntfs.sys
Déconnecte toi bien après cette manipe !
> une fois ceci fait , dis moi comment cela c'est passé et attends mon feu vert avant de faire la suite ....
========================
3-Nettoyage :
!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!
--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .
(Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )
Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.
Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)
!! Ne touches à rien tant que le scan n'est pas terminé !!
Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...
( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
-
opération 1 et 2 effectuée, par contre résultat bizarre en ce qui concerne 2 :
décompression des fichiers
beep.sys introuvable dans ce service pack
beep.sys id
ntfs.sys id
ntfs.sys id.
le remplacement peut commencer
êtes vous sur? O/N (répondu oui)
Aucuan fichier n'a été trouvé à l'emplacement prévu
appuyer sur une touche pour quitter.
comme convenu, j'attends tes instructions. -
re,
bon ...
rends toi ici sur ton PC > c:\windows\ServicePackFiles\i386\ntfs.sys
et dis moi si il y a bien le fichier ntfs.sys présent ...
Précédent
- 1
- 2
- 3
- 4
Suivant