Pb virus braviax.exe ??? - Page 2

Résolu
Précédent
  • 1
  • 2
  • 3
  • 4
  1. jpp
     
    J'ai pu realiser 1, 2 3 et 4 sans problème.
    Je me suis reconnecté après 3 et puis après le reboot (message système d'ailleurs sur le fichier beep.sys ) après 4 c'est revenu :-(
    Pas de reboot intempestif pour l'instant.
    Dois je refaire toute les manips pendant que j'ai encore la main ?

    Merci.

    resultat :
    Fix Navipromo version 4.0.1 commencé le 16/08/2009 18:45:45,56

    !!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
    !!! Postez ce rapport sur le forum pour le faire analyser !!!

    Outil exécuté depuis C:\Program Files\navilog1

    Mise à jour le 18.07.2009 à 11h00 par IL-MAFIOSO

    Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3
    X86-based PC ( Multiprocessor Free : Intel(R) Pentium(R) 4 CPU 2.80GHz )
    BIOS : Phoenix ROM BIOS PLUS Version 1.10 A01
    USER : jp ( Administrator )
    BOOT : Normal boot

    Antivirus : AntiVir PersonalEdition Classic Virus Protection 0.0.0.0 (Activated)

    A:\ (USB)
    C:\ (Local Disk) - NTFS - Total:74 Go (Free:27 Go)
    D:\ (CD or DVD)
    E:\ (CD or DVD)

    Recherche executée en mode normal

    [b]Aucune Infection Navipromo/Egdaccess trouvé/b

    *** Scan terminé 16/08/2009 18:53:36,76 ***

    combofix :
    http://www.cijoint.fr/cjlink.php?file=cj200908/cijYeLVFL8.txt
    0
  2. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    tout est revenu ! ....

    ne touche à rien ... arrète tout scan en cour !

    je te prépare la suite .... à dans quelques minutes ...

    0
  3. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Question : tu as ton CD original de Windows ?

    la suite :

    1-Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    * Rends toi sur cette page > https://www.cjoint.com/?iquuwMiJfQ

    * copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    * Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ... ( sauvegarde le bien sur le bureau )

    2-Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

    Cette manipulation va relancer combofix .
    --> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    !! Ne touches à rien tant que le scan n'est pas terminé !!

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau pour analyse et attends la suite ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
    0
  4. jpp
     
    oui j'ai le CD d'install

    Combofix ne se lance pas !!
    Même en mode sans echec.
    0
    1. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
       
      supprime le !


      puis reprends ainsi :

      Re-télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

      http://download.bleepingcomputer.com/sUBs/ComboFix.exe <--- clique droit sur ce lien et choisis "enregistrer la cible sous ... " : dans la fenêtre qui s'ouvre tape CFix et valide .

      - le renommage au téléchargement est primordial pour contrer l'infection, sinon l'outil sera inutilisable -



      puis reprends la manipe .... poste le rapport obtenu pour analyse ....

      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. jpp
     
    OK je viens de refaire la manip.

    mais malheureusement, comme toute à l'heure après l'execution de combofix, c'est revenu...

    resultat :
    http://www.cijoint.fr/cjlink.php?file=cj200908/cijFCcR2qb.txt
    0
  7. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    on va proccèder autrement ....

    mais une vérif avant tout :

    1- Avoir accès aux fichiers cachés :

    Va dans Menu Démarrer->Poste de travail->Outils->Options des dossiers...->Affichage
    * "Afficher les fichiers et dossiers cachés" ---> coché
    * "Masquer les extensions des fichiers dont le type est connu" ---> décoché
    * "masquer les fichiers du système" ---> décoché
    -> valide la modif ( "appliquer" puis "ok" ).
    ( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... )

    2- Rends toi sur ce site :

    https://www.virustotal.com/gui/

    Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé ) :
    c:\windows\system32\drivers\beep.sys

    Clique sur Send File ( = " Envoyer le fichier " ).

    Un rapport va s'élaborer ligne à ligne.

    Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

    Sauvegarde le rapport avec le bloc-note.

    Copie le dans ta prochaine réponse ...

    ( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

    petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

    Fais de même pour :

    c:\windows\system32\dllcache\beep.sys

    Poste moi donc ces 2 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...

    0
  8. jpp
     
    resultat pour c:\windows\system32\drivers\beep.sys

    Fichier beep.sys reçu le 2009.08.16 20:40:17 (UTC)
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
    AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
    AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
    Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
    Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
    Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
    AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
    BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
    CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
    ClamAV 0.94.1 2009.08.16 -
    Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
    eSafe 7.0.17.0 2009.08.16 -
    eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
    F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
    F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
    Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
    GData 19 2009.08.16 Generic.Malware.P!.80497AAE
    Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
    Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
    K7AntiVirus 7.10.819 2009.08.14 -
    Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    McAfee 5711 2009.08.16 FakeAlert-C.dr
    McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
    McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
    Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
    NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
    Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
    nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
    Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
    PCTools 4.4.2.0 2009.08.16 -
    Prevx 3.0 2009.08.16 -
    Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
    Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
    Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
    Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
    TheHacker 6.3.4.3.383 2009.08.13 -
    TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
    VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk
    ViRobot 2009.8.14.1885 2009.08.14 -
    VirusBuster 4.6.5.0 2009.08.16 -
    Information additionnelle
    File size: 29184 bytes
    MD5...: c4000a48f953d36167a7df84f98a2634
    SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
    SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
    ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
    AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
    AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
    Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
    Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
    Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
    AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
    BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
    CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
    Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
    eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
    F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
    F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
    Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
    GData 19 2009.08.16 Generic.Malware.P!.80497AAE
    Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
    Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
    Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    McAfee 5711 2009.08.16 FakeAlert-C.dr
    McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
    McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
    Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
    NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
    Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
    nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
    Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
    Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
    Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
    Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
    Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
    TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
    VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk

    Information additionnelle
    File size: 29184 bytes
    MD5...: c4000a48f953d36167a7df84f98a2634
    SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
    SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
    ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-

    resultat pour c:\windows\system32\dllcache\beep.sys

    Fichier beep.sys reçu le 2009.08.16 20:49:31 (UTC)
    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
    AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
    AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
    Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
    Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
    Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
    AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
    BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
    CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
    ClamAV 0.94.1 2009.08.16 -
    Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
    eSafe 7.0.17.0 2009.08.16 -
    eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
    F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
    F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
    Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
    GData 19 2009.08.16 Generic.Malware.P!.80497AAE
    Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
    Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
    K7AntiVirus 7.10.819 2009.08.14 -
    Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    McAfee 5711 2009.08.16 FakeAlert-C.dr
    McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
    McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
    Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
    NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
    Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
    nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
    Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
    PCTools 4.4.2.0 2009.08.16 -
    Prevx 3.0 2009.08.16 -
    Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
    Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
    Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
    Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
    TheHacker 6.3.4.3.383 2009.08.13 -
    TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
    VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk
    ViRobot 2009.8.14.1885 2009.08.14 -
    VirusBuster 4.6.5.0 2009.08.16 -
    Information additionnelle
    File size: 29184 bytes
    MD5...: c4000a48f953d36167a7df84f98a2634
    SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
    SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
    ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-

    Antivirus Version Dernière mise à jour Résultat
    a-squared 4.5.0.24 2009.08.16 Backdoor.Win32.UltimateDefender!IK
    AhnLab-V3 5.0.0.2 2009.08.15 Win-Trojan/AVKiller.29184.D
    AntiVir 7.9.1.1 2009.08.14 TR/Rootkit.Gen
    Antiy-AVL 2.0.3.7 2009.08.14 Backdoor/Win32.UltimateDefender
    Authentium 5.1.2.4 2009.08.16 W32/SYStroj.H.gen!Eldorado
    Avast 4.8.1335.0 2009.08.15 Win32:FakeAV-NO
    AVG 8.5.0.406 2009.08.16 BackDoor.Generic11.AIVI
    BitDefender 7.2 2009.08.16 Generic.Malware.P!.80497AAE
    CAT-QuickHeal 10.00 2009.08.16 Backdoor.UltimateDefender.xm
    ClamAV 0.94.1 2009.08.16 -
    Comodo 1993 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    DrWeb 5.0.0.12182 2009.08.16 Trojan.NtRootKit.3206
    eSafe 7.0.17.0 2009.08.16 -
    eTrust-Vet 31.6.6678 2009.08.14 Win32/Eldycow!generic
    F-Prot 4.4.4.56 2009.08.16 W32/SYStroj.H.gen!Eldorado
    F-Secure 8.0.14470.0 2009.08.16 Rootkit:W32/Xanti.gen!A
    Fortinet 3.120.0.0 2009.08.16 W32/FakeAlert.XM!tr.bdr
    GData 19 2009.08.16 Generic.Malware.P!.80497AAE
    Ikarus T3.1.1.64.0 2009.08.16 Backdoor.Win32.UltimateDefender
    Jiangmin 11.0.800 2009.08.16 Rootkit.Agent.cll
    K7AntiVirus 7.10.819 2009.08.14 -
    Kaspersky 7.0.0.125 2009.08.16 Backdoor.Win32.UltimateDefender.xm
    McAfee 5711 2009.08.16 FakeAlert-C.dr
    McAfee+Artemis 5711 2009.08.16 FakeAlert-C.dr
    McAfee-GW-Edition 6.8.5 2009.08.16 Heuristic.BehavesLike.Win32.Rootkit.B
    Microsoft 1.4903 2009.08.16 VirTool:WinNT/Xantvi.gen!A
    NOD32 4340 2009.08.16 a variant of Win32/UltimateDefender.A
    Norman 6.01.09 2009.08.14 W32/UltimateDefender.E
    nProtect 2009.1.8.0 2009.08.16 Backdoor/W32.UltimateDefender.29184
    Panda 10.0.0.14 2009.08.16 Adware/UltimateDefender
    PCTools 4.4.2.0 2009.08.16 -
    Prevx 3.0 2009.08.16 -
    Rising 21.42.62.00 2009.08.16 Trojan.DL.Win32.Braviax.ae
    Sophos 4.44.0 2009.08.16 Mal/FakeAle-C
    Sunbelt 3.2.1858.2 2009.08.16 Trojan.Win32.Generic!BT
    Symantec 1.4.4.12 2009.08.16 Hacktool.Rootkit
    TheHacker 6.3.4.3.383 2009.08.13 -
    TrendMicro 8.950.0.1094 2009.08.14 TROJ_VIRANTIX.BF
    VBA32 3.12.10.9 2009.08.16 Backdoor.Win32.UltimateDefender.igk
    ViRobot 2009.8.14.1885 2009.08.14 -
    VirusBuster 4.6.5.0 2009.08.16 -

    Information additionnelle
    File size: 29184 bytes
    MD5...: c4000a48f953d36167a7df84f98a2634
    SHA1..: 51d31bbe993ca550ba40f4a756ce0fe8c08930ad
    SHA256: ff0260a3b944b3b97c7eff5c153b66cfe0445f747946dd63d5a64bf4f4d57372
    ssdeep: 384:oQC3w/4aSYQEUWUmppBPtM5cuBSy42AJqcSr7n1Rn8Ucs/QjfamGePodlDC1<br>kX5o:3Sw1SeByhKzw1RbDGfaHtC1k<br>
    PEiD..: -
    TrID..: File type identification<br>Win32 Executable Generic (68.0%)<br>Generic Win/DOS Executable (15.9%)<br>DOS Executable Generic (15.9%)<br>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
    PEInfo: PE Structure information<br><br>( base data )<br>entrypointaddress.: 0x1f52<br>timedatestamp.....: 0x4a842462 (Thu Aug 13 14:34:10 2009)<br>machinetype.......: 0x14c (I386)<br><br>( 5 sections )<br>name viradd virsiz rawdsiz ntrpy md5<br>.text 0x1000 0x1839 0x1a00 5.58 f4bd2fd136b6a52f63e1303ac3e66e42<br>.data 0x3000 0x47b8 0x4800 7.82 f0a5e99a5782d52d444a97ab5db75e38<br>INIT 0x8000 0x4b4 0x600 4.51 c8136faed724ee1b165396291f2ce94c<br>.rsrc 0x9000 0xb0 0x200 4.10 9354afdd3424b559a0b57a6c2eec82b4<br>.reloc 0xa000 0x310 0x400 4.52 0ee88ee5e3c26109f0dded63f8641ef8<br><br>( 2 imports ) <br>> ntoskrnl.exe: IoReleaseCancelSpinLock, KeRemoveDeviceQueue, IoAcquireCancelSpinLock, IoStartPacket, IoDeleteDevice, KeSetTimer, MmMapLockedPages, MmBuildMdlForNonPagedPool, MmCreateMdl, KeServiceDescriptorTable, MmPageEntireDriver, KeInitializeEvent, KeInitializeTimer, KeInitializeDpc, PsSetLoadImageNotifyRoutine, ZwQuerySystemInformation, IoCreateDevice, IoStartNextPacket, ExFreePoolWithTag, ZwClose, ZwWriteFile, ExAllocatePoolWithTag, ZwCreateFile, ExAcquireResourceExclusiveLite, RtlInitUnicodeString, ZwSetValueKey, ZwCreateKey, ZwDeleteValueKey, tolower, RtlFreeAnsiString, ZwTerminateProcess, ZwOpenProcess, RtlInitAnsiString, RtlUnicodeStringToAnsiString, KeRemoveEntryDeviceQueue, KeCancelTimer, MmUnlockPagableImageSection, MmLockPagableDataSection, ExReleaseResourceLite, IofCompleteRequest<br>> HAL.dll: KfLowerIrql, ExAcquireFastMutex, ExReleaseFastMutex, HalMakeBeep, KfRaiseIrql<br><br>( 0 exports ) <br>
    PDFiD.: -
    RDS...: NSRL Reference Data Set<br>-
    0
  9. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Arf ...

    les deux sont daubés ...

    va falloire les shooter aussi ...tent mieux si tu as le CD de Windwos car derrière , il va falloir faire une réparation ...

    fait ceci :

    1- Télécharge OTM (de Old_Timer) sur ton Bureau.

    ! renomme le au téléchargement en OTMske comme tu as fait pour Combo ... !

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    * Double clique sur "OTM.exe" pour ouvrir le prg .

    * Ensuite rends toi sur cette page > https://www.cjoint.com/?iqxHx8go3U

    * Puis copie tout le texte qui s' y trouve et colle le dans le cadre de gauche de OTM :
    Paste Instructions for items to be moved.
    (ne touche à rien d'autre !)

    ! Déconnecte toi et ferme toutes tes applications en cours ( navigateur compris ) !

    -> clique sur MoveIt! pour lancer la suppression.
    -> laisse travailler l'outil ...

    -> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

    Ton PC va redémarrer de lui même pour finir la suppression ...

    Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTM , accepte ( pour que l'outil finisse son boulot ... ).

    -->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTM\MovedFiles"
    ( " xxxx2009_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

    =============================

    2- Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
  10. jpp
     
    J'ai lance la manip mais je crois que c'est bloque, j'ai lance OTM il y a plus de dix minutes et rien ne se passe , j'ai l'image en fond d'ecran.

    Que dois je faire ?

    Merci
    0
  11. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    redémarre le PC manuellement pour voir ...

    0
  12. jpp
     
    C'est ce que j'ai fait, RAS c'est pareil (j'ai recommencé une fois)
    Ca revient comme avant et les fichiers sont toujours là...
    0
  13. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bon ...

    il est tard on continuera demain ...

    donc pour demain :

    Refais un scan ZHPDiag, coche bien toutes les options ( sauf la 045 et 061 ), poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...

    0
  14. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    bien ....

    IMPORTANT !:

    Désactive ta restauration :
    Clique droit sur poste de travail/propriétés/Restauration système/coche la case désactiver la restauration, appliquer, OK

    Une fois ceci fait ( et pas avant ! ) , tu enchaines :

    ========================

    1-Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    * Rends toi sur cette page > https://www.cjoint.com/?iriUdpOMUS

    * copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    * Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ... ( sauvegarde le bien sur le bureau )

    2-Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

    Cette manipulation va relancer combofix .
    --> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    !! Ne touches à rien tant que le scan n'est pas terminé !!

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    0
  15. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    Salut,

    il y a du mieux , mais cette salté est encore bien là ... si tu reboot le PC , tout reviendra ...

    je croit savoir d'où provient la chose ... un autre fichier systeme est patché ...

    analyses les fichiers suivant sur VirusTotal stp :

    c:\windows\system32\drivers\beep.sys
    c:\windows\SYSTEM32\DLLCACHE\ntfs.sys
    c:\windows\SYSTEM32\DRIVERS\ntfs.sys
    c:\windows\SYSTEM32\9670711FF4.sys
    c:\windows\system32\tude.inf
    c:\windows\system32\ketuja.ban
    c:\windows\system32\asaso.scr
    c:\windows\system32\kula.vbs


    Poste moi les 8 rapports obtenus et attends la suite ....

    0
  16. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    oki ....

    voilà comment on va procéder dans un premier temps ...

    dans l'ordre :

    1- 1-Créer un doc texte sur ton bureau :
    pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

    * Rends toi sur cette page > https://www.cjoint.com/?irn5PbTEbu

    * copie/colle tout le texte qui s'y trouve ( et rien d'autre!) dans le fichier texte que tu viens de créer :

    * Pour sauvegarder, va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
    CFScript puis valide ... ( sauvegarde le bien sur le bureau )

    ==========================

    2- fait la manipe avec l'outil WinFileReplace qui est parfaitement décrite ici :
    > https://forum.malekal.com/viewtopic.php?t=19657&start=

    tu copieras donc ceci dans le bloc-note pour la restauration :

    c:\windows\system32\drivers\beep.sys
    c:\windows\system32\dllcache\beep.sys
    c:\windows\system32\drivers\ntfs.sys
    c:\windows\system32\dllcache\ntfs.sys


    Déconnecte toi bien après cette manipe !

    > une fois ceci fait , dis moi comment cela c'est passé et attends mon feu vert avant de faire la suite ....

    ========================

    3-Nettoyage :

    !! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

    --->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

    (Regarde ici : http://img.photobucket.com/albums/v666/sUBs/CFScript.gif )

    Cette manipulation va relancer combofix .
    --> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

    Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

    !! Ne touches à rien tant que le scan n'est pas terminé !!

    Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

    Une fois le scan achevé, un rapport va s'afficher : poste le accompagné pour analyse ...

    ( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )

    0
  17. jpp
     
    opération 1 et 2 effectuée, par contre résultat bizarre en ce qui concerne 2 :

    décompression des fichiers
    beep.sys introuvable dans ce service pack
    beep.sys id
    ntfs.sys id
    ntfs.sys id.
    le remplacement peut commencer
    êtes vous sur? O/N (répondu oui)
    Aucuan fichier n'a été trouvé à l'emplacement prévu
    appuyer sur une touche pour quitter.

    comme convenu, j'attends tes instructions.
    0
  18. sKe69 Messages postés 21955 Statut Contributeur sécurité 463
     
    re,

    bon ...

    rends toi ici sur ton PC > c:\windows\ServicePackFiles\i386\ntfs.sys

    et dis moi si il y a bien le fichier ntfs.sys présent ...

    0
Précédent
  • 1
  • 2
  • 3
  • 4