Aide rootkit.win32 dans ServicePackFiles

Question

Bonjour,
Je viens d'effectuer un scan A squared Free, et il m'a détecté un "Rootkit.Win32.TDSS.u!A2 dans le dossier C:\WINDOWS\ServicePackFiles\i386\atapi.sys
J'ai mis le fichier en quarantaine mais je ne sais pas si c'est ce qu'il fallait faire. Faut il le supprimer ? (j'imagine qu'on ne peut pas). J'en profite donc pour faire une analyse Avast et il ne semble rien trouver pour le moment. J'attends d'avoir des conseils avant de redémarrer l'ordi ou tout autre chose... 
Une aide serait la bienvenue, merci!

verni29 · Answer

Bonjour, 

Il est possible que tu sois infecté par la dernière version de ce rootkit.
C'est une infection asssez complexe et qui patche des drivers système comme atapi.sys.

Suis pas à pas les consignes, stp.

Télécharge gmer 
http://www2.gmer.net/gmer.zip

# dézippe-le (clic droit et extraire sur le bureau ) 
# Ouvre le dossier crée et double-clique sur gmer.exe . 
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte. 
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport. 
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse

A+

Coraly · Answer

J'envoie le rapport tout à l'heure, ou je peux le lancer en même temps qu'Avast analyse ?

verni29 · Answer

Re, 

Non, ne fais pas les deux choses à la fois.
Si tu as lancé Avast, laisse le terminer.

A+

Coraly · Answer

Je viens de rentrer chez moi, mais c'est étrange, j'ai laissé tourner les analyses, Avast n'a rien trouvé, A Squared avec une analyse a trouvé d'autres choses, dont un autre rootkit dans system volume information par contre je n'arrive plus à ouvrir le moindre document, ou programme. Donc je n'arrive pas à lancer gmer. Je me demande si je peux copier. Je ne sais pas quoi faire (je n'ai pourtant pas du tout redémarer le pc depuis qu'Avast m'a détecté un cheval de troie cette après midi).
Que faire ?

verni29 · Answer

Re, 

L'infection a du se propager dans le PC.
Avais-tu laissé le PC connecter au net également ? 

peux-tu télécharger des logiciels du PC ?

Si oui, télécharge DDS de sUBs et sauvegarde-le sur ton bureau.
https://download.bleepingcomputer.com/sUBs/dds.scr

    * Désactive tout script bloquant, tel q'un antivirus, un logiciel comme ad-block, noscript etc.

    * Double-clique sur dds.scr pour lancer l'outil. Ne double clique qu'une seule fois dessus.
    * Une fois le scan fini, deux documents texte, DDS.txt et attach.txt, vont s'ouvrir .
    * Sauvegarde les deux rapports sur ton bureau et poste les deux rapports.

A+

Coraly · Answer

Non j'ai désactivé internet sur mon ordinateur.Le problème est que même si je peux (peut être, je vais tester) le copier sur mon bureau, j'ai comme l'impression que l'ouverture de n'importe quel programme est bloquée. Si je tente de copier mes documents sur un disque dur externe, y a il un risque de propagation en les copiant sur le pc de mon frère ?

Coraly · Answer

Je crois que le message n'a pas été transmis, donc je disais, que même si je peux (peut être, je vais tenter) de copier mes documents, j'ai comme l'impression que tous les applications, programmes sont bloquées lorsque j'essaye de les ouvrir. Du coup je ne pourrai à mon avis pas lancer DDS
Par contre, si je peux copier, y a til un risque de propagation lorsque le brancherai le disque dur externe sur le pc de mon frère ?

verni29 · Answer

Re, 

Déjà , un conseil. pas de précipitation.

Oui, déja sauvegarde tes fichiers sur le disque dur externe.
L'infection a du toucher les fichiers système dans un premier temps.
Il sera toujours possible de vérifier ces fichiers ensuite.

Avant de sauvegarder les documents, peux-tu commencer par télécharger l'outil que je t'ai demandé ?
ce n'est pas un exécutable et il pourra peut-être se lancer.

Ensuite, il faudrait que tu me dises si :
- tu as le CD de XP . C'est pour accéder à la console de récupération et si nécessaire réparer XP.
- si tu arrives à télécharger certains logiciels, il sera possible de les utiliser en mode sans échec ( et avec prise en charge réseau si possible ).
Si c'est le cas, je t'indiquerais quelques outils.

A+

Coraly · Answer

Je viens d'essayer de sauvegarder et haha, le pc a en quelquesorte "freezé" je n'arrive pas à réactualiser le bureau, rien ne s'actualise. Ce que je veux dire c'est que je ne peux plus rien faire, j'ai un peu tout essayé entre ouvrir une photo, lancer un programme, fermer une fenêtre... Il n'ouvre plus rien. La situation étant un peu morte, j'ai coupé l'ordinateur. (J'ai déjà connu ce problème mais diffèremment cet été et la seule solution avait été de mettre mon disque infecté en disque dur externe). Pour les cd de windows euh... Je dois avoir ça, mais disons que je m'en sers d'habitude pour réinstaller intégralement.
Alors je tente de démarrer en mode sans échec, en essayant ton programme dans le meilleur des cas ? Ou je mets ce disque en disque dur externe et je formate tout après avoir copié au préalable?

verni29 · Answer

coraly, 

je n'arrive pas non plus à visualiser ta réponse. 

Il arrive qu'il y ait quelques dérangements sur le forum du à une trop grande activité ou de la maintenance.
Sois patiente.

Je reste connecter jusqu'à 1 h 15.

A+

verni29 · Answer

OK, 

Si tu peux te connecter en mode sans échec avec prise en charge réseau, il y a sans doute moyen de nettoyer le PC.
cela va prendre un peu de temps ( peut-être plus que de formater, cela dépend ).

peux-tu tout de même essayer en mode sans échec avec prise en charge réseau ?

L'infection principale qui touche le PC a patché certains drivers système comme atapi.sys.
Il faut arriver à les remplacer dans un premier temps.

Poste les rapports si tu y arrives.

A+

Coraly · Answer

D'accord, je teste ça demain matin, là, j'ai récupéré les cd dont j'avais besoin etc.
Je te dirai quoi demain. Merci.

verni29 · Answer

Re, 

Une précision : quand je parle du CD de XP, je pense au CD original pas à des CD de sauvegarde crées par l'utilisateur.

On parle bien de la même chose ?

A+

Coraly · Answer

Je pensais à des sauvegardes oui.
Autre chose, j'ai réussi à copier mes documents qui se trouvaient sur mon disque dur infecté sur un autre pc (donc en le mettant en disque dur externe). Et après j'ai remis le disque dur sur mon pc, j'ai redémarré normalement, et là pas de problèmes particuliers...(Hier juste avant que tout plante j'ai mis en quarantaine tout ce que A squared avait trouvé durant l'analyse.) 
J'en ai donc profité pour faire une restauration système. Mais je doute que tout soit niquel. Donc je vais exécuter Gmer et envoyer le rapport.

Coraly · Answer

Gmer se lance, mais il scanne à une vitesse... Je n'ai le temps de ne rien sélectionner, à peine ouvert 2 secondes il a déjà finit et il se coupe de lui même.

verni29 · Answer

Re, 

Et après j'ai remis le disque dur sur mon pc, j'ai redémarré normalement, et là pas de problèmes particuliers...
Tu as donc accès à ta session .

J'en ai donc profité pour faire une restauration système. Mais je doute que tout soit niquel. 
Avast avait détecté un rootkit dans la restauration système.
Il est fort possible que le pc soit toujours infecté.

Télécharge OTL (de OldTimer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    * Double-clique sur OTL.exe pour le lancer. Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Dans la partie Customs Scans, copie/colle la liste suivante.

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT

 * Enfin, clique sur le bouton Quick Scan.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise un site comme http://cijoint.fr pour les déposer.
indique ensuite les deux liens crées.

A+

verni29 · Answer

Re, 

On dirait bien que le forum comme hier a quelques ratés.
pour faire apparaitre la réponse précédente ( je l'espère )

@+

Coraly · Answer

Alors voilà :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijOpGFm53.txt

http://www.cijoint.fr/cjlink.php?file=cj200912/cijYVYIQLy.txt
 
à bientôt

verni29 · Answer

réponse à venir.

A+

verni29 · Answer

coraly, 

1/ Désinstalle Gigaget via Ajout/suppression de programmes.

Cralbart, cela te dit quelque chose ?
Il y a des fichiers inconnus dans le rapport d'OTL.

2/ atapi.sys est toujours patché.
[2008/04/13 10:40:32 | 00,096,512 | ---- | M] () Unable to obtain MD5-- C:\WINDOWS\system32\drivers\atapi.sys
Il faut trouver une version saine de ce fichier sur le PC.

Télécharge SEAF ( de C_XX ) 
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

# Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) . 
# Tape [moreinfo],atapi.sys dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ". 
# Laisse l'outil scanner. 
# Copie/Colle le rapport qui s'ouvrira dans ton prochain message.

ATTENTION, écrit précisemment [moreinfo],atapi.sys ( avec la virgule entre le crochet et le nom du fichier ) pour la recherche.

A+

Robin des boitiers · Answer

Bonsoir

J'avai la meme chose hier soir, j'ai passé plusieurs fois a-squared free de suite et finalement apres avoir eliminer et retrouver ce rootkit (x11 achaque fois dans divers endroits) il a finit par disparaitre et a-squared ne signale plus rien.

J'ai passe panda anti rootkit mais je suis pas sur que l'elimination vienne de l'un ou de l'autre panda n 'a rien declarer et a squared plusieurs fois la même chose puis plus rien.

AH oui j 'avai eliminer atapi.sys manuellement, ainsi que d'autres qui etaient designés, et j'ai du faire un nettoyage des fichiers temporaires,mais ils se regeneraient systematiquement, alors j'ai pensé que ca n'avai pas d'effet.

Enfin si le coeur vous en dit essayez ces astuces ,sans garantie de succés.

Joyeuses fêtes a tous.  :)

verni29 · Answer

Coraly, 

Télécharge TDSSKiller sur ton Bureau.
https://support.kaspersky.com/downloads/utils/tdsskiller.zip

# Décompresse le (clic droit et extraire ici) puis
# Menu Démarrer clique sur Exécuter puis copie-colle "%userprofile%\bureau\TDSSKiller.exe" -l report.txt -v et clique sur OK
# Une fenêtre Dos noire va s'ouvrir, elle se refermera d'elle même quand le travail de l'outil sera terminé.
# Poste en réponse le rapport report.txt qui sera crée en C:\

A+

verni29 · Answer

Re, 

pour le texte à taper ( ou copier/coller ):

"%userprofile%\bureau\TDSSKiller.exe" -l report.txt -v

@+

verni29 · Answer

Re, 

Merci, j'espère que toi aussi tu as passé des bonnes fêtes.

On poursuit . Il vaut mieux être très prudent avec cette infection.

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

verni29 · Answer

Re, 

Pour visualiser ta réponse.

;-)

verni29 · Answer

Re, 

Il est demandé de brancher les supports amovibles pour vérifier d'éventuelles infections sur ces supports.
Branche les supports que tu as précisé.

;-)

verni29 · Answer

Re, 

On avisera mais sans l'installation de la console, l'outil est bridé et ne travaille qu'avec des fonctionnalités réduites.

Poste déjà le rapport obtenu.

A+

verni29 · Answer

Re, 

1/ Question : As-tu désinstallé Gigaget ?

2/ Relance ComboFix avec la connexion au net pour l'installation de la console.
poste le rapport obtenu.

A+

verni29 · Answer

Oui, 

Donc il a redémarré, il s'est lancé, mais me demande de me connecter à internet pour télécharger la console alors que j'étais connectée avant qu'il ne redémarre. 
Ne stoppe pas le scan de combofix.
Si tu ne peux pas installer la console, il est préférable de terminer toput de même ce scan 

Puis tu feras alors le scan en installant la console mais sans les supports amovibles.

A+

verni29 · Answer

Re, 

Pour ComboFix, on va supprimer la version installée et reessayer avec une version propre.

1/ Supprime Combofix.
Pour cela :
Démarrer --> exécuter --> tape ComboFix /uninstall

2/ Retélécharge ComboFix et lance - le :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

As-tu bien désactiver tout antivirus , antispyware pour passer combofix ? 

A+

verni29 · Answer

Re, 

Oui, 

Il faut le cd de XP pour cela.

suis le tuto : http://www.zebulon.fr/dossiers/61-2-installation-console-recuperation-disque.html

A+

verni29 · Answer

Re, 

J'avais oublié.
Tu as des CD de sauvegarde.

On va se passer de ComboFix. C'était pour vérifier le rapport de TDSSKiller qui montre qu'il n' y a plus d'infection TDSS.
On ve le vérifier avec OTL.

Relance OTL et copie ceci dans Custom Scans/Fixes :

netsvcs
Drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*
/md5start
atapi.sys
/md5stop
%systemroot%\*. /mp /s
c:\$recycle.bin\*.* /s
CREATERESTOREPOINT

clique sur le bouton Run Scan.

A+

verni29 · Answer

Re, 

C'est bizarre. Pour ComboFix, l'exécutable a été extrait et non lancé.

Extrait du rapport :
< MD5 for: ATAPI.SYS  >
[2008/04/13 10:40:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ERDNT\cache\atapi.sys
[2008/04/13 10:40:32 | 00,096,512 | ---- | M] () Unable to obtain MD5 -- C:\WINDOWS\system32\drivers\atapi.sys
Problème toujours pas résolu.

1/ Relance OTL.exe.
( ATTENTION, cette fois-ci, c'est Run Fix et non Run Scan qu'il faudra choisir )

    * Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant :

:OTL
[2009/12/25 20:08:50 | 00,000,000 | ---D | C] -- C:\32788R22FWJFW
[2009/12/25 17:27:42 | 00,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe
[2009/12/25 17:27:42 | 00,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe
[2009/12/25 17:27:42 | 00,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe
[2009/12/25 17:27:42 | 00,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe
[2009/12/25 17:25:14 | 00,000,000 | ---D | C] -- C:\Qoobox
[2009/12/25 16:37:02 | 00,137,480 | ---- | C] (Kaspersky Lab) -- C:\Documents and Settings\Administrateur\Bureau\TDSSKiller.exe
[2009/12/25 17:04:08 | 03,864,524 | R--- | M] () -- C:\Documents and Settings\Administrateur\Bureau\ComboFix.exe
[2009/12/09 22:54:07 | 00,261,632 | ---- | M] () -- C:\WINDOWS\PEV.exe


:files
C:\WINDOWS\system32\drivers\atapi.sys | C:\WINDOWS\ERDNT\cache\atapi.sys /replace

:Commands
[emptytemp]

#  Puis clique sur le bouton Run Fix en haut de la fenêtre.
# Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12262009_xxxxxxxx.log

2/ et Enfin, poste un nouveau log OTL ( avec Run Scan )

A+
---
Pas de désinfection par MP.

verni29 · Answer

Coraly, 

Pour la partie 2/ ( pour vérifier le fichier atapi.sys )

Copie ceci dans Custom Scans/Fixes lorsque tu lanceras OTL

/md5start
atapi.sys
/md5stop 

:-)

verni29 · Answer

Re, 

Toujours le même résultat malgré la copie faite.
C'est surprenant.

1/ Supprime les fichiers gmer.zip et gmer.exe.

2/ Télécharge gmer 
http://www.gmer.net/#files

# clique sur Download.exe et enregistre le fichier ( au nom aléatoire ) sur le bureau.
# double-clique sur cet exécutable. 
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte. 
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport. 
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

3/  télécharge MalwareBytes. 
http://www.malwarebytes.org/mbam/program/mbam-setup.exe 

Tu l'installes. Choisis les options par défaut. 
# A la fin de l’installation, il te sera demandé de mettre à jour MalwareBytes et de l’éxecuter .
# Accepte. Après la, mise à jour, le logiciel va s’ouvrir. 

# Dans l’onglet Recherche, sélectionne Exécuter un examen complet. 
# Clique sur recherche. Tu ne sélectionnes que les disques durs de l’ordinateur. 
# Clique sur lancer l’examen. 

# A la fin de la recherche, comme il est demandé, clique sur afficher les résultats.
# Si des infections sont trouvées, clique sur Supprimer la sélection. 
Tu postes le rapport dans ton prochain message.

Si tu ne retrouves pas le rapport, ouvre MalwareBytes et regarde dans l’onglet  Rapport/logs. Il y est. Clique dessus et choisir ouvrir. 

A+

verni29 · Answer

Coraly, 

C'est assez embêtant si on ne peut pas passer certains outils.
OTL dit que le fichier est toujours patché.
Gmer l'aurait confirmé.

On va reessayer avec ComboFix. J'ai supprimé les traces de la version sur le PC.

Suis le tuto suivant pour utiliser ComboFix et le renommer lors du téléchargement.
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm

A+

verni29 · Answer

Ok,

Ce qui bloque ComboFix, ce sont bien des drivers qui sont restés présents suite à une installation de daemon tools ou alcohol Soft, émulateurs de disque durs.
Ces deux logiciels ne sont plus présents dans la liste des logiciels installés sur le PC.

Il faut donc nettoyer les traces restants suite à l'installation d'un ou des logiciels.

1/ Relance OTL.exe.

    * Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant :

:OTL
[2009/12/19 10:25:17 | 00,000,000 | ---D | C] -- C:\Program Files\DAEMON Tools Lite
[2009/12/19 10:24:26 | 00,000,000 | ---D | C] -- C:\Documents and Settings\Administrateur\Application Data\DAEMON Tools Lite
[2009/12/19 10:24:22 | 00,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\DAEMON Tools Lite


:services
a347bus
a347scsi

:files
C:\WINDOWS\System32\DRIVERS\a347bus.sys
C:\WINDOWS\System32\Drivers\a347scsi.sys

    *  Puis clique sur le bouton Run Fix en haut de la fenêtre.
    * Laisse le programme travailler, le PC va redémarrer.

Tu verras un log s'ouvrir après le fix (c'est le log qui montre si la suppression a réussi). Si tu veux le poster, sauvegarde-le sur ton Bureau et poste-le.

Note : Si tu ne le trouves pas, c'est un fichier log dans C:\_OTL\MovedFiles
Regarde suivant la date : 12262009_xxxxxxxx.log

2/ désinstalle ComboFix .
Pour cela :
Démarrer --> exécuter --> tape : Combofix /uninstall

3/ Puis reprend la procédure avec ComboFix.
Cela devrait marcher.
https://forums.commentcamarche.net/forum/affich-15802854-aide-rootkit-win32-dans-servicepackfiles?page=2#28

A+

verni29 · Answer

Coraly, 

1/ démarrer --> exécuter --> tape successivement ceci puis valide à chaque fois par ENTREE

sc stop a347bus 
sc delete a347bus 
sc stop a347scsi 
sc delete a347scsi 

2/ Puis essaie de relancer ComboFix en prenant soin de désactiver avast, a-squared

A+

verni29 · Answer

Oui, 

C'est embettant.

On va essayer ceci.

    * Télécharge WinFileReplace de Loup Blanc sur ton Bureau,
https://forum.malekal.com/viewtopic.php?t=19657&start=

    * Double-clique sur le fichier téléchargé,
    * Choisis la langue d'utilisation (1 : français),
    * Le programme se lance et vérifie le service pack de XP.
    * Le bloc-note s'ouvre. Indiquer ceci dans la fenêtre du bloc-note :

C:\WINDOWS\system32\drivers\atapi.sys

    * Fermer le bloc-note et valider en enregistrant les changements.
    * Le service Pack correspondant à la version de XP est alors téléchargé. Cela peut prendre un peu de temps selon le débit de la connexion.
    * Il faut ensuite accepter les conditions du CLUF.
    * Confirmer la restauration du fichier en cliquant sur "o" et "entrée".
    * Confirmer en appuyant sur "o" et "entrée" pour provoquer le remplacement des fichiers au redémarrage.
    * Un rapport va s'ouvrir au redémarrage en indiquant si la procédure a réussi.
    * Editer ce rapport sur le forum.

Tuto : https://forum.malekal.com/viewtopic.php?t=19657&start=

2/ Relance OTL en copiant dans Custom Scans/Fixes 

/md5start
atapi.sys
/md5stop 

clique sur le bouton Run Scan.
Poste le rapport.

A+

verni29 · Answer

Coraly, l'année commence sous de bons auspices. < MD5 for: ATAPI.SYS > [2008/04/13 11:40:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\FR-files\atapi.sys [2008/04/13 10:40:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\ERDNT\cache\atapi.sys [2008/04/13 11:40:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\dllcache\atapi.sys [2008/04/13 11:40:32 | 00,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\system32\drivers\atapi.sys < End of report > Cette fois-ci, c'est bon. Le fichier atapi.sys est remplacé correctement. 1/ Désinstalle ComboFix. démarrer --> exécuter --> ComboFix /uninstall Tu vas faire deux scans pour vérifier que le PC est propre. 2/ Pour obtenir un rapport lors d'un scan d'Avast, il faut faire ceci : - click droit sur l'icone d'Avast dans la barre des taches --> clique sur la flèche au-dessus du curseur pour lancer le scan - choisir réglages --> fichier de rapport --> cocher créer un fichier - les rapports ( .txt ) seront sauvegardés ( par défaut ) dans C:\program files\Awil Software\Avast4\DATA\report Fais ce réglage pour obtenir le rapport. Puis lance un scan complet de tes disques durs et poste le rapport. 3/ Puis fais un scan en ligne. Suis le tuto : https://forum.pcastuces.com/default.asp A+

Robin des boitiers · Answer

Bonjour et bonne année.

Je ne veux pas dire que l'aide qu'on vous a apportée est inutile mais je recois les messages qui correspondent à votre probleme depuis un certain temps, alors que comme je vous l'indiquai au debut j'ai eu le même probleme et je m'en suis debarassé le jour même.

En general quand a-squared devouvre des malwares qu'il ne peut pas eliminer je les elimine manuellement, leur position etant indiquée si on developpe l'arborescence, je vais les chercher et les mets a la poubelle.

En general la source n'est pas eliminée et ils reaparaissent c'est pourquoi je vide contentie5 , les cookies, et les fichiers temporaires en remontant jusqu'a la date d'apparition du probleme.

Voici 2 logiciels que vous pouvez tester pour ce genre de soucis.

http://telecharger.superfiles.com/fr/class_details-unit-p-p-c-v-w/PANDA%2BANTI-ROOTKIT.htm

http://www.commentcamarche.net/...

verni29 · Answer

Coraly, 

1/ deux remarques sur le rapport d'a-squared.

- Certains fichiers ont été détéctés le 24 décembre et avant, dont atapi.sys dans le servicepackfile qui était la raison de ton post sur le forum.
- les autres à partir du 3 décembre. Ceux-la sont dans la restauration système et sont innofensifs dans ce cas ( mais à nettoyer de toute façon ).

Supprime-les et vide la quarantaine d'a-squared.

2/ Comme la restauration système a été touchée, il faut, comme tu le dis , vider la restauration système.

-->  Panneau de configuration --> Système --> Restauration du système 
cocher " Désactiver la restauration .... " 

Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.
Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

--> Tu vas recréer un point de restauration propre.
Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

3/ Tu peux lancer a-squared.

A+

verni29 · Answer

Re, 

Oui, tu peux le supprimer.
Ce fichier est un fichier qui fait partie du service pack 3.

Si tu l'as remarqué, il y a d'autres copies d'atapi.sys sur le PC et en autre, celle dans le cacjhe et le SP3 qu'on a entièrement téléchargé avec WinFileReplace.

pas de soucis, tu peux vider la quarantaine d'a-squared.

A+

verni29 · Answer

Pas de quoi.

Quelques conseils pour terminer.

1/ Il faut garder son PC à jour.
Un site qui permet de le faire : secunia

2/ On va enlever les logiciels qui ont été utilisés..
Télécharge ToolsCleaner .sur le bureau
http://pc-system.fr/

Double-clique sur ToolsCleaner2.exe --> Recherche --> Suppression.
Il est possible que ton bureau disparaisse.

Fais un copier/coller du rapport qui se trouve dans C:\TCleaner.txt.

Bonne continuation et bon surf.
Sois prudente.

A+

Aide rootkit.win32 dans ServicePackFiles

44 réponses

Votre réponse

Newsletters