Virus RootKit
Résolu
demis_k
Messages postés
44
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonsoir,
je vous écris suite à un (voire deux) gros problèmes.
Mes 2 pc (perso et taf) sont virusés.
Sur le perso, avec Avira on me remonte régulièrement le même fichier virusé (bkazdqb.sys) qui se trouve dans windows\system32\drivers et qui serait un TR/Rootkit.gen
Mais je ne peux pas supprimer ce fichier (impossible de lire à partir du fichier et de la disquette source).
SuperAniSpyware me supprime également des fichiers, et je pense que mon PC perso est pas mal abimé.
Pour le pr, qaund je me contacte à Internet, une multitude de popup Symantec proxy server avec comme info que soi disant j'aurais envoyé une multitude de mails.
Sur ce pc, Symantec m'indique que j'ai un fichier virusé (dubuoc.sys) qui se trouve dans windows\system32\drivers et idem, pas moyen de le supprimer.
Connaissez vous ces virus, le moyen de les éradiquer ?
Merci d'avance pour votre aide,
cordialement,
Demis
je vous écris suite à un (voire deux) gros problèmes.
Mes 2 pc (perso et taf) sont virusés.
Sur le perso, avec Avira on me remonte régulièrement le même fichier virusé (bkazdqb.sys) qui se trouve dans windows\system32\drivers et qui serait un TR/Rootkit.gen
Mais je ne peux pas supprimer ce fichier (impossible de lire à partir du fichier et de la disquette source).
SuperAniSpyware me supprime également des fichiers, et je pense que mon PC perso est pas mal abimé.
Pour le pr, qaund je me contacte à Internet, une multitude de popup Symantec proxy server avec comme info que soi disant j'aurais envoyé une multitude de mails.
Sur ce pc, Symantec m'indique que j'ai un fichier virusé (dubuoc.sys) qui se trouve dans windows\system32\drivers et idem, pas moyen de le supprimer.
Connaissez vous ces virus, le moyen de les éradiquer ?
Merci d'avance pour votre aide,
cordialement,
Demis
A voir également:
- Virus RootKit
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
71 réponses
lol au passage tu aurais dû leur dire de regarder ce qu on a fait , ca leur aurait montré la securité de leur reseau ^^
on va commencer par le pro :), j'en aurai besoin demain
on commence par quoi ? rapport hijack ?
En tout cas merci beaucoup pour ton aide
on commence par quoi ? rapport hijack ?
En tout cas merci beaucoup pour ton aide
non hijack n'est plus assez puissant comme outil
je prefere plus precis afin d'inspecter plus profondement......
Télécharge OTL de OLDTimer
▶ enregistre le sur ton Bureau.
▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant tous les utilisateurs
▶ règle age du fichier sur "60 jours"
▶ dans la moitié gauche , mets tout sur "tous"
ne modifie pas ceci :
"fichiers créés" et "fichiers Modifiés"
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
je prefere plus precis afin d'inspecter plus profondement......
Télécharge OTL de OLDTimer
▶ enregistre le sur ton Bureau.
▶ Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.
▶ Coche les 2 cases Lop et Purity
▶ Coche la case devant tous les utilisateurs
▶ règle age du fichier sur "60 jours"
▶ dans la moitié gauche , mets tout sur "tous"
ne modifie pas ceci :
"fichiers créés" et "fichiers Modifiés"
▶Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM
Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/
▶ Clique sur Parcourir et cherche le fichier ci-dessus.
▶ Clique sur Ouvrir.
▶ Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
▶ Copie ce lien dans ta réponse.
▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Merci pour ton aide !!
Voici le fichier pour OTL :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijwDIVPZI.txt
Et pour le fichier Extra :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijUtfYtUg.txt
n'hésite pas si tu as besoin d'autres choses
Voici le fichier pour OTL :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijwDIVPZI.txt
Et pour le fichier Extra :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijUtfYtUg.txt
n'hésite pas si tu as besoin d'autres choses
▶ Télécharge UsbFix
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
▶ Double clic sur le raccourci UsbFix présent sur ton bureau .
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir
▶ Double clic sur le raccourci UsbFix présent sur ton bureau .
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée]
▶ Laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra.
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Voici le rapport USBFix :
############################## | UsbFix V6.105 |
User : dkala () # STP100004
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 23:20:54 | 18/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : Symantec Endpoint Protection 11.0.5002.290 [ Enabled | Updated ]
C:\ -> Disque fixe local # 14,53 Go (1,56 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 19,79 Go (6,2 Go free) [Données] # NTFS
E:\ -> Disque fixe local # 2,93 Go (937,7 Mo free) [BACKUP] # FAT32
F:\ -> Disque CD-ROM # 2,31 Go (0 Mo free) [FM2010] # UDF
G:\ -> Disque amovible # 960,61 Mo (260,45 Mo free) # FAT
################## | Elements infectieux |
C:\file.txt
F:\autorun.inf
F:\autorun.exe
################## | Registre |
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "dkala"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{372219e4-e4a9-11de-88a8-00f1d000f1d0}
Shell\AutoRun\command ="H:\WD SmartWare.exe" autoplay=true
HKCU\..\..\Explorer\MountPoints2\{38ac7707-c2af-11dd-8680-0019d24d24b0}
Shell\AutoRun\command =H:\start.exe
Shell\FramaKey\command =H:\start.exe
HKCU\..\..\Explorer\MountPoints2\{a0d10e3c-8c9f-11de-87fc-00f1d000f1d0}
Shell\AutoRun\command =G:\MigrationKit.exe
Shell\openitsm\command =G:\MigrationKit.exe
HKCU\..\..\Explorer\MountPoints2\{c344ae9b-82ff-11dd-85ed-005056c00008}
Shell\AutoRun\command =G:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{c7e57db1-72aa-11de-87dc-0019d24d24b0}
Shell\AutoRun\command =G:\
Shell\explore\Command =G:\RECYCLED\INFO.exe
Shell\open\Command =G:\RECYCLED\INFO.exe
HKCU\..\..\Explorer\MountPoints2\{e95459c3-bae8-11dd-8665-001641b7761f}
Shell\AutoRun\command =G:\AutoRun.exe
HKCU\..\..\Explorer\MountPoints2\{ec9dd490-c2d6-11de-8866-00f1d000f1d0}
Shell\AutoRun\command =G:\LaunchU3.exe -a
################## | Vaccin |
################## | ! Fin du rapport # UsbFix V6.105 ! |
############################## | UsbFix V6.105 |
User : dkala () # STP100004
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 23:20:54 | 18/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com
Intel(R) Core(TM)2 CPU T5500 @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : Symantec Endpoint Protection 11.0.5002.290 [ Enabled | Updated ]
C:\ -> Disque fixe local # 14,53 Go (1,56 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 19,79 Go (6,2 Go free) [Données] # NTFS
E:\ -> Disque fixe local # 2,93 Go (937,7 Mo free) [BACKUP] # FAT32
F:\ -> Disque CD-ROM # 2,31 Go (0 Mo free) [FM2010] # UDF
G:\ -> Disque amovible # 960,61 Mo (260,45 Mo free) # FAT
################## | Elements infectieux |
C:\file.txt
F:\autorun.inf
F:\autorun.exe
################## | Registre |
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "dkala"
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{372219e4-e4a9-11de-88a8-00f1d000f1d0}
Shell\AutoRun\command ="H:\WD SmartWare.exe" autoplay=true
HKCU\..\..\Explorer\MountPoints2\{38ac7707-c2af-11dd-8680-0019d24d24b0}
Shell\AutoRun\command =H:\start.exe
Shell\FramaKey\command =H:\start.exe
HKCU\..\..\Explorer\MountPoints2\{a0d10e3c-8c9f-11de-87fc-00f1d000f1d0}
Shell\AutoRun\command =G:\MigrationKit.exe
Shell\openitsm\command =G:\MigrationKit.exe
HKCU\..\..\Explorer\MountPoints2\{c344ae9b-82ff-11dd-85ed-005056c00008}
Shell\AutoRun\command =G:\LaunchU3.exe -a
HKCU\..\..\Explorer\MountPoints2\{c7e57db1-72aa-11de-87dc-0019d24d24b0}
Shell\AutoRun\command =G:\
Shell\explore\Command =G:\RECYCLED\INFO.exe
Shell\open\Command =G:\RECYCLED\INFO.exe
HKCU\..\..\Explorer\MountPoints2\{e95459c3-bae8-11dd-8665-001641b7761f}
Shell\AutoRun\command =G:\AutoRun.exe
HKCU\..\..\Explorer\MountPoints2\{ec9dd490-c2d6-11de-8866-00f1d000f1d0}
Shell\AutoRun\command =G:\LaunchU3.exe -a
################## | Vaccin |
################## | ! Fin du rapport # UsbFix V6.105 ! |
▶ (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
▶ Ton bureau disparaitra et le pc redémarrera .
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
▶ Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau
▶ Au menu principal choisis l'option " F " pour français et tape sur [entrée] .
▶ Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]
▶ Ton bureau disparaitra et le pc redémarrera .
▶ Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
▶ Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .
Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
Bonjour gen,
merci pour ton retour.
Je n'ai pas la clé USB vérolé sur moi, je lancerai usbfix ce soir.
Merci encore pour ton aide,
Demis
merci pour ton retour.
Je n'ai pas la clé USB vérolé sur moi, je lancerai usbfix ce soir.
Merci encore pour ton aide,
Demis
Bonsoir,
j'ai bien lancé usbfix, par contre suite au redémarrage, le PC est bloqué, si je redémarre en mode normal, rien ne se passe .
Je clique su Démarrer Windows normalement, et la rien ...
c'est grave ???
j'ai bien lancé usbfix, par contre suite au redémarrage, le PC est bloqué, si je redémarre en mode normal, rien ne se passe .
Je clique su Démarrer Windows normalement, et la rien ...
c'est grave ???
depuis usbfix ???? je ne comprends pas ce logiciel n'a jamais planté un pc à ma connaissance , le concepteur est tres meticuleux......
