Virus RootKit Résolu/Fermé

Question

Bonsoir,

je vous écris suite à un (voire deux) gros problèmes.
Mes 2 pc (perso et taf) sont virusés.

Sur le perso, avec Avira on me remonte régulièrement le même fichier virusé (bkazdqb.sys) qui se trouve dans windows\system32\drivers et qui serait un TR/Rootkit.gen
Mais je ne peux pas supprimer ce fichier (impossible de lire à partir du fichier et de la disquette source).
SuperAniSpyware me supprime également des fichiers, et je pense que mon PC perso est pas mal abimé.
Pour le pr, qaund je me contacte à Internet, une multitude de popup Symantec proxy server avec comme info que soi disant j'aurais envoyé une multitude de mails.
Sur ce pc, Symantec m'indique que j'ai un fichier virusé (dubuoc.sys) qui se trouve dans windows\system32\drivers et idem, pas moyen de le supprimer.
Connaissez vous ces virus, le moyen de les éradiquer ?

Merci d'avance pour votre aide,

cordialement,

Demis

Configuration: Windows XP / Firefox 3.6.3

gen-hackman · Answer

bonsoir je vais t'aider pour un pc choisis lequel , on verra le suivant ensuite

demis_k · Answer

on va commencer par le pro :), j'en aurai besoin demain

on commence par quoi ? rapport hijack ?

En tout cas merci beaucoup pour ton aide

gen-hackman · Answer

non hijack n'est plus assez puissant comme outil 

je prefere plus precis afin d'inspecter plus profondement......

Télécharge OTL de OLDTimer

&#9654 enregistre le sur ton Bureau.

&#9654 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

demis_k · Answer

Merci pour ton aide !!

Voici le fichier pour OTL :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijwDIVPZI.txt

Et pour le fichier Extra :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijUtfYtUg.txt

n'hésite pas si tu as besoin d'autres choses

gen-hackman · Answer

&#9654 Télécharge UsbFix

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

&#9654 Double clic sur le raccourci UsbFix présent sur ton bureau .

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

&#9654 Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

&#9654 Laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra.

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

 Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

demis_k · Answer

Voici le rapport USBFix :

############################## | UsbFix V6.105 |

User : dkala () # STP100004
Update on 17/04/2010 by El Desaparecido , C_XX & Chimay8
Start at: 23:20:54 | 18/04/2010
Website : http://pagesperso-orange.fr/NosTools/index.html
Contact : FindyKill.Contact@gmail.com

Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : Symantec Endpoint Protection 11.0.5002.290 [ Enabled | Updated ]

C:\ -> Disque fixe local # 14,53 Go (1,56 Go free) [Windows] # NTFS
D:\ -> Disque fixe local # 19,79 Go (6,2 Go free) [Données] # NTFS
E:\ -> Disque fixe local # 2,93 Go (937,7 Mo free) [BACKUP] # FAT32
F:\ -> Disque CD-ROM # 2,31 Go (0 Mo free) [FM2010] # UDF
G:\ -> Disque amovible # 960,61 Mo (260,45 Mo free) # FAT

################## | Elements infectieux |

C:\file.txt  
F:\autorun.inf  
F:\autorun.exe  

################## | Registre |

[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "dkala"  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoDrives"  
[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer] "NoFolderOptions"  

################## | Mountpoints2 |

HKCU\..\..\Explorer\MountPoints2\{372219e4-e4a9-11de-88a8-00f1d000f1d0}
Shell\AutoRun\command ="H:\WD SmartWare.exe" autoplay=true

HKCU\..\..\Explorer\MountPoints2\{38ac7707-c2af-11dd-8680-0019d24d24b0}
Shell\AutoRun\command =H:\start.exe 
Shell\FramaKey\command =H:\start.exe 

HKCU\..\..\Explorer\MountPoints2\{a0d10e3c-8c9f-11de-87fc-00f1d000f1d0}
Shell\AutoRun\command =G:\MigrationKit.exe 
Shell\openitsm\command =G:\MigrationKit.exe 

HKCU\..\..\Explorer\MountPoints2\{c344ae9b-82ff-11dd-85ed-005056c00008}
Shell\AutoRun\command =G:\LaunchU3.exe -a

HKCU\..\..\Explorer\MountPoints2\{c7e57db1-72aa-11de-87dc-0019d24d24b0}
Shell\AutoRun\command =G:\ 
Shell\explore\Command =G:\RECYCLED\INFO.exe 
Shell\open\Command =G:\RECYCLED\INFO.exe 

HKCU\..\..\Explorer\MountPoints2\{e95459c3-bae8-11dd-8665-001641b7761f}
Shell\AutoRun\command =G:\AutoRun.exe 

HKCU\..\..\Explorer\MountPoints2\{ec9dd490-c2d6-11de-8866-00f1d000f1d0}
Shell\AutoRun\command =G:\LaunchU3.exe -a

################## | Vaccin |


################## | ! Fin du rapport # UsbFix V6.105 ! |

gen-hackman · Answer

&#9654  (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

&#9654 Double clic (clic droit "en tant qu'administrateur" pour Vista)sur le raccourci UsbFix présent sur ton bureau

&#9654 Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

&#9654 Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

&#9654 Ton bureau disparaitra et le pc redémarrera .

&#9654 Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

demis_k · Answer

Bonjour gen,
merci pour ton retour.
Je n'ai pas la clé USB vérolé sur moi, je lancerai usbfix ce soir.
Merci encore pour ton aide,
Demis

gen-hackman · Answer

bonjour ok

demis_k · Answer

Bonsoir,

j'ai bien lancé usbfix, par contre suite au redémarrage, le PC est bloqué, si je redémarre en mode normal, rien ne se passe .
Je clique su Démarrer Windows normalement, et la rien ...

c'est grave  ???

gen-hackman · Answer

retire les cles usb , et une fois que la barre windows apparait tu les rebranches

demis_k · Answer

c'est fait,mais ca reste toujours bloqué :(
même le mode sans echec ne demarre pas

gen-hackman · Answer

depuis usbfix ???? je ne comprends pas ce logiciel n'a jamais planté un pc à ma connaissance , le concepteur est tres meticuleux......

demis_k · Answer

et tu connaitrais un moyen de relancer mon pc pour revenir à Windows ?

gen-hackman · Answer

qaund tu fais F8 pour le mode sans echec , choisis , derniere bonne configuration connue

demis_k · Answer

c'est ce que j'ai fait mais idem, écran noir, rien ne se lance

gen-hackman · Answer

plus aucun usb n'est connecté ?

demis_k · Answer

meme pas souris clavier , c'est un portable :)
plus de port usb

gen-hackman · Answer

le cd est toujours present ?

demis_k · Answer

j'ai un lecteur CD, mais le Cd  (un jeu, un officiel) n'est plus dedans.

gen-hackman · Answer

quel age a le pc ?

demis_k · Answer

3 ans, c'est un DELL Latitude

gen-hackman · Answer

quand tu essaies de demarrer en mode sans ehcec ca fait quoi ?

demis_k · Answer

En mode normal ca reste bloqué sur la page, quand je lance le mode sans échec, quelques fichiers .sys sont visibles puis écran noir et plus rien.

gen-hackman · Answer

ok combien de temps attends-tu ?

ca peut etre long de fois

demis_k · Answer

le plus longtemps, 5 minutes

gen-hackman · Answer

attends-en 15

demis_k · Answer

ok merci beaucoup
je te tiens au courant

gen-hackman · Answer

pas de soucis

demis_k · Answer

après 20 mn d attente, toujours rien en mode normal, ca vaut le coup d attendre 20 mn en mode sans echec ?

gen-hackman · Answer

oui et essaie aussi en invité de commande

demis_k · Answer

c'est parti ... on attend :)

gen-hackman · Answer

j'ai encore des ressources.....;)...au pire

demis_k · Answer

tant mieux car la si rien ne bouge, c'est aller demain matin au service informatique avec la bouche en coeur

demis_k · Answer

bon ben pas mieux :(

gen-hackman · Answer

tu as l'ecran noir avec le curseur qui clignote c'est ca ? pas de message d'erreur rien ?

demis_k · Answer

meme pas un curseur qui clignote, noir de chez noir, pas de message ...

gen-hackman · Answer

mouais ca sent la panne materielle ca....

demis_k · Answer

aie .. et donc docteur ?

gen-hackman · Answer

ppour reprendre tes propres mots :

c'est aller demain matin au service informatique avec la bouche en coeur

demande juste un controle avant une reparation....mais je pense que ton DD a pris une gifle

demis_k · Answer

tu connais des outils qui permettent de controler un dd ?

gen-hackman · Answer

ceux que je connais , il faut que le windows soit demarré (benchmark , etc...)
apres il y a OTLPE mais je ne sais pas l'utiliser

demis_k · Answer

merci je vais regarde cela
bonne nuit
je te tiens au courant demain

demis_k · Answer

hé hé 
bon après mise sur cle usb (pas de graveur sur mon PC2) d'OTPLE Live CD, et reboot sur la cl,après vir eu un bel écran bleu (erreur session5_initialization_failded), j'ai eu la belle mire XP, j'ai pu me connecter, et la usbfix travaille et essaye de virer le fichier c:\file.txt 
bon ... on croise les doigts

gen-hackman · Answer

super :)

demis_k · Answer

bon , les dernières nouvelles
* J'ai à nouveau accès à mon PC :)
* il se relance bien à part 1 fois au démarrage l'écran bleu : IRQL NOT LESS OR EQUAL
*le fichier c:\file.txt, qui était un fichier impossible à enlever, maintenant c'est 0K et il est bien supprimé, par contre le fichier dubuoc.sys, toujours là.
* voici le rapport usbfix généré : 
http://www.cijoint.fr/cjlink.php?file=cj201004/cijimrm0Pc.zip
* j'ai relancé OTL : et voici les deux fichiers générés :
OTL : http://www.cijoint.fr/cjlink.php?file=cj201004/cijur7X4Ba.txt
Extras : http://www.cijoint.fr/cjlink.php?file=cj201004/cijCESED5l.txt

Merci d'avance,

gen-hackman · Answer

hello , bien :

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

&#9654 Télécharge List_Kill'em et enregistre le sur ton bureau 

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

un icone blanc et noir va s'afficher sur le bureau , il te servira à relancer le programme par la suite.
un autre rouge et noir te servira a desinstaller le prog a la fin de la desinfection.

&#9654 laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan

&#9654 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

demis_k · Answer

Bonsoir,
alors les nouvelles du soir :
* impossible de désactiver l'anti virus symantec.
* quand je suis sur le réseau perso freebox, l'ensemble des pop up ne se lancent pas, quand je suis au bureau, rien
* j'hésite fortement à faire une sauvegarde ce week end, et reprendre les opérations de réparation à ce moment là.

demis_k · Answer

Bonsoir, 
de retour pour gérer le virus de mon PC pro.
* tu m'avais dit pour List Kill Em, de désactiver l'anti virus Symantec, hors bien qu'admin de mon PC, je ne peux le désactiver (de même, quand je redémarre mon PC en mode sans échec, le fait d'être hors domaine, je ne peux me connecter).
* j'ai sauvegardé mon PC au cas où
* mon pc au démarrage me met l'écran bleu IRQL NOT LESS OR EQUAL  entre 1 et 3 fois
* quand je suis sur le réseau perso freebox, l'ensemble des pop up se lancent , quand je suis au bureau, rien 

Je dois quand même lancer listkillem ?
merci d'avance,
Demis

gen-hackman · Answer

bonsoir

vas -y

demis_k · Answer

Bonsoir,

voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfoyZq3l.txt

merci encore

gen-hackman · Answer

&#9654 Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :

&#9654 choisis l'Option Clean

ton PC va redemarrer,

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

demis_k · Answer

Mon windows est régulièrement à jour (politique d'entreprise)
Voici le rapport Kill'em :
Kill'em by g3n-h@ckm@n 1.7.1.3 
 
User : dkala () 
Update on 19/04/2010 by g3n-h@ckm@n ::::: 14.00
Start at: 16:51:19 | 25/04/2010
Today it's my birthday !!! :^)
Intel(R) Core(TM)2 CPU         T5500  @ 1.66GHz
Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11
Windows Firewall Status : Disabled
AV : Symantec Endpoint Protection 11.0.5002.290 [ (!) Disabled | Updated ]

C:\ -> Disque fixe local | 14,53 Go (1,23 Go free) [Windows] | NTFS
D:\ -> Disque fixe local | 19,79 Go (6,34 Go free) [Données] | NTFS
E:\ -> Disque fixe local | 2,93 Go (937,66 Mo free) [BACKUP] | FAT32
F:\ -> Disque CD-ROM
X:\ -> Connexion réseau
Z:\ -> Connexion réseau
 

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processes running
 
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe
C:\Program Files\Symantec AntiVirus\Smc.exe
C:\PROGRA~1\SafeNet\SoftRemote\IPSecMon.exe
C:\PROGRA~1\SafeNet\SoftRemote\IreIKE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\SCardSvr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\lotus
otes
tmulti.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\OCS Inventory Agent\ocsservice.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Symantec AntiVirus\Rtvscan.exe
C:\Program Files\Fichiers communs\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Program Files\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Symantec AntiVirus\SmcGui.exe
C:\WINDOWS\system32\cmd.exe
C:\Program Files\List_Kill'em\ERUNT.EXE
C:\Program Files\List_Kill'em\pv.exe
 
¤¤¤¤¤¤¤¤¤¤ Files/folders : 

Quarantined & Deleted !! : C:\Program Files\INSTALL.LOG 
Quarantined & Deleted !! : C:\WINDOWS\SET3.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET4.tmp 
Quarantined & Deleted !! : C:\WINDOWS\SET8.tmp 
 
Quarantined & Deleted !! : C:\WINDOWS\System32\clauth1.dll 
Quarantined & Deleted !! : C:\WINDOWS\System32\clauth2.dll 
Quarantined & Deleted !! : C:\WINDOWS\system32\MSWINSCK.OCX 
Quarantined & Deleted !! : C:\WINDOWS\System32
agasoft 
Quarantined & Deleted !! : C:\WINDOWS\System32\ssprs.dll 
Quarantined & Deleted !! : C:\Documents and Settings\dkala\Local Settings\Temp\CCF.tmp 
Quarantined & Deleted !! : C:\Documents and Settings\dkala\LOCAL Settings\Temp\dwa7res_fr.dll 
Deleted !! : C:\RECYCLER\S-1-5-21-3861849437-3192931641-446941617-89960\Dc1.exe   
 
==============
host file OK !
==============

========
Registry
========

Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\{0E5CBF21-D15F-11D0-8301-00AA005B4383}  
Deleted : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewOnDrive  
Deleted : HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe"  
Deleted : "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe"  
Deleted : HKLM\SYSTEM\ControlSet001\Enum\Root\Legacy_Irmon  
Deleted : HKLM\SYSTEM\ControlSet001\Services\bcm4sbxp  
Deleted : HKLM\SYSTEM\ControlSet001\Services\Irmon  
Deleted : HKLM\SYSTEM\ControlSet002\Enum\Root\Legacy_Irmon  
Deleted : HKLM\SYSTEM\ControlSet002\Services\bcm4sbxp  
Deleted : HKLM\SYSTEM\ControlSet002\Services\Irmon  
Deleted : HKLM\System\CurrentControlSet\Services\Systemntmi  
=================
Internet Explorer
=================

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Default_Search_URL	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
Default_Page_URL	REG_SZ         	https://www.msn.com/fr-fr/?ocid=iehp
Search Page	REG_SZ         	https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page	REG_SZ         	https://www.google.com/?gws_rd=ssl
Local Page	REG_SZ         	C:\WINDOWS\system32\blank.htm
Search Page	REG_SZ         	http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

===============
Security Center
===============

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center] 
FirstRunDisabled	REG_DWORD      	1 (0x1) 
FirewallDisableNotify	REG_DWORD      	0 (0x0) 
UpdatesDisableNotify	REG_DWORD      	0 (0x0) 
AntiVirusOverride	REG_DWORD      	1 (0x1) 
FirewallOverride	REG_DWORD      	1 (0x1) 
AntiVirusDisableNotify	REG_DWORD      	0 (0x0) 
 
========
Services
=========

 Ndisuio : Start = 3   
 Ip6Fw : Start = 2   
 SharedAccess : Start = 2   
 wuauserv : Start = 2   
 wscsvc : Start = 2   

============
Disk Cleaned
============
 
=================
anti-ver blaster : OK !! 
=================

================
Prefetch cleaned 
================
 
 
 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
Internet Explorer 7.0.5730.11

ton windows n'est pas à jour de tout

demis_k · Answer

effectivement, mais malheureusement c'est un PC de boite et pas de SP3 ou d'IE 8 par chez nous ...

gen-hackman · Answer

windows pas à jour => windows fragile => windows plein de failles de securité => windows hyper vulnerable !!

demis_k · Answer

J'entends bien, mais j'ai malheureusement pas toute la main sur mon portable Pro.
Je verrai demain quelles mises à jour je peux faire, mais sinon tu as d'autres éléments ou choses  à faire ?
Mon PC est encore super infecté ou on en voit bientôt la fin ?

gen-hackman · Answer

il faudrait que je relise un nouveau rapport OTL

demis_k · Answer

Il suffit de demander :)
OTL : http://www.cijoint.fr/cjlink.php?file=cj201004/cijRnpvMnI.txt
Extras : http://www.cijoint.fr/cjlink.php?file=cj201004/cijMqEqaWE.txt

merci encore

gen-hackman · Answer

&#9654 Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche    Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)

&#9654 clique sur Appliquer, puis OK.

N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    * Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :

C:\WINDOWS\System32\drivers\dubuoc.sys
C:\WINDOWS\ADFUUD.SYS
C:\WINDOWS\System32\drivers\ADFUUD.SYS

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
    * Une nouvelle fenêtre de ton navigateur va apparaître
    * Clique alors sur les deux fleches
    * Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
    * Enfin colle le résultat dans ta prochaine réponse.

Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.

ensuite :

&#9654 clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous Customs Scans/Fixes :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer]  File not found
O4 - HKLM..\Run: [UserFaultCheck]  File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Java Plug-in 1.5.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O18 - Protocol\Handler\HTLFP {03B7A5D4-96B0-4316-95F8-072D326A58F1} -  File not found
O18 - Protocol\Handler\vfsp {E4CB5121-E242-11D4-8ED6-00010219EB22} -  File not found
@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"SigmatelSysTrayApp"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1

:Files
C:\WINDOWS\System32\ssprs.tgz
C:\WINDOWS\System32\prsgrc.tgz
C:\WINDOWS\System32\prsgrc.dll
C:\WINDOWS\System32\bn6fd6f.tgz
C:\WINDOWS\System32\bn6fd6f.dll
C:\WINDOWS\System32\e1bvkqe.dll
C:\Documents and Settings\All Users\Application Data
7-89-o9-3r-4t-r9

:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

demis_k · Answer

Je t'envoie le fichier en attendant que je t'envoie les infos OTL.
Avec virus total, voici les résultats, sachant que pour dubuoc, le scan n'a pas marché.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfnnyDRu.txt

gen-hackman · Answer

pour le dernier ca te disait que le fichier a déja été analysé ?

demis_k · Answer

lorsque j'indique le chemin du fichier et que je lance l'analyse, au bout de 2 3 secondes j'arrive sur une page planche avec ce message :
0 bytes size received / Se ha recibido un archivo vacio

donc l'analyse ne se fait pas

gen-hackman · Answer

copie-le sur ton bureau , change son nom , et reesaaie

demis_k · Answer

ben la copie marche pas.
J'utilise super copier, et quand je tente la copie : j'ai le msg d'erreur suivant : 
Un périphérique attaché au système ne fonctionne pas correctement.

Sinon, voici le rapport OTL avec les opérations demandées.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpc4BSHm.txt

A part ça, j'ai moins de pb d'écran bleu au redémarrage de mon PC, j'aime :)

Merci pour tout

gen-hackman · Answer

relance list_kill'em , option MD5 , un bloc-notes va s'ouvrir , tu colles ca dedans :

C:\WINDOWS\System32\drivers\dubuoc.sys

onglet fichier / enregistrer puis tu fermes...un autre va s'ouvrir ensuite avec des infos , colle-les ici

demis_k · Answer

bon bon bon :)
ce matin j'ai redémarré mon pc, pas de souci, mais aucun accès a internet possible, je redémarre, et la, impossible de le démarrer, meme pas un écran bleu, ca restait bloqué, comme lors de la dernière fois, impossible de le booter avec OTLE qui partait en écran bleu a chaque fois
J'ai fait une restau, qui a écrasé mon C, pas de souci sauf la perte à l'accés au réseau de la boîte.
j'ai apporté mon PC au service informatique, qui m'a dit qu'ils allaient le remasteriser.
j'attends donc mon pc demain

la solution aura donc été la remasterisation.
je posterai demain pour te dire si tout est Ok, et je fermerai le sujet.
En tout cas merci beaucoup pour tout le temps que tu m'auras accordé.

gen-hackman · Answer

bien....rematerisons.....lol ^^

gen-hackman · Answer

lol au passage tu aurais dû leur dire de regarder ce qu on a fait , ca leur aurait montré la securité de leur reseau ^^

demis_k · Answer

pas faux.
Bon ben tout est bon maintenant
J'ai un pc quasi tout neuf :)
merci pour tout
Je m'occuperai de mon pc perso un de ces 4

Demis

gen-hackman · Answer

ok ;)

Virus RootKit

71 réponses

Discussions similaires