Virus RootKit
Résolu/Fermé
demis_k
Messages postés
44
Date d'inscription
dimanche 18 avril 2010
Statut
Membre
Dernière intervention
18 mai 2011
-
18 avril 2010 à 19:14
Utilisateur anonyme - 27 avril 2010 à 23:11
Utilisateur anonyme - 27 avril 2010 à 23:11
A voir également:
- Virus RootKit
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Faux message virus ordinateur - Guide
- Faux message virus iphone - Forum iPhone
- Tinyurl.com virus - Forum Virus
71 réponses
Utilisateur anonyme
25 avril 2010 à 21:40
25 avril 2010 à 21:40
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
▶ clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :
C:\WINDOWS\System32\drivers\dubuoc.sys
C:\WINDOWS\ADFUUD.SYS
C:\WINDOWS\System32\drivers\ADFUUD.SYS
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous Customs Scans/Fixes :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] File not found
O4 - HKLM..\Run: [UserFaultCheck] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Java Plug-in 1.5.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O18 - Protocol\Handler\HTLFP {03B7A5D4-96B0-4316-95F8-072D326A58F1} - File not found
O18 - Protocol\Handler\vfsp {E4CB5121-E242-11D4-8ED6-00010219EB22} - File not found
@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"SigmatelSysTrayApp"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1
:Files
C:\WINDOWS\System32\ssprs.tgz
C:\WINDOWS\System32\prsgrc.tgz
C:\WINDOWS\System32\prsgrc.dll
C:\WINDOWS\System32\bn6fd6f.tgz
C:\WINDOWS\System32\bn6fd6f.dll
C:\WINDOWS\System32\e1bvkqe.dll
C:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
▶ clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :
C:\WINDOWS\System32\drivers\dubuoc.sys
C:\WINDOWS\ADFUUD.SYS
C:\WINDOWS\System32\drivers\ADFUUD.SYS
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous Customs Scans/Fixes :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] File not found
O4 - HKLM..\Run: [UserFaultCheck] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Java Plug-in 1.5.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O18 - Protocol\Handler\HTLFP {03B7A5D4-96B0-4316-95F8-072D326A58F1} - File not found
O18 - Protocol\Handler\vfsp {E4CB5121-E242-11D4-8ED6-00010219EB22} - File not found
@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"SigmatelSysTrayApp"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1
:Files
C:\WINDOWS\System32\ssprs.tgz
C:\WINDOWS\System32\prsgrc.tgz
C:\WINDOWS\System32\prsgrc.dll
C:\WINDOWS\System32\bn6fd6f.tgz
C:\WINDOWS\System32\bn6fd6f.dll
C:\WINDOWS\System32\e1bvkqe.dll
C:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
demis_k
Messages postés
44
Date d'inscription
dimanche 18 avril 2010
Statut
Membre
Dernière intervention
18 mai 2011
25 avril 2010 à 22:09
25 avril 2010 à 22:09
Je t'envoie le fichier en attendant que je t'envoie les infos OTL.
Avec virus total, voici les résultats, sachant que pour dubuoc, le scan n'a pas marché.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfnnyDRu.txt
Avec virus total, voici les résultats, sachant que pour dubuoc, le scan n'a pas marché.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfnnyDRu.txt
Utilisateur anonyme
25 avril 2010 à 22:17
25 avril 2010 à 22:17
pour le dernier ca te disait que le fichier a déja été analysé ?
demis_k
Messages postés
44
Date d'inscription
dimanche 18 avril 2010
Statut
Membre
Dernière intervention
18 mai 2011
26 avril 2010 à 00:33
26 avril 2010 à 00:33
lorsque j'indique le chemin du fichier et que je lance l'analyse, au bout de 2 3 secondes j'arrive sur une page planche avec ce message :
0 bytes size received / Se ha recibido un archivo vacio
donc l'analyse ne se fait pas
0 bytes size received / Se ha recibido un archivo vacio
donc l'analyse ne se fait pas
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
demis_k
Messages postés
44
Date d'inscription
dimanche 18 avril 2010
Statut
Membre
Dernière intervention
18 mai 2011
26 avril 2010 à 01:45
26 avril 2010 à 01:45
ben la copie marche pas.
J'utilise super copier, et quand je tente la copie : j'ai le msg d'erreur suivant :
Un périphérique attaché au système ne fonctionne pas correctement.
Sinon, voici le rapport OTL avec les opérations demandées.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpc4BSHm.txt
A part ça, j'ai moins de pb d'écran bleu au redémarrage de mon PC, j'aime :)
Merci pour tout
J'utilise super copier, et quand je tente la copie : j'ai le msg d'erreur suivant :
Un périphérique attaché au système ne fonctionne pas correctement.
Sinon, voici le rapport OTL avec les opérations demandées.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpc4BSHm.txt
A part ça, j'ai moins de pb d'écran bleu au redémarrage de mon PC, j'aime :)
Merci pour tout
Utilisateur anonyme
26 avril 2010 à 02:00
26 avril 2010 à 02:00
relance list_kill'em , option MD5 , un bloc-notes va s'ouvrir , tu colles ca dedans :
C:\WINDOWS\System32\drivers\dubuoc.sys
onglet fichier / enregistrer puis tu fermes...un autre va s'ouvrir ensuite avec des infos , colle-les ici
C:\WINDOWS\System32\drivers\dubuoc.sys
onglet fichier / enregistrer puis tu fermes...un autre va s'ouvrir ensuite avec des infos , colle-les ici
demis_k
Messages postés
44
Date d'inscription
dimanche 18 avril 2010
Statut
Membre
Dernière intervention
18 mai 2011
26 avril 2010 à 18:21
26 avril 2010 à 18:21
bon bon bon :)
ce matin j'ai redémarré mon pc, pas de souci, mais aucun accès a internet possible, je redémarre, et la, impossible de le démarrer, meme pas un écran bleu, ca restait bloqué, comme lors de la dernière fois, impossible de le booter avec OTLE qui partait en écran bleu a chaque fois
J'ai fait une restau, qui a écrasé mon C, pas de souci sauf la perte à l'accés au réseau de la boîte.
j'ai apporté mon PC au service informatique, qui m'a dit qu'ils allaient le remasteriser.
j'attends donc mon pc demain
la solution aura donc été la remasterisation.
je posterai demain pour te dire si tout est Ok, et je fermerai le sujet.
En tout cas merci beaucoup pour tout le temps que tu m'auras accordé.
ce matin j'ai redémarré mon pc, pas de souci, mais aucun accès a internet possible, je redémarre, et la, impossible de le démarrer, meme pas un écran bleu, ca restait bloqué, comme lors de la dernière fois, impossible de le booter avec OTLE qui partait en écran bleu a chaque fois
J'ai fait une restau, qui a écrasé mon C, pas de souci sauf la perte à l'accés au réseau de la boîte.
j'ai apporté mon PC au service informatique, qui m'a dit qu'ils allaient le remasteriser.
j'attends donc mon pc demain
la solution aura donc été la remasterisation.
je posterai demain pour te dire si tout est Ok, et je fermerai le sujet.
En tout cas merci beaucoup pour tout le temps que tu m'auras accordé.
demis_k
Messages postés
44
Date d'inscription
dimanche 18 avril 2010
Statut
Membre
Dernière intervention
18 mai 2011
27 avril 2010 à 23:05
27 avril 2010 à 23:05
pas faux.
Bon ben tout est bon maintenant
J'ai un pc quasi tout neuf :)
merci pour tout
Je m'occuperai de mon pc perso un de ces 4
Demis
Bon ben tout est bon maintenant
J'ai un pc quasi tout neuf :)
merci pour tout
Je m'occuperai de mon pc perso un de ces 4
Demis