Virus RootKit
Résolu
demis_k
Messages postés
44
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonsoir,
je vous écris suite à un (voire deux) gros problèmes.
Mes 2 pc (perso et taf) sont virusés.
Sur le perso, avec Avira on me remonte régulièrement le même fichier virusé (bkazdqb.sys) qui se trouve dans windows\system32\drivers et qui serait un TR/Rootkit.gen
Mais je ne peux pas supprimer ce fichier (impossible de lire à partir du fichier et de la disquette source).
SuperAniSpyware me supprime également des fichiers, et je pense que mon PC perso est pas mal abimé.
Pour le pr, qaund je me contacte à Internet, une multitude de popup Symantec proxy server avec comme info que soi disant j'aurais envoyé une multitude de mails.
Sur ce pc, Symantec m'indique que j'ai un fichier virusé (dubuoc.sys) qui se trouve dans windows\system32\drivers et idem, pas moyen de le supprimer.
Connaissez vous ces virus, le moyen de les éradiquer ?
Merci d'avance pour votre aide,
cordialement,
Demis
je vous écris suite à un (voire deux) gros problèmes.
Mes 2 pc (perso et taf) sont virusés.
Sur le perso, avec Avira on me remonte régulièrement le même fichier virusé (bkazdqb.sys) qui se trouve dans windows\system32\drivers et qui serait un TR/Rootkit.gen
Mais je ne peux pas supprimer ce fichier (impossible de lire à partir du fichier et de la disquette source).
SuperAniSpyware me supprime également des fichiers, et je pense que mon PC perso est pas mal abimé.
Pour le pr, qaund je me contacte à Internet, une multitude de popup Symantec proxy server avec comme info que soi disant j'aurais envoyé une multitude de mails.
Sur ce pc, Symantec m'indique que j'ai un fichier virusé (dubuoc.sys) qui se trouve dans windows\system32\drivers et idem, pas moyen de le supprimer.
Connaissez vous ces virus, le moyen de les éradiquer ?
Merci d'avance pour votre aide,
cordialement,
Demis
A voir également:
- Virus RootKit
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
- Altruistic virus ✓ - Forum Antivirus
71 réponses
▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
▶ clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :
C:\WINDOWS\System32\drivers\dubuoc.sys
C:\WINDOWS\ADFUUD.SYS
C:\WINDOWS\System32\drivers\ADFUUD.SYS
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous Customs Scans/Fixes :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] File not found
O4 - HKLM..\Run: [UserFaultCheck] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Java Plug-in 1.5.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O18 - Protocol\Handler\HTLFP {03B7A5D4-96B0-4316-95F8-072D326A58F1} - File not found
O18 - Protocol\Handler\vfsp {E4CB5121-E242-11D4-8ED6-00010219EB22} - File not found
@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"SigmatelSysTrayApp"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1
:Files
C:\WINDOWS\System32\ssprs.tgz
C:\WINDOWS\System32\prsgrc.tgz
C:\WINDOWS\System32\prsgrc.dll
C:\WINDOWS\System32\bn6fd6f.tgz
C:\WINDOWS\System32\bn6fd6f.dll
C:\WINDOWS\System32\e1bvkqe.dll
C:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
* - Coche Afficher les fichiers et dossiers cachés
* - Décoche Masquer les extensions des fichiers dont le type est connu
* - Décoche Masquer les fichiers protégés du système d'exploitation (recommandé)
▶ clique sur Appliquer, puis OK.
N'oublie pas de recacher à nouveau les fichiers cachés et protégés du système d'exploitation en fin de désinfection, c'est important
Fais analyser le(s) fichier(s) suivants sur Virustotal :
Virus Total
* Clique sur Parcourir en haut, choisis Poste de travail et cherche ces fichiers :
C:\WINDOWS\System32\drivers\dubuoc.sys
C:\WINDOWS\ADFUUD.SYS
C:\WINDOWS\System32\drivers\ADFUUD.SYS
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
* Une nouvelle fenêtre de ton navigateur va apparaître
* Clique alors sur les deux fleches
* Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
* Enfin colle le résultat dans ta prochaine réponse.
Note : Pour analyser un autre fichier, clique en bas sur Autre fichier.
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous Customs Scans/Fixes :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}:6.0.03
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}:6.0.11
O4 - HKLM..\Run: [Logitech Hardware Abstraction Layer] File not found
O4 - HKLM..\Run: [UserFaultCheck] File not found
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0015-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_07-windows-i586.cab (Java Plug-in 1.5.0_07)
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Java Plug-in 1.6.0_03)
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O18 - Protocol\Handler\HTLFP {03B7A5D4-96B0-4316-95F8-072D326A58F1} - File not found
O18 - Protocol\Handler\vfsp {E4CB5121-E242-11D4-8ED6-00010219EB22} - File not found
@Alternate Data Stream - 118 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:5C321E34
:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
"SigmatelSysTrayApp"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"HonorAutoRunSetting"=1
:Files
C:\WINDOWS\System32\ssprs.tgz
C:\WINDOWS\System32\prsgrc.tgz
C:\WINDOWS\System32\prsgrc.dll
C:\WINDOWS\System32\bn6fd6f.tgz
C:\WINDOWS\System32\bn6fd6f.dll
C:\WINDOWS\System32\e1bvkqe.dll
C:\Documents and Settings\All Users\Application Data\n7-89-o9-3r-4t-r9
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
Je t'envoie le fichier en attendant que je t'envoie les infos OTL.
Avec virus total, voici les résultats, sachant que pour dubuoc, le scan n'a pas marché.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfnnyDRu.txt
Avec virus total, voici les résultats, sachant que pour dubuoc, le scan n'a pas marché.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijfnnyDRu.txt
lorsque j'indique le chemin du fichier et que je lance l'analyse, au bout de 2 3 secondes j'arrive sur une page planche avec ce message :
0 bytes size received / Se ha recibido un archivo vacio
donc l'analyse ne se fait pas
0 bytes size received / Se ha recibido un archivo vacio
donc l'analyse ne se fait pas
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ben la copie marche pas.
J'utilise super copier, et quand je tente la copie : j'ai le msg d'erreur suivant :
Un périphérique attaché au système ne fonctionne pas correctement.
Sinon, voici le rapport OTL avec les opérations demandées.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpc4BSHm.txt
A part ça, j'ai moins de pb d'écran bleu au redémarrage de mon PC, j'aime :)
Merci pour tout
J'utilise super copier, et quand je tente la copie : j'ai le msg d'erreur suivant :
Un périphérique attaché au système ne fonctionne pas correctement.
Sinon, voici le rapport OTL avec les opérations demandées.
http://www.cijoint.fr/cjlink.php?file=cj201004/cijpc4BSHm.txt
A part ça, j'ai moins de pb d'écran bleu au redémarrage de mon PC, j'aime :)
Merci pour tout
relance list_kill'em , option MD5 , un bloc-notes va s'ouvrir , tu colles ca dedans :
C:\WINDOWS\System32\drivers\dubuoc.sys
onglet fichier / enregistrer puis tu fermes...un autre va s'ouvrir ensuite avec des infos , colle-les ici
C:\WINDOWS\System32\drivers\dubuoc.sys
onglet fichier / enregistrer puis tu fermes...un autre va s'ouvrir ensuite avec des infos , colle-les ici
bon bon bon :)
ce matin j'ai redémarré mon pc, pas de souci, mais aucun accès a internet possible, je redémarre, et la, impossible de le démarrer, meme pas un écran bleu, ca restait bloqué, comme lors de la dernière fois, impossible de le booter avec OTLE qui partait en écran bleu a chaque fois
J'ai fait une restau, qui a écrasé mon C, pas de souci sauf la perte à l'accés au réseau de la boîte.
j'ai apporté mon PC au service informatique, qui m'a dit qu'ils allaient le remasteriser.
j'attends donc mon pc demain
la solution aura donc été la remasterisation.
je posterai demain pour te dire si tout est Ok, et je fermerai le sujet.
En tout cas merci beaucoup pour tout le temps que tu m'auras accordé.
ce matin j'ai redémarré mon pc, pas de souci, mais aucun accès a internet possible, je redémarre, et la, impossible de le démarrer, meme pas un écran bleu, ca restait bloqué, comme lors de la dernière fois, impossible de le booter avec OTLE qui partait en écran bleu a chaque fois
J'ai fait une restau, qui a écrasé mon C, pas de souci sauf la perte à l'accés au réseau de la boîte.
j'ai apporté mon PC au service informatique, qui m'a dit qu'ils allaient le remasteriser.
j'attends donc mon pc demain
la solution aura donc été la remasterisation.
je posterai demain pour te dire si tout est Ok, et je fermerai le sujet.
En tout cas merci beaucoup pour tout le temps que tu m'auras accordé.
