invasion de Rootkit AgentFermé

Question

bonjour a vous 
j'aurais besoin d'aide SVP

7 rootkit agent détectés avec Antiir, direction quarantaine...
et 3 rootkit agent avec Malwarebyte ...

une fois les recherches et détection terminés Antivir et Malwarebyte me demande de redémarrer le PC, mais au redémarrage , écran noir, et seule "mode "dernière bonne configuration" me permet de lancer le PC
Donc j'imagine que les suppressions des fichiers malveillants ne ce font pas correctement !?
car si je refait un scan , il retrouve des fichier infectés 

Que dois je faire ?? 

merci d'avance

verni29 · Answer

Bonsoir, 

Télécharge OTL (de OldTimer) sur ton Bureau. 
http://oldtimer.geekstogo.com/OTL.scr

Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan. 

* Double-clique sur  OTL.scr  pour le lancer. 
Si Sous Vista , click droit sur sur le fichier et choisir Exécuter en tant qu'administrateur. 
* Dans la partie  Personnalisation, copie/colle la liste suivante.

 netsvcs 
Drivers32
%SYSTEMDRIVE%\*.exe 
/md5start 
eventlog.dll 
scecli.dll 
netlogon.dll 
cngaudit.dll 
sceclt.dll 
ntelogon.dll 
logevent.dll 
iaStor.sys 
nvstor.sys 
atapi.sys 
IdeChnDr.sys 
viasraid.sys 
AGP440.sys 
vaxscsi.sys 
nvatabus.sys 
viamraid.sys 
nvata.sys 
nvgts.sys 
iastorv.sys 
ViPrt.sys 
eNetHook.dll 
ahcix86.sys 
KR10N.sys 
nvstor32.sys 
ahcix86s.sys 
nvrd32.sys 
/md5stop 
%systemroot%\*. /mp /s 
CREATERESTOREPOINT 

* Enfin, clique sur le bouton  Analyse rapide. 

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes :  OTL.txt  et  Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau) 

Utilise un site comme http://cijoint.fr pour les déposer. 
indique ensuite les deux liens crées.

A+

jeremy · Answer

merci beaucoup
je viens d'effectuer la manip 


http://www.cijoint.fr/cjlink.php?file=cj201004/cijs85L90r.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cij1GJw23M.txt
http://www.cijoint.fr/cjlink.php?file=cj201004/cijIZLafj3.txt

jeremy · Answer

merci beaucoup
je viens d'effectuer la manip


http://www.cijoint.fr/cjlink.php?file=cj201004/cijs85L90r.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cij1GJw23M.txt

http://www.cijoint.fr/cjlink.php?file=cj201004/cijIZLafj3.txt

verni29 · Answer

Re, 

Désinstalle la Ask Toolbar via le panneau de configuration.
C'est une barre d'outil qui va espionner ton surf.

---------------------------------------------------------------------------------

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( IMPORTANT )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d'installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l'ordinateur pour supprimer certains fichiers. 

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+

jeremy · Answer

c'est fait : 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijyuMTN8y.txt


merci de ton aide verni29, 
c'est très sympa

verni29 · Answer

Re, 

Pas de quoi pour le coup de main.

-----------------------------------------------------------------------------

1/ Télécharge le fichier suivant et enregistre-le sur ton bureau ( IMPORTANT )
http://senduit.com/d07cf6

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien 
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+

jeremy · Answer

fichier glissé, parfait le GIF, j'avais pas compris au debut 

http://www.cijoint.fr/cjlink.php?file=cj201004/cijJIG7vwK.txt

verni29 · Answer

jeremy,  

On a bien nettoyé l'infection avec les rootkits mais on vient de dénicher une autre : 

[-] 2004-08-03 20:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys 

C'est un fichier système qui est sans doute patché. 
On va le vérifier. 

----------------------------------------------------------------------------------------- 

Télécharge gmer  sur ton bureau ( IMPORTANT ) 
http://www.gmer.net/#files 

Précautions d'usage : 
- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT. 
- Ferme également toutes les applications actives dont ton navigateur. 

# Double-clique sur l'exécutable téléchargé . 
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.  
# Le scan va se lancer de lui-même. 
 
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien. 

# A la fin de l'analyse, clique sur save pour enregistrer le rapport 
# Enregistre-le sur le bureau ( fichier .log ) 

Édite ce rapport dans ta prochaine réponse. 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

jeremy · Answer

deja merci bcp, tu es un génie, plus de rootkit 


par contre GMER plante au demarage

verni29 · Answer

Re, 

Je suis à peu près certain pour l'infection avec atapi.sys.
Peux-tu reessayer avec gmer ?
C'est important.
Si cela ne marche pas, on utilisera autre chose.

Supprime le fichier de gmer sur le bureau.
Retélécharge le comme sur le message précedent.

fais attention. Il faut désactiver l'antivirus.

A+

jeremy · Answer

antivir bien desactivé, mais ca ne marche pas
ess mais plantage au bout  de 2 secondes

verni29 · Answer

OK,  

Télécharge SEAF  de C_XX.   
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe   

# Double clique sur SEAF.exe    
Si sous Vista , click droit sur le fichier et choisir "éxécuter en tant qu'administrateur"   

# Tape atapi.sys dans la zone de recherche.   
# Pour l'option Calculer le checksum, choisis MD5  
# Sélectionne l'option " Chercher également dans la base de registre "   

# Valide en cliquant sur " lancer la recherche "   
# Laisse l'outil scanner.    

Copie/Colle le rapport qui s'ouvrira dans ton prochain message. 
Si il le faut, utilise http://www.cijoint.fr 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

jeremy · Answer

re; desolé pour avoir quitté hier 

voila le rapport de seaf 







1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 19:43:49 le 21/04/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. atapi.sys
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
13. 
14. "c:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys" [ ----A---- | 86656 ]
15. TC: 06/10/2009,18:10:03 | TM: 17/08/2001,21:51:56 | DA: 21/04/2010,06:37:02
16. MD5: a64013e98426e1877cb653685c5c0009
17. 
18. 
19. =========================
20. 
21. "c:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys" [ ----A---- | 86656 ]
22. TC: 06/10/2009,18:09:54 | TM: 17/08/2001,21:51:56 | DA: 21/04/2010,06:37:02
23. MD5: a64013e98426e1877cb653685c5c0009
24. 
25. 
26. =========================
27. 
28. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 95360 ]
29. TC: 06/10/2009,18:10:03 | TM: 03/08/2004,22:59:44 | DA: 20/04/2010,22:00:42
30. MD5: DENIED
31. 
32. 
33. =========================
34. 
35. "c:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys" [ ----A---- | 96512 ]
36. TC: 02/03/2010,11:44:44 | TM: 13/04/2008,20:40:30 | DA: 21/04/2010,06:37:02
37. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
38. 
39. 
40. =========================
41. 
42. "c:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----N---- | 95360 ]
43. TC: 09/10/2009,16:37:46 | TM: 03/08/2004,22:59:44 | DA: 21/04/2010,06:37:02
44. MD5: cdfe4411a69c224bd1d11b2da92dac51
45. 
46. 
47. =========================
48. 
49. "c:\WINDOWS\ERDNT\cache\atapi.sys" [ ----A---- | 95360 ]
50. TC: 20/04/2010,21:49:52 | TM: 03/08/2004,22:59:44 | DA: 21/04/2010,06:37:02
51. MD5: cdfe4411a69c224bd1d11b2da92dac51
52. 
53. 
54. =========================
55. 
56. "c:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----C---- | 86912 ]
57. TC: 09/10/2009,17:01:05 | TM: 29/08/2002,01:27:50 | DA: 21/04/2010,06:37:03
58. MD5: 95b858761a00e1d4f81f79a0da019aca
59. 
60. 
61. =========================
62. 
63. "c:\Driver Backup 10-9-2009-122120\Canal IDE secondaire#1\atapi.sys" [ ----A---- | 86656 ]
64. TC: 06/10/2009,18:10:03 | TM: 17/08/2001,21:51:56 | DA: 21/04/2010,06:37:03
65. MD5: a64013e98426e1877cb653685c5c0009
66. 
67. 
68. =========================
69. 
70. "c:\Driver Backup 10-9-2009-122120\Canal IDE secondaire\atapi.sys" [ ----A---- | 86656 ]
71. TC: 06/10/2009,18:10:03 | TM: 17/08/2001,21:51:56 | DA: 21/04/2010,06:37:03
72. MD5: a64013e98426e1877cb653685c5c0009
73. 
74. 
75. =========================
76. 
77. "c:\Driver Backup 10-9-2009-122120\Canal IDE principal#1\atapi.sys" [ ----A---- | 86656 ]
78. TC: 06/10/2009,18:10:03 | TM: 17/08/2001,21:51:56 | DA: 21/04/2010,06:37:03
79. MD5: a64013e98426e1877cb653685c5c0009
80. 
81. 
82. =========================
83. 
84. "c:\Driver Backup 10-9-2009-122120\Canal IDE principal\atapi.sys" [ ----A---- | 86656 ]
85. TC: 06/10/2009,18:10:03 | TM: 17/08/2001,21:51:56 | DA: 21/04/2010,06:37:04
86. MD5: a64013e98426e1877cb653685c5c0009
87. 
88. 
89. =========================
90. 
91. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
92. 
93. Aucun dossier trouvé
94. 
95. 
96. ====== Entrée(s) du registre ======
97. 
98. 
99. 
100. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet016\Services\atapi]
101. "ImagePath"="System32\DRIVERS\atapi.sys"
102. 
103. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet017\Services\atapi]
104. "ImagePath"="System32\DRIVERS\atapi.sys"
105. 
106. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet018\Services\atapi]
107. "ImagePath"="System32\DRIVERS\atapi.sys"
108. 
109. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\atapi]
110. "ImagePath"="System32\DRIVERS\atapi.sys"
111. 
112. =========================
113. 
114. Fin à: 19:45:28 le 21/04/2010 ( E.O.F )

verni29 · Answer

OK, 

C'est bien ce que je pensais.

On va réutiliser ComboFix.
Même type de manip que la dernière fois.

1/  Télécharge le fichier suivant et enregistre-le sur ton bureau.
http://senduit.com/f94a99

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien 
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+

verni29 · Answer

jeremy, 

Je suis absent ce soir. a demain.

A+

Djebabouzeer · Answer

Bonjour,ne les supprime pas mé les en quarantaine

jeremy · Answer

pas de problèmes verni;

je te poste le nouveau rapport


http://www.cijoint.fr/cjlink.php?file=cj201004/cijZNhCjKg.txt


merci

verni29 · Answer

jeremy, 

Le résultat n'est pas celui attendu.

Refais la manip avec SEAF.
https://forums.commentcamarche.net/forum/affich-17452164-invasion-de-rootkit-agent#14

A+

jeremy · Answer

bonjour,

second rapport SEAF

http://www.cijoint.fr/cjlink.php?file=cj201004/cijC5Jactw.txt

verni29 · Answer

jeremy, 

28. "c:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 95360 ]
29. TC: 06/10/2009,18:10:03 | TM: 03/08/2004,22:59:44 | DA: 21/04/2010,22:03:04
30. MD5: DENIED

Le fichier est toujours infecté.
Pas simple. Il risque d'y avoir quelques manipulations.

---------------------------------------------------------------

1/ Télécharge TDSSKiller sur ton Bureau.
https://support.kaspersky.com/downloads/utils/tdsskiller.zip

# Décompresse le (clic droit sur le fichier et extraire ici) puis
# Menu Démarrer clique sur Exécuter puis copie-colle le texte suivant dans cette fenêtre :

 "%userprofile%\bureau\TDSSKiller.exe" -l C:\report.txt -v 
et clique sur OK
# Une fenêtre Dos noire va s'ouvrir, elle se refermera d'elle même quand le travail de l'outil sera terminé.

Redémarre le PC.

Poste en réponse le rapport report.txt qui sera crée en C:\report.txt.


2/ Refais la manip avec SEAF pour le fichier atapi.sys.

A+

jeremy · Answer

1/  http://www.cijoint.fr/cjlink.php?file=cj201004/cijev6aDpW.txt

2/  http://www.cijoint.fr/cjlink.php?file=cj201004/cijnWdZFPr.txt

voila les rapports

et encore merci 

c'est quoi ce atapi.sys, il est super gluant

verni29 · Answer

Re, 

c'est quoi ce atapi.sys, il est super gluant
Oui. 
Atapi.sys est un driver essentiel au bon fonctionnement de windows et des disques durs IDE.

C'est une infection assez récente et plutot vicieuse.
Et dernièrement, il y a une variante où ce fichier atapi.sys est une fausse piste puisque ce n'est pas lui qui est finalement patché.

Pour la manipulation suivante, il faudra à un moment utiliser la console de récupération.
ComboFix l'a installée. 

Au démarrage du PC, tu dois avoir deux choix, démarrer Windows ou Démarrer avec la console de récupération.

La manip suivante est un peu délicate. Imprime ou note les consignes .

-------------------------------------------------------------------------

1/ Télécharge Maxlook et sauvegarde-le sur ton Bureau.
http://noahdfear.net/downloads/maxlook.exe

# Double-clique sur maxlook.exe.
Attention, cet outil ne doit être lancé qu'une seule fois

# A la fin de l'analyse, il est demandé de redémarrer le PC. Fais-le.

Redémarre le PC.

2/ Choisis le démarrage avec la console de récupération. 

- choisis le repertoire de windows que tu as installé 
par exemple : 1 --> c:\windows 
- tape ensuite ceci : 

batch look.bat
Plusieurs fichiers vont être copiés en succession. ce sera rapide.

# tape exit puis valide avec [Entrée]. Le PC va redémarrer.

3/ Une fois sous Windows, connecte toi au net ( NECESSAIRE ).
reviens sur la discussion pour copier le etxte suivant.

#   Démarrer à exécuter à Copie/colle le texte suivant dans la fenêtre ouverte :

"%userprofile%\bureau\maxlook.exe" -sig
# L'outil va ouvir une fenêtre pour se connecter à un site. Laisse l'outil finir l'analyse.

Un rapport texte apparaîtra à l'écran, nommé looklog.txt. 
Colle le rapport dans ta réponse.

A+

jeremy · Answer

ca y est, mais je me suis planté avec la console de récupération, j'ai fait exit, puis refait le maxlook.exe et refait les manip sur la console , je colle le rapport :

---------------------------------------------------------------------------------------------------


[code]Run from C:\Documents and Settings\atchoum\bureau\maxlook.exe on 22/04/2010 at 21:05:09,53

--------- maxlook unsigned files ---------

c:\windows\maxdriver\a347bus.sys:
	Verified:	Unsigned
	File date:	10:37 30/04/2004
	Publisher:	 
	Description:	Plug and Play BIOS Extension
	Product:	 
	Version:	3.47.0.0
	File version:	3.47.0.0 built by: WinDDK
c:\windows\maxdriver\a347scsi.sys:
	Verified:	Unsigned
	File date:	10:33 30/04/2004
	Publisher:	 
	Description:	SCSI miniport
	Product:	 
	Version:	3.47.0.0
	File version:	3.47.0.0 built by: WinDDK

--------- system32\drivers unsigned files ---------

c:\windows\system32\drivers\a347bus.sys:
	Verified:	Unsigned
	File date:	10:37 30/04/2004
	Publisher:	 
	Description:	Plug and Play BIOS Extension
	Product:	 
	Version:	3.47.0.0
	File version:	3.47.0.0 built by: WinDDK
c:\windows\system32\drivers\a347scsi.sys:
	Verified:	Unsigned
	File date:	10:33 30/04/2004
	Publisher:	 
	Description:	SCSI miniport
	Product:	 
	Version:	3.47.0.0
	File version:	3.47.0.0 built by: WinDDK
c:\windows\system32\drivers\atapi.sys:
	Verified:	Error accessing file
	Publisher:	n/a
	Description:	n/a
	Product:	n/a
	Version:	n/a
	File version:	n/a
/code

verni29 · Answer

Aie, 

C'est un peu embêtant pour maxlook.
j'espère pour autant que l'analyse ne soit pas faussée. 

-----------------------------------------------------------------------

fais une copie de ce fichier c:\WINDOWS\ServicePackFiles\i386\atapi.sys en C:\
Si tu as des difficultés, indique les moi.

------------------------------------------------------------------------

Télécharge The Avenger  sur ton Bureau.
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/ 
# Extraire le fichier sur ton bureau.
# Tu obtiendras un fichier avenger.exe

2/ Copie le texte ci-dessous :

Files to move:
C:\atapi.sys|C:\Windows\System32\drivers\atapi.sys

Note: Le code ci-dessus a été crée spécialement pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE SUIVEZ pas ces directives : elles pourraient endommager votre système.

3/ Maintenant, lancer The Avenger en double-cliquant sur Avenger.exe.

    *  Clique sur OK au message qui va s'ouvrir
    *  Dans le rectangle blanc, sous "Input script here", colle-le texte . 
    * Cliquer "Execute" comme ceci :
http://img100.imageshack.us/img100/7672/avengerve6pq1.jpg

    * Une boîte de dialogue indique que le pc va redémarrer. Il faut accepter.

4/ The Avenger va automatiquement faire ce qui suit:

    * Il va Re-démarrer le système. 
      Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois
    * Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    * The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5/ Pour finir copier/coller le contenu du ficher c:\avenger.txt dans votre réponse

A+

jeremy · Answer

au redemarage , j'ai une fenetre qui c'est ouverte avec un message " Window pas de disque"
" il n'y a pas de disque dans le lecteur. inserz un disque dans le lecteur.
annuler       recommencer        continuer 











-------------------------------------------------------------------------------------------------------

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File move operation "C:\atapi.sys|C:\Windows\System32\drivers\atapi.sys" completed successfully.

Completed script processing.

*******************

Finished!  Terminate.

verni29 · Answer

Re, 

Pour le message d'erreur au redémarrage, inconnu. 
je me renseigne.

-------------------------------------------------------------------

Vérifions si cela a marché.
Relance SEAF et fait l'analyse sur atapi.sys.

A+

jeremy · Answer

Vérifions si cela a marché.
Relance SEAF et fait l'analyse sur atapi.sys.


voila
http://www.cijoint.fr/cjlink.php?file=cj201004/cijlfwdz1u.txt

verni29 · Answer

Bon, 

Surprenant, cela ne semble pas marché.

Il existe d'autres solutions pour résoudre ce problème mais je préfère demander l'avis d'autres personnes.
je mettrais d'autres consignes demain.

tenace ce driver. :-(

A+

jeremy · Answer

ok ; 
oui tenace,il me fatigue ^^  je vais me coucher 

merci vraiment pour le coup de main et ta disponibilitée.
a+

verni29 · Answer

jeremy,  

C'est assez mystérieux pour le fichier atapi.sys. 
Il aurait du être nettoyé. 

------------------------------------------------------- 

On va réessayer d'utiliser Gmer en prenant la version zippé. 
Supprime l'exécutable de gmer présent sur le bureau. 


Télécharge gmer  sur ton bureau ( IMPORTANT ) 
http://www2.gmer.net/gmer.zip 

# Extrait le fichier sur le bureau ( click droit sur le fichier et choisir Extraire ici ) 

Précautions d'usage : 

EDIT : Tu as des traces d'un émulateur de CD style Alcohol Soft ou Daemon Tools.
l'outil suivant va les désactiver.

    * Télécharge DeFogger de Jpshortstuff  sur ton Bureau
http://www.jpshortstuff.247fixes.com/Defogger.exe

    * Double-clique sur DeFogger.exe pour démarrer l'outil (ou clic droit et exécuter en tant qu'administrateur sous Vista),
    * La fenêtre de DeFogger apparait,
    * Clique sur Disable pour désactiver les drivers d'émulateurs CD,
    * Clique sur Yes pour continuer,
    * Un message "Finished" apparaîtra,
    * Clique sur OK,
    * DeFogger va demander de redémarrer le pc,
    * Ne réactive pas les drivers avant que te le demande.


- Durant l'utilisation du logiciel, désactive tes protections actives ( antivirus, parefeu ). IMPORTANT. 
- Ferme également toutes les applications actives dont ton navigateur. 

# Double-clique sur l'exécutable gmer.exe. 
Si sous Vista , click droit sur l'exécutable et choisir exécuter en tant qu'administrateur.  
# Le scan va se lancer de lui-même. 
 
Si tu reçois un message t'indiquant la présence de rootkits, choisis oui pour effectuer une analyse complète du PC mais ne supprime rien. 

# A la fin de l'analyse, clique sur save pour enregistrer le rapport 
# Enregistre-le sur le bureau ( fichier .log ) 

Édite ce rapport dans ta prochaine réponse. 

------------------------------------------------------------------------------- 

Si l'outil ne peut pas terminer son analyse, essaie en décochant les options : IAT/EAT, Devices . 

A+ 
Allez jusqu'au bout de la procédure de désinfection.

jeremy · Answer

verni29 GMER plante toujours, impossible de faire l'analyse ou de decocher IAT

verni29 · Answer

Jeremy, 

J'ai édité le message pour intégrer Defogger.
Il est possible qu'il reste des traces d'un émulateur de disque virtuel et ceci biaise ou empêche l'analyse.

A+

verni29 · Answer

Jeremy, on s'est croisé.

J'ai édité mon message en intégrant un outil.
peux-tu refaire la manip avec defogger en plus de gmer ?

A+

jeremy · Answer

et bien tu m'épate après le "defoggage" GMER  n'a pas planté 


_________________________________________________________________


GMER 1.0.15.15281 - http://www.gmer.net
Rootkit quick scan 2010-04-23 18:26:03
Windows 5.1.2600 Service Pack 2
Running: gmer.exe; Driver: C:\DOCUME~1\atchoum\LOCALS~1\Temp\awecrpog.sys


---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs  avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)

---- EOF - GMER 1.0.15 ----


_______________________________________________________________



defogger_disable by jpshortstuff (23.02.10.1)
Log created at 18:17 on 23/04/2010 (atchoum)

Checking for autostart values...
HKCU\~\Run values retrieved.
HKLM\~\Run values retrieved.

Checking for services/drivers...
a347bus -> Already disabled (Service running -> reboot required)
a347scsi -> Already disabled (Service running -> reboot required)
Unable to read atapi.sys

verni29 · Answer

Re, 

Je crois bien qu'on tient la cause du problème. ;-)
le rapport de gmer est bon et la cause viendrait bien de ces drivers.

Vérifions . 

lance OTL.

# Clique sur Aucun .
# Copie/colle sous personnalisation le texte suivant :

/md5start
atapi.sys
/md5stop

# clique sur Analyse.
# Le scan va être rapide et afficher un rapport.

Poste le dans ton prochain message.

A+

jeremy · Answer

OTL logfile created on: 23/04/2010 19:33:02 - Run 2 OTL by OldTimer - Version 3.2.1.3 Folder = C:\Documents and Settings\atchoum\Bureau Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation Internet Explorer (Version = 6.0.2900.2180) Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy 1 015,00 Mb Total Physical Memory | 540,00 Mb Available Physical Memory | 53,00% Memory free 2,00 Gb Paging File | 2,00 Gb Available in Paging File | 82,00% Paging File free Paging file location(s): C:\pagefile.sys 1524 3048 [binary data] %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files Drive C: | 76,32 Gb Total Space | 3,91 Gb Free Space | 5,13% Space Free | Partition Type: NTFS D: Drive not present or media not loaded E: Drive not present or media not loaded F: Drive not present or media not loaded G: Drive not present or media not loaded H: Drive not present or media not loaded I: Drive not present or media not loaded Computer Name: SEPTNAIN-N3TGTE Current User Name: atchoum Logged in as Administrator. Current Boot Mode: Normal Scan Mode: Current user Company Name Whitelist: Off Skip Microsoft Files: Off File Age = 30 Days Output = Standard [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< MD5 for: ATAPI.SYS >[/color] [2002/08/29 12:17:04 | 010,179,564 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp1.cab:atapi.sys [2004/08/19 16:20:54 | 018,782,711 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2002/08/29 12:17:04 | 010,179,564 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp1.cab:atapi.sys [2004/08/19 16:20:54 | 018,782,711 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys [2002/08/29 01:27:50 | 000,086,912 | ---- | M] (Microsoft Corporation) MD5=95B858761A00E1D4F81F79A0DA019ACA -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2008/04/13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE principal#1\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE principal\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE secondaire#1\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE secondaire\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\ERDNT\cache\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\maxdriver\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys < End of report > [color=#E56717]========== Custom Scans ==========[/color] [color=#A23BEC]< MD5 for: ATAPI.SYS >[/color] [2002/08/29 12:17:04 | 010,179,564 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp1.cab:atapi.sys [2004/08/19 16:20:54 | 018,782,711 | ---- | M] () .cab file -- C:\WINDOWS\Driver Cache\i386\sp2.cab:atapi.sys [2002/08/29 12:17:04 | 010,179,564 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp1.cab:atapi.sys [2004/08/19 16:20:54 | 018,782,711 | ---- | M] () .cab file -- C:\WINDOWS\ServicePackFiles\i386\sp2.cab:atapi.sys [2002/08/29 01:27:50 | 000,086,912 | ---- | M] (Microsoft Corporation) MD5=95B858761A00E1D4F81F79A0DA019ACA -- C:\WINDOWS\$NtServicePackUninstall$\atapi.sys [2008/04/13 20:40:30 | 000,096,512 | ---- | M] (Microsoft Corporation) MD5=9F3A2F5AA6875C72BF062C712CFA2674 -- C:\WINDOWS\SoftwareDistribution\Download\327771f7f3830b5acec68906a2aac4ab\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE principal#1\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE principal\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE secondaire#1\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\Driver Backup 10-9-2009-122120\Canal IDE secondaire\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\WINDOWS\system32\ReinstallBackups\0001\DriverFiles\i386\atapi.sys [2001/08/17 21:51:56 | 000,086,656 | ---- | M] (Microsoft Corporation) MD5=A64013E98426E1877CB653685C5C0009 -- C:\WINDOWS\system32\ReinstallBackups\0005\DriverFiles\i386\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\ERDNT\cache\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\maxdriver\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\ServicePackFiles\i386\atapi.sys [2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys < End of report >

jeremy · Answer

je dois m'absenter ce soir verni

verni29 · Answer

Excellent, 

Franchement désolé, je t'ai fait faire pas mal de manips sur un faux problème.
Il restait des services d'une installation d'Alcohol Soft qui biaisaient les rapports.

[2004/08/03 22:59:44 | 000,095,360 | ---- | M] (Microsoft Corporation) MD5=CDFE4411A69C224BD1D11B2DA92DAC51 -- C:\WINDOWS\system32\drivers\atapi.sys 

C'est nickel pour ce fichier.

Un grand merci à plusieurs personnes. ;-)

------------------------------------------------------------------------------

On va tout de même vérifier que le PC est propre.

fais un scan en ligne.
Suis le tuto : https://forum.pcastuces.com/default.asp

Poste le rapport.

A+

jeremy · Answer

file:///C:/Documents%20and%20Settings/atchoum/Bureau/rapport%20scan%20en%20ligne.html

c'est le rapport du scan en ligne .

et merci a tous oui

verni29 · Answer

jeremy, 

Pour le scan en ligne, envoie via le site http://senduit.com
Choisis un délai raisonnable pour la durée de vie du fichier.
Et indique le lien crée.

A+

jeremy · Answer

http://senduit.com/78e77c

verni29 · Answer

Re, 

La restauration système a été infectée. Il faudra la nettoyer.

1/ lance une dernière fois OTL 
Clique sur analyse rapide et poste le rapport obtenu.

2/ mets à jour le PC :

IE8 : ( même si tu n'utilises pas IE, il est préférable de l'avoir à jour ).
https://www.commentcamarche.net/telecharger/web-internet/12477-internet-explorer-11/

SP3 : ( indispensable , tous les correctifs depuis le SP2 )
https://www.commentcamarche.net/telecharger/systemes-d-exploitation/20759-sp3-windows-xp/

3/ Télécharge JavaRa de PaulMcLain et Fred De Vries.
https://javara.fr.malavida.com/

    * Click droit sur l'archive JavaRa.zip et extraire sur le bureau.
    *  Un dossier sera crée. L'ouvrir et double-cliquer sur JavaRa.exe pour le lancer
    * Choisis la langue ( français )

Une fenêtre va s'ouvrir ou tu auras le choix entre mettre à jour et supprimer les anciennes versions de Java.

- Mise à jour :

    * clique sur Recherche de mise à jour et choisis l'option Mettre à jour via jucheck.exe .
    * Il te sera précisé si il existe ou pas de nouvelle version à installer sur ton PC.
    * Si oui, clique sur Installer puis suis les invites.

Note : Si  tu n'y arrives pas avec cette option, choisis l'autre Mettre à jour via le site Internet de Sun  ou alors sur le site suivant https://www.java.com/fr/download/manual.jsp

- Suppression des anciennes versions :

    * Relance JavaRa.exe s'il le faut et choisis Effacer les anciennes versions
    * Suis les invites.
    * Il te sera précisé de la suppression les versions trouvées et supprimées

Un rapport sera crée. Poste-le.

A+

jeremy · Answer

voila deja le rapport otl
http://www.cijoint.fr/cjlink.php?file=cj201004/cij0QSKsgB.txt

jeremy · Answer

JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Sun Apr 25 01:14:57 2010

Found and removed: C:\Documents and Settings\atchoum\Application Data\Sun\Java\jre1.6.0_16

Found and removed: C:\Documents and Settings\atchoum\Application Data\Sun\Java\jre1.6.0_17

Found and removed: C:\Documents and Settings\atchoum\Application Data\Sun\Java\jre1.6.0_19

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0000-0005-ABCDEFFEDCBA}

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_02

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_03

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.0.1_04

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2

Found and removed: SOFTWARE\JavaSoft\Java Web Start\1.2.0_01

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0000-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0001-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0002-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0003-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0004-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0005-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0006-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0007-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0008-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0009-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0010-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0011-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0012-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0013-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0014-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0015-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0016-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0017-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0018-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0019-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0020-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0021-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0022-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0023-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0024-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0025-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0026-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0027-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0028-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0029-ABCDEFFEDCBB}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBA}

Found and removed: Software\Classes\CLSID\{CAFEEFAC-0013-0001-0030-ABCDEFFEDCBB}

Found and removed: SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAA5-00401C608500}

------------------------------------

Finished reporting.

verni29 · Answer

jeremy, 

1/ peux-tu analyser deux fichiers sur le site de VirusTotal ?

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : C:\WINDOWS\System32\drivers\dubuoc.sys

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

Puis refais l'analyse avec le fichier C:\WINDOWS\System32\x3t0579.dll

2/ Désinstalle LiveUpdate via le panneau de configuration.
Utilise également l'outil suivant pour nettoyer toute trace de Norton .
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

3/ Il y a des traces d'une infection par support amovible.

Télécharge  USBFix  ( par Chiquitine29 ) sur ton bureau.

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d'avoir été infectées sans les ouvrir
* Double clic sur UsbFix.exe présent sur ton bureau .
* Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 
* Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 
* Laisse travailler l'outil.
* Ensuite post le rapport UsbFix.txt qui apparaitra.

 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )


A+

Invasion de Rootkit Agent

45 réponses

Discussions similaires

Newsletters