Rootkit

Résolu
odrap Messages postés 70 Statut Membre -  
 Utilisateur anonyme -
Bonjour,
voici en derniere ligne du rap. malwarebytes :
C:\WINDOWS\system32\drivers\bdsrwon.sys (Rootkit.Agent) -> Delete on reboot

si un de vous peut m'aider à me débarrasser du Rootkit

pour l'instant je n'ai pas de désagréments à part qq déconnexions Web
et toujours un démarrage de l'ordi en écran noir option "dernière bonne configuration connue"
amicalement, merci
A voir également:

46 réponses

Réponse 1 / 46
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Bonjour

"C:\WINDOWS\system32\drivers\bdsrwon.sys (Rootkit.Agent) -> Delete on reboot "

C'est indiqué cela sera effacé au démarrage du PC
Donc redémarre ton PC.
Vide la quarantaine de Malwarebytes.

On va quand même analyser ton PC:

Télécharge ZHPDiag sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.

Smart
0
Réponse 2 / 46
odrap Messages postés 70 Statut Membre
 
merci, voici le lien
http://www.cijoint.fr/cjlink.php?file=cj201005/cijO1CJig7.txt
0
Réponse 3 / 46
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Ouah, tu es sacrément infecté :-(

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
- Clique sur [gras>TÉLÉCHARGER</gras> et enregistre-le sur ton bureau.
- Déconnecte toi et ferme toutes les applications en cours
- Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
- Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
- Laisse travailler l'outil et ne touche à rien ...
- Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Note :
Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.

Ensuite

/!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
Pour Windows 7: https://www.androidworld.fr/

- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

Cela te fait deux rapports à poster

Smart
0
Réponse 4 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Bonjour Smart91.

Juste pour dire à l'auteur que lorsqu'on demande une désinfection, on la fait sur un seul forum à la fois. ;)
https://www.luanagames.com/index.fr.html

Merci.
0
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Merci Tigzy de l'info

Smart
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Il a déjà passé malwarebytes ;)
Fais lui faire un Combofix plutôt il y a une dizaine de driver infectieux
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 46
odrap Messages postés 70 Statut Membre
 
bonjour Smart
voici le rap. ADR en mode sans échec (en mode normal, il est resté bloqué à 5%
pendant environ 1 heure, je l'ai stoppé)

.
======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 01/05/10 à 19:50
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 10:03:27 le 04/05/2010 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Ad-Remover\ADR.exe
SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
Nom du PC: ODRAP
Utilisateur actuel: PARDO
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.
.
C:\Documents and Settings\All Users\Application Data\Viewpoint
C:\Program Files\Viewpoint

(!) -- Fichiers temporaires supprimés.
.
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
HKLM\Software\Viewpoint
.
.
============== SCAN ADDITIONNEL ==============
.
* Mozilla FireFox Version 3.5.9 (fr) *
.
C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.download.dir: C:\\PRGME
C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\PARDO.ODRAP\\Bureau
C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.startup.homepage: hxxp://www.google.com/search?hl=fr&ie=UTF-8&oe=UTF-8&q=%s|hxxp://fr.wikipedia.org/wiki/Special:Search?search=%s
C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.6
.
.
* Internet Explorer Version 6.0.2900.5512 *
.
[HKCU\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: C:\windows\system32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 0
.
[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm
.
========================================
.
C:\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Ad-Remover\Backup: 13 Fichier(s)
.
C:\Ad-Report-CLEAN[1].txt - 482 Octet(s)
C:\Ad-Report-CLEAN[2].txt - 3105 Octet(s)
.
Fin à: 10:10:30, 04/05/2010
.
============== E.O.F - CLEAN[2] ==============

et le rap. malwarebytes

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4063

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

04/05/2010 11:19:42
mbam-log-2010-05-04 (11-19-42).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 171741
Temps écoulé: 53 minute(s), 59 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\bdsrwon.sys (Rootkit.Agent) -> Delete on reboot.

merci @+
0
Réponse 6 / 46
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Redémarre ton PC et vide la quarantaine de MBAM

Ensuite:

Avant de commencer, fait une sauvegarde de tous tes documents

Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil
Imprime la procédure

Télécharge ComboFix de sUBs sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

- /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
- Double-clique sur ComboFix.exe
- Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
- Surtout, accepte d'installer la console de récupération
- Mets-le en langue française F
- Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Smart
0
odrap Messages postés 70 Statut Membre
 
Bonsoir Smart,
j'ai l'impression que le rap. Compo fix ne se poste pas
à la suite de ta demande, est ce que tu l'as ?
merci @+
0
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Utilise www.cijoint.fr
Et poste le lien défini par cijoint dans ta réponse

Smart
0
odrap Messages postés 70 Statut Membre
 
salut Smart, le voici
http://www.cijoint.fr/cjlink.php?file=cj201005/cij2thBBwP.txt
0
Réponse 7 / 46
odrap Messages postés 70 Statut Membre
 
Salut Smart, le rap Combo ici

ComboFix 10-05-03.06 - PARDO 04/05/2010 18:11:07.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.338 [GMT 2:00]
Lancé depuis: c:\documents and settings\PARDO.ODRAP\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\program files\WindowsUpdate
c:\windows\system32\driVERs\waxwlvza.sys

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_waxwlvza
-------\Service_waxwlvza


((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
.

2010-05-04 09:28 . 2010-05-04 10:33 574464 ----a-w- c:\windows\system32\drivers\vuyqinqh.sys
2010-05-04 09:19 . 2010-05-04 09:19 54016 ----a-w- c:\windows\system32\drivers\kfdww.sys
2010-05-04 08:15 . 2010-05-04 09:20 574464 ----a-w- c:\windows\system32\drivers\jnoqzia.sys
2010-05-04 07:11 . 2010-05-04 08:10 -------- d-----w- C:\Ad-Remover
2010-05-04 06:14 . 2010-05-04 08:10 574464 ----a-w- c:\windows\system32\drivers\rhcuuhg.sys
2010-05-03 21:13 . 2010-05-03 21:15 -------- d-----w- c:\program files\ZHPDiag
2010-05-03 17:39 . 2010-05-03 21:59 574464 ----a-w- c:\windows\system32\drivers\fhxajhm.sys
2010-05-03 17:33 . 2010-05-03 17:33 54016 ----a-w- c:\windows\system32\drivers\yjptwa.sys
2010-05-03 14:42 . 2010-05-03 17:34 574464 ----a-w- c:\windows\system32\drivers\xoczufc.sys
2010-05-03 09:03 . 2010-05-03 11:05 574464 ----a-w- c:\windows\system32\drivers\odtxn.sys
2010-05-03 08:13 . 2010-05-03 08:59 574464 ----a-w- c:\windows\system32\drivers\jmpqu.sys
2010-05-02 19:27 . 2010-05-02 19:29 574464 ----a-w- c:\windows\system32\drivers\iaebunc.sys
2010-05-02 05:02 . 2010-05-02 05:43 574464 ----a-w- c:\windows\system32\drivers\cxqmim.sys
2010-05-01 14:30 . 2010-05-01 17:07 574464 ----a-w- c:\windows\system32\drivers\vdwesnt.sys
2010-05-01 07:16 . 2010-05-01 11:39 574464 ----a-w- c:\windows\system32\drivers\ratos.sys
2010-04-30 21:10 . 2010-04-30 21:15 574464 ----a-w- c:\windows\system32\drivers\pynvv.sys
2010-04-30 14:48 . 2010-04-30 14:51 574464 ----a-w- c:\windows\system32\drivers\hebmtijb.sys
2010-04-30 09:51 . 2010-04-30 10:33 574464 ----a-w- c:\windows\system32\drivers\dxohcoq.sys
2010-04-30 06:51 . 2010-04-30 09:29 574464 ----a-w- c:\windows\system32\drivers\ttgmjyb.sys
2010-04-29 18:06 . 2010-04-29 20:43 574464 ----a-w- c:\windows\system32\drivers\junuhyc.sys
2010-04-29 14:36 . 2010-04-29 15:03 574464 ----a-w- c:\windows\system32\drivers\utwlb.sys
2010-04-29 07:08 . 2010-04-29 10:14 574464 ----a-w- c:\windows\system32\drivers\ohgnn.sys
2010-04-28 21:06 . 2010-04-28 21:27 574464 ----a-w- c:\windows\system32\drivers\pgijsleq.sys
2010-04-28 13:26 . 2010-04-28 14:52 574464 ----a-w- c:\windows\system32\drivers\umxjujr.sys
2010-04-27 17:44 . 2010-04-27 20:32 574464 ----a-w- c:\windows\system32\drivers\tcofqln.sys
2010-04-27 17:10 . 2010-04-27 17:10 54016 ----a-w- c:\windows\system32\drivers\wpsegpw.sys
2010-04-27 16:12 . 2010-04-27 17:10 574464 ----a-w- c:\windows\system32\drivers\dkpudea.sys
2010-04-27 15:34 . 2010-04-27 15:39 574464 ----a-w- c:\windows\system32\drivers\ibzwt.sys
2010-04-26 15:21 . 2010-04-26 20:20 574464 ----a-w- c:\windows\system32\drivers\fgjch.sys
2010-04-25 12:55 . 2010-04-25 20:53 574464 ----a-w- c:\windows\system32\drivers\cfbyab.sys
2010-04-25 12:55 . 2010-04-25 12:55 -------- d-----r- c:\documents and settings\LocalService\Favoris
2010-04-25 06:48 . 2010-04-25 12:51 574464 ----a-w- c:\windows\system32\drivers\uegkzafn.sys
2010-04-24 18:20 . 2010-04-24 22:01 574464 ----a-w- c:\windows\system32\drivers\tkdxar.sys
2010-04-24 07:55 . 2010-04-24 09:45 574464 ----a-w- c:\windows\system32\drivers\ipytdzbf.sys
2010-04-23 14:56 . 2010-04-23 15:21 574464 ----a-w- c:\windows\system32\drivers\jlipgv.sys
2010-04-22 15:37 . 2010-04-24 07:44 -------- d-----w- c:\windows\LastGood.Tmp
2010-04-21 17:55 . 2010-04-21 17:55 54016 ----a-w- c:\windows\system32\drivers\lbdyhs.sys
2010-04-21 16:42 . 2010-04-21 16:42 -------- d-----w- c:\windows\system32\wbem\Repository

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-04 16:19 . 2010-01-02 09:01 802304 ----a-w- c:\windows\system32\drivers\bdsrwon.sys
2010-05-03 10:32 . 2006-12-23 21:24 664 ----a-w- c:\windows\system32\d3d9caps.dat
2010-05-01 08:49 . 2006-01-02 13:30 -------- d-----w- c:\program files\eMule
2010-04-30 10:12 . 2010-01-04 16:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-30 10:10 . 2010-01-04 18:10 6153352 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-04-29 13:39 . 2010-01-04 16:49 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-01-04 16:49 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-21 16:46 . 2005-12-18 16:33 -------- d-----w- c:\program files\Dl_cats
2010-03-28 08:43 . 2004-08-20 09:24 64484 ----a-w- c:\windows\system32\perfc00C.dat
2010-03-28 08:43 . 2004-08-20 09:24 446566 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-09 11:10 . 2004-08-20 09:24 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-03-03 07:26 . 2010-03-03 07:26 6925347 ----a-w- c:\program files\Setup_FreeConverter.exe
2010-03-03 07:15 . 2010-03-03 07:15 2000324 ----a-w- c:\program files\cdex_151.exe
2010-02-28 23:01 . 2010-02-28 23:01 50354 ----a-w- c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\uninstall.exe
2010-02-26 06:41 . 2010-02-26 06:41 847040 ----a-w- c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\axfbootloader.dll
2010-02-26 06:41 . 2010-02-26 06:41 5582848 ----a-w- c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\npfbplugin_1_0_3.dll
2010-02-26 05:42 . 2004-08-20 09:24 671232 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 05:42 . 2004-08-20 09:23 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 13:11 . 2005-10-06 08:24 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2004-08-20 09:23 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2004-08-03 23:48 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-12 10:03 . 2010-02-25 15:52 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2004-08-20 09:23 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2004-08-20 09:24 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2010-01-02 10:29 . 2010-01-02 10:29 5061520 ----a-w- c:\program files\mbam-setup.exe
2009-11-30 20:58 . 2009-11-30 20:58 299288 ----a-w- c:\program files\GmailInstaller.exe
2009-11-22 09:30 . 2009-01-11 11:01 6343388 ----a-w- c:\program files\Setup_FreeFlvConverter.exe
2007-01-26 10:00 . 2007-01-26 10:00 343 -c--a-w- c:\program files\changeLog.txt
2007-01-25 19:15 . 2007-01-25 19:15 1994102 -c--a-w- c:\program files\Setup-SopCast-1.1.1-2007-01-25.exe
2006-11-15 19:00 . 2006-11-15 18:59 3405680 -c--a-w- c:\program files\hitman-pro_hitman_pro_2.5_anglais_13745.exe
2006-10-21 10:43 . 2006-10-21 10:43 5037072 -c--a-w- c:\program files\spybotsd14.exe
2006-08-25 16:02 . 2006-08-25 16:02 37959 ----a-w- c:\program files\avicheck_4.6.166.rar
2006-04-24 16:33 . 2006-04-24 16:34 3276127 ----a-w- c:\program files\KiSS_DP-1100_FW1.1.6.zip
2006-03-11 15:31 . 2006-03-11 15:31 9692886 -c--a-w- c:\program files\vlc-0.8.4a-win32.exe
2006-03-09 21:48 . 2006-03-09 21:48 27076 -c--a-w- c:\program files\{mininova.org} Santana - Rockpalast Live in Dortmund 12 June 1980 VHS rip.torrent
2006-02-12 10:27 . 2006-02-05 19:21 288 -c--a-w- c:\program files\DesktopProcess-1.reg
2006-02-09 18:25 . 2006-02-09 18:25 1953480 -c--a-w- c:\program files\PPVIEWER.EXE
2006-01-27 10:14 . 2006-01-27 10:14 2066 -c--a-w- c:\program files\E0270767.exl
2006-01-27 09:31 . 2006-01-27 09:31 7230264 -c--a-w- c:\program files\azureus_azureus_2.3.0.6_francais_11926.exe
2006-01-17 12:53 . 2006-01-17 19:34 5240608 -c--a-w- c:\program files\Firefox Setup 1.5.exe
2005-12-03 13:55 . 2005-12-03 13:55 3308767 -c--a-w- c:\program files\Shareaza_2.2.1.0.exe
2005-11-30 19:31 . 2005-11-30 19:31 353381 -c--a-w- c:\program files\LimeWireWin.exe
2005-11-29 07:00 . 2005-11-29 07:00 598984 -c--a-w- c:\program files\kazaa_setup.exe
2005-05-02 09:55 . 2005-10-17 21:50 2493933 -c--a-w- c:\program files\divxtodvd_divxtodvd_0.5.2_francais_13277.exe
2004-07-27 12:58 . 2005-11-01 22:49 291540 ----a-w- c:\program files\EncSpot_1.0.zip
2004-08-05 11:00 . 2006-01-16 18:44 73728 -csha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
.

------- Sigcheck -------

[-] 2008-07-19 . 1AB9333EC47BC064050A2BF554AE5A95 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
[7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
[7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
[7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
[7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
[-] 2008-04-13 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
[-] 2008-01-11 . 34A663E7F74AE8B2C992C2513343477E . 360064 . . [5.1.2600.3244] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
[-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
[-] 2007-02-20 . BA57942C0029B0878AFBA052A3E33689 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtUninstallKB941644$\tcpip.sys
[-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
[-] 2006-02-17 . EB98D5E55321CEFD803E8173DBB000DB . 359808 . . [5.1.2600.2827] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
[-] 2006-01-13 . 5562CC0A47B2AEF06D3417B733F3C195 . 360448 . . [5.1.2600.2827] . . c:\windows\$hf_mig$\KB913446\SP2QFE\tcpip.sys
[-] 2005-12-11 . 14143695E27B2718DEE96EA2E50428B3 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB913446$\tcpip.sys
[-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
[7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-01-20 1451248]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-06 94208]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-06 77824]
"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-06 114688]
"SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 339968]
"DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 53248]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-10-06 98304]
"DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 86016]
"ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
"ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
"DLCCCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2005-06-07 69632]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
"Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
"dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\WinMX\\WinMX.exe"=
"c:\\StubInstaller.exe"=
"c:\\Program Files\\Kazaa\\kazaa.exe"=
"c:\\Program Files\\eMule\\emule.exe"=
"c:\\Program Files\\PPStream\\PPStream.exe"=
"c:\\Program Files\\uusee\\UUSeePlayer.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [29/01/2006 13:37 58048]
S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [27/11/2005 12:19 31547]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - bdsrwon
.
Contenu du dossier 'Tâches planifiées'

2005-10-13 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
- c:\windows\system32\OOBE\oobebaln.exe [2004-08-20 02:34]
.
.
------- Examen supplémentaire -------
.
FF - ProfilePath - c:\documents and settings\PARDO.ODRAP\Application Data\Mozilla\Firefox\Profiles\07dddft8.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/search?hl=fr&ie=UTF-8&oe=UTF-8&q=%s|http://fr.wikipedia.org/wiki/Special:Search?search=%s
FF - plugin: c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\npfbplugin_1_0_3.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava11.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava12.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava13.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava14.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava32.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJPI150_03.dll
FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPOJI610.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-05-04 18:20
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DLCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet037\Services\bdsrwon]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'lsass.exe'(688)
c:\windows\system32\EntApi.dll

- - - - - - - > 'explorer.exe'(820)
c:\windows\system32\EntApi.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\stsystra.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\program files\Network Associates\VirusScan\Mcshield.exe
c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2010-05-04 18:25:32 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-05-04 16:25

Avant-CF: 19 211 169 792 octets libres
Après-CF: 19 060 199 424 octets libres

- - End Of File - - C015083810921C3A4DA47ED51110F1CC
0
Réponse 8 / 46
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Il ya quelque chose que je veux vérifier. Peux-tu refaire un ZHPDiag STP

Smart
0
Réponse 9 / 46
odrap Messages postés 70 Statut Membre
 
voici le rap ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201005/cijpuYwBLx.txt
0
Réponse 10 / 46
Utilisateur anonyme
 
bonsoir Smart

2010-05-04 16:19 . 2010-01-02 09:01 802304 ----a-w- c:\windows\system32\drivers\bdsrwon.sys

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
DLCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet037\Services\bdsrwon]

vérifier ce qui est en gras
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
salut Nathandre ;)

@smart: regarde aussi quasiment tous les drivers dans la rubrique suivante, il y en a 15-20. Après je ne sais pas si les fichiers existent bien

((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
0
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
@ Nathandre, tigzy

Je suis occupé toute la journée au boulot (on a une grosse m**de) et je ne pourrais pas répondre aujour'dhui. Si l'un de vous deux veut prendre la suite. pas de problème

Smart
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Je te laisse la main Nathandre ;) mais si tu veux de l'aide n'hésite pas
0
odrap Messages postés 70 Statut Membre
 
@ Tigzy, Smart 91
Bonjour
après le dernier passage demandé par Smart de ZHPDiag, ça a tourné au ralenti puis écran bleu, puis écran noir. j'ai pu redémarré sans échec et j'ai pris le risque de relancé un Combo Fix
la ça tourne mais jusqu'à quand.......
j'ai besoin d'aide SVP merci @+
0
Réponse 11 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Salut

Je prends la suite alors.


Telecharge:

The avenger

* dezippe le , Lance le , executer en tant qu'administrateur sous vista

capture

Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:



Drivers to delete:
bdsrwon
Files to delete:
c:\windows\system32\drivers\bdsrwon.sys


* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt


---------

Télécharger sur le bureau
Gmer
= Clic sur ==> GMER Application: Gmer.zip
= Clic-droit sur l'archive Gmer
= Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
= Double-clic sur Gmer qui vient de se créer
= Une fenêtre s'ouvre, clic Scan
Patienter jusqu'à la fin du scan
= Clic Save
= Choisir => bureau => nommer : rapport
0
odrap Messages postés 70 Statut Membre
 
je n'ai pas C:\avenger.txt
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Dans ce cas recommence
0
odrap Messages postés 70 Statut Membre
 
toujours rien, j'ai de suite la fenetre en le lançant clic gauche - je ne fais pas "executer en tant qu'administrateur sous vista "
de plus ECRAN BLEU au redémarrage
0
Réponse 12 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Bon on va faire autrement

Fais ceci

= Copier ce texte qui est en gras




File::
c:\windows\system32\drivers\bdsrwon.sys
Drivers::
bdsrwon



------------------------------

= Ouvrir le Bloc-Notes
= Clic-droit ==> coller
= Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
= Le nommer CFScript.txt
= Fermer le bloc-note
= prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
= L'amener dans Combofix et relacher le clic
= Combofix se relance seul
= mettre le rapport dans la réponse
0
odrap Messages postés 70 Statut Membre
 
voici le rap Combofix
http://www.cijoint.fr/cjlink.php?file=cj201005/cijiWUpqv9.txt
0
Utilisateur anonyme
 
ma-gni-fi-que...^^
0
Réponse 13 / 46
Smart91 Messages postés 30146 Statut Contributeur sécurité 2 328
 
Bonjour tigzy ( et à odrap aussi)

J'ai vu que tu as pris las suite, c'est très bien. je vais suivre les différentes interventions

Smart
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
salut

Je commence à être à court d'idée, j'ai l'impression que la prolifération continue...
0
Réponse 14 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Peut tu refaire un Combofix? je voudrais comparer avec l'ancien
0
odrap Messages postés 70 Statut Membre
 
oui, le voici
http://www.cijoint.fr/cjlink.php?file=cj201005/cij6y0EtJo.txt
remarques : lorsque Combo a fini le rapport, une fenetre IE blanche s'ouvre, je dois donc redefinir mozilla par défaut pour me connecter à Comment ça Marche
merci de ton attention
0
Réponse 15 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Ahah! :D La progression a stoppé!

On va vérifier que les drivers ne sont plus présent.
Je vérifie que les 2 derniers créés, si il ne sont plus là les autres créés avant ne devront pas être là non plus.

Fais ceci

= Copier ce texte qui est en gras




File::
c:\windows\system32\drivers\arybe.sys
c:\windows\system32\drivers\dqykl.sys
Drivers::
arybe.sys
dqykl.sys




------------------------------

= Ouvrir le Bloc-Notes
= Clic-droit ==> coller
= Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
= Le nommer CFScript.txt
= Fermer le bloc-note
= prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
= L'amener dans Combofix et relacher le clic
= Combofix se relance seul
= mettre le rapport dans la réponse
0
Réponse 16 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Je viens de voir un truc pas cool....

[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
[-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

On dirait bien que tcpip a été patché, il a perdu sa signature.
On va regarder une fois le CFscript fait.
0
odrap Messages postés 70 Statut Membre
 
voici le rap
http://www.cijoint.fr/cjlink.php?file=cj201005/cijSD6wfu9.txt
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Tiens c'est rigolo :D ils sont toujours là...
On va s'amuser à tous virer....
0
Réponse 17 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Avant de tous dégager...

* Télécharge >> OTL << sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Output" (en haut à droite) la case "minimal Output" soit cochée.

* Copie et colle le contenu de cette citation dans la partie inférieure d'OTL "Custom scan/fixes"


netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
tcpip.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles



* Cliques sur l'icône "Run Scan" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
0
odrap Messages postés 70 Statut Membre
 
je sors, je fais ça plus tard
merci @+
0
verni29 Messages postés 6805 Statut Contributeur sécurité
 
Bonjour à vous deux.

Je lisais la discussion par curiosité et je viens de voir ceci dans le dernier rapport de CF. 

ComboFix a rencontré une erreur fatale !! Merci d'envoyer ce fichier - C:\ComboFix_error.dat 
à : https://www.bleepingcomputer.com/submit-malware.php?channel=4

Je pense que Subs serait interessé par ce rapport d'erreur.

Bonne continuation.

@+
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Salut
Oui je l'ai vu, je comptait moi aussi le récupérer (je sais pas si c'est lisible)
A priori un plantage, mais il a quand même supprimé les drivers donc.... bizarre.
0
odrap Messages postés 70 Statut Membre
 
Salut Tigzy, je reviens
a noter, bon démarrage de Wind, plus d'écran noir
voivi le rapp OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijNNiD00k.txt
voici le rapp Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj201005/cijhU86FWK.txt
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Ok, fausse alerte, c'est Combofix qui a fumé.... \o/
Les signatures sont présentes, comme quoi on peut vraiment pas se fier au signcheck...

[2008/06/20 13:51:12 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=9425B72F40257B45D45D24773273DAD0 -- C:\WINDOWS\system32\dllcache\tcpip.sys
[2008/06/20 13:51:12 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=9425B72F40257B45D45D24773273DAD0 -- C:\WINDOWS\system32\drivers\tcpip.sys
0
Réponse 18 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Ok, bon je te mets une manip à faire après avoir donné le rapport OTL


Fais ceci

= Copier ce texte qui est en gras




File::
c:\windows\system32\drivers\ltmp.sys
c:\windows\system32\drivers\cgcnfnh.sys
c:\windows\system32\drivers\njdtp.sys
c:\windows\system32\drivers\kezmnsn.sys
c:\windows\system32\drivers\qvlggewh.sys
c:\windows\system32\drivers\hyewwfoo.sys
c:\windows\system32\drivers\pkcqa.sys
c:\windows\system32\drivers\vuyqinqh.sys
c:\windows\system32\drivers\kfdww.sys
c:\windows\system32\drivers\jnoqzia.sys
c:\windows\system32\drivers\rhcuuhg.sys
c:\windows\system32\drivers\fhxajhm.sys
c:\windows\system32\drivers\yjptwa.sys
c:\windows\system32\drivers\xoczufc.sys
c:\windows\system32\drivers\odtxn.sys
c:\windows\system32\drivers\jmpqu.sys
c:\windows\system32\drivers\iaebunc.sys
c:\windows\system32\drivers\cxqmim.sys
c:\windows\system32\drivers\vdwesnt.sys
c:\windows\system32\drivers\ratos.sys
c:\windows\system32\drivers\pynvv.sys
c:\windows\system32\drivers\hebmtijb.sys
c:\windows\system32\drivers\dxohcoq.sys
c:\windows\system32\drivers\ttgmjyb.sys
c:\windows\system32\drivers\junuhyc.sys
c:\windows\system32\drivers\utwlb.sys
c:\windows\system32\drivers\ohgnn.sys
c:\windows\system32\drivers\pgijsleq.sys
c:\windows\system32\drivers\umxjujr.sys
c:\windows\system32\drivers\tcofqln.sys
c:\windows\system32\drivers\wpsegpw.sys
c:\windows\system32\drivers\dkpudea.sys
c:\windows\system32\drivers\ibzwt.sys
c:\windows\system32\drivers\fgjch.sys
c:\windows\system32\drivers\cfbyab.sys
c:\windows\system32\drivers\uegkzafn.sys
c:\windows\system32\drivers\tkdxar.sys
c:\windows\system32\drivers\ipytdzbf.sys
c:\windows\system32\drivers\jlipgv.sys
c:\windows\system32\drivers\lbdyhs.sys




------------------------------

= Ouvrir le Bloc-Notes
= Clic-droit ==> coller
= Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
= Le nommer CFScript.txt
= Fermer le bloc-note
= prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
= L'amener dans Combofix et relacher le clic
= Combofix se relance seul
= mettre le rapport dans la réponse
0
odrap Messages postés 70 Statut Membre
 
j'ai le fichier CFScript.txt dans l'explorateur, mais pas sur le bureau,
suis p'têt bigleux
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Tu l''as créé sur le bureau? clic droit => nouveau => document texte
0
odrap Messages postés 70 Statut Membre
 
suis plus bigleux, le voici
http://www.cijoint.fr/cjlink.php?file=cj201005/cijiceuh7n.txt
CF a fait autre chose après les étapes mais n'a pas pu se connecter au
serveur, ila créer C:\CF-Submit.htlm a utiliser plus tard !!
0
odrap Messages postés 70 Statut Membre
 
plutot C:\CF-Submit.htm
0
Réponse 19 / 46
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
C'est good!

fait ceci:

Envoyer ce fichier - C:\ComboFix_error.dat
à : https://www.bleepingcomputer.com/submit-malware.php?channel=4

Tu as toujours des soucis?
0
odrap Messages postés 70 Statut Membre
 
je m'excuse, le le trouve ou le fichier ?
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Tu le trouves pas sur C:/ ?
poste de travail, disque C, il doit être à la racine
0
odrap Messages postés 70 Statut Membre
 
non je trouve pas
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Il y est plus??
Bon ba laisse tomber...

tu as toujours des soucis?
0
odrap Messages postés 70 Statut Membre
 
non merci,
démarrage Windows OK, mais petit écran noir juste avant pendant 1/2 seconde
0
Réponse 20 / 46
Utilisateur anonyme
 
salut il resterait pas un souci là ? :

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
Ah, pas vu ... c'est ou?
0
Tigzy Messages postés 7983 Statut Contributeur sécurité 582
 
C'est bon j'ai vu, ça correspond à quoi? je connais pas ces clés. Explique moi
0

Discussions similaires

Rootkit sur pc windows 10
mic42 -
bazfile -

1 réponse
Rootkit : chacun son tour !!! HELP ! Help !
Reciff -
verni29 -

23 réponses
rootkit sur pc windows 10
Eliannick -
bazfile -

21 réponses