Rootkit

Résolu
odrap Messages postés 70 Statut Membre -  
 gen-hackman -
Bonjour,
voici en derniere ligne du rap. malwarebytes :
C:\WINDOWS\system32\drivers\bdsrwon.sys (Rootkit.Agent) -> Delete on reboot

si un de vous peut m'aider à me débarrasser du Rootkit

pour l'instant je n'ai pas de désagréments à part qq déconnexions Web
et toujours un démarrage de l'ordi en écran noir option "dernière bonne configuration connue"
amicalement, merci

46 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

La détection du Rootkit.Agent dans C:\Windows\system32\drivers\bdsrwon.sys par Malwarebytes entraîne une suppression au redémarrage et des déconnexions Web, avec un démarrage en écran noir et l’option Dernière bonne configuration connue.
Plusieurs propositions de diagnostic et de nettoyage incluent l’utilisation de Kill'em pour lancer une option Clean, générer un rapport Kill'em.txt et exploiter le contenu dans les réponses.
En parallèle, des procédures impliquent CFScript et Combofix, avec OTL et Checkdisk comme vérifications préliminaires, puis transmission des rapports (OTL.Txt, Extras.Txt) dans les réponses à analyser.
D'autres vérifications techniques suggèrent de vérifier les drivers et les clés système, et de s'assurer que les derniers fichiers créés par le rootkit ne restent pas actifs.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour

    "C:\WINDOWS\system32\drivers\bdsrwon.sys (Rootkit.Agent) -> Delete on reboot "

    C'est indiqué cela sera effacé au démarrage du PC
    Donc redémarre ton PC.
    Vide la quarantaine de Malwarebytes.

    On va quand même analyser ton PC:

    Télécharge ZHPDiag sur ton bureau
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.

    /!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

    N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
    - Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. (/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
    - Clique sur la loupe pour lancer l'analyse.
    - Laisse l'outil travailler, il peut être assez long.
    - Ferme ZHPDiag en fin d'analyse.
    - Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
    - Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
    - Sélectionne le fichier ZHPDiag.txt.
    - Clique sur "Cliquez ici pour déposer le fichier".
    - Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
    - Copie ce lien dans ta réponse.

    Smart
    0
  2. odrap Messages postés 70 Statut Membre
     
    merci, voici le lien
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijO1CJig7.txt
    0
  3. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Ouah, tu es sacrément infecté :-(

    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) : https://www.androidworld.fr/
    - Clique sur [gras>TÉLÉCHARGER</gras> et enregistre-le sur ton bureau.
    - Déconnecte toi et ferme toutes les applications en cours
    - Double clique sur le fichier d'installation de AD-Remover, le programme s'installera automatiquement.
    - Au menu principal choisi l'option "Nettoyage" et tape sur [entrée] .
    - Laisse travailler l'outil et ne touche à rien ...
    - Poste le rapport qui apparait à la fin. (Le rapport est sauvegardé aussi sous C:\Ad-report.log)
    (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

    Note :
    Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Ensuite

    /!\ Utilisateurs de Vista et Windows 7 : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Pour Vista : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac
    Pour Windows 7: https://www.androidworld.fr/

    - Télécharge Malwarebytes
    - Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
    - Fais la mise à jour du logiciel, c'est très important (elle se fait normalement à l'installation)
    - Lance une analyse complète en cliquant sur "Exécuter un examen complet"
    - Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
    - L'analyse peut durer un bon moment.....
    - Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
    - Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
    - Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum</list>

    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

    Cela te fait deux rapports à poster

    Smart
    0
  4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Bonjour Smart91.

    Juste pour dire à l'auteur que lorsqu'on demande une désinfection, on la fait sur un seul forum à la fois. ;)
    https://www.luanagames.com/index.fr.html

    Merci.
    0
    1. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Merci Tigzy de l'info

      Smart
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Il a déjà passé malwarebytes ;)
      Fais lui faire un Combofix plutôt il y a une dizaine de driver infectieux
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. odrap Messages postés 70 Statut Membre
     
    bonjour Smart
    voici le rap. ADR en mode sans échec (en mode normal, il est resté bloqué à 5%
    pendant environ 1 heure, je l'ai stoppé)

    .
    ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 01/05/10 à 19:50
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 10:03:27 le 04/05/2010 | Mode sans echec | Option: CLEAN
    Exécuté de: C:\Ad-Remover\ADR.exe
    SE: Microsoft® Windows XP(TM) Service Pack 3 - X86
    Nom du PC: ODRAP
    Utilisateur actuel: PARDO
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .
    .
    C:\Documents and Settings\All Users\Application Data\Viewpoint
    C:\Program Files\Viewpoint

    (!) -- Fichiers temporaires supprimés.
    .
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary
    HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1
    HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\Software\MetaStream
    HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
    HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
    HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer
    HKLM\Software\Viewpoint
    .
    .
    ============== SCAN ADDITIONNEL ==============
    .
    * Mozilla FireFox Version 3.5.9 (fr) *
    .
    C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.download.dir: C:\\PRGME
    C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.download.lastDir: C:\\Documents and Settings\\PARDO.ODRAP\\Bureau
    C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.startup.homepage: hxxp://www.google.com/search?hl=fr&ie=UTF-8&oe=UTF-8&q=%s|hxxp://fr.wikipedia.org/wiki/Special:Search?search=%s
    C:\Documents and Settings\PARDO.ODRAP\..\07dddft8.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.6
    .
    .
    * Internet Explorer Version 6.0.2900.5512 *
    .
    [HKCU\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Do404Search: 0x01000000
    Enable Browser Extensions: yes
    Local Page: C:\windows\system32\blank.htm
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0
    .
    [HKLM\Software\Microsoft\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: C:\windows\system32\blank.htm
    Search bar: hxxp://search.msn.com/spbasic.htm
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 0
    .
    [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    Blank: res://mshtml.dll/blank.htm
    .
    ========================================
    .
    C:\Ad-Remover\Quarantine: 0 Fichier(s)
    C:\Ad-Remover\Backup: 13 Fichier(s)
    .
    C:\Ad-Report-CLEAN[1].txt - 482 Octet(s)
    C:\Ad-Report-CLEAN[2].txt - 3105 Octet(s)
    .
    Fin à: 10:10:30, 04/05/2010
    .
    ============== E.O.F - CLEAN[2] ==============

    et le rap. malwarebytes

    Malwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4063

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 6.0.2900.5512

    04/05/2010 11:19:42
    mbam-log-2010-05-04 (11-19-42).txt

    Type d'examen: Examen complet (C:\|)
    Elément(s) analysé(s): 171741
    Temps écoulé: 53 minute(s), 59 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\drivers\bdsrwon.sys (Rootkit.Agent) -> Delete on reboot.

    merci @+
    0
  7. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Redémarre ton PC et vide la quarantaine de MBAM

    Ensuite:

    Avant de commencer, fait une sauvegarde de tous tes documents

    Attention, cet outil n'est pas à utiliser à la légère, et doit être recommandé que par une personne formée à cet outil
    Imprime la procédure


    Télécharge ComboFix de sUBs sur ton Bureau :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Tutoriel pour bien utiliser l'outil ==> https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    - /!\ Déconnecte-toi du net et DESACTIVE TOUTES LES DEFENSES, antivirus et antispyware y compris /!\
    - Double-clique sur ComboFix.exe
    - Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
    - Surtout, accepte d'installer la console de récupération
    - Mets-le en langue française F
    - Tape sur la touche 1 (Yes) pour démarrer le scan.

    Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de figer ton PC
    En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.


    Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

    /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

    Note : Le rapport se trouve également là : C:\ComboFix.txt

    Smart
    0
    1. odrap Messages postés 70 Statut Membre
       
      Bonsoir Smart,
      j'ai l'impression que le rap. Compo fix ne se poste pas
      à la suite de ta demande, est ce que tu l'as ?
      merci @+
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      Utilise www.cijoint.fr
      Et poste le lien défini par cijoint dans ta réponse

      Smart
      0
    3. odrap Messages postés 70 Statut Membre
       
      salut Smart, le voici
      http://www.cijoint.fr/cjlink.php?file=cj201005/cij2thBBwP.txt
      0
  8. odrap Messages postés 70 Statut Membre
     
    Salut Smart, le rap Combo ici

    ComboFix 10-05-03.06 - PARDO 04/05/2010 18:11:07.3.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.502.338 [GMT 2:00]
    Lancé depuis: c:\documents and settings\PARDO.ODRAP\Bureau\ComboFix.exe
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\program files\WindowsUpdate
    c:\windows\system32\driVERs\waxwlvza.sys

    .
    ((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
    .

    -------\Legacy_waxwlvza
    -------\Service_waxwlvza

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-04 09:28 . 2010-05-04 10:33 574464 ----a-w- c:\windows\system32\drivers\vuyqinqh.sys
    2010-05-04 09:19 . 2010-05-04 09:19 54016 ----a-w- c:\windows\system32\drivers\kfdww.sys
    2010-05-04 08:15 . 2010-05-04 09:20 574464 ----a-w- c:\windows\system32\drivers\jnoqzia.sys
    2010-05-04 07:11 . 2010-05-04 08:10 -------- d-----w- C:\Ad-Remover
    2010-05-04 06:14 . 2010-05-04 08:10 574464 ----a-w- c:\windows\system32\drivers\rhcuuhg.sys
    2010-05-03 21:13 . 2010-05-03 21:15 -------- d-----w- c:\program files\ZHPDiag
    2010-05-03 17:39 . 2010-05-03 21:59 574464 ----a-w- c:\windows\system32\drivers\fhxajhm.sys
    2010-05-03 17:33 . 2010-05-03 17:33 54016 ----a-w- c:\windows\system32\drivers\yjptwa.sys
    2010-05-03 14:42 . 2010-05-03 17:34 574464 ----a-w- c:\windows\system32\drivers\xoczufc.sys
    2010-05-03 09:03 . 2010-05-03 11:05 574464 ----a-w- c:\windows\system32\drivers\odtxn.sys
    2010-05-03 08:13 . 2010-05-03 08:59 574464 ----a-w- c:\windows\system32\drivers\jmpqu.sys
    2010-05-02 19:27 . 2010-05-02 19:29 574464 ----a-w- c:\windows\system32\drivers\iaebunc.sys
    2010-05-02 05:02 . 2010-05-02 05:43 574464 ----a-w- c:\windows\system32\drivers\cxqmim.sys
    2010-05-01 14:30 . 2010-05-01 17:07 574464 ----a-w- c:\windows\system32\drivers\vdwesnt.sys
    2010-05-01 07:16 . 2010-05-01 11:39 574464 ----a-w- c:\windows\system32\drivers\ratos.sys
    2010-04-30 21:10 . 2010-04-30 21:15 574464 ----a-w- c:\windows\system32\drivers\pynvv.sys
    2010-04-30 14:48 . 2010-04-30 14:51 574464 ----a-w- c:\windows\system32\drivers\hebmtijb.sys
    2010-04-30 09:51 . 2010-04-30 10:33 574464 ----a-w- c:\windows\system32\drivers\dxohcoq.sys
    2010-04-30 06:51 . 2010-04-30 09:29 574464 ----a-w- c:\windows\system32\drivers\ttgmjyb.sys
    2010-04-29 18:06 . 2010-04-29 20:43 574464 ----a-w- c:\windows\system32\drivers\junuhyc.sys
    2010-04-29 14:36 . 2010-04-29 15:03 574464 ----a-w- c:\windows\system32\drivers\utwlb.sys
    2010-04-29 07:08 . 2010-04-29 10:14 574464 ----a-w- c:\windows\system32\drivers\ohgnn.sys
    2010-04-28 21:06 . 2010-04-28 21:27 574464 ----a-w- c:\windows\system32\drivers\pgijsleq.sys
    2010-04-28 13:26 . 2010-04-28 14:52 574464 ----a-w- c:\windows\system32\drivers\umxjujr.sys
    2010-04-27 17:44 . 2010-04-27 20:32 574464 ----a-w- c:\windows\system32\drivers\tcofqln.sys
    2010-04-27 17:10 . 2010-04-27 17:10 54016 ----a-w- c:\windows\system32\drivers\wpsegpw.sys
    2010-04-27 16:12 . 2010-04-27 17:10 574464 ----a-w- c:\windows\system32\drivers\dkpudea.sys
    2010-04-27 15:34 . 2010-04-27 15:39 574464 ----a-w- c:\windows\system32\drivers\ibzwt.sys
    2010-04-26 15:21 . 2010-04-26 20:20 574464 ----a-w- c:\windows\system32\drivers\fgjch.sys
    2010-04-25 12:55 . 2010-04-25 20:53 574464 ----a-w- c:\windows\system32\drivers\cfbyab.sys
    2010-04-25 12:55 . 2010-04-25 12:55 -------- d-----r- c:\documents and settings\LocalService\Favoris
    2010-04-25 06:48 . 2010-04-25 12:51 574464 ----a-w- c:\windows\system32\drivers\uegkzafn.sys
    2010-04-24 18:20 . 2010-04-24 22:01 574464 ----a-w- c:\windows\system32\drivers\tkdxar.sys
    2010-04-24 07:55 . 2010-04-24 09:45 574464 ----a-w- c:\windows\system32\drivers\ipytdzbf.sys
    2010-04-23 14:56 . 2010-04-23 15:21 574464 ----a-w- c:\windows\system32\drivers\jlipgv.sys
    2010-04-22 15:37 . 2010-04-24 07:44 -------- d-----w- c:\windows\LastGood.Tmp
    2010-04-21 17:55 . 2010-04-21 17:55 54016 ----a-w- c:\windows\system32\drivers\lbdyhs.sys
    2010-04-21 16:42 . 2010-04-21 16:42 -------- d-----w- c:\windows\system32\wbem\Repository

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-04 16:19 . 2010-01-02 09:01 802304 ----a-w- c:\windows\system32\drivers\bdsrwon.sys
    2010-05-03 10:32 . 2006-12-23 21:24 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-05-01 08:49 . 2006-01-02 13:30 -------- d-----w- c:\program files\eMule
    2010-04-30 10:12 . 2010-01-04 16:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-04-30 10:10 . 2010-01-04 18:10 6153352 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-04-29 13:39 . 2010-01-04 16:49 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-04-29 13:39 . 2010-01-04 16:49 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-04-21 16:46 . 2005-12-18 16:33 -------- d-----w- c:\program files\Dl_cats
    2010-03-28 08:43 . 2004-08-20 09:24 64484 ----a-w- c:\windows\system32\perfc00C.dat
    2010-03-28 08:43 . 2004-08-20 09:24 446566 ----a-w- c:\windows\system32\perfh00C.dat
    2010-03-09 11:10 . 2004-08-20 09:24 430080 ----a-w- c:\windows\system32\vbscript.dll
    2010-03-03 07:26 . 2010-03-03 07:26 6925347 ----a-w- c:\program files\Setup_FreeConverter.exe
    2010-03-03 07:15 . 2010-03-03 07:15 2000324 ----a-w- c:\program files\cdex_151.exe
    2010-02-28 23:01 . 2010-02-28 23:01 50354 ----a-w- c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\uninstall.exe
    2010-02-26 06:41 . 2010-02-26 06:41 847040 ----a-w- c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\axfbootloader.dll
    2010-02-26 06:41 . 2010-02-26 06:41 5582848 ----a-w- c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\npfbplugin_1_0_3.dll
    2010-02-26 05:42 . 2004-08-20 09:24 671232 ----a-w- c:\windows\system32\wininet.dll
    2010-02-26 05:42 . 2004-08-20 09:23 81920 ----a-w- c:\windows\system32\ieencode.dll
    2010-02-24 13:11 . 2005-10-06 08:24 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-16 19:06 . 2004-08-20 09:23 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-02-16 19:06 . 2004-08-03 23:48 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-02-12 10:03 . 2010-02-25 15:52 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-12 04:34 . 2004-08-20 09:23 100864 ----a-w- c:\windows\system32\6to4svc.dll
    2010-02-11 12:02 . 2004-08-20 09:24 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
    2010-01-02 10:29 . 2010-01-02 10:29 5061520 ----a-w- c:\program files\mbam-setup.exe
    2009-11-30 20:58 . 2009-11-30 20:58 299288 ----a-w- c:\program files\GmailInstaller.exe
    2009-11-22 09:30 . 2009-01-11 11:01 6343388 ----a-w- c:\program files\Setup_FreeFlvConverter.exe
    2007-01-26 10:00 . 2007-01-26 10:00 343 -c--a-w- c:\program files\changeLog.txt
    2007-01-25 19:15 . 2007-01-25 19:15 1994102 -c--a-w- c:\program files\Setup-SopCast-1.1.1-2007-01-25.exe
    2006-11-15 19:00 . 2006-11-15 18:59 3405680 -c--a-w- c:\program files\hitman-pro_hitman_pro_2.5_anglais_13745.exe
    2006-10-21 10:43 . 2006-10-21 10:43 5037072 -c--a-w- c:\program files\spybotsd14.exe
    2006-08-25 16:02 . 2006-08-25 16:02 37959 ----a-w- c:\program files\avicheck_4.6.166.rar
    2006-04-24 16:33 . 2006-04-24 16:34 3276127 ----a-w- c:\program files\KiSS_DP-1100_FW1.1.6.zip
    2006-03-11 15:31 . 2006-03-11 15:31 9692886 -c--a-w- c:\program files\vlc-0.8.4a-win32.exe
    2006-03-09 21:48 . 2006-03-09 21:48 27076 -c--a-w- c:\program files\{mininova.org} Santana - Rockpalast Live in Dortmund 12 June 1980 VHS rip.torrent
    2006-02-12 10:27 . 2006-02-05 19:21 288 -c--a-w- c:\program files\DesktopProcess-1.reg
    2006-02-09 18:25 . 2006-02-09 18:25 1953480 -c--a-w- c:\program files\PPVIEWER.EXE
    2006-01-27 10:14 . 2006-01-27 10:14 2066 -c--a-w- c:\program files\E0270767.exl
    2006-01-27 09:31 . 2006-01-27 09:31 7230264 -c--a-w- c:\program files\azureus_azureus_2.3.0.6_francais_11926.exe
    2006-01-17 12:53 . 2006-01-17 19:34 5240608 -c--a-w- c:\program files\Firefox Setup 1.5.exe
    2005-12-03 13:55 . 2005-12-03 13:55 3308767 -c--a-w- c:\program files\Shareaza_2.2.1.0.exe
    2005-11-30 19:31 . 2005-11-30 19:31 353381 -c--a-w- c:\program files\LimeWireWin.exe
    2005-11-29 07:00 . 2005-11-29 07:00 598984 -c--a-w- c:\program files\kazaa_setup.exe
    2005-05-02 09:55 . 2005-10-17 21:50 2493933 -c--a-w- c:\program files\divxtodvd_divxtodvd_0.5.2_francais_13277.exe
    2004-07-27 12:58 . 2005-11-01 22:49 291540 ----a-w- c:\program files\EncSpot_1.0.zip
    2004-08-05 11:00 . 2006-01-16 18:44 73728 -csha-w- c:\windows\RegisteredPackages\{DD90D410-1823-43EB-9A16-A2331BF08799}$BACKUP$\System\wmplayer.exe
    .

    ------- Sigcheck -------

    [-] 2008-07-19 . 1AB9333EC47BC064050A2BF554AE5A95 . 360320 . . [5.1.2600.3394] . . c:\windows\$NtServicePackUninstall$\tcpip.sys
    [7] 2008-06-20 . AD978A1B783B5719720CFF204B666C8E . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3QFE\tcpip.sys
    [7] 2008-06-20 . 9AEFA14BD6B182D61E3119FA5F436D3D . 361600 . . [5.1.2600.5625] . . c:\windows\$hf_mig$\KB951748\SP3GDR\tcpip.sys
    [-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
    [-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys
    [7] 2008-06-20 . 744E57C99232201AE98C49168B918F48 . 360960 . . [5.1.2600.3394] . . c:\windows\$hf_mig$\KB951748\SP2QFE\tcpip.sys
    [7] 2008-04-13 . 93EA8D04EC73A85DB02EB8805988F733 . 361344 . . [5.1.2600.5512] . . c:\windows\$NtUninstallKB951748$\tcpip.sys
    [-] 2008-04-13 . ACCF5A9A1FFAA490F33DBA1C632B95E1 . 361344 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\tcpip.sys
    [-] 2008-01-11 . 34A663E7F74AE8B2C992C2513343477E . 360064 . . [5.1.2600.3244] . . c:\windows\$NtUninstallKB951748_0$\tcpip.sys
    [-] 2007-10-30 . 64798ECFA43D78C7178375FCDD16D8C8 . 360832 . . [5.1.2600.3244] . . c:\windows\$hf_mig$\KB941644\SP2QFE\tcpip.sys
    [-] 2007-02-20 . BA57942C0029B0878AFBA052A3E33689 . 359808 . . [5.1.2600.2892] . . c:\windows\$NtUninstallKB941644$\tcpip.sys
    [-] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys
    [-] 2006-02-17 . EB98D5E55321CEFD803E8173DBB000DB . 359808 . . [5.1.2600.2827] . . c:\windows\$NtUninstallKB917953$\tcpip.sys
    [-] 2006-01-13 . 5562CC0A47B2AEF06D3417B733F3C195 . 360448 . . [5.1.2600.2827] . . c:\windows\$hf_mig$\KB913446\SP2QFE\tcpip.sys
    [-] 2005-12-11 . 14143695E27B2718DEE96EA2E50428B3 . 359808 . . [5.1.2600.2685] . . c:\windows\$NtUninstallKB913446$\tcpip.sys
    [-] 2005-05-25 . 63FDFEA54EB53DE2D863EE454937CE1E . 359936 . . [5.1.2600.2685] . . c:\windows\$hf_mig$\KB893066\SP2QFE\tcpip.sys
    [7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB893066$\tcpip.sys
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ccleaner"="c:\program files\CCleaner\CCleaner.exe" [2009-01-20 1451248]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-06 94208]
    "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-06 77824]
    "Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-06 114688]
    "SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 339968]
    "DVDLauncher"="c:\program files\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 53248]
    "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2005-10-06 98304]
    "DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2004-09-15 86016]
    "ISUSPM Startup"="c:\progra~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]
    "ISUSScheduler"="c:\program files\Fichiers communs\InstallShield\UpdateService\issch.exe" [2004-07-27 81920]
    "DLCCCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll" [2005-06-07 69632]
    "ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
    "McAfeeUpdaterUI"="c:\program files\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 139320]
    "Network Associates Error Reporting Service"="c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon.exe" [2003-10-07 147514]
    "dla"="c:\windows\system32\dla\tfswctrl.exe" [2005-05-31 122941]
    "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
    "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_03\bin\jusched.exe" [2005-04-13 36975]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
    "EnableFirewall"= 0 (0x0)

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\WinMX\\WinMX.exe"=
    "c:\\StubInstaller.exe"=
    "c:\\Program Files\\Kazaa\\kazaa.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=
    "c:\\Program Files\\PPStream\\PPStream.exe"=
    "c:\\Program Files\\uusee\\UUSeePlayer.exe"=
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

    R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [29/01/2006 13:37 58048]
    S3 PALLADIA;Palladia 300/400 Usb Adsl Modem;c:\windows\system32\drivers\usbiad.sys [27/11/2005 12:19 31547]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - bdsrwon
    .
    Contenu du dossier 'Tâches planifiées'

    2005-10-13 c:\windows\Tasks\Rappel d'abonnement 1 auprès de l'ISP.job
    - c:\windows\system32\OOBE\oobebaln.exe [2004-08-20 02:34]
    .
    .
    ------- Examen supplémentaire -------
    .
    FF - ProfilePath - c:\documents and settings\PARDO.ODRAP\Application Data\Mozilla\Firefox\Profiles\07dddft8.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/search?hl=fr&ie=UTF-8&oe=UTF-8&q=%s|http://fr.wikipedia.org/wiki/Special:Search?search=%s
    FF - plugin: c:\documents and settings\PARDO.ODRAP\Application Data\Facebook\npfbplugin_1_0_3.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava11.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava12.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava13.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava14.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJava32.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPJPI150_03.dll
    FF - plugin: c:\program files\Java\jre1.5.0_03\bin\NPOJI610.dll

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-05-04 18:20
    Windows 5.1.2600 Service Pack 3 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    DLCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet037\Services\bdsrwon]

    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'lsass.exe'(688)
    c:\windows\system32\EntApi.dll

    - - - - - - - > 'explorer.exe'(820)
    c:\windows\system32\EntApi.dll
    c:\windows\system32\eappprxy.dll
    c:\windows\system32\WPDShServiceObj.dll
    c:\windows\system32\PortableDeviceTypes.dll
    c:\windows\system32\PortableDeviceApi.dll
    .
    ------------------------ Autres processus actifs ------------------------
    .
    c:\windows\stsystra.exe
    c:\program files\Network Associates\Common Framework\FrameworkService.exe
    c:\program files\Network Associates\VirusScan\Mcshield.exe
    c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
    c:\program files\Network Associates\VirusScan\VsTskMgr.exe
    c:\windows\system32\wscntfy.exe
    .
    **************************************************************************
    .
    Heure de fin: 2010-05-04 18:25:32 - La machine a redémarré
    ComboFix-quarantined-files.txt 2010-05-04 16:25

    Avant-CF: 19 211 169 792 octets libres
    Après-CF: 19 060 199 424 octets libres

    - - End Of File - - C015083810921C3A4DA47ED51110F1CC
    0
  9. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Il ya quelque chose que je veux vérifier. Peux-tu refaire un ZHPDiag STP

    Smart
    0
  10. odrap Messages postés 70 Statut Membre
     
    voici le rap ZHPDiag
    http://www.cijoint.fr/cjlink.php?file=cj201005/cijpuYwBLx.txt
    0
  11. Utilisateur anonyme
     
    bonsoir Smart

    2010-05-04 16:19 . 2010-01-02 09:01 802304 ----a-w- c:\windows\system32\drivers\bdsrwon.sys

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    DLCCCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\DLCCtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet037\Services\bdsrwon]

    vérifier ce qui est en gras
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      salut Nathandre ;)

      @smart: regarde aussi quasiment tous les drivers dans la rubrique suivante, il y en a 15-20. Après je ne sais pas si les fichiers existent bien

      ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-04 au 2010-05-04 ))))))))))))))))))))))))))))))))))))
      0
    2. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
       
      @ Nathandre, tigzy

      Je suis occupé toute la journée au boulot (on a une grosse m**de) et je ne pourrais pas répondre aujour'dhui. Si l'un de vous deux veut prendre la suite. pas de problème

      Smart
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Je te laisse la main Nathandre ;) mais si tu veux de l'aide n'hésite pas
      0
    4. odrap Messages postés 70 Statut Membre
       
      @ Tigzy, Smart 91
      Bonjour
      après le dernier passage demandé par Smart de ZHPDiag, ça a tourné au ralenti puis écran bleu, puis écran noir. j'ai pu redémarré sans échec et j'ai pris le risque de relancé un Combo Fix
      la ça tourne mais jusqu'à quand.......
      j'ai besoin d'aide SVP merci @+
      0
  12. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Je prends la suite alors.

    Telecharge:

    The avenger

    * dezippe le , Lance le , executer en tant qu'administrateur sous vista

    capture

    Dans le cadre , sous Input Script here , copie_colle ce qui est en gras ci dessous et clic execute:


    Drivers to delete:
    bdsrwon
    Files to delete:
    c:\windows\system32\drivers\bdsrwon.sys


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

    ---------

    Télécharger sur le bureau
    Gmer
    = Clic sur ==> GMER Application: Gmer.zip
    = Clic-droit sur l'archive Gmer
    = Extraire ici ( ou extraire sans confirmation ou tout ou unzip)
    = Double-clic sur Gmer qui vient de se créer
    = Une fenêtre s'ouvre, clic Scan
    Patienter jusqu'à la fin du scan
    = Clic Save
    = Choisir => bureau => nommer : rapport
    0
    1. odrap Messages postés 70 Statut Membre
       
      je n'ai pas C:\avenger.txt
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Dans ce cas recommence
      0
    3. odrap Messages postés 70 Statut Membre
       
      toujours rien, j'ai de suite la fenetre en le lançant clic gauche - je ne fais pas "executer en tant qu'administrateur sous vista "
      de plus ECRAN BLEU au redémarrage
      0
  13. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Bon on va faire autrement

    Fais ceci

    = Copier ce texte qui est en gras


    File::
    c:\windows\system32\drivers\bdsrwon.sys
    Drivers::
    bdsrwon


    ------------------------------

    = Ouvrir le Bloc-Notes
    = Clic-droit ==> coller
    = Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
    = Le nommer CFScript.txt
    = Fermer le bloc-note
    = prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
    = L'amener dans Combofix et relacher le clic
    = Combofix se relance seul
    = mettre le rapport dans la réponse
    0
    1. odrap Messages postés 70 Statut Membre
       
      voici le rap Combofix
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijiWUpqv9.txt
      0
    2. gen-hackman
       
      ma-gni-fi-que...^^
      0
  14. Smart91 Messages postés 30146 Statut Contributeur sécurité 2 331
     
    Bonjour tigzy ( et à odrap aussi)

    J'ai vu que tu as pris las suite, c'est très bien. je vais suivre les différentes interventions

    Smart
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      salut

      Je commence à être à court d'idée, j'ai l'impression que la prolifération continue...
      0
  15. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Peut tu refaire un Combofix? je voudrais comparer avec l'ancien
    0
    1. odrap Messages postés 70 Statut Membre
       
      oui, le voici
      http://www.cijoint.fr/cjlink.php?file=cj201005/cij6y0EtJo.txt
      remarques : lorsque Combo a fini le rapport, une fenetre IE blanche s'ouvre, je dois donc redefinir mozilla par défaut pour me connecter à Comment ça Marche
      merci de ton attention
      0
  16. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ahah! :D La progression a stoppé!

    On va vérifier que les drivers ne sont plus présent.
    Je vérifie que les 2 derniers créés, si il ne sont plus là les autres créés avant ne devront pas être là non plus.

    Fais ceci

    = Copier ce texte qui est en gras


    File::
    c:\windows\system32\drivers\arybe.sys
    c:\windows\system32\drivers\dqykl.sys
    Drivers::
    arybe.sys
    dqykl.sys


    ------------------------------

    = Ouvrir le Bloc-Notes
    = Clic-droit ==> coller
    = Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
    = Le nommer CFScript.txt
    = Fermer le bloc-note
    = prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
    = L'amener dans Combofix et relacher le clic
    = Combofix se relance seul
    = mettre le rapport dans la réponse
    0
  17. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Je viens de voir un truc pas cool....

    [-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\dllcache\tcpip.sys
    [-] 2008-06-20 . 9425B72F40257B45D45D24773273DAD0 . 361600 . . [5.1.2600.5625] . . c:\windows\system32\drivers\tcpip.sys

    On dirait bien que tcpip a été patché, il a perdu sa signature.
    On va regarder une fois le CFscript fait.
    0
    1. odrap Messages postés 70 Statut Membre
       
      voici le rap
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijSD6wfu9.txt
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tiens c'est rigolo :D ils sont toujours là...
      On va s'amuser à tous virer....
      0
  18. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Avant de tous dégager...

    * Télécharge >> OTL << sur ton bureau.

    * Fait un double-clic sur l'icône d'OTL pour le lancer
    /!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

    * Assure toi d'avoir fermé toutes les applications en cours de fonctionnement.

    * Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Output" (en haut à droite) la case "minimal Output" soit cochée.

    * Copie et colle le contenu de cette citation dans la partie inférieure d'OTL "Custom scan/fixes"


    netsvcs
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    tcpip.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles



    * Cliques sur l'icône "Run Scan" (en haut à gauche) .
    * Laisse le scan aller à son terme sans te servir du PC
    * A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
    * Copie et colle le ou les rapports dans ta réponse stp...
    * Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
    0
    1. odrap Messages postés 70 Statut Membre
       
      je sors, je fais ça plus tard
      merci @+
      0
    2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
       
      Bonjour à vous deux.

      Je lisais la discussion par curiosité et je viens de voir ceci dans le dernier rapport de CF.

      ComboFix a rencontré une erreur fatale !! Merci d'envoyer ce fichier - C:\ComboFix_error.dat 
      à : https://www.bleepingcomputer.com/submit-malware.php?channel=4  

      Je pense que Subs serait interessé par ce rapport d'erreur.

      Bonne continuation.

      @+
      0
    3. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut
      Oui je l'ai vu, je comptait moi aussi le récupérer (je sais pas si c'est lisible)
      A priori un plantage, mais il a quand même supprimé les drivers donc.... bizarre.
      0
    4. odrap Messages postés 70 Statut Membre
       
      Salut Tigzy, je reviens
      a noter, bon démarrage de Wind, plus d'écran noir
      voivi le rapp OTL.txt
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijNNiD00k.txt
      voici le rapp Extras.txt
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijhU86FWK.txt
      0
    5. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ok, fausse alerte, c'est Combofix qui a fumé.... \o/
      Les signatures sont présentes, comme quoi on peut vraiment pas se fier au signcheck...

      [2008/06/20 13:51:12 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=9425B72F40257B45D45D24773273DAD0 -- C:\WINDOWS\system32\dllcache\tcpip.sys
      [2008/06/20 13:51:12 | 000,361,600 | ---- | M] (Microsoft Corporation) MD5=9425B72F40257B45D45D24773273DAD0 -- C:\WINDOWS\system32\drivers\tcpip.sys
      0
  19. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ok, bon je te mets une manip à faire après avoir donné le rapport OTL

    Fais ceci

    = Copier ce texte qui est en gras


    File::
    c:\windows\system32\drivers\ltmp.sys
    c:\windows\system32\drivers\cgcnfnh.sys
    c:\windows\system32\drivers\njdtp.sys
    c:\windows\system32\drivers\kezmnsn.sys
    c:\windows\system32\drivers\qvlggewh.sys
    c:\windows\system32\drivers\hyewwfoo.sys
    c:\windows\system32\drivers\pkcqa.sys
    c:\windows\system32\drivers\vuyqinqh.sys
    c:\windows\system32\drivers\kfdww.sys
    c:\windows\system32\drivers\jnoqzia.sys
    c:\windows\system32\drivers\rhcuuhg.sys
    c:\windows\system32\drivers\fhxajhm.sys
    c:\windows\system32\drivers\yjptwa.sys
    c:\windows\system32\drivers\xoczufc.sys
    c:\windows\system32\drivers\odtxn.sys
    c:\windows\system32\drivers\jmpqu.sys
    c:\windows\system32\drivers\iaebunc.sys
    c:\windows\system32\drivers\cxqmim.sys
    c:\windows\system32\drivers\vdwesnt.sys
    c:\windows\system32\drivers\ratos.sys
    c:\windows\system32\drivers\pynvv.sys
    c:\windows\system32\drivers\hebmtijb.sys
    c:\windows\system32\drivers\dxohcoq.sys
    c:\windows\system32\drivers\ttgmjyb.sys
    c:\windows\system32\drivers\junuhyc.sys
    c:\windows\system32\drivers\utwlb.sys
    c:\windows\system32\drivers\ohgnn.sys
    c:\windows\system32\drivers\pgijsleq.sys
    c:\windows\system32\drivers\umxjujr.sys
    c:\windows\system32\drivers\tcofqln.sys
    c:\windows\system32\drivers\wpsegpw.sys
    c:\windows\system32\drivers\dkpudea.sys
    c:\windows\system32\drivers\ibzwt.sys
    c:\windows\system32\drivers\fgjch.sys
    c:\windows\system32\drivers\cfbyab.sys
    c:\windows\system32\drivers\uegkzafn.sys
    c:\windows\system32\drivers\tkdxar.sys
    c:\windows\system32\drivers\ipytdzbf.sys
    c:\windows\system32\drivers\jlipgv.sys
    c:\windows\system32\drivers\lbdyhs.sys


    ------------------------------

    = Ouvrir le Bloc-Notes
    = Clic-droit ==> coller
    = Faire ==> fichier ==> enregistrer sous ==> choisir Bureau
    = Le nommer CFScript.txt
    = Fermer le bloc-note
    = prendre ce Bloc-note qui est sur le bureau par un clic-gauche continu
    = L'amener dans Combofix et relacher le clic
    = Combofix se relance seul
    = mettre le rapport dans la réponse
    0
    1. odrap Messages postés 70 Statut Membre
       
      j'ai le fichier CFScript.txt dans l'explorateur, mais pas sur le bureau,
      suis p'têt bigleux
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu l''as créé sur le bureau? clic droit => nouveau => document texte
      0
    3. odrap Messages postés 70 Statut Membre
       
      suis plus bigleux, le voici
      http://www.cijoint.fr/cjlink.php?file=cj201005/cijiceuh7n.txt
      CF a fait autre chose après les étapes mais n'a pas pu se connecter au
      serveur, ila créer C:\CF-Submit.htlm a utiliser plus tard !!
      0
    4. odrap Messages postés 70 Statut Membre
       
      plutot C:\CF-Submit.htm
      0
  20. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    C'est good!

    fait ceci:

    Envoyer ce fichier - C:\ComboFix_error.dat
    à : https://www.bleepingcomputer.com/submit-malware.php?channel=4

    Tu as toujours des soucis?
    0
    1. odrap Messages postés 70 Statut Membre
       
      je m'excuse, le le trouve ou le fichier ?
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Tu le trouves pas sur C:/ ?
      poste de travail, disque C, il doit être à la racine
      0
    3. odrap Messages postés 70 Statut Membre
       
      non je trouve pas
      0
    4. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Il y est plus??
      Bon ba laisse tomber...

      tu as toujours des soucis?
      0
    5. odrap Messages postés 70 Statut Membre
       
      non merci,
      démarrage Windows OK, mais petit écran noir juste avant pendant 1/2 seconde
      0
  21. gen-hackman
     
    salut il resterait pas un souci là ? :

    [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
    BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.e
    0
    1. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Ah, pas vu ... c'est ou?
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      C'est bon j'ai vu, ça correspond à quoi? je connais pas ces clés. Explique moi
      0
  • 1
  • 2
  • 3