Rkit/Bubnix.s

Résolu
f5msr Messages postés 13 Statut Membre -  
jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour

ce matin j ai eu la désagréable surprise de voir Avira me signaler un rootkit (bubnix.s)
il se situe dans windows / system 32 / drivers / aornn.sys

a quoi sert ce fichier aornn.sys ?

j ai installé il a 2 jours environ une mesure d audience et de statistique sur mon site web
il s agit de bubblestat.

est ce que cela est lié à ce rootkit : bubblestat , bubnix.s

merci pour vos réponses

7 réponses

  1. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Salut , Je met seulement un up pour le message de Malekal, car il y a plusieurs cas justement ^ ^

    Malekal_morte- - 17 mai 2010 à 19:58
    Si y a des webmasters qui lisent ce topic car infectés (les autres, vous vous en fichez), bha votre site a des chances d'avoir été modifié, faut changer le mot de passe FTP après désinfection.

    Lire (faut cliquer pour afficher tous les commentaires et lire toutes les explications) : https://forums.commentcamarche.net/forum/affich-17610011-virus-js-jaderun-a-expl
    2
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      J'ai faut un schéma explicatif : https://www.malekal.com/fichiers/spywares/bubnix.png

      Il est laid mais j'espère qu'il est clair :)
      0
    2. F5MSR
       
      Merci pour les explications. ce truc est quand même assez violent ! Mon site hebergé chez orange n a apparemment pas bougé . Je suis allé faire un tour dessus cet après midi
      la machine est quant à elle chez le spécialiste ... au mieux il arrive a m installer un os , au pire il changera le disque .. j attends sa réponse et je fermerai le post . en attendant toujours sur l eepc / linux .
      0
  2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Salut

    Ce driver n'est pas légitime.

    Télécharger et enregistrer sur le bureau
    Combofix

    =Desactiver l'antivirus
    =Double-clic sur Combofix
    = Presser 1 si demandé
    = Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
    =Copier/coller le rapport dans la réponse
    Un rapport dans C:\Combofix.txt à mettre dans la réponse
    Réactiver l'antivirus
    1
    1. F5MSR
       
      merci pour la réponse
      pas pu répondre de suite car depuis ecran noir et plus rien malgré plusieurs essais
      je vais tacher de réinstaller mais doit faire l acquisition d un lecteur car celui actuel est hs la galère continue
      actuellement sur EEPC / linux qui me dépanne bien ....
      0
    2. F5MSR
       
      re bonsoir

      apres le changement de lecteur j ai pu reinstaller vista , le scanner que j avais n a pas ete reconnu et le driver trouve sur le net n avait l air de fonctionner
      bref ... j ai voulu mettre windows 2000 sp 4 a la place .. et la le cauchemar ... il a fallu que je formate le disque mais impossible mais impossible d'installer l'OS ... donc je me suis dit : tiens je vais reinstaller vista ... et la re cauchemar ... l installe ne peut se faire car vista ne detecte pas le disque c : alors que celui ci est visible dans le bios
      bref une histoire de fou en ce qui me concerne .. j'amène demain l unité centrale chez un spécialiste...
      en ce moment toujours sur l eepc / linux qui me depanne de + en + ....
      0
  3. Frezoo
     
    Bonjour,

    j'ai eu la meme chose avec ce bibnix.s et j'ai laisser tourner combofix.. voici le résultat.. quelqu'un pourrais m'aider? svp!

    ComboFix 10-05-05.06 - Administrateur 06/05/2010 21:08:14.1.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1598 [GMT 2:00]
    Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
    * Un nouveau point de restauration a été créé

    AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    c:\docume~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
    c:\documents and settings\Administrateur\Application Data\avdrn.dat
    c:\program files\WindowsUpdate
    c:\windows\system32\AVSredirect.dll
    c:\windows\system32\Temp
    c:\windows\system32\Temp\svsheimgvhmdwhuzmxva.list

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
    .

    2010-05-04 16:42 . 2010-05-04 16:42 -------- d-----w- c:\documents and settings\Administrateur\DoctorWeb
    2010-05-02 18:08 . 2010-05-06 19:10 755200 ----a-w- c:\windows\system32\drivers\kqjugycq.sys
    2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\custom matrices
    2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\C2MP
    2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\QuickTime
    2010-04-29 16:32 . 2009-09-27 07:39 369152 ----a-w- c:\windows\system32\avisynth.dll
    2010-04-29 16:32 . 2004-02-22 08:11 719872 ----a-w- c:\windows\system32\devil.dll
    2010-04-29 16:32 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
    2010-04-29 16:32 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
    2010-04-29 16:32 . 2010-04-29 16:32 -------- d-----w- c:\program files\AviSynth 2.5
    2010-04-29 16:31 . 2008-03-16 13:30 216064 --sh--r- c:\windows\system32\nbDX.dll
    2010-04-29 16:31 . 2007-02-21 11:47 31232 --sh--r- c:\windows\system32\msfDX.dll
    2010-04-29 16:31 . 2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
    2010-04-29 16:31 . 2010-04-29 16:31 -------- d-----w- c:\program files\eRightSoft
    2010-04-12 16:48 . 2010-04-12 16:48 -------- d-----w- c:\program files\Rockstar Games

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-05-06 19:06 . 2008-04-14 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
    2010-05-06 19:06 . 2008-04-14 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
    2010-05-06 19:03 . 2009-04-28 15:43 -------- d-----w- c:\program files\Steam
    2010-05-02 18:08 . 2010-05-02 18:08 16 ----a-w- c:\documents and settings\NetworkService\Application Data\wzmjhy.dat
    2010-04-29 18:19 . 2009-09-09 19:12 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
    2010-04-29 18:18 . 2009-04-28 16:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
    2010-04-15 19:26 . 2009-04-23 16:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
    2010-04-12 16:48 . 2009-04-23 01:09 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-04-11 12:36 . 2009-05-23 09:57 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
    2010-03-23 08:39 . 2009-11-21 09:23 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
    2010-03-21 13:36 . 2010-03-21 13:12 -------- d-----w- c:\program files\SpeedFan
    2010-03-09 11:10 . 2008-04-14 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
    2010-02-26 05:42 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
    2010-02-26 05:42 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
    2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
    2010-02-16 19:06 . 2008-04-14 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
    2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
    2010-02-13 09:08 . 2009-04-23 01:16 71208 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-02-12 10:03 . 2010-03-20 08:22 293376 ------w- c:\windows\system32\browserchoice.exe
    2010-02-12 04:34 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
    2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
    2006-05-03 10:06 . 2010-04-29 16:31 163328 --sh--r- c:\windows\system32\flvDX.dll
    2007-02-21 11:47 . 2010-04-29 16:31 31232 --sh--r- c:\windows\system32\msfDX.dll
    2008-03-16 13:30 . 2010-04-29 16:31 216064 --sh--r- c:\windows\system32\nbDX.dll
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

    [HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

    [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
    2010-02-28 08:25 2349080 ----a-w- c:\program files\Softonic_Deutsch\tbSof0.dll

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

    [HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
    "{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

    [HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
    "Steam"="c:\program files\steam\steam.exe" [2010-04-27 1238352]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
    "RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
    "HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb11.exe" [2004-04-06 172032]
    "HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
    "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]
    "HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
    "HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
    "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
    "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
    srvaju32.exe [2008-4-14 30208]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    D'marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\digital imaging\bin\hpqthb08.exe [2004-5-28 53248]
    HP Digital Imaging Monitor.lnk - c:\program files\HP\digital imaging\bin\hpqtra08.exe [2004-5-28 241664]

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
    "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\frisotto\\counter-strike source\\hl2.exe"=
    "c:\\WINDOWS\\system32\\dpvsetup.exe"=
    "c:\\Program Files\\TmNationsForever\\TmForever.exe"=
    "c:\\Program Files\\Steam\\Steam.exe"=
    "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
    "c:\\Program Files\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "4100:UDP"= 4100:UDP:uPNP Router Control Port

    R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [01/09/2009 22:11 108289]

    --- Autres Services/Pilotes en mémoire ---

    *Deregistered* - kqjugycq
    .
    Contenu du dossier 'Tâches planifiées'

    2010-05-05 c:\windows\Tasks\HP Usg Daily FY04.job
    - c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe [2004-06-07 04:53]

    2010-05-06 c:\windows\Tasks\OGALogon.job
    - c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]
    .
    .
    ------- Examen supplémentaire -------
    .
    uInternet Settings,ProxyOverride = *.local
    IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
    FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4vuobds.default\
    FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/home.php
    FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
    FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

    ---- PARAMETRES FIREFOX ----
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
    c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .
    - - - - ORPHELINS SUPPRIMES - - - -

    WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kqjugycq]

    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(764)
    c:\windows\system32\Ati2evxx.dll
    .
    Heure de fin: 2010-05-06 21:11:19
    ComboFix-quarantined-files.txt 2010-05-06 19:11

    Avant-CF: 204 677 066 752 octets libres
    Après-CF: 204 898 443 264 octets libres

    - - End Of File - - 28F339C0DA143A6129CDF86BEFC29CBC
    0
  4. F5MSR
     
    Bonsoir

    je ne pas vous aider concernant le résultat mais je crois que la sociéte saphos mets en ligne un anti rootkit , moi je l ai decouvert trop tard mais je vais le mettre dans mes favoris cela pourra toujours m' aider la prochaine fois
    voici le lien a essauer
    http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

    bon courage
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      Si y a des webmasters qui lisent ce topic car infectés (les autres, vous vous en fichez), bha votre site a des chances d'avoir été modifié, faut changer le mot de passe FTP après désinfection.

      Lire (faut cliquer pour afficher tous les commentaires et lire toutes les explications) : https://forums.commentcamarche.net/forum/affich-17610011-virus-js-jaderun-a-expl
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
     
    Ouah, c'est le bazard ici...
    @F5MSR: Tu en est ou?
    @Freezo: Il faut ouvrir un fil pour toi, colle y le rapport Combofix ;)
    0
    1. F5MSR
       
      bjr je suis sur Alger

      bonne journée
      0
    2. F5MSR
       
      hi j ai mal compris la question
      euh j amene la bete ce matin au SAV de chez DELL

      bonne journée
      0
  7. F5MSR
     
    PB résolu
    remplacement du disque dur ...
    0
  8. jalobservateur Messages postés 7372 Date d'inscription   Statut Contributeur sécurité Dernière intervention   930
     
    Salut , ouais un peu drastique comme solution, mais bon... Ça résout aussi :)
    0