Rkit/Bubnix.s

Résolu/Fermé
f5msr Messages postés 12 Date d'inscription dimanche 17 août 2008 Statut Membre Dernière intervention 23 avril 2011 - 6 mai 2010 à 13:16
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 - 24 mai 2010 à 21:07
Bonjour

ce matin j ai eu la désagréable surprise de voir Avira me signaler un rootkit (bubnix.s)
il se situe dans windows / system 32 / drivers / aornn.sys

a quoi sert ce fichier aornn.sys ?

j ai installé il a 2 jours environ une mesure d audience et de statistique sur mon site web
il s agit de bubblestat.

est ce que cela est lié à ce rootkit : bubblestat , bubnix.s


merci pour vos réponses

7 réponses

jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
19 mai 2010 à 14:53
Salut , Je met seulement un up pour le message de Malekal, car il y a plusieurs cas justement ^ ^

Malekal_morte- - 17 mai 2010 à 19:58
Si y a des webmasters qui lisent ce topic car infectés (les autres, vous vous en fichez), bha votre site a des chances d'avoir été modifié, faut changer le mot de passe FTP après désinfection.

Lire (faut cliquer pour afficher tous les commentaires et lire toutes les explications) : https://forums.commentcamarche.net/forum/affich-17610011-virus-js-jaderun-a-expl
2
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
19 mai 2010 à 20:19
J'ai faut un schéma explicatif : https://www.malekal.com/fichiers/spywares/bubnix.png

Il est laid mais j'espère qu'il est clair :)
0
Merci pour les explications. ce truc est quand même assez violent ! Mon site hebergé chez orange n a apparemment pas bougé . Je suis allé faire un tour dessus cet après midi
la machine est quant à elle chez le spécialiste ... au mieux il arrive a m installer un os , au pire il changera le disque .. j attends sa réponse et je fermerai le post . en attendant toujours sur l eepc / linux .
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
6 mai 2010 à 13:43
Salut

Ce driver n'est pas légitime.


Télécharger et enregistrer sur le bureau
Combofix

=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
1
merci pour la réponse
pas pu répondre de suite car depuis ecran noir et plus rien malgré plusieurs essais
je vais tacher de réinstaller mais doit faire l acquisition d un lecteur car celui actuel est hs la galère continue
actuellement sur EEPC / linux qui me dépanne bien ....
0
re bonsoir

apres le changement de lecteur j ai pu reinstaller vista , le scanner que j avais n a pas ete reconnu et le driver trouve sur le net n avait l air de fonctionner
bref ... j ai voulu mettre windows 2000 sp 4 a la place .. et la le cauchemar ... il a fallu que je formate le disque mais impossible mais impossible d'installer l'OS ... donc je me suis dit : tiens je vais reinstaller vista ... et la re cauchemar ... l installe ne peut se faire car vista ne detecte pas le disque c : alors que celui ci est visible dans le bios
bref une histoire de fou en ce qui me concerne .. j'amène demain l unité centrale chez un spécialiste...
en ce moment toujours sur l eepc / linux qui me depanne de + en + ....
0
Bonjour,

j'ai eu la meme chose avec ce bibnix.s et j'ai laisser tourner combofix.. voici le résultat.. quelqu'un pourrais m'aider? svp!

ComboFix 10-05-05.06 - Administrateur 06/05/2010 21:08:14.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1598 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
c:\documents and settings\Administrateur\Application Data\avdrn.dat
c:\program files\WindowsUpdate
c:\windows\system32\AVSredirect.dll
c:\windows\system32\Temp
c:\windows\system32\Temp\svsheimgvhmdwhuzmxva.list

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
.

2010-05-04 16:42 . 2010-05-04 16:42 -------- d-----w- c:\documents and settings\Administrateur\DoctorWeb
2010-05-02 18:08 . 2010-05-06 19:10 755200 ----a-w- c:\windows\system32\drivers\kqjugycq.sys
2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\custom matrices
2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\C2MP
2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\QuickTime
2010-04-29 16:32 . 2009-09-27 07:39 369152 ----a-w- c:\windows\system32\avisynth.dll
2010-04-29 16:32 . 2004-02-22 08:11 719872 ----a-w- c:\windows\system32\devil.dll
2010-04-29 16:32 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
2010-04-29 16:32 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2010-04-29 16:32 . 2010-04-29 16:32 -------- d-----w- c:\program files\AviSynth 2.5
2010-04-29 16:31 . 2008-03-16 13:30 216064 --sh--r- c:\windows\system32\nbDX.dll
2010-04-29 16:31 . 2007-02-21 11:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2010-04-29 16:31 . 2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2010-04-29 16:31 . 2010-04-29 16:31 -------- d-----w- c:\program files\eRightSoft
2010-04-12 16:48 . 2010-04-12 16:48 -------- d-----w- c:\program files\Rockstar Games

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 19:06 . 2008-04-14 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-06 19:06 . 2008-04-14 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-06 19:03 . 2009-04-28 15:43 -------- d-----w- c:\program files\Steam
2010-05-02 18:08 . 2010-05-02 18:08 16 ----a-w- c:\documents and settings\NetworkService\Application Data\wzmjhy.dat
2010-04-29 18:19 . 2009-09-09 19:12 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
2010-04-29 18:18 . 2009-04-28 16:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2010-04-15 19:26 . 2009-04-23 16:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-12 16:48 . 2009-04-23 01:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-11 12:36 . 2009-05-23 09:57 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
2010-03-23 08:39 . 2009-11-21 09:23 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-21 13:36 . 2010-03-21 13:12 -------- d-----w- c:\program files\SpeedFan
2010-03-09 11:10 . 2008-04-14 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-26 05:42 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 05:42 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2008-04-14 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-13 09:08 . 2009-04-23 01:16 71208 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-12 10:03 . 2010-03-20 08:22 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2006-05-03 10:06 . 2010-04-29 16:31 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-04-29 16:31 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-04-29 16:31 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2010-02-28 08:25 2349080 ----a-w- c:\program files\Softonic_Deutsch\tbSof0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Steam"="c:\program files\steam\steam.exe" [2010-04-27 1238352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb11.exe" [2004-04-06 172032]
"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
srvaju32.exe [2008-4-14 30208]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\digital imaging\bin\hpqthb08.exe [2004-5-28 53248]
HP Digital Imaging Monitor.lnk - c:\program files\HP\digital imaging\bin\hpqtra08.exe [2004-5-28 241664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Steam\\SteamApps\\frisotto\\counter-strike source\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4100:UDP"= 4100:UDP:uPNP Router Control Port

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [01/09/2009 22:11 108289]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - kqjugycq
.
Contenu du dossier 'Tâches planifiées'

2010-05-05 c:\windows\Tasks\HP Usg Daily FY04.job
- c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe [2004-06-07 04:53]

2010-05-06 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4vuobds.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/home.php
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kqjugycq]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-05-06 21:11:19
ComboFix-quarantined-files.txt 2010-05-06 19:11

Avant-CF: 204 677 066 752 octets libres
Après-CF: 204 898 443 264 octets libres

- - End Of File - - 28F339C0DA143A6129CDF86BEFC29CBC
0
Bonsoir

je ne pas vous aider concernant le résultat mais je crois que la sociéte saphos mets en ligne un anti rootkit , moi je l ai decouvert trop tard mais je vais le mettre dans mes favoris cela pourra toujours m' aider la prochaine fois
voici le lien a essauer
http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

bon courage
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 660
Modifié par Malekal_morte- le 17/05/2010 à 20:00
Si y a des webmasters qui lisent ce topic car infectés (les autres, vous vous en fichez), bha votre site a des chances d'avoir été modifié, faut changer le mot de passe FTP après désinfection.

Lire (faut cliquer pour afficher tous les commentaires et lire toutes les explications) : https://forums.commentcamarche.net/forum/affich-17610011-virus-js-jaderun-a-expl
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
18 mai 2010 à 08:31
Ouah, c'est le bazard ici...
@F5MSR: Tu en est ou?
@Freezo: Il faut ouvrir un fil pour toi, colle y le rapport Combofix ;)
0
bjr je suis sur Alger

bonne journée
0
hi j ai mal compris la question
euh j amene la bete ce matin au SAV de chez DELL

bonne journée
0
PB résolu
remplacement du disque dur ...
0
jalobservateur Messages postés 7372 Date d'inscription lundi 16 juillet 2007 Statut Contributeur sécurité Dernière intervention 10 mai 2012 930
24 mai 2010 à 21:07
Salut , ouais un peu drastique comme solution, mais bon... Ça résout aussi :)
0