Virus type rootkit

Résolu
mimoire -  
 gen-hackman -
Bonjour à tous,
sur un PC windows XP SP3 j'ai un virus rootkit qui m'interdit le demarage sans echec, bloque tous les antivirus que j'ai essayé. Pour en finir avec ce virus, je décide de réinstaller windows à partir du CD rom d'installation.J'ai eu la mauvaise surprise de voir que je n'ai plus acces à mes lecteurs de cd room. Que puis-je faire? Fdisk? mais cette commande DOS est elle encore disponible? si oui comment? à partir de Démarrer...exécuter? Quand j'aurais fais cela pourais-je accéder au lecteur de cd room?. merci de votre aide.

190 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10
Résumé de la discussion

Infection identifiée comme le ver Bagle, qui empêche le démarrage en mode sans échec et bloque les antivirus, rendant une réinstallation par CD problématique et le lecteur CD/DVD inutilisable à ce stade. Plutôt que de reformater, l’approche préconisée est d’utiliser Findykill, un outil de détection et de suppression qui s’exécute au démarrage et peut nettoyer l’infection après téléchargement sur un autre PC. L’utilisation implique de lancer Findykill en mode administrateur, de sélectionner l’option 1 (Recherche) puis, après le scan, l’option 2 (Suppression), puis de redémarrer et de consulter le rapport généré (FyK.txt). Après le nettoyage, il convient de sauvegarder les données sur des supports externes et de vérifier que le système démarre correctement et que les restes du malware sont supprimés.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, j'étais quasiment sûr que c'était bagle.

    Pas besoin de reformater ton ordi, fais ceci :

    -+-+-+-+-> Findykill - Recherche <-+-+-+-+-

    Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P. Plus d'informations sur l'infection ici

    [x] Télécharge Findykill ( d'El desaparecido ) | Miroir.

    /!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\

    [x] Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).

    [x] Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.

    [x] Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.

    [x] A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.

    Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
    -> Un tutoriel pour l'utilisation de findykill est disponible ici.
    4
  2. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    -+-+-+-+-> Findykill - Suppression <-+-+-+-+-

    [x] Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).

    [x] Le PC va redémarrer et findykill se lancera au démarrage.

    [x] Patiente pendant le scan jusqu'à l'ouverture d'un rapport.

    [x] Copie/Colle le contenu du rapport dans ta prochaine réponse.

    Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
    -> Un tutoriel pour l'utilisation de findykill ( suppression ) est disponible ici.
    -> Si le bureau ne réapparaît pas après l'utilisation de findykill, appuie simultanément sur CTRL ALT SUPPR. A l'onglet "Applications", clique sur [Nouvelle tâche]. Tape "explorer.exe" ( sans les guillemets ) puis [Ok].
    1
  3. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Il faut que tu lances l'option 2
    1
  4. poupougne13 Messages postés 43203 Date d'inscription   Statut Membre Dernière intervention   11 050
     
    Bonsoir...

    Tu n'as pas accès au bios pour mettre le lecteur cd en premier ?
    Cdt,
    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. mimoire
     
    Dans le setup du pc j'ai:
    First boot device CDROM
    Second boot device: Floppy
    Third boot device: HDD-0
    donc à mon avis le PC devrait tenter de démarrer d'abord sur cdrom
    0
  7. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Salut,

    Tu as le nom du "rootkit" en question?

    Sinon, décris précisément tout les symptômes que tu as.

    Et est ce qu'il t'es encore possible de lancer des applications sur le PC?
    0
  8. mimoire
     
    Le rootkit doit etre: Rootkit.bagle.gen
    et peut etre win32.bagle SUQ@mm
    oui il y a des applications qui fonctionnent encore.
    0
  9. mimoire
     
    voila le rapport:

    ############################## | FindyKill V5.045 |

    # User : jean terrien (Administrateurs) # JEAN-TERRIEN
    # Update on 23/06/2010 by El Desaparecido
    # Start at: 03:05:18 | 24/06/2010
    # Website : http://pagesperso-orange.fr/NosTools/index.html
    # Contact : FindyKill.Contact@gmail.com

    # AMD Athlon(tm) XP 3000+
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 6.0.2900.5512
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 149,04 Go (138,44 Go free) # NTFS
    # D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT

    ############################## | Processus infectieux stoppés |

    "C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe" (1736)
    "C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe" (1760)
    "C:\WINDOWS\wintems.exe" (2356)

    ################## | Eléments infectieux |

    C:\WINDOWS\ban_list.txt
    C:\WINDOWS\mdelk.exe
    C:\WINDOWS\wintems.exe
    C:\WINDOWS\system32\srosa2.sys
    C:\WINDOWS\system32\wfsintwq.sys
    C:\Documents and Settings\jean terrien\Application Data\drivers
    C:\Documents and Settings\jean terrien\Application Data\drivers\downld
    C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe
    C:\Documents and Settings\jean terrien\Application Data\m
    C:\Documents and Settings\jean terrien\Application Data\m\data.oct
    C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe
    C:\Documents and Settings\jean terrien\Application Data\m\list.oct
    C:\Documents and Settings\jean terrien\Application Data\m\srvlist.oct
    C:\Documents and Settings\jean terrien\Application Data\m\shared
    C:\Documents and Settings\jean terrien\Local Settings\Temporary Internet Files\Content.IE5\CX2R0TQR\servernames[1].html

    ################## | Registre |

    [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
    [HKLM\SYSTEM\CurrentControlSet\Services\srosa]
    [HKLM\SYSTEM\ControlSet001\Services\srosa]
    [HKLM\SYSTEM\ControlSet002\Services\srosa]
    [HKLM\SYSTEM\ControlSet003\Services\srosa]
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
    [HKCU\Software\bisoft]
    [HKCU\Software\DateTime4]
    [HKCU\Software\MuleAppData]
    [HKCU\Software\WS4001]
    [HKCR\ed2k]
    [HKCU\Software\Classes\ed2k]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
    [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
    [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]

    ################## | Etat |

    # Affichage des fichiers cachés : OK

    Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
    # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

    ################## | ! Fin du rapport # FindyKill V5.045 ! |
    0
  10. mimoire
     
    nouveau rapport apres valitation de l'option 2 "nettoyage" .J'avais aussi oublié une clef USB.

    ############################## | FindyKill V5.045 |

    # User : jean terrien (Administrateurs) # JEAN-TERRIEN
    # Update on 23/06/2010 by El Desaparecido
    # Start at: 10:33:13 | 24/06/2010
    # Website : http://pagesperso-orange.fr/NosTools/index.html
    # Contact : FindyKill.Contact@gmail.com

    # AMD Athlon(tm) XP 3000+
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 6.0.2900.5512
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 149,04 Go (138,48 Go free) # NTFS
    # D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
    # F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

    ################## | Eléments infectieux |

    ################## | Registre |

    [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet001\Services\srosa]
    [HKLM\SYSTEM\ControlSet003\Services\srosa]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
    [HKCU\Software\bisoft]
    [HKCU\Software\DateTime4]
    [HKCU\Software\MuleAppData]
    [HKCU\Software\WS4001]
    [HKCR\ed2k]
    [HKCU\Software\Classes\ed2k]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
    [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
    [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]

    ################## | Etat |

    # Affichage des fichiers cachés : OK

    Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
    # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

    ################## | ! Fin du rapport # FindyKill V5.045 ! |
    0
  11. mimoire
     
    merci pour ton aide. Voici le rapport:

    ############################## | FindyKill V5.045 |

    # User : jean terrien (Administrateurs) # JEAN-TERRIEN
    # Update on 23/06/2010 by El Desaparecido
    # Start at: 11:07:32 | 24/06/2010
    # Website : http://pagesperso-orange.fr/NosTools/index.html
    # Contact : FindyKill.Contact@gmail.com

    # AMD Athlon(tm) XP 3000+
    # Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
    # Internet Explorer 6.0.2900.5512
    # Windows Firewall Status : Enabled
    # AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

    # A:\ # Lecteur de disquettes 3 ½ pouces
    # C:\ # Disque fixe local # 149,04 Go (138,47 Go free) # NTFS
    # D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
    # F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

    ################## | Eléments infectieux |

    ################## | Registre |

    [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
    [HKLM\SYSTEM\ControlSet001\Services\srosa]
    [HKLM\SYSTEM\ControlSet003\Services\srosa]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
    [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
    [HKCU\Software\bisoft]
    [HKCU\Software\DateTime4]
    [HKCU\Software\MuleAppData]
    [HKCU\Software\WS4001]
    [HKCR\ed2k]
    [HKCU\Software\Classes\ed2k]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
    [HKCU\Software\Local AppWizard-Generated Applications\key_generator]
    [HKCU\Software\Local AppWizard-Generated Applications\winupgro]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]

    ################## | Etat |

    # Affichage des fichiers cachés : OK

    Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
    # (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
    # (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

    ################## | ! Fin du rapport # FindyKill V5.045 ! |
    0
  12. mimoire
     
    avec l'option 2 le scan s'est refermé tout seul à 40%. Je vais réessayer de le refaire.
    0
  13. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, dis moi si tu n'arrives toujours pas à passer l'option 2.
    0
  14. mimoire
     
    l'option 2 démarre corectement: redémarrage PC, scan, il se ferme au moment du scan des fichiers zip
    0
  15. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Tu as un rapport sous C:\ ? ( FyK.txt )
    0
  16. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Ok, on va faire autrement.

    -+-+-+-+-> OtMoveIt <-+-+-+-+-

    [x] Télécharge OtMoveIt sur ton bureau.

    [x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".

    
    :services
    
    sK9Ou0s
    srosa
    
    :reg
    
    
    [-HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
    [-HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
    [-HKLM\SYSTEM\ControlSet001\Services\srosa]
    [-HKLM\SYSTEM\ControlSet003\Services\srosa]
    [-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
    [-HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
    [-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
    [-HKCU\Software\bisoft]
    [-HKCU\Software\DateTime4]
    [-HKCU\Software\MuleAppData]
    [-HKCU\Software\WS4001]
    [-HKCR\ed2k]
    [-HKCU\Software\Classes\ed2k]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 
    "drvsyskit"=-
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] 
    "drvsyskit"=-
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 
    "german.exe"=-
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] 
    "german.exe"=-
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 
    "mule_st_key"=-
    [HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] 
    "mule_st_key"=-
    [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
    [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
    [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
    [-HKCU\Software\Local AppWizard-Generated Applications\key_generator]
    [-HKCU\Software\Local AppWizard-Generated Applications\winupgro]
    [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
    [-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro] 
    
    
    :commands
    
    [emptytemp]
    
    


    [x] Clique maintenant sur " MoveIt! "

    [x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

    ---------------------------------------------------

    -+-+-+-+-> ComboFix <-+-+-+-

    [x] Télécharge ComboFix ( de sUBs ) à cette adresse.

    [x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

    [x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

    [x] Double clique sur " Combofix.exe "

    [x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

    [x] Pendant le scan, ne touche à rien ( souris, clavier )

    [x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

    Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt
    0
  17. mimoire
     
    pas de chances.....je télécharge bien OTM mais il refuse de s'executer!
    0
  18. Xplode Messages postés 9212 Statut Contributeur sécurité 726
     
    Passe à combofix ( renomme le en CCM.exe avant de le télécharger )
    0
  19. mimoire
     
    je ne peux pas déactiver AVIRA!!! j'ai pas oser lancer combo que faire?
    0
    1. Xplode Messages postés 9212 Statut Contributeur sécurité 726
       
      Lance le quand même. De tout façon, antivir à du être corrompu par bagle.
      0
  20. mimoire
     
    message que j'ai : Avira n'est pas une application win32 valide. J'ai essayé de vider le repertoire avira. Il s'est effacé partiellement et combo me dit que avira toujours actif
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
  • 7
  • 8
  • 9
  • 10