Fonctionnement de GMER Fermé

Question

Bonjour,  



Configuration: Windows Vista / Firefox 3.6.16

Suite à une infection par le désormais célèbre physicaldrive0, j'ai téléchargé GMER, mais je ne parviens pas à m'en servir après l'étape du scan.  
En fait, quand je fais un clic droit sur les lignes en rouge, tout est grisé... 

Si quelqu'un pouvait m'aider, ce serait super sympa.

moment de grace · Answer

bonjour

* Télécharge load_tdsskiller (de Loup Blanc) sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
 
* Lance load_tdsskiller en faisant un double-clic dessus / Lance par un clic-droit dessus ? Exécuter en temps qu'administrateur 
* L'outil va se connecter pour télécharger une copie à jour de TDSSKiller, puis va lancer une analyse 
*  Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés, vérifier que l'option (Cure) est sélectionnée, 
*  Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip),
* A la fin, il te sera demandé d'appuyer sur une touche, puis le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (C:	dsskillereport.txt)

Ziramat · Answer

J'ai déjà le logiciel tdsskiller qui ne trouve rein après un scan.

Ziramat · Answer

et quand je télécharge load_tdsskiller, il se bloque et j'ai un message d'erreur.

moment de grace · Answer

poste le rapport gmer stp

Ziramat · Answer

GMER 1.0.15.15570 - http://www.gmer.net
Rootkit quick scan 2011-04-04 23:32:12
Windows 6.0.6001 Service Pack 1 Harddisk0\DR0 -> \Device\Ide\IdePort0 WDC_WD10EAVS-00D7B1 rev.01.01A01
Running: 48hyx0gk.exe; Driver: C:\Users\Laurent\AppData\Local\Temp\aglyquow.sys


---- Disk sectors - GMER 1.0.15 ----

Disk            \Device\Harddisk0\DR0                                                                                                                                  TDL4@MBR code has been found                               <-- ROOTKIT !!!
Disk            \Device\Harddisk0\DR0                                                                                                                                  sector 00: rootkit-like behavior

---- System - GMER 1.0.15 ----

Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                  ZwCreateProcessEx [0x91D9B8DE]
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                  ObInsertObject
Code            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/AVAST Software)                                                                  ObMakeTemporaryObject

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                                 aswSP.SYS (avast! self protection module/AVAST Software)

AttachedDevice  \Driver	dx \Device\Tcp                                                                                                                                aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)
AttachedDevice  \Driver	dx \Device\Udp                                                                                                                                aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

Device          \Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD10EAVS-00D7B1_____________________01.01A01#5&ef7213&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b}  device not found

---- EOF - GMER 1.0.15 ----

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs que tu renommes ZIR.exe avant de l'enregistrer sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe (clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer ) /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

Ziramat · Answer

Idem en mode sans échec : dans les deux cas, quand je veux lancer combofix, j'ai un écran bleu qui apparaît pendant à peine 2 secondes, et mon pc redémarre tout seul... puis mon bureau s'affiche comme si rien ne s'était passé.

moment de grace · Answer

il est bien accroche celui, ca pas être simple

supprimes tdsskiller et retente le en mode sans echec

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

Ziramat · Answer

je supprime tdsskiller et je retente combofix en mode sans échec ?

Ziramat · Answer

C'est fait, mais il ne me trouve rien non plus...

moment de grace · Answer

télécharge sur ton bureau ce combofix renommé et lance le

http://sd-2.archive-host.com/membres/up/135518691112296573/ZIRA.exe

Ziramat · Answer

J'ai lancé le combofix... A un certain moment, j'ai eu un message me disant que combofix avait besoin de redémarrer mon pc. J'ai cliqué oui, et depuis, plus rien, mon écran reste noir alors que le disque dur tourne...

moment de grace · Answer

redemarre à nouveau

Ziramat · Answer

Le processus est en marche, et j'ai les étapes qui s'affichent les unes après les autres, chose qui  n'était pas arrivé tout à l'heure... Donc, j'attends.

Je précise que je poste les messages grâce au pc de mon épouse qui est pour l'instant dispo...

Ziramat · Answer

Voilà le rapport que j'ai eu : ComboFix 11-04-04.02 - Laurent 05/04/2011 14:22:05.1.4 - x86 Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6001.1.1252.33.1036.18.3326.1942 [GMT 2:00] Lancé depuis: c:\users\Laurent\Downloads\ZIRA.exe . [i] ADS - Windows: deleted 24 bytes in 1 streams. /i . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . . c:\program files\OfferBox c:\program files\OfferBox\OfferBoxChromeExtension.crx c:\program files\OfferBox\offerboxffx@offerbox.com\chrome\content\overlay.xul c:\program files\OfferBox\offerboxffx@offerbox.com\components\OfferBoxXpCom.xpt c:\program files\OfferBox\offerboxffx@offerbox.com\install.rdf c:\program files\OfferBox es\language.xml c:\program files\OfferBox es\loader.gif c:\users\Laurent\AppData\Roaming\inst.exe c:\users\Laurent\AppData\Roaming\Mozilla\Firefox\Profiles\upafnfig.default\extensions\{5fad4fcc-8c57-40cd-9d29-9c9316538265} c:\users\Laurent\AppData\Roaming\Mozilla\Firefox\Profiles\upafnfig.default\extensions\{5fad4fcc-8c57-40cd-9d29-9c9316538265}\chrome.manifest c:\users\Laurent\AppData\Roaming\Mozilla\Firefox\Profiles\upafnfig.default\extensions\{5fad4fcc-8c57-40cd-9d29-9c9316538265}\chrome\xulcache.jar c:\users\Laurent\AppData\Roaming\Mozilla\Firefox\Profiles\upafnfig.default\extensions\{5fad4fcc-8c57-40cd-9d29-9c9316538265}\install.rdf c:\users\Laurent\AppData\Roaming\OfferBox c:\users\Laurent\AppData\Roaming\OfferBox\config.dat c:\users\Laurent\AppData\Roaming\OfferBox\config.xml c:\windows\system32\arp.exe c:\windows\system32\Install.cmd c:\windows\TEMP\{449DA604-320E-4491-BCB6-D1368D318E21}\_Setup.dll . . \.\PhysicalDrive0 - Bootkit TDL4 was found and disinfected . ((((((((((((((((((((((((((((( Fichiers créés du 2011-03-05 au 2011-04-05 )))))))))))))))))))))))))))))))))))) . . 2011-04-05 12:38 . 2011-04-05 12:41 -------- d-----w- c:\users\Laurent\AppData\Local emp 2011-04-05 12:38 . 2011-04-05 12:38 -------- d-----w- c:\users\Default\AppData\Local emp 2011-04-04 21:28 . 2011-04-04 21:28 -------- d-----w- c:\program files\AdSpyTerminator 2011-04-04 20:28 . 2011-04-04 20:28 -------- d-----w- c:\users\Laurent\AppData\Roaming\GlarySoft 2011-04-04 20:17 . 2011-04-04 20:17 747008 ----a-w- c:\windows\system32\ypgvsaym.dll 2011-04-04 17:34 . 2010-12-20 16:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2011-04-04 17:34 . 2010-12-20 16:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2011-04-04 14:53 . 2011-04-04 14:53 -------- d-----w- c:\programdata\WindowsSearch 2011-03-27 12:36 . 2011-02-23 13:56 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys . . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2011-02-28 18:10 . 2009-11-09 19:39 47360 ----a-w- c:\users\Laurent\AppData\Roaming\pcouffin.sys 2011-02-23 14:04 . 2011-02-06 16:23 40648 ----a-w- c:\windows\avastSS.scr 2011-02-23 14:04 . 2009-03-20 12:19 190016 ----a-w- c:\windows\system32\aswBoot.exe 2011-02-23 13:56 . 2009-03-20 12:20 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys 2011-02-23 13:55 . 2009-03-20 12:20 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys 2011-02-23 13:55 . 2009-03-20 12:20 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys 2011-02-23 13:55 . 2009-03-20 12:19 53592 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys 2011-02-23 13:54 . 2009-03-20 12:20 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys 2011-02-17 14:37 . 2008-01-21 02:23 57400 ----a-w- c:\windows\system32\drivers\mountmgr.sys . . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast] @="{472083B0-C522-11CF-8763-00608CC02F24}" [HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}] 2011-02-23 14:04 122512 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240] "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-21 125952] . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FixCamera"="c:\windows\FixCamera.exe" [2007-07-11 20480] "tsnp2std"="c:\windows snp2std.exe" [2007-05-10 270336] "snp2std"="c:\windows\vsnp2std.exe" [2007-09-28 344064] "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-10-10 69632] "avast5"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288] . c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2009-6-8 110592] Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2011-2-4 809488] WiFi Station.lnk - c:\program files\Hercules\WiFiStation\WiFiN.exe [2010-6-3 127784] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableLUA"= 0 (0x0) "EnableUIADesktopToggle"= 0 (0x0) "HideFastUserSwitching"= 0 (0x0) . [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "HideSCAHealth"= 1 (0x1) . [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] . [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=c:\progra~1\Google\GOOGLE~1\GoogleDesktopNetwork3.dll . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide [X] . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] 2010-09-23 03:47 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader eader_sl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search] 2008-12-27 12:51 24064 ----a-w- c:\program files\Google\Google Desktop Search\GoogleDesktop.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] 2008-04-28 16:16 1828136 ----a-w- c:\program files\Common Files\Nero\Lib\NMIndexStoreSvr.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon] 2008-11-12 22:13 13584928 ----a-w- c:\windows\System32 vcpl.dll . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task] 2008-01-31 22:13 385024 ----a-w- c:\program files\QuickTime\QTTask.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl] 2008-03-26 05:21 5369856 ----a-w- c:\windows\RtHDVCpl.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmpcSys] 2008-07-07 15:26 1038136 ----a-w- c:\program files\PACKARD BELL\SetUpMyPC\SmpSys.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2009-02-27 18:56 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe . [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG] 2008-01-21 02:25 202240 ----a-w- c:\program files\Windows Media Player\wmpnscfg.exe . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-disabled] "QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime . R3 GoogleDesktopManager-080708-050100;Google Desktop Manager 5.7.808.7150;c:\program files\Google\Google Desktop Search\GoogleDesktop.exe [2008-12-27 24064] R3 UPnPService;UPnPService;c:\program files\Common Files\MAGIX Shared\UPnPService\UPnPService.exe [2007-10-23 548864] S1 aswSnx;aswSnx; [x] S1 aswSP;aswSP; [x] S2 aswFsBlk;aswFsBlk; [x] S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592] S2 ETService;Empowering Technology Service;c:\program files\Packard Bell\Packard Bell Recovery Management\Service\ETService.exe [2008-07-16 24576] S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504] S2 HerculesWiFi;HerculesWiFi;c:\windows\system32\HerculesWiFiService.exe [2009-08-21 72488] S3 RTL8192su;%RTL8192su.DeviceDesc.DispName%;c:\windows\system32\DRIVERS\RTL8192su.sys [2009-04-23 504320] . . HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs ezSharedSvc . [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}] 2008-06-18 14:04 8192 ----a-w- c:\program files\PixiePack Codec Pack\InstallerHelper.exe . . ------- Examen supplémentaire ------- . uStart Page = hxxp://google.fr/ uDefault_Search_URL = hxxp://www.durable.com/recherche uSearchMigratedDefaultURL = hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q={searchTerms} mStart Page = hxxp://www.durable.com/recherche uInternet Settings,ProxyOverride = *.local uSearchAssistant = hxxp://www.durable.com/recherche uSearchURL,(Default) = hxxp://www.durable.com/recherche IE: Add to AMV Convert Tool... - c:\program files\MP3 Player Utilities 4.00\AMVConverter\grab.html IE: MediaManager tool grab multimedia file - c:\program files\MP3 Player Utilities 4.00\MediaManager\grab.html FF - ProfilePath - c:\users\Laurent\AppData\Roaming\Mozilla\Firefox\Profiles\upafnfig.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www15.yoog.com/search.php?q= FF - prefs.js: browser.search.selectedEngine - Yoog Search FF - prefs.js: browser.startup.homepage - hxxp://fr.start2.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official FF - prefs.js: keyword.URL - hxxp://www15.yoog.com/search.php?q= FF - prefs.js: network.proxy.type - 2 FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Kaspersky URL Advisor: linkfilter@kaspersky.ru - c:\program files\Mozilla Firefox\extensions\linkfilter@kaspersky.ru FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - user.js: browser.search.defaultenginename - Yoog Search FF - user.js: browser.search.defaulturl - hxxp://www15.yoog.com/search.php?q= FF - user.js: browser.search.selectedEngine - Yoog Search FF - user.js: keyword.URL - hxxp://www15.yoog.com/search.php?q= FF - user.js: keyword.enabled - true . . ------- Associations de fichier ------- . .txt= . - - - - ORPHELINS SUPPRIMES - - - - . HKLM-Run-zzzHPSETUP - D:\Setup.exe SafeBoot-klmdb.sys . . . ************************************************************************** . catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-04-05 14:40 Windows 6.0.6001 Service Pack 1 NTFS . Recherche de processus cachés ... . Recherche d'éléments en démarrage automatique cachés ... . Recherche de fichiers cachés ... . Scan terminé avec succès Fichiers cachés: 0 . ************************************************************************** . Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Windows 6.0.6001 Disk: WDC_WD10EAVS-00D7B1 rev.01.01A01 -> Harddisk0\DR0 -> \Device\Ide\IdePort0 P0T0L0-0 . device: opened successfully user: MBR read successfully . Disk trace: called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys acpi.sys hal.dll >>UNKNOWN [0x86ED7439]<< _asm { PUSH EBP; MOV EBP, ESP; PUSH ECX; MOV EAX, [EBP+0x8]; CMP EAX, [0x86edd7d0]; MOV EAX, [0x86edd84c]; PUSH EBX; PUSH ESI; MOV ESI, [EBP+0xc]; MOV EBX, [ESI+0x60]; PUSH EDI; JNZ 0x20; MOV [EBP+0x8], EAX; } 1 ntkrnlpa!IofCallDriver[0x826F0F6F] -> \Device\Harddisk0\DR0[0x86827888] 3 CLASSPNP[0x8B3A4745] -> ntkrnlpa!IofCallDriver[0x826F0F6F] -> [0x85ECC8F0] 5 acpi[0x8060C6A0] -> ntkrnlpa!IofCallDriver[0x826F0F6F] -> [0x85EB7BA0] \Driver\atapi[0x86B33558] -> IRP_MJ_CREATE -> 0x86ED7439 kernel: MBR read successfully _asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; MOV ES, AX; MOV DS, AX; MOV SI, 0x7c00; MOV DI, 0x600; MOV CX, 0x200; CLD ; REP MOVSB ; PUSH AX; PUSH 0x61c; RETF ; STI ; PUSHA ; MOV CX, 0x147; MOV BP, 0x62a; ROR BYTE [BP+0x0], CL; INC BP; } detected disk devices: \Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD10EAVS-00D7B1_____________________01.01A01#5&ef7213&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found detected hooks: user != kernel MBR !!! sectors 1953525166 (+255): user != kernel Warning: possible TDL4 rootkit infection ! TDL4 rootkit infection detected ! Use: "mbr.exe -f" to fix. . ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- . - - - - - - - > 'Explorer.exe'(5396) c:\program files\Logitech\SetPoint\lgscroll.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32 vvsvc.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32 undll32.exe c:\windows\system32\Ati2evxx.exe c:\program files\Alwil Software\Avast5\AvastSvc.exe c:\program files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe c:\programdata\EPSON\EPW!3 SSRP\E_S40ST7.EXE c:\programdata\EPSON\EPW!3 SSRP\E_S40RP7.EXE c:\program files\PACKARD BELL\Packard Bell Recovery Management\eRecovery\HidChk.exe c:\program files\Nero\Nero8\Nero BackItUp\NBService.exe c:\windows\system32\IoctlSvc.exe c:\windows\ehome\ehmsas.exe c:\windows\system32\conime.exe c:\program files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE c:\windows\system32\WUDFHost.exe c:\program files\Windows Media Player\wmpnetwk.exe c:\program files\InstallShield Installation Information\{7F811A54-5A09-4579-90E1-C93498E230D9}\setup.exe c:\windows\servicing\TrustedInstaller.exe . ************************************************************************** . Heure de fin: 2011-04-05 14:51:38 - La machine a redémarré ComboFix-quarantined-files.txt 2011-04-05 12:51 . Avant-CF: 783 885 262 848 octets libres Après-CF: 783 834 890 240 octets libres . - - End Of File - - 22E403B3E7EAC77E4820123675ED04FD

moment de grace · Answer

OK

1)

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


File::
c:\windows\system32\ypgvsaym.dll



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

___________

2)

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 
* Télécharge mbr.exe de Gmer ici : http://www2.gmer.net/mbr/mbr.exe et enregistre le fichier sur le Bureau. 
* Merci à Malekal pour le tutoriel 
* Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
* Double clique sur mbr.exe 
* Un rapport sera généré : mbr.log 
* En cas d'infection, ce message "MBR rootkit code detected" va apparaitre. 
* Pour supprimer le rootkit aller dans le menu Démarrer=> Exécuter et tapez la commande en gras: 

=>  Sous XP : "%userprofile%\Bureau\mbr" -f 

=> Sous Vista/Seven : "%userprofile%\Desktop\mbr" -f


* (veuillez à bien respecter les guillemets) 
* Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !" 
* Réactive tes protections .Poste ce rapport et supprime le ensuite. 

o Pour vérifier désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident) 
o Relance mbr.exe 
o Réactive tes protections. 
o Le nouveau mbr.log devrait être celui-ci : 
o Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net 
o device: opened successfully 
user: MBR read successfully 
kernel: MBR read successfully 
user & kernel MBR OK

Ziramat · Answer

Pour le scan du 1) on me dit qu'il y a une nouvelle version de combofix, dois-je faire la mise à jour ?

Ziramat · Answer

Je dois faire le 1) + le 2), ou bien soit le1) soit le 2) ?

moment de grace · Answer

ok

fais gmer

Ziramat · Answer

Voilà le rapport que j'ai avec Gmer :

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.0.6001 Disk: WDC_WD10EAVS-00D7B1 rev.01.01A01 -> Harddisk0\DR0 -> \Device\Ide\IdePort0 P0T0L0-0

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected disk devices:
\Device\Ide\IdeDeviceP0T0L0-0 -> \??\IDE#DiskWDC_WD10EAVS-00D7B1_____________________01.01A01#5&ef7213&0&0.0.0#{53f56307-b6bf-11d0-94f2-00a0c91efb8b} device not found
detected hooks:
user != kernel MBR !!! 
sectors 1953525166 (+255): user != kernel

moment de grace · Answer

/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

KillAll::


File:: 
c:\windows\system32\ypgvsaym.dll

Mbr::

* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt

Ziramat · Answer

ça ne marche pas... c'est la manip que j'ai déjà fait cet après-midi.

moment de grace · Answer

relance combofix normalement (sans script) et en desactivant tes protections

Ziramat · Answer

ça ne marche pas non plus : je me retrouve systématiquement à la page de récupération d'erreur windows, et je dois choisir entre démarrer en mode sans échec, démarrer windows normalement, etc.

moment de grace · Answer

arf

il commence à nous gonfler ce rootkit

vois si tu peux restaurer à une date antérieur à ton soucis

http://www.libellules.ch/restauration_system_vista.php

Ziramat · Answer

Je l'ai déjà fait, mais ça n'a rien changé... Le virus se recolle automatiquement à la restauration.

moment de grace · Answer

faut qu'on arrive à passer combo

on supprime tout et on recommence

1)

pour supprimer les outils de désinfection : 

télécharge Delfix de Xplode

http://www.teamxscript.org/too/Xplode/DelFix.exe


choisis SUPPRESSION 

poste son rapport

_________

2)

télécharge ce combo là et tu fais la procédure que tu connais

http://sd-2.archive-host.com/membres/up/135518691112296573/RAMAT.exe

Ziramat · Answer

Voilà le rapoort de Delfix :


# DelFix v7.6 - Rapport créé le 06/04/2011 à 10:39
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6001] Service Pack 1
# Nom d'utilisateur : Laurent - PC-DE-LAURENT (Administrateur)
# Exécuté depuis : C:\Users\Laurent\Downloads\DelFix.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\32788R22FWJFW

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.15.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.30.26_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.57.23_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_18.03.51_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_18.56.23_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_19.05.38_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_19.32.25_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_20.59.03_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_21.47.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_22.32.09_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_23.49.00_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_09.52.49_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_11.04.29_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_11.22.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_17.02.2011_15.35.13_log.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Laurent\Downloads\ComboFix(2).exe
Supprimé : C:\Users\Laurent\Downloads\ComboFix.exe
Supprimé : C:\Users\Laurent\Downloads\mbr(2).exe
Supprimé : C:\Users\Laurent\Downloads\mbr.exe
Supprimé : C:\Users\Laurent\Downloads\mbr.log
Supprimé : C:\Users\Laurent\Downloads\ToolsCleaner2(2).exe
Supprimé : C:\Users\Laurent\Downloads\ToolsCleaner2.exe
Supprimé : C:\Users\Laurent\Downloads\Load_tdsskiller(2).exe
Supprimé : C:\Users\Laurent\Downloads\Load_tdsskiller.exe
Supprimé : C:\Users\Laurent\Downloads\HiJackThis.exe
Supprimé : C:\Users\Laurent\Downloads\hijackthis.log

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKCU\console_combofixbackup

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [3380 octets] ##########

Ziramat · Answer

le nouveau combofix ne passe pas non plus. Il se charge normalement, et au moment ou la barre verte est à 100%, mon écran bascule en bleu avec un message d'erreur, et je suis obligé de redémarrer mon pc. Je viens d'essayer 3 fois de suite...

Ziramat · Answer

Non, mais je peux essayer en mode sans échec.

Fonctionnement de GMER

30 réponses

Discussions similaires