Zeroaccess rootkit activity 4
Fermé
severine236
-
8 févr. 2012 à 13:37
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 16 févr. 2012 à 17:30
kalimusic Messages postés 14014 Date d'inscription samedi 7 novembre 2009 Statut Contributeur sécurité Dernière intervention 20 novembre 2015 - 16 févr. 2012 à 17:30
A voir également:
- Zeroaccess rootkit activity 4
- Code gta 4 ps4 - Guide
- Control center 4 - Télécharger - Divers Utilitaires
- Groupe de 4 personnes connus ✓ - Forum Loisirs / Divertissements
- Word diviser page en 4 ✓ - Forum Matériel & Système
- Motherlode sims 4 mac ✓ - Forum Jeux PC
36 réponses
Bonjour, voici la localisation de l'attaque :
- ordi attaquant : d5uhm9fbln5jxw.com (83.133.119.154,80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1294)
- adresse source : 83.133.119.154
- description trafic : TCP, www-http ceci à 9h11
- ordi attaquant : 1x6a8i1zwlhx17jj8.com (83.133.119.155,80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1248) ceci à 9h10
- ordi attaquant : m0fyqtee75otg15mrmc.com (83.133.124.195, 80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1243) ceci à 9h10
Pour ce qui est du rapport MBRScan je ne peux pas car message comme quoi le chemin d'accès n'est pas valide
Que dois-je faire ?
- ordi attaquant : d5uhm9fbln5jxw.com (83.133.119.154,80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1294)
- adresse source : 83.133.119.154
- description trafic : TCP, www-http ceci à 9h11
- ordi attaquant : 1x6a8i1zwlhx17jj8.com (83.133.119.155,80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1248) ceci à 9h10
- ordi attaquant : m0fyqtee75otg15mrmc.com (83.133.124.195, 80)
- adresse : ETS-OEADE576B07 (192.168.1.10,1243) ceci à 9h10
Pour ce qui est du rapport MBRScan je ne peux pas car message comme quoi le chemin d'accès n'est pas valide
Que dois-je faire ?
Utilisateur anonyme
10 févr. 2012 à 14:40
10 févr. 2012 à 14:40
salut pour avancer :
télécharge ceci :
http://dl.dropbox.com/u/21363431/Part_Look.exe
lance l'outil puis choisis l'option Look et héberge Part_Look.txt qui se trouvera sur ton bureau sur http://pjjoint.Malekal.com puis donne le lien
télécharge ceci :
http://dl.dropbox.com/u/21363431/Part_Look.exe
lance l'outil puis choisis l'option Look et héberge Part_Look.txt qui se trouvera sur ton bureau sur http://pjjoint.Malekal.com puis donne le lien
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
10 févr. 2012 à 16:07
10 févr. 2012 à 16:07
Bonjour severine236,
Je continue à t'aider mais visiblement nous n'avons pas les mêmes créneaux de connexion sur le forum.
Commence par faire ce qui est ici : https://forums.commentcamarche.net/forum/affich-24401172-zeroaccess-rootkit-activity-4?page=2#32
A +
Je continue à t'aider mais visiblement nous n'avons pas les mêmes créneaux de connexion sur le forum.
Commence par faire ce qui est ici : https://forums.commentcamarche.net/forum/affich-24401172-zeroaccess-rootkit-activity-4?page=2#32
A +
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
Je ne peux pas ouvrir le lien
Que dois-je faire ?
Je suis les indication de g3n-h@ckm@n ?
A+
Je ne peux pas ouvrir le lien
Que dois-je faire ?
Je suis les indication de g3n-h@ckm@n ?
A+
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
12 févr. 2012 à 16:29
12 févr. 2012 à 16:29
Bonjour à tous les deux,
Quel lien tu ne peux pas ouvrir ? Celui-ci ?
http://dl.dropbox.com/u/21363431/Part_Look.exe
Si c'est le cas, utilise cet outil :
Télécharge aswMBR sur ton Bureau.
● Lance aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
● Copie/colle le rapport dans ton prochain message.
A +
Quel lien tu ne peux pas ouvrir ? Celui-ci ?
http://dl.dropbox.com/u/21363431/Part_Look.exe
Si c'est le cas, utilise cet outil :
Télécharge aswMBR sur ton Bureau.
● Lance aswMBR.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Refuse la demande de mise à jour
● Clique sur le bouton Scan
● Patiente pendant l'analyse
● Clique sur Save log
● Enregistre le rapport sur le Bureau.
● Copie/colle le rapport dans ton prochain message.
A +
aswMBR version 0.9.9.1532 Copyright(c) 2011 AVAST Software
Run date: 2012-02-13 09:19:44
-----------------------------
09:19:44.078 OS Version: Windows 5.1.2600 Service Pack 3
09:19:44.078 Number of processors: 2 586 0x1706
09:19:44.078 ComputerName: ETS-0EADE576B07 UserName: Ets Suire
09:19:45.062 Initialize success
09:20:00.578 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
09:20:00.578 Disk 0 Vendor: Maxtor_6Y080L0 YAR41BW0 Size: 78167MB BusType: 3
09:20:00.578 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e
09:20:00.578 Disk 1 Vendor: WDC_WD1600AAJS-00L7A0 01.03E01 Size: 152627MB BusType: 3
09:20:00.593 Disk 1 MBR read successfully
09:20:00.593 Disk 1 MBR scan
09:20:00.593 Disk 1 Windows XP default MBR code
09:20:00.593 Disk 1 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152625 MB offset 63
09:20:00.609 Disk 1 scanning sectors +312576705
09:20:00.687 Disk 1 scanning C:\WINDOWS\system32\drivers
09:20:07.015 File: C:\WINDOWS\system32\drivers\netbt.sys **SUSPICIOUS**
09:20:09.703 Disk 1 trace - called modules:
09:20:09.718 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xba25bfc0]<<
09:20:09.718 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x8a569ab8]
09:20:09.718 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> [0x8a0125d0]
09:20:09.718 \Driver\00001807[0x8a2bf230] -> IRP_MJ_CREATE -> 0xba25bfc0
09:20:09.718 Scan finished successfully
09:22:32.062 Disk 1 MBR has been saved successfully to "C:\Documents and Settings\Ets Suire\Bureau\MBR.dat"
09:22:32.093 The log file has been saved successfully to "C:\Documents and Settings\Ets Suire\Bureau\aswMBR.txt"
C'est aussi simple comme ça !!!
Désolé je ne suis pas très douée !!!
Run date: 2012-02-13 09:19:44
-----------------------------
09:19:44.078 OS Version: Windows 5.1.2600 Service Pack 3
09:19:44.078 Number of processors: 2 586 0x1706
09:19:44.078 ComputerName: ETS-0EADE576B07 UserName: Ets Suire
09:19:45.062 Initialize success
09:20:00.578 Disk 0 \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP0T0L0-3
09:20:00.578 Disk 0 Vendor: Maxtor_6Y080L0 YAR41BW0 Size: 78167MB BusType: 3
09:20:00.578 Disk 1 (boot) \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP1T0L0-e
09:20:00.578 Disk 1 Vendor: WDC_WD1600AAJS-00L7A0 01.03E01 Size: 152627MB BusType: 3
09:20:00.593 Disk 1 MBR read successfully
09:20:00.593 Disk 1 MBR scan
09:20:00.593 Disk 1 Windows XP default MBR code
09:20:00.593 Disk 1 Partition 1 80 (A) 07 HPFS/NTFS NTFS 152625 MB offset 63
09:20:00.609 Disk 1 scanning sectors +312576705
09:20:00.687 Disk 1 scanning C:\WINDOWS\system32\drivers
09:20:07.015 File: C:\WINDOWS\system32\drivers\netbt.sys **SUSPICIOUS**
09:20:09.703 Disk 1 trace - called modules:
09:20:09.718 ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xba25bfc0]<<
09:20:09.718 1 nt!IofCallDriver -> \Device\Harddisk1\DR1[0x8a569ab8]
09:20:09.718 3 CLASSPNP.SYS[ba0e8fd7] -> nt!IofCallDriver -> [0x8a0125d0]
09:20:09.718 \Driver\00001807[0x8a2bf230] -> IRP_MJ_CREATE -> 0xba25bfc0
09:20:09.718 Scan finished successfully
09:22:32.062 Disk 1 MBR has been saved successfully to "C:\Documents and Settings\Ets Suire\Bureau\MBR.dat"
09:22:32.093 The log file has been saved successfully to "C:\Documents and Settings\Ets Suire\Bureau\aswMBR.txt"
C'est aussi simple comme ça !!!
Désolé je ne suis pas très douée !!!
Re-bonjour,
En effet, je pense qu'on n'a pas les mêmes créneaux. Je suis sur mon PC de 9h à 17h30.
Je vois que g3n-h@ckm@n est sur le site en ce moment, il peut peut être (sans vouloir offenser personne bien sûr) nous donner un coup de main ?
A+
En effet, je pense qu'on n'a pas les mêmes créneaux. Je suis sur mon PC de 9h à 17h30.
Je vois que g3n-h@ckm@n est sur le site en ce moment, il peut peut être (sans vouloir offenser personne bien sûr) nous donner un coup de main ?
A+
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
13 févr. 2012 à 17:45
13 févr. 2012 à 17:45
Bonjour,
1. Analyse le fichier => C:\WINDOWS\system32\drivers\netbt.sys
sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle :
● Clique sur le bouton Aucun puis Analyse.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.
● Copie/colle le dans ton prochain message.
A +
1. Analyse le fichier => C:\WINDOWS\system32\drivers\netbt.sys
sur https://www.virustotal.com/gui/
Si un message te dit que le fichier à déjà été analysé, ré-analyse le
Copie-colle l'url affichée dans la barre d'adresse dans ta réponse.
tuto : Analyser un fichier avec VirusTotal
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie du bas "Personnalisation", copie/colle :
/md5start netbt.sys /md5stop
● Clique sur le bouton Aucun puis Analyse.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note.
● Copie/colle le dans ton prochain message.
A +
Bonjour,
https://www.virustotal.com/file/7932b71f98b4122be88f576bf6d745a757ae378a48924b7f4358837b75640a82/analysis/1329216339/
OTL logfile created on: 14/02/2012 11:50:58 - Run 3
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Documents and Settings\Ets Suire\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy
1,99 Gb Total Physical Memory | 0,99 Gb Available Physical Memory | 49,62% Memory free
3,84 Gb Paging File | 2,76 Gb Available in Paging File | 72,05% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 149,05 Gb Total Space | 119,99 Gb Free Space | 80,50% Space Free | Partition Type: NTFS
Drive D: | 76,32 Gb Total Space | 57,21 Gb Free Space | 74,96% Space Free | Partition Type: NTFS
Computer Name: ETS-0EADE576B07 | User Name: Ets Suire | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
[color=#E56717]========== Custom Scans ==========/color
[color=#A23BEC]< MD5 for: NETBT.SYS >/color
[2008/04/14 13:00:00 | 000,162,816 | ---- | M] () MD5=40E65C560013869F14ECEB904F15390D -- C:\Documents and Settings\Administrateur\Application Data\FixTDSS\Archive\netbt.sys
[2008/04/14 13:00:00 | 000,162,816 | ---- | M] (Microsoft Corporation) MD5=74B2B2F5BEA5E9A3DC021D685551BD3D -- C:\WINDOWS\system32\dllcache\netbt.sys
[2008/04/14 13:00:00 | 000,162,816 | ---- | M] (Microsoft Corporation) MD5=74B2B2F5BEA5E9A3DC021D685551BD3D -- C:\WINDOWS\system32\drivers\netbt.sys
< End of report >
https://www.virustotal.com/file/7932b71f98b4122be88f576bf6d745a757ae378a48924b7f4358837b75640a82/analysis/1329216339/
OTL logfile created on: 14/02/2012 11:50:58 - Run 3
OTL by OldTimer - Version 3.2.31.0 Folder = C:\Documents and Settings\Ets Suire\Bureau
Windows XP Professional Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 8.0.6001.18702)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy
1,99 Gb Total Physical Memory | 0,99 Gb Available Physical Memory | 49,62% Memory free
3,84 Gb Paging File | 2,76 Gb Available in Paging File | 72,05% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 149,05 Gb Total Space | 119,99 Gb Free Space | 80,50% Space Free | Partition Type: NTFS
Drive D: | 76,32 Gb Total Space | 57,21 Gb Free Space | 74,96% Space Free | Partition Type: NTFS
Computer Name: ETS-0EADE576B07 | User Name: Ets Suire | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: Current user
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: Off | File Age = 30 Days
[color=#E56717]========== Custom Scans ==========/color
[color=#A23BEC]< MD5 for: NETBT.SYS >/color
[2008/04/14 13:00:00 | 000,162,816 | ---- | M] () MD5=40E65C560013869F14ECEB904F15390D -- C:\Documents and Settings\Administrateur\Application Data\FixTDSS\Archive\netbt.sys
[2008/04/14 13:00:00 | 000,162,816 | ---- | M] (Microsoft Corporation) MD5=74B2B2F5BEA5E9A3DC021D685551BD3D -- C:\WINDOWS\system32\dllcache\netbt.sys
[2008/04/14 13:00:00 | 000,162,816 | ---- | M] (Microsoft Corporation) MD5=74B2B2F5BEA5E9A3DC021D685551BD3D -- C:\WINDOWS\system32\drivers\netbt.sys
< End of report >
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
Modifié par kalimusic le 14/02/2012 à 12:34
Modifié par kalimusic le 14/02/2012 à 12:34
Bonjour,
Le driver est ok, pour moi tu n'es plus infecté.
Norton trouve des infections lors des scans ?
Pour vérifier :
Supprime ta version de MbrScan.
Re-télécharge le sur ton Bureau.
Désactive Temporairement Norton
voir ici => https://forums.commentcamarche.net/forum/affich-24401172-zeroaccess-rootkit-activity-4#22
Héberge le rapport et poste le lien
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Le driver est ok, pour moi tu n'es plus infecté.
Norton trouve des infections lors des scans ?
Pour vérifier :
Supprime ta version de MbrScan.
Re-télécharge le sur ton Bureau.
Désactive Temporairement Norton
voir ici => https://forums.commentcamarche.net/forum/affich-24401172-zeroaccess-rootkit-activity-4#22
Héberge le rapport et poste le lien
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
14 févr. 2012 à 17:21
14 févr. 2012 à 17:21
re,
Relance OTL
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
Encore des soucis ?
A +
Relance OTL
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
Encore des soucis ?
A +
Bonjour,
Je suis désolée pour l'absence plus longue que prévue.
Voici le lien du rapport OTL
http://pjjoint.malekal.com/files.php?id=OTL_20120216_e6r13c8e13n13
A+
Je suis désolée pour l'absence plus longue que prévue.
Voici le lien du rapport OTL
http://pjjoint.malekal.com/files.php?id=OTL_20120216_e6r13c8e13n13
A+
kalimusic
Messages postés
14014
Date d'inscription
samedi 7 novembre 2009
Statut
Contributeur sécurité
Dernière intervention
20 novembre 2015
3 027
16 févr. 2012 à 17:30
16 févr. 2012 à 17:30
Bonjour,
Quel résultat avec les différents outils que tu as utilisés entre temps ?
A +
Quel résultat avec les différents outils que tu as utilisés entre temps ?
A +
