Virus 0i763f66bz.exe

Résolu
Lyacos Messages postés 108 Statut Membre -  
Lyacos Messages postés 108 Statut Membre -
Bonsoir,

J'ai eu un virus assez chiant mais pas dangereux (du moins je le pense) qui faisait que PC Cillin m'alertait tout les deux minutes. Dans le gestionnaires des tâches dans processus j'ai 0i763f66bz.exe et j'avais dans ' C ' ce fichier qui n'existe plus à présent. Après avoir essayer TDSSKLLER, Sophos, Roguekiller et en dernier ComboFix mon antivirus ne m'alerte plus. Par contre dans le processus comme j'ai dit 0i763f66bz.exe est toujours présent et impossible de l'arrêter. Je ne sais pas quoi faire et je ne sais même pas si il est hors d'état de nuire. Je post quand même le rapport de ComboFix.

https://pjjoint.malekal.com/files.php?id=20120711_j5t14t9z11d6

Donc comment l'enlever définitivement ?

114 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Un rootkit sous Windows 7 déclenchait des alertes antivirus répétées et exploitait le fichier 0i763f66bz.exe, présent dans les processus et lié à plusieurs pilotes cachés via des clés de registre Legacy. La solution recommandée consiste à utiliser Avenger en mode sans échec pour désactiver et supprimer les pilotes Legacy, supprimer les fichiers système et effacer les clés de registre associées. En parallèle, plusieurs outils, notamment TDSSKiller et Sophos, ont été essayés sans élimination durable, et des analyses avec GMER et regedit ont été explorées pour localiser les entrées restantes. Des rapports ultérieurs signalent que l'exécutable persiste dans certains emplacements et que la réinstallation de l'antivirus nécessite un redémarrage, soulignant la nécessité d'un nettoyage en profondeur et d'un nouveau démarrage.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    ok j'ai du nouveau j'ai vu dans ce rapport qu'en fait le rootkit se sert de 4 pilotes :

    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51B01DB6AC10F3FF] - (LegacyDriver) : 51b01db6ac10f3ff -> 0i763f66bz.exe
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492] - (LegacyDriver) : 7492 -> 0i763f66bz.exe
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82B1D161DD12A77A] - (LegacyDriver) : 82b1d161dd12a77a -> 0i763f66bz.exe
    [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8F15] - (LegacyDriver) : 8f15 -> 0i763f66bz.exe

    l'un doit reinstaller l'autre je pense...

    on va la jouer comme ca

    refais un avenger avec ceci :

    Drivers to disable:
    51b01db6ac10f3ff
    7492
    82b1d161dd12a77a
    8f15

    Drivers to Delete:
    51b01db6ac10f3ff
    7492
    82b1d161dd12a77a
    8f15

    Files to Delete:
    C:\Windows\System32\Drivers\51b01db6ac10f3ff.sys

    Registry keys to delete:
    HKCR\CLSID\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    HKLM\System\CurrentControlSet\Services\51b01db6ac10f3ff
    HKLM\System\ControlSet001\Services\51b01db6ac10f3ff
    HKLM\System\ControlSet002\Services\51b01db6ac10f3ff
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_51b01db6ac10f3ff
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_51b01db6ac10f3ff
    HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_51b01db6ac10f3ff
    HKLM\System\CurrentControlSet\Services\7492
    HKLM\System\ControlSet001\Services\7492
    HKLM\System\ControlSet002\Services\7492
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_7492
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_7492
    HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_7492
    HKLM\System\CurrentControlSet\Services\82b1d161dd12a77a
    HKLM\System\ControlSet001\Services\82b1d161dd12a77a
    HKLM\System\ControlSet002\Services\82b1d161dd12a77a
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_82b1d161dd12a77a
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_82b1d161dd12a77a
    HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_82b1d161dd12a77a
    HKLM\System\CurrentControlSet\Services\8f15
    HKLM\System\ControlSet001\Services\8f15
    HKLM\System\ControlSet002\Services\8f15
    HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_8f15
    HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_8f15
    HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_8f15


    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
  2. g3n-h@ckm@n
     
    salut

    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  3. g3n-h@ckm@n
     
    il est pas complet relance l'outil en mode sans echec
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    il y a une sandbox dans ton trend micro titanuim machine chose là ?
    0
  6. Lyacos Messages postés 108 Statut Membre 16
     
    Non pas à ma connaissance, j'ai regardé dans les options et rien qui l'indique en tout cas.

    Enfin d'après un lien peut être (sérieusement je ne sais pas):

    http://www.ctoedge.com/content/trend-micro-launches-real-time-threat-manager

    The good news is that active malware leaves traces, says Glessner. Once identified, malware can then be run in a sandbox environment with the Trend Micro threat management system to identify the scope of the potential threat.
    0
  7. Lyacos Messages postés 108 Statut Membre 16
     
    Si je désinstalle je fais quoi après ?

    Je serais sans protection, tu peux me dire à quoi tu penses en me demandant ceci ?
    0
  8. g3n-h@ckm@n
     
    pour ce qu'il te protege....la preuve...

    je pense qu'il nous gene pour la desinfection....

    toutes facons si tu l'as payé tu t'es bien fait avoir parce que c'est une belle merde
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  9. Lyacos Messages postés 108 Statut Membre 16
     
    Ben justement jusqu'à maintenant j'ai jamais eu de problème, aucun n'est infaillible ^^, mais concrètement une fois désinstaller c'est quoi la suite ?
    0
  10. Lyacos Messages postés 108 Statut Membre 16
     
    Bon j'ai désinstallé mon antivirus, j'ai relancé combofix en ayant renommer ce dernier et à la fin il m'avait dit qu'il avait supprimé. Sauf qu'au redémarrage dans le rapport il me marque:

    c:\users\Lyacos\0i763f66bz.exe . . . . impossible à supprimer

    Par contre dans le processus j'ai vu une description de ce fichier c'est Quartermasters. Quand je me connecte en ligne la description est vide. Je ne sais pas si c'est important mais je le précise tout de même. Je peux aussi cette fois arrêter le processus (quand j'étais pas en ligne) mais au reboot il revient. Par contre en ligne impossible de l'arrêter.
    0
  11. g3n-h@ckm@n
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    ClearJavaCache::

    Rootkit::
    c:\users\Lyacos\0i763f66bz.exe
    c:\windows\System32\Drivers\51b01db6ac10f3ff.sys

    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "0i763f66bz"=-

    Driver::
    51b01db6ac10f3ff

    RegLock::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]


    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  12. Lyacos Messages postés 108 Statut Membre 16
     
    https://pjjoint.malekal.com/files.php?id=20120711_c15j10c13q6x7

    Dans le rapport je vois encore ' impossible à supprimer ' pourtant dans le processus il n'apparait plus, c'est bon tu crois ?

    Dans c:\users\Lyacos\ je vois que l'exe à une tête de tigrou (j'ai pas cliqué dessus je précise ^^).

    EDIT: impossible de réinstaller mon antivirus, il me dit :

    Redémarrage requis

    "Vous devez redémarrer l'ordinateur pour que certaines modifications du système soient prises en compte avant l'installation du logiciel"

    Et quand je fais redémarrer maintenant ben au redémarrage il me redemande toujours la même chose, bizarre...
    0
  13. g3n-h@ckm@n
     
    soit tu t'es trompé de rapport , soit tu t'es trompé de logiciel
    0
  14. Lyacos Messages postés 108 Statut Membre 16
     
    Comme hier j'ai pris ComboFix que j'ai renommé et j'ai refais en mode sans échec et j'ai pris le dernier rapport disponible.
    0
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6