Rootkit atapi.sys ?
Résolu
Azazel07
Messages postés
22
Date d'inscription
Statut
Membre
Dernière intervention
-
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Je viens humblement vous demander de l'aide pour une infection que je ne parviens pas à supprimer.
En général, je parviens à me débarrasser des malwares mais là, il est coriace, rien à y faire...
config : xp sp3
Ça commence avec AVG :
Emplacement : c:\windows\system32\drivers\spdo.sys - à noter qu'au fur-et-à-mesure des suppressions, quarantaines, ce nom change... A l'origine, c'était spse.sys...
Infection : atapi.sys - importation en boucle HAL.dll READ - WRITE-PORT-USHORT spdo.sys +0x20be
Et entre 3 et 5 lignes à chaque fois, où l'hexa à la fin change
Après passage des outils, AVG trouve toujours les rootkits...
Malwarebytes ne trouve rien quant à lui
Voici le rapport Hijackthis :
https://pjjoint.malekal.com/files.php?id=HijackThis_20121016_x131312p11w14
-------------------------------------------------------------
Et le rapport Combofix (rootkit toujours présent après T_T) :
https://pjjoint.malekal.com/files.php?id=20121016_b11z5e10q8w13
Je viens humblement vous demander de l'aide pour une infection que je ne parviens pas à supprimer.
En général, je parviens à me débarrasser des malwares mais là, il est coriace, rien à y faire...
config : xp sp3
Ça commence avec AVG :
Emplacement : c:\windows\system32\drivers\spdo.sys - à noter qu'au fur-et-à-mesure des suppressions, quarantaines, ce nom change... A l'origine, c'était spse.sys...
Infection : atapi.sys - importation en boucle HAL.dll READ - WRITE-PORT-USHORT spdo.sys +0x20be
Et entre 3 et 5 lignes à chaque fois, où l'hexa à la fin change
Après passage des outils, AVG trouve toujours les rootkits...
Malwarebytes ne trouve rien quant à lui
Voici le rapport Hijackthis :
https://pjjoint.malekal.com/files.php?id=HijackThis_20121016_x131312p11w14
-------------------------------------------------------------
Et le rapport Combofix (rootkit toujours présent après T_T) :
https://pjjoint.malekal.com/files.php?id=20121016_b11z5e10q8w13
A voir également:
- Rootkit atapi.sys ?
- Rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Sophos anti rootkit - Télécharger - Antivirus & Antimalwares
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
- Panda anti-rootkit - Télécharger - Antivirus & Antimalwares
26 réponses
Je ferai tout ça ce week-end si je peux, en tout cas merci à toi.
- Ccleaner est installé, utilisé 1x par jour.
- WOT, Adblock+, installé, et à jour.
- La désactivation des points de restauration, je leur fais toujours après une infection, pour les supprimer des {restore}
- MBAM passé 1x par semaine
- Pas de P2P, ils ne savent même pas se servir des logiciels permettant de.
- Host/anti pups-adware, connaissait pas, merci !
- Je lirai tout ça dès que j'aurai le temps
- Ccleaner est installé, utilisé 1x par jour.
- WOT, Adblock+, installé, et à jour.
- La désactivation des points de restauration, je leur fais toujours après une infection, pour les supprimer des {restore}
- MBAM passé 1x par semaine
- Pas de P2P, ils ne savent même pas se servir des logiciels permettant de.
- Host/anti pups-adware, connaissait pas, merci !
- Je lirai tout ça dès que j'aurai le temps
Il n'est pas nécessaire d'utiliser CCleaner une fois par jour :-)
Sinon Heureux de t'avoir aidé
Smart
Sinon Heureux de t'avoir aidé
Smart
Rapport de ZHPFix 1.3.04 par Nicolas Coolman, Update du 30/09/2012
Fichier d'export Registre :
Run by Session principale at 21/10/2012 15:02:00
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/
========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Trymedia Systems
SUPPRIME Key: HKLM\Software\Classes\askibar.popswatterbarbutton
SUPPRIME Key: HKLM\Software\Classes\askibar.popswatterbarbutton.1
SUPPRIME Key: CLSID BHO: {0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
SUPPRIME Key: CLSID BHO: {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA}
SUPPRIME Key: HKLM\Software\McAfee.com
SUPPRIME Key: StartupReg: Adobe Reader Speed Launcher
CTFDisabledCTFMon désactivé par défaut
========== Valeur(s) du Registre ==========
SUPPRIME RunValue: RTHDCPL
SUPPRIME RunValue: nwiz
SUPPRIME RunValue: CTFMON.EXE
========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:
========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:
========== Récapitulatif ==========
8 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
End of clean in 00mn 06s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/10/2012 15:02:00 [1260]
Fichier d'export Registre :
Run by Session principale at 21/10/2012 15:02:00
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/
========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Trymedia Systems
SUPPRIME Key: HKLM\Software\Classes\askibar.popswatterbarbutton
SUPPRIME Key: HKLM\Software\Classes\askibar.popswatterbarbutton.1
SUPPRIME Key: CLSID BHO: {0F6E720A-1A6B-40E1-A294-1D4D19F156C8}
SUPPRIME Key: CLSID BHO: {31332EEF-CB9F-458F-AFEB-D30E9A66B6BA}
SUPPRIME Key: HKLM\Software\McAfee.com
SUPPRIME Key: StartupReg: Adobe Reader Speed Launcher
CTFDisabledCTFMon désactivé par défaut
========== Valeur(s) du Registre ==========
SUPPRIME RunValue: RTHDCPL
SUPPRIME RunValue: nwiz
SUPPRIME RunValue: CTFMON.EXE
========== Dossier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:
========== Fichier(s) ==========
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:
========== Récapitulatif ==========
8 : Clé(s) du Registre
3 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)
End of clean in 00mn 06s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/10/2012 15:02:00 [1260]
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question