Rootik "Boucle IRP"

[Résolu/Fermé]
Signaler
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016
-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,


Il y a quelques mois, le bouclier résident d'AVG Free a bloqué une attaque de mon ordinateur de bureau par le virus Luke Fiha.B et l'a mis en quarantaine.

Le rapport disait ceci : Nom de la menace: Virus Luke Fiha.B ; Objet: C:\ProgramFiles\myie.exe; Processus : C\\Windows\Explorer.exe

Suite à ça, ma connexion Internet a coupé, alors j'ai restauré le fichier, et j'ai récupéré Internet. Ensuite, j'ai passé CCleaner pour un nettoyage et j'ai fait une analyse complète avec AVG Free 9 : bizarrement, il n'y avait plus de menaces.

Je décide alors d'installer la dernière version d'AVG Free et de refaire un scan complet. Et là, il détecte 19 menaces par Boucle IRP. Ne sachant pas comment exporter le rapport à ce moment-là , et vu l'heure tardive, j'éteins l'ordinateur. Il me semble que j'avais toujours la connexion sans fil.


Analyse complète
Gravité moyenne;"19";"0";"19"
Vérifié :;"Analyse complète"
Démarré :;"24/08/2015, 16:25:51"
Achevé :;"24/08/2015, 17:09:15"
Nombre d'éléments :;"51306"
Initié par :;"Simon"

Nom;"Description";"Statut";"Statut";"Priorité"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_SYSTEM_CONTROL -> CLASSPNP.SYS ClassInitialize+0x666";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_INTERNAL_DEVICE_CONTROL -> CLASSPNP.SYS ClassInternalIoControl";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_DEVICE_CONTROL -> CLASSPNP.SYS ClassIoComplete+0x1C8";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_PNP -> CLASSPNP.SYS ClassDebugPrint+0x6FB";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_INTERNAL_DEVICE_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2E38";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\intelide.sys IRP_MJ_INTERNAL_DEVICE_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2E38";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_FLUSH_BUFFERS -> CLASSPNP.SYS ClassIoComplete+0xEF";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_SYSTEM_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2DB4";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\intelide.sys IRP_MJ_POWER -> PCIIDEX.SYS +0x692";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_POWER -> CLASSPNP.SYS ClassForwardIrpSynchronous+0xD8";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_CREATE -> CLASSPNP.SYS ClassDebugPrint+0x618";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\intelide.sys IRP_MJ_PNP -> PCIIDEX.SYS PciIdeXDebugPrint+0x2D80";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\intelide.sys IRP_MJ_SYSTEM_CONTROL -> PCIIDEX.SYS PciIdeXDebugPrint+0x2DB4";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_WRITE -> CLASSPNP.SYS ClassCompleteRequest+0x13C";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_READ -> CLASSPNP.SYS ClassCompleteRequest+0x13C";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_POWER -> PCIIDEX.SYS +0x692";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_SHUTDOWN -> CLASSPNP.SYS ClassIoComplete+0xEF";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\CLASSPNP.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\disk.sys IRP_MJ_CLOSE -> CLASSPNP.SYS ClassDebugPrint+0x618";"Non résolu";"Non résolu";"Moyen"

C:\WINDOWS\system32\DRIVERS\PCIIDEX.SYS;"Boucle IRP, C:\WINDOWS\System32\drivers\pciide.sys IRP_MJ_PNP -> PCIIDEX.SYS PciIdeXDebugPrint+0x2D80";"Non résolu";"Non résolu";"Moyen"


Quelques jours plus tard, ayant trouvé les infos pour exporter le rapport, je rallume mon ordinateur et là, je constate que je n'avais plus de connexion. J'ai cliqué sur "réparer", mais ça n'a pas fonctionné . Un message disait que Windows n'a pas pu réparer le problème car la carte réseau n'a pas pu être désactivée. Et Windows demande de vérifier si la carte réseau a été installée correctement

Voilà, c'était long, mais j'ai mis toutes les informations en ma possession.


9 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225
Salut,

Rien de probant, pour vérifier l'ordinateur :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjjoint.malekal.com/ et en retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.

Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

Bonsoir,

J'ai vérifié la configuration de mes pc.

L'ordinateur que j'utilise pour poster est de type x64 / 64 bits , et l'ordinateur de bureau à réparer est de type x86 / 32 bits.

En toute logique, même si la configuration est différente, je suppose que je dois télécharger la version 32 bits. Ensuite, vu que je n'ai plus de connexion internet sur le 2°pc, je passe par une clé usb pour mettre FRST sur le bureau du 2° pc. C'est bien ça?
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225
Au pire essaye les deux, l'un des deux fonctionnera.
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225
Ca semble correct =)
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

OK, c'est déjà une bonne chose. Je peux vider la quarantaine AVG, alors?

Cela dit, je n'ai toujours plus de connexion sans fil sur le pc (soi-disant?) attaqué par le rootik...
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225
oui vas y =)
Pour la connexion, ça peut venir de n'importe quoi, surtout si tu as supprimé des trucs qu'il ne fallait pas.
Ca fait quoi exactement ?
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

Bonsoir,

Je ne comprends toujours pas ce qui a pu se passer. Je n'ai rien supprimé qui puisse expliquer le problème. Même avant de vider une quarantaine, je demande un avis sur un forum d'entraide informatique.

Ma quarantaine AVG est vide depuis le jour du scan. Je pensais que suite à l'analyse complète (voir le tout début du sujet), AVG y avait mis les menaces à l'abri, mais non.

En fait, sur la page du rapport de scan, il y a un onglet "récapitulatif", et ça ouvre le résumé du scan : 19 menaces détectées. Certaines menaces n'ont pas pu être supprimées. Il y a aussi un cadre : "Vérifier et appliquer une action."

Quand je clique sur ce cadre, la liste des détections s'affiche avec 3 boutons : détails - supprimer l'objet sélectionné - tout supprimer.

C'est peut-être dans cette fenêtre que se trouve la solution...

En tout cas, je peux affirmer que la connexion sans fil fonctionnait avant le scan car j'avais mis à jour AVG et Malwarebytes un peu avant. Après, je ne suis pas certaine. Vu qu'il y avait des menaces détectées, je n'ai plus osé utiliser cet ordinateur pour aller sur Internet .

Quand je l'ai rallumé 2 semaines après pour exporter le rapport, la connexion sans fil ne fonctionnait plus et elle ne fonctionne toujours pas. Comme l'ordinateur fonctionnait à l'heure du scan programmé d'AVG, j'ai un autre rapport, identique au précédent: 19 menaces par le rootik Boucle IRP.

Chaque fois que j'utilise l'ordinateur de bureau, j'ai ce message qui s'affiche :
Impossible de se connecter au réseau sans fil. Windows n'a pas pu se connecter au réseau Mobistar-4008. Windows va continuer à essayer de vous connecter. Pour afficher les possibilités de résolution de ce problème, cliquez sur ce message.

Je clique donc, et une nouvelle fenêtre s'ouvre. Il est écrit : Windows n'a pas pu se connecter à ce réseau. Pour relancer la connexion et de tenter de rétablir une connectivité, cliquez sur "réparer ".

J'ai cliqué sur "réparer", mais ça n'a pas fonctionné . Un message disait que Windows n'a pas pu réparer le problème car la carte réseau n'a pas pu être désactivée. Et Windows demande de vérifier si la carte réseau a été installée correctement .


Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225
On ne sait pas ce qu'AVG a supprimé comme fichiers dans tes 13 détections.
Faut pas toucher aux .sys qu'il détecte.

Après s'il émet des alertes et bloque des trucs, ça peut poser des problèmes de connexion.

Tu devrais essayer en mode sans échec avec prise en charge du réseau.
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

J'ai démarré le pc en mode sans échec avec prise en charge du réseau, et je n'ai pas réussi à me connecter à Internet.

Pour en revenir à AVG et mon problème de rootik, je suis allée dans l'historique des analyses pour voir ce que le programme a fait exactement. Chaque fois qu'AVG analyse le pc, il y a une icône de couleur à côté la date du scan, avec le type d'analyse effectuée, le nombre de menaces trouvées/supprimées/non supprimées.

Pour le scan du 24/08 où le rootik a été détecté, l'icône affichée signifie qu'une ou plusieurs menaces ont été détectées mais qu'elles n'ont pas été supprimées (confirmant ainsi le résultat de l'analyse ). J'ai même trouvé un rapport d'analyse programmée datant du 5/2 dernier avec le même résultat: 19 menaces trouvées et 19 menaces NON SUPPRIMÉES (fichiers système auxquels il ne faut pas toucher, d'après ce que tu disais dans te dernière réponse)

Donc, il semble qu'aucun fichier n'ait été supprimé suite à l'analyse du 24/08.
Et voici ce que j'ai trouvé dans l'aide AVG :

Certains systèmes malveillants avancés sont capables d'infecter les fichiers système (les fichiers nécessaires au bon fonctionnement du système d'exploitation). AVG conserve une liste interne de ces fichiers et est généralement capable de les réparer. Cependant, si cela s'avère impossible (par exemple si l'intégralité d'un fichier système a été remplacé par un fichier malveillant), AVG ne peut pas simplement supprimer le fichier car cela risque d'endommager votre système d'exploitation.

Dans ces cas-là, malheureusement, le problème ne peut pas être résolu facilement et de manière automatique. Vous devrez utiliser un outil particulier pour restaurer le fichier système.


Le stress serait moins difficile à supporter s'il était enrobé de chocolat. 
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225
Tu ne donnes toujours pas le nom des fichiers détectés :/

J'ai un peu l'impression que des fichiers utiles ont été supprimés...
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

Le nom des fichiers se trouve dans mon premier message. C'est le rapport de scan du 24/8 que j'avais fini par pouvoir exporter après quelques recherches... mon message sur le forum AVG n'ayant jamais reçu de réponse.

Veux-tu aussi une copie du rapport d'analyse programmée du 5/2 ou c'est inutile ? Je sais que c'est le même résumé, mais je n'ai pas comparé les rapports. 19 menaces trouvées/0 supprimées/19 non supprimées .

Mis à part ce problème de connexion Internet et ce rootik, l'ordinateur semble tourner normalement.

Le stress serait moins difficile à supporter s'il était enrobé de chocolat. 
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225
ok si ces fichiers ont été supprimés, c'est normal que Windows ait des dysfonctionnements.
En plus c'est un Windows XP, donc je pense que ça va être difficile de remettre d'applomb.

Tu peux tenter une restauration du système :
Touche Windows + R
tape rstrui.exe
et OK.

Essaye de restaurer avant la mise en quarantaine de tous les fichiers.
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

Bonjour, il y a du nouveau depuis la dernière fois. J'ai pu rétablir la connexion.

J'ai comparé les résultats des 2 scans AVG en rapport avec le rootik détecté. Les menaces détectées sont les mêmes. Et elles n'ont PAS été supprimées.

En cherchant le dernier rapport, j'ai vu qu'AVG avait scanné le pc le 1er mars alors que j'utilisais le pc.Et là, il n'y avait aucune menace détectée, alors qu'on n'avait touché à rien en attendant que je tente une restauration du système. J'ai refait un scan pour vérifier, et tout était ok.

J'ai aussi vérifié les paramètres d'analyse: en cas de menace, AVG désinfecte/supprime les menaces sans le demander à l'utilisateur. Il les met en quarantaine?La question sera systématiquement posée pour les rootiks. (A noter que ce paramètre est coché par défaut et qu'on peut le décocher)

J'ai aussi réussi à résoudre le problème de connexion en refaisant la procédure de connexion avec le cd d'installation du modem. En fait, avant d'introduire la clé de sécurité, je devais d'abord appuyer sur le bouton wi-fi du modem pour faire l'association entre mon PC de bureau et le modem car la connexion se fait avec un adaptateur sans fil.

Après, j'ai mis AVG à jour et refait un scan complet: tout est bon. J'ai même installé Chrome et Adblock plus.
Maintenant, je vais attendre un jour ou deux pour voir comment se comporte le pc, puis on verra pour mettre le sujet en résolu.

Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

Bonsoir,

Désolée de ne répondre qu'aujourd'hui, mais je n'ai pas eu beaucoup de temps pour aller sur Internet depuis que j'ai posté la dernière fois.

La connexion est toujours disponible et le scan AVG de ce soir n'a détecté aucune menace. Bonnes nouvelles donc pour le sujet principal.

Par contre, la semaine dernière, Malewarebytes a détecté 3 PUP (voir le rapport plus bas) Je les ai mis en quarantaine car, par défaut, en cas de PUP détectés, le programme avertit l'utilisateur et n'entreprend aucune action. Mais on peut changer la configuration et, soit demander à Malewarebytes qu'il les ignore, soit qu'il les traite comme des programmes malveillants et qu'il les mette alors en quarantaine. Je préfère la dernière option et venir demander conseil sur un forum d'entraide. ;o) Que me conseilles-tu comme configuration ?

Une dernière chose : mon pc est assez lent; il aurait besoin d'un bon nettoyage pour retrouver sa vitalité. Il y a quelques années, j'avais utilisé un programme pour ça sur mon ancien pc portable, mais je ne me souviens plus duquel.

Un grand merci pour toute l'aide que tu m'as déjà apportée. Voilà le rapport de Malewarebytes :

Date de l'analyse: 12/04/2016
Heure de l'analyse: 18:55:01
Fichier journal: Analyse 2 Malewarebytes 12-04-2016.txt
Administrateur: Oui

Version: 2.2.1.1043
Base de données de programmes malveillants: v2016.04.12.06
Base de données de rootkits: v2016.04.09.01
Licence: Gratuit
Protection contre les programmes malveillants: Désactivé
Protection contre les sites Web malveillants: Désactivé
Autoprotection: Désactivé

Système d'exploitation: Windows XP Service Pack 3
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Simon

Type d'analyse: Analyse des menaces
Résultat: Terminé
Objets analysés: 327522
Temps écoulé: 27 min, 50 s

Mémoire: Activé
Démarrage: Activé
Système de fichiers: Activé
Archives: Activé
Rootkits: Activé
Heuristique: Activé
PUP: Avertir
PUM: Activé

Processus: 0
(Aucun élément malveillant détecté)

Modules: 0
(Aucun élément malveillant détecté)

Clés du Registre: 3
PUP.Optional.Blabbers, HKU\S-1-5-21-1078081533-287218729-682003330-1003\SOFTWARE\bbrs_002.tb, En quarantaine, [eb0b307da0f990a619ad66edf0140ff1],
PUP.Optional.Blabbers, HKU\S-1-5-21-1078081533-287218729-682003330-1003\SOFTWARE\Blabbers, En quarantaine, [e115733a57425dd9d8ef7ad91be9b050],
PUP.Optional.Blabbers, HKU\S-1-5-21-1078081533-287218729-682003330-1003\SOFTWARE\Blabbers , En quarantaine, [e4127d30c9d0ec4aab1ccb882adacc34],

Valeurs du Registre: 0
(Aucun élément malveillant détecté)

Données du Registre: 0
(Aucun élément malveillant détecté)

Dossiers: 0
(Aucun élément malveillant détecté)

Fichiers: 0
(Aucun élément malveillant détecté)

Secteurs physiques: 0
(Aucun élément malveillant détecté)

(end)
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 225 >
Messages postés
12
Date d'inscription
samedi 5 mars 2016
Statut
Membre
Dernière intervention
20 avril 2016

Ce n'est rien de grave, 3 clefs dans le registre Windows.