Rootkit WINDOWS\system32Résolu/Fermé

Question

Bonjour,

Je n'arrive pas à me débarrasser d'un virus sur mon ordi :

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\pbdaa.sys (Rootkit.Agent) -> No action taken.

Est-ce que quelqu'un sait comment faire ?

Merci d'avance.

Destrio5 · Answer

Bonjour,

--> Télécharge OTL (de OldTimer) sur ton Bureau.
--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Une fenêtre apparaît. Dans la section Output en haut de cette fenêtre, coche Minimal Output.
--> Coche également les cases à côté de LOP Check et Purity Check.
--> Enfin, clique sur le bouton Run Scan. Le scan ne prendra pas beaucoup de temps.
--> Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

Pour me transmettre les rapports :
--> Clique sur ce lien : http://www.cijoint.fr/
--> Clique sur Parcourir... et cherche le fichier du rapport que tu souhaites me transmettre.
--> Clique sur Ouvrir.
--> Clique sur Cliquez ici pour déposer le fichier.
--> Un lien de cette forme, hxxp://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt, est ajouté dans la page.
--> Copie-colle ce lien dans ta réponse.

lau · Answer

Voila les 2 liens suite au scan : 

http://www.cijoint.fr/cjlink.php?file=cj201003/cijwwIrJ0H.txt

http://www.cijoint.fr/cjlink.php?file=cj201003/cijCLK0vwT.txt

Destrio5 · Answer

Norton est censé être désinstallé ?

lau · Answer

Oui, je l'est arrêté hier et remplacé par Avira, car des centaines de fenêtres "Proxy de messagerie Symantec" s'ouvrait sans arrêt (à cause du virus je pense ?).

Destrio5 · Answer

--> Supprime les traces de Norton avec ceci. 

--> Refais un scan OTL et poste le rapport OTL.

lau · Answer

J'ai supprimer les traces de Norton.
Voila le lien du rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201003/cijnc4V9T1.txt

Destrio5 · Answer

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
--> Sous l'onglet Custom Scans/Fixes en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :




:OTL
SRV - (Planificateur LiveUpdate automatique) --  File not found
DRV - (rk_remover-boot) -- C:\WINDOWS\system32\driversk_remover.sys (eSage Lab)     
[2010/03/18 21:51:07 | 000,050,176 | ---- | C] (eSage Lab) -- C:\WINDOWS\System32\driversk_remover.sys     
[2010/03/19 18:24:12 | 000,802,304 | ---- | M] () -- C:\WINDOWS\System32\drivers\pbdaa.sys     
[2010/03/18 23:06:14 | 000,155,752 | ---- | M] () -- C:\Documents and Settings\laur\Bureau	dsskiller.zip     
[2010/03/18 21:47:03 | 000,508,495 | ---- | M] () -- C:\Documents and Settings\laur\Bureau	dss_remover_latest.rar     
[2010/03/11 17:14:10 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\NetworkService\Application Databuwzv.dat     

:commands
[emptytemp]
[reboot]




--> Puis clique sur le bouton Run Fix en haut de la fenêtre.
--> Laisse le programme travailler, redémarre une fois le fix terminé.
--> Poste le rapport qui s'affichera après redémarrage.

lau · Answer

Voila le rapport :

All processes killed
========== OTL ==========
Service Planificateur LiveUpdate automatique stopped successfully!
Service Planificateur LiveUpdate automatique deleted successfully!
File  File not found not found.
Error: Unable to stop service rk_remover-boot!
Registry key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servicesk_remover-boot deleted successfully.
C:\WINDOWS\system32\driversk_remover.sys moved successfully.
File C:\WINDOWS\System32\driversk_remover.sys not found.
File move failed. C:\WINDOWS\system32\drivers\pbdaa.sys scheduled to be moved on reboot.
C:\Documents and Settings\laur\Bureau	dsskiller.zip moved successfully.
C:\Documents and Settings\laur\Bureau	dss_remover_latest.rar moved successfully.
C:\Documents and Settings\NetworkService\Application Databuwzv.dat moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: Administrateur
->Temp folder emptied: 0 bytes
 
User: All Users
 
User: Default User
->Temp folder emptied: 0 bytes
 
User: laur
->Temp folder emptied: 21387728 bytes
->Temporary Internet Files folder emptied: 26886787 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 434 bytes
 
User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: NetworkService
->Temp folder emptied: 0 bytes
 
User: postgresuser
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 647701 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 116626 bytes
 
Total Files Cleaned = 47,00 mb
 
 
OTL by OldTimer - Version 3.1.37.3 log created on 03192010_183414

Files\Folders moved on Reboot...
File move failed. C:\WINDOWS\system32\drivers\pbdaa.sys scheduled to be moved on reboot.

Registry entries deleted on Reboot...

Destrio5 · Answer

--> Télécharge The Avenger sur ton Bureau.
--> Dézippe le fichier avenger.zip (Clique droit > Extraire).
--> Ferme toutes les fenêtres et toutes les applications en cours.
--> Double-clique sur l'icône avenger (Icône avec l'épée) pour le lancer.
(Sous Vista/Win7, il faut cliquer droit sur avenger et choisir Exécuter en tant qu'administrateur)
--> Clique sur OK pour accepter les termes d'utilisation.
--> Une fois le programme lancé, verifie bien que :
- La case "Scan For RootKit" soit cochée.
- La case "Automatically disable any rootkits found" ne soit pas cochée.
--> Copie (Ctrl+C) le texte suivant ci-dessous :




Files to delete:
C:\WINDOWS\system32\drivers\pbdaa.sys




--> Colle (Ctrl+V) le texte précédemment copié dans la partie Input script here:.
--> Clique sur Execute pour lancer le scan.
--> Répondre Oui aux questions posées.
--> The Avenger a désormais besoin de redémarrer votre PC, clique sur Oui.
Ton PC redémarrera alors automatiquement.
--> Au redémarrage, le rapport de The Avenger s'ouvrira automatiquement, poste-le (C:\avenger.txt).

lau · Answer

Le rapport avenger :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "C:\WINDOWS\system32\drivers\pbdaa.sys"
Deletion of file "C:\WINDOWS\system32\drivers\pbdaa.sys" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Completed script processing.

*******************

Finished!  Terminate.

Destrio5 · Answer

Il faudrait que tu essaies cette manip' en mode sans échec.

lau · Answer

Le rapport après la manip en mode sans echec :

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  could not open file "C:\WINDOWS\system32\drivers\pbdaa.sys"
Deletion of file "C:\WINDOWS\system32\drivers\pbdaa.sys" failed!
Status: 0xc0000001 (STATUS_UNSUCCESSFUL)


Completed script processing.

*******************

Finished!  Terminate.

Destrio5 · Answer

Il est collant ce fichier.

/!\ Désactive tes protections résidentes (Antivirus, etc...) /!\

--> Télécharge ComboFix (de sUBs) sur ton Bureau.
--> Double-clique sur ComboFix.exe (le .exe n'est pas forcément visible) afin de le lancer.
--> Il va te demander d'installer la console de récupération : accepte.
--> Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Pour t'aider : Un guide et un tutoriel sur l'utilisation de ComboFix

lau · Answer

Le rapport :

ComboFix 10-03-19.01 - laur 19/03/2010  19:14:03.1.2 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1014.593 [GMT 1:00]
Lancé depuis: c:\documents and settings\laur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Thumbs.db

.
(((((((((((((((((((((((((((((   Fichiers créés du 2010-02-19 au 2010-03-19  ))))))))))))))))))))))))))))))))))))
.

2010-03-19 17:34 . 2010-03-19 17:34	--------	d-----w-	C:\_OTL
2010-03-18 21:35 . 2010-03-18 21:35	--------	d-----w-	C:\_OTM
2010-03-18 21:09 . 2010-03-18 21:09	--------	d-----w-	c:\program files	rend micro
2010-03-18 21:09 . 2010-03-18 21:09	--------	d-----w-	C:sit
2010-03-18 19:22 . 2010-03-18 19:22	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-03-18 19:22 . 2010-03-18 19:22	--------	d-sh--w-	c:\documents and settings\LocalService\IETldCache
2010-03-18 18:16 . 2010-03-18 21:46	56816	----a-w-	c:\windows\system32\drivers\avgntflt.sys
2010-03-18 18:16 . 2009-03-30 09:32	96104	----a-w-	c:\windows\system32\drivers\avipbb.sys
2010-03-18 18:16 . 2009-02-13 11:28	22360	----a-w-	c:\windows\system32\drivers\avgntmgr.sys
2010-03-18 18:16 . 2009-02-13 11:17	45416	----a-w-	c:\windows\system32\drivers\avgntdd.sys
2010-03-18 18:16 . 2010-03-18 18:16	--------	d-----w-	c:\program files\Avira
2010-03-18 18:16 . 2010-03-18 18:16	--------	d-----w-	c:\documents and settings\All Users\Application Data\Avira
2010-03-18 17:48 . 2010-03-18 17:48	--------	d-----w-	c:\documents and settings\laur\Local Settings\Application Data\Threat Expert
2010-03-18 17:02 . 2010-03-18 20:31	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-03-18 16:16 . 2007-01-18 12:00	3968	----a-w-	c:\windows\system32\drivers\AvgArCln.sys
2010-03-12 19:03 . 2010-03-18 14:02	--------	d-----w-	c:\windows\BDOSCAN8
2010-03-12 18:39 . 2010-03-12 18:39	--------	d-----w-	c:\documents and settings\laur\Application Data\Malwarebytes
2010-03-12 18:39 . 2010-01-07 15:07	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-03-12 18:39 . 2010-03-12 18:39	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-03-12 18:39 . 2010-03-12 18:39	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-03-12 18:39 . 2010-01-07 15:07	19160	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-03-12 18:14 . 2010-03-12 18:14	--------	d-----w-	c:\program files\Enigma Software Group
2010-03-12 12:37 . 2010-03-12 12:37	5115824	----a-w-	C:\mbam-setup.exe
2010-03-12 12:30 . 2010-03-12 12:30	--------	d-----w-	c:\windows\HR07FOW4DLU2AIQY
2010-03-11 16:14 . 2010-03-19 18:18	802304	----a-w-	c:\windows\system32\drivers\pbdaa.sys
2010-03-11 16:14 . 2010-03-11 16:14	--------	d-sh--w-	c:\windows\system32\config\systemprofile\Temporary Internet Files
2010-03-11 16:14 . 2010-03-11 16:14	--------	d-sh--w-	c:\windows\system32\config\systemprofile\Historique
2010-03-11 05:21 . 2009-10-23 15:28	3558912	------w-	c:\windows\system32\dllcache\moviemk.exe
2010-03-05 17:48 . 2010-03-05 17:48	18953	----a-w-	C:\Fringe_2x04_720p HDTV.SiTV.fr.zip
2010-03-05 17:47 . 2010-03-05 17:47	23168	----a-w-	C:\Fringe_2x03_HDTV.XII.fr.zip
2010-03-05 17:47 . 2010-03-05 17:47	14892	----a-w-	C:\Fringe_2x02_HDTV.fr.zip
2010-02-27 13:44 . 2010-02-27 13:44	15799	----a-w-	C:\Fringe_2x01_720p HDTV.SiTV.fr.zip
2010-02-26 19:01 . 2010-03-18 14:07	--------	d-----w-	c:\documents and settings\laur\Local Settings\Application Data\Temp
2010-02-24 11:31 . 2010-02-12 10:03	293376	------w-	c:\windows\system32\browserchoice.exe

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-19 17:19 . 2006-12-28 14:29	--------	d-----w-	c:\program files\Symantec
2010-03-19 17:17 . 2006-09-13 00:04	--------	d-----w-	c:\documents and settings\All Users\Application Data\Symantec
2010-03-19 17:17 . 2006-09-13 00:04	--------	d-----w-	c:\program files\Fichiers communs\Symantec Shared
2010-03-19 17:14 . 2006-12-28 14:29	--------	d-----w-	c:\program files\Symantec AntiVirus
2010-03-18 19:13 . 2007-10-01 19:56	--------	d-----w-	c:\documents and settings\laur\Application Data\Microgaming
2010-03-15 20:06 . 2009-12-25 17:22	--------	d-----w-	c:\program files\Full Tilt Poker
2010-03-04 15:42 . 2010-02-06 11:20	25138570	----a-w-	C:\FullTiltSetup.exe
2010-02-23 18:51 . 2006-12-29 16:46	--------	d-----w-	c:\program files\WinamaxPoker
2010-02-22 00:15 . 2006-12-19 21:03	--------	d-----w-	c:\program files\PokerStars
2010-02-18 16:02 . 2006-11-30 16:38	--------	d-----w-	c:\documents and settings\laur\Application Data\uTorrent
2010-02-05 18:56 . 2006-09-13 00:28	--------	d-----w-	c:\program files\Google
2010-02-02 18:42 . 2010-02-02 18:42	86576	----a-w-	c:\documents and settings\laur\Application Data\Microsoft\Services Windows Live\Raccourci Galerie de Photos Windows Live.exe
2010-02-02 18:42 . 2010-02-02 18:42	392728	----a-w-	c:\documents and settings\laur\Application Data\Microsoft\Services Windows Live\Services Windows Live.dll
2010-02-02 18:42 . 2010-02-02 18:42	132672	----a-w-	c:\documents and settings\laur\Application Data\Microsoft\Services Windows Live\Raccourci Windows Live Messenger.exe
2010-02-02 18:42 . 2010-02-02 18:42	20364160	----a-w-	C:\installation_ie8-xp.exe
2010-01-21 12:08 . 2009-09-20 15:42	--------	d-----w-	c:\program files\Microsoft Silverlight
2010-01-19 07:31 . 2006-06-29 09:24	88436	----a-w-	c:\windows\system32\perfc00C.dat
2010-01-19 07:31 . 2006-06-29 09:24	522700	----a-w-	c:\windows\system32\perfh00C.dat
2009-12-31 16:50 . 2005-05-10 08:17	353792	----a-w-	c:\windows\system32\drivers\srv.sys
2009-12-21 19:07 . 2006-03-25 04:00	916480	----a-w-	c:\windows\system32\wininet.dll
2009-10-17 20:12 . 2009-10-17 20:12	13736254	----a-w-	c:\program files\HmBetaUpdate.exe
2009-10-17 19:17 . 2009-10-17 19:17	13252067	----a-w-	c:\program files\holdemmanager.zip
2008-01-28 18:47 . 2008-01-28 18:47	463720	----a-w-	c:\program files\NetInstallPokerRoom.exe
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-20 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\MsnMsgr.Exe" [2009-07-26 3883856]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-22 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-22 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-22 118784]
"MsmqIntCert"="mqrt.dll" [2008-04-14 177152]
"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 61952]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-06-17 794713]
"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400]
"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]
"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-06-19 40960]
"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]
"Reminder"="c:\windows\CREATOR\Remind_XP.exe" [2006-02-09 643072]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\laur\Menu D'marrer\Programmes\D'marrage\
Outil de d'tection de support Picture Motion Browser.lnk - c:\program files\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-12-25 385024]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-9-24 73728]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Readereader_sl.exe [2005-9-23 29696]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"c:\WINDOWS\system32\mqsvc.exe"=
"c:\Program Files\Messenger\msmsgs.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\Program Files\uTorrent\utorrent.exe"=
"c:\Program Files\eMule\emule.exe"=
"c:\Program Files\Windows Live\Messenger\wlcsdk.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [18/03/2010 19:16 108289]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [05/02/2010 19:56 135664]
S2 pgsql-8.3;PostgreSQL Database Server 8.3;c:\program files\PostgreSQL\8.3\bin\pg_ctl.exe [19/09/2008 02:03 65536]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - pbdaa
.
Contenu du dossier 'Tâches planifiées'

2010-03-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 18:56]

2010-03-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-05 18:56]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.yahoo.com/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=FR_FR&c=64&bd=presario&pf=laptop
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
IE: {{7220F1C9-B7E0-47a6-A0BD-D5B3940BCC79} - c:\microgaming\Poker\pokertimeMPP\MPPoker.exe
IE: {{8FE9B27A-BDCD-4d27-A430-4DC0B58D01B0} - c:\program files\Gnuf\Casino\casinogame.exe
IE: {{A99C8F70-4D5B-482c-8854-05BC0BB8B182} - c:\program files\Gnuf\Poker\MPPoker.exe
IE: {{C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\Poker\UnibetpokerMPP\MPPoker.exe
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-NavLogon - (no file)
AddRemove-Chilipoker - c:\poker\Chilipoker\_t2c.exe
AddRemove-Chili_is1 - c:\program files\Chili\unins000.exe
AddRemove-Mozilla Firefox (3.6) - c:\program files\Mozilla Firefox\uninstall\helper.exe
AddRemove-TribalWeb.net - c:\progra~1\TRIBAL~1.NET\UNWISE.EXE
AddRemove-Victor Chandler - c:\poker\Victor Chandler\_SetupCasino[1].exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-19 19:18
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????L?@? ???pO??????'?@?????L?@ 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pbdaa]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1188878456-2720140332-1005979798-1005\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography\RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5,cf,66,6e,1f,6c,42,48,3b,1d,
   bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d,af,a8,e5,29,51,a3,e5,99,\
.
Heure de fin: 2010-03-19  19:20:27
ComboFix-quarantined-files.txt  2010-03-19 18:20

Avant-CF: 11 710 930 944 octets libres
Après-CF: 11 704 307 712 octets libres

- - End Of File - - 6FEA21E7E1C0753698E7D0ED9C795BDC

Destrio5 · Answer

/!\ Seul lau peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\drivers\pbdaa.sys     

Registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pbdaa]     






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

lau · Answer

Le rapport :

http://www.cijoint.fr/cjlink.php?file=cj201003/cij5gzKUhp.txt

Destrio5 · Answer

Ok, refais un scan avec MBAM.

lau · Answer

Apparemment le virus n'est plus là :)

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3885
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

19/03/2010 20:19:27
mbam-log-2010-03-19 (20-19-27).txt

Type de recherche: Examen rapide
Eléments examinés: 140525
Temps écoulé: 6 minute(s), 33 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Destrio5 · Answer

/!\ Seul lau peut suivre cette procédure. /!\


1/

---> Ouvre le Bloc-notes.

---> Copie le texte ci-dessous par sélection puis Ctrl+C :






KillAll::

File::
c:\windows\system32\config\systemprofile\Application Data\rbuwzv.dat






--> Colle la sélection dans le Bloc-notes.

--> Enregistre ce fichier sur le Bureau (Impératif).

--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.


2/

--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif

--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.

--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.

--> Une fois le scan achevé, un rapport va s'afficher : poste-le.

--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt

lau · Answer

Le rapport : http://www.cijoint.fr/cjlink.php?file=cj201003/cijDcXjN3W.txt

Destrio5 · Answer

--> Mets à jour Java.

--> Mets à jour Adobe Reader.

Plus de souci ?

lau · Answer

Plus aucun soucis.
Merci beaucoup !

Destrio5 · Answer

1/

---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser. 
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport. 
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).


2/

---> Télécharge et installe CCleaner (N'installe pas la Yahoo! Toolbar) :
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.


==Prévention==

Pour supprimer les popups d'AntiVir : Lien

Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement.

Vérifie que les mises à jour automatiques sont bien activées (Menu Démarrer, clique droit sur Poste de travail, Propriétés, onglet Mises à jour automatiques).

Par rapport au P2P : Lien

Voici un dossier complet (A lire avec Adobe Reader ou Foxit Reader) : Lien


Sois plus vigilant(e) sur Internet ;)

lau · Answer

Le rapport TCleaner : http://www.cijoint.fr/cjlink.php?file=cj201003/cijKDRlQkr.txt 
Encore merci !

Destrio5 · Answer

Tu peux supprimer ToolsCleaner ;)

Rootkit WINDOWS\system32

25 réponses

Newsletters