Virus type rootkit [Résolu]

Bonsoir...

Tu n'as pas accès au bios pour mettre le lecteur cd en premier ?
Cdt,
@+

Dans le setup du pc j'ai:
First boot device CDROM
Second boot device: Floppy
Third boot device: HDD-0
donc à mon avis le PC devrait tenter de démarrer d'abord sur cdrom

Salut,

Tu as le nom du "rootkit" en question?

Sinon, décris précisément tout les symptômes que tu as.

Et est ce qu'il t'es encore possible de lancer des applications sur le PC?

Le rootkit doit etre: Rootkit.bagle.gen
et peut etre win32.bagle SUQ@mm
oui il y a des applications qui fonctionnent encore.

Ok, j'étais quasiment sûr que c'était bagle.

Pas besoin de reformater ton ordi, fais ceci :

-+-+-+-+-> Findykill - Recherche <-+-+-+-+-


Note : Ton PC est infecté par le ver bagle. Celui ci se propage essentiellement via le P2P. Plus d'informations sur l'infection ici

[x] Télécharge Findykill ( d'El desaparecido ) | Miroir.

/!\ Branche toutes tes sources de données externes ( Clé USB, Disque dur externe, carte SD ) sur ton PC /!\

[x] Lance Findykill ( Utilisateurs de vista/seven -> Clic droit puis "Exécuter en tant qu'administrateur" ).

[x] Choisis la langue souhaitée ( F pour Français ) puis valide en appuyant sur Entrée.

[x] Au menu principal, choisis l'option n°1 ( Recherche ) puis patiente pendant le scan.

[x] A la fin du scan, un rapport s'ouvrira. Copie/Colle son contenu dans ta prochaine réponse.

Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
-> Un tutoriel pour l'utilisation de findykill est disponible ici.

voila le rapport:

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 03:05:18 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,44 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT

############################## | Processus infectieux stoppés |

"C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe" (1736)
"C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe" (1760)
"C:\WINDOWS\wintems.exe" (2356)

################## | Eléments infectieux |

C:\WINDOWS\ban_list.txt
C:\WINDOWS\mdelk.exe
C:\WINDOWS\wintems.exe
C:\WINDOWS\system32\srosa2.sys
C:\WINDOWS\system32\wfsintwq.sys
C:\Documents and Settings\jean terrien\Application Data\drivers
C:\Documents and Settings\jean terrien\Application Data\drivers\downld
C:\Documents and Settings\jean terrien\Application Data\drivers\winupgro.exe
C:\Documents and Settings\jean terrien\Application Data\m
C:\Documents and Settings\jean terrien\Application Data\m\data.oct
C:\Documents and Settings\jean terrien\Application Data\m\flec006.exe
C:\Documents and Settings\jean terrien\Application Data\m\list.oct
C:\Documents and Settings\jean terrien\Application Data\m\srvlist.oct
C:\Documents and Settings\jean terrien\Application Data\m\shared
C:\Documents and Settings\jean terrien\Local Settings\Temporary Internet Files\Content.IE5\CX2R0TQR\servernames[1].html

################## | Registre |

[HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet002\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\CurrentControlSet\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet002\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.045 ! |

nouveau rapport apres valitation de l'option 2 "nettoyage" .J'avais aussi oublié une clef USB.

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 10:33:13 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,48 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

################## | Eléments infectieux |


################## | Registre |

[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.045 ! |

-+-+-+-+-> Findykill - Suppression <-+-+-+-+-


[x] Relance Findykill en choisissant cette fois ci l'option n°2 ( Suppression ).

[x] Le PC va redémarrer et findykill se lancera au démarrage.

[x] Patiente pendant le scan jusqu'à l'ouverture d'un rapport.

[x] Copie/Colle le contenu du rapport dans ta prochaine réponse.

Notes -> Le rapport est également sauvegardé sous C:\FyK.txt
-> Un tutoriel pour l'utilisation de findykill ( suppression ) est disponible ici.
-> Si le bureau ne réapparaît pas après l'utilisation de findykill, appuie simultanément sur CTRL ALT SUPPR. A l'onglet "Applications", clique sur [Nouvelle tâche]. Tape "explorer.exe" ( sans les guillemets ) puis [Ok].

merci pour ton aide. Voici le rapport:

############################## | FindyKill V5.045 |

# User : jean terrien (Administrateurs) # JEAN-TERRIEN
# Update on 23/06/2010 by El Desaparecido
# Start at: 11:07:32 | 24/06/2010
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# AMD Athlon(tm) XP 3000+
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 6.0.2900.5512
# Windows Firewall Status : Enabled
# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 149,04 Go (138,47 Go free) # NTFS
# D:\ # Disque amovible # 969,69 Mo (105,5 Mo free) # FAT
# F:\ # Disque amovible # 3,83 Go (2,97 Go free) [CLE USB] # FAT32

################## | Eléments infectieux |


################## | Registre |

[HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[HKLM\SYSTEM\ControlSet001\Services\srosa]
[HKLM\SYSTEM\ControlSet003\Services\srosa]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[HKCU\Software\bisoft]
[HKCU\Software\DateTime4]
[HKCU\Software\MuleAppData]
[HKCU\Software\WS4001]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "german.exe"
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] "mule_st_key"
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro]

################## | Etat |

# Affichage des fichiers cachés : OK

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# EapHost -> Start = 3 ( Good = 2 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )
# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

################## | ! Fin du rapport # FindyKill V5.045 ! |

Il faut que tu lances l'option 2

avec l'option 2 le scan s'est refermé tout seul à 40%. Je vais réessayer de le refaire.

Ok, dis moi si tu n'arrives toujours pas à passer l'option 2.

l'option 2 démarre corectement: redémarrage PC, scan, il se ferme au moment du scan des fichiers zip

Tu as un rapport sous C:\ ? ( FyK.txt )

sans fournir de rapport évidemment

Ok, on va faire autrement.

-+-+-+-+-> OtMoveIt <-+-+-+-+-


[x] Télécharge OtMoveIt sur ton bureau.

[x] Lance le , puis copie/colle le texte ci dessous dans l'encadré " Paste instructions for items to be moved ".

:services

sK9Ou0s
srosa

:reg


[-HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]
[-HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]
[-HKLM\SYSTEM\ControlSet001\Services\srosa]
[-HKLM\SYSTEM\ControlSet003\Services\srosa]
[-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]
[-HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]
[-HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]
[-HKCU\Software\bisoft]
[-HKCU\Software\DateTime4]
[-HKCU\Software\MuleAppData]
[-HKCU\Software\WS4001]
[-HKCR\ed2k]
[-HKCU\Software\Classes\ed2k]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 
"drvsyskit"=-
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] 
"drvsyskit"=-
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 
"german.exe"=-
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] 
"german.exe"=-
[HKCU\Software\Microsoft\Windows\CurrentVersion\Run] 
"mule_st_key"=-
[HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Microsoft\Windows\CurrentVersion\Run] 
"mule_st_key"=-
[-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\bisoft]
[-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\DateTime4]
[-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\MuleAppData]
[-HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[-HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\key_generator]
[-HKU\S-1-5-21-1801674531-2052111302-839522115-1004\Software\Local AppWizard-Generated Applications\winupgro] 


:commands

[emptytemp]

[x] Clique maintenant sur " MoveIt! "

[x] Copie/Colle le contenu du rapport qui s'ouvrira dans ton prochain message.

---------------------------------------------------

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] Tu seras peut être invité à redémarrer ton PC. A la fin du scan, combofix ouvrira un rapport, copie/colle le dans ta prochaine réponse.

Note : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

pas de chances.....je télécharge bien OTM mais il refuse de s'executer!

Passe à combofix ( renomme le en CCM.exe avant de le télécharger )

je ne peux pas déactiver AVIRA!!! j'ai pas oser lancer combo que faire?

message que j'ai : Avira n'est pas une application win32 valide. J'ai essayé de vider le repertoire avira. Il s'est effacé partiellement et combo me dit que avira toujours actif