Rkit/Bubnix.s [Résolu/Fermé]

Signaler
Messages postés
12
Date d'inscription
dimanche 17 août 2008
Statut
Membre
Dernière intervention
23 avril 2011
-
jalobservateur
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
-
Bonjour

ce matin j ai eu la désagréable surprise de voir Avira me signaler un rootkit (bubnix.s)
il se situe dans windows / system 32 / drivers / aornn.sys

a quoi sert ce fichier aornn.sys ?

j ai installé il a 2 jours environ une mesure d audience et de statistique sur mon site web
il s agit de bubblestat.

est ce que cela est lié à ce rootkit : bubblestat , bubnix.s


merci pour vos réponses

7 réponses

Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
911
Salut , Je met seulement un up pour le message de Malekal, car il y a plusieurs cas justement ^ ^

Malekal_morte- - 17 mai 2010 à 19:58
Si y a des webmasters qui lisent ce topic car infectés (les autres, vous vous en fichez), bha votre site a des chances d'avoir été modifié, faut changer le mot de passe FTP après désinfection.

Lire (faut cliquer pour afficher tous les commentaires et lire toutes les explications) : http://www.commentcamarche.net/forum/affich-17610011-virus-js-jaderun-a-expl
2
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 82015 internautes nous ont dit merci ce mois-ci

Malekal_morte-
Messages postés
174242
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 092
J'ai faut un schéma explicatif : http://www.malekal.com/fichiers/spywares/bubnix.png

Il est laid mais j'espère qu'il est clair :)
Merci pour les explications. ce truc est quand même assez violent ! Mon site hebergé chez orange n a apparemment pas bougé . Je suis allé faire un tour dessus cet après midi
la machine est quant à elle chez le spécialiste ... au mieux il arrive a m installer un os , au pire il changera le disque .. j attends sa réponse et je fermerai le post . en attendant toujours sur l eepc / linux .
Messages postés
7474
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
22 janvier 2020
518
Salut

Ce driver n'est pas légitime.


Télécharger et enregistrer sur le bureau
Combofix

=Desactiver l'antivirus
=Double-clic sur Combofix
= Presser 1 si demandé
= Attendre la fermeture de l'outil ( 5 -10 mn ou plus si infection importante)
=Copier/coller le rapport dans la réponse
Un rapport dans C:\Combofix.txt à mettre dans la réponse
Réactiver l'antivirus
merci pour la réponse
pas pu répondre de suite car depuis ecran noir et plus rien malgré plusieurs essais
je vais tacher de réinstaller mais doit faire l acquisition d un lecteur car celui actuel est hs la galère continue
actuellement sur EEPC / linux qui me dépanne bien ....
re bonsoir

apres le changement de lecteur j ai pu reinstaller vista , le scanner que j avais n a pas ete reconnu et le driver trouve sur le net n avait l air de fonctionner
bref ... j ai voulu mettre windows 2000 sp 4 a la place .. et la le cauchemar ... il a fallu que je formate le disque mais impossible mais impossible d'installer l'OS ... donc je me suis dit : tiens je vais reinstaller vista ... et la re cauchemar ... l installe ne peut se faire car vista ne detecte pas le disque c : alors que celui ci est visible dans le bios
bref une histoire de fou en ce qui me concerne .. j'amène demain l unité centrale chez un spécialiste...
en ce moment toujours sur l eepc / linux qui me depanne de + en + ....
Bonjour,

j'ai eu la meme chose avec ce bibnix.s et j'ai laisser tourner combofix.. voici le résultat.. quelqu'un pourrais m'aider? svp!

ComboFix 10-05-05.06 - Administrateur 06/05/2010 21:08:14.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.2047.1598 [GMT 2:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Outdated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\docume~1\ADMINI~1\LOCALS~1\Temp\svchost.exe
c:\documents and settings\Administrateur\Application Data\avdrn.dat
c:\program files\WindowsUpdate
c:\windows\system32\AVSredirect.dll
c:\windows\system32\Temp
c:\windows\system32\Temp\svsheimgvhmdwhuzmxva.list

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-04-06 au 2010-05-06 ))))))))))))))))))))))))))))))))))))
.

2010-05-04 16:42 . 2010-05-04 16:42 -------- d-----w- c:\documents and settings\Administrateur\DoctorWeb
2010-05-02 18:08 . 2010-05-06 19:10 755200 ----a-w- c:\windows\system32\drivers\kqjugycq.sys
2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\custom matrices
2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\C2MP
2010-04-29 16:39 . 2010-04-29 16:39 -------- d-----w- c:\windows\system32\QuickTime
2010-04-29 16:32 . 2009-09-27 07:39 369152 ----a-w- c:\windows\system32\avisynth.dll
2010-04-29 16:32 . 2004-02-22 08:11 719872 ----a-w- c:\windows\system32\devil.dll
2010-04-29 16:32 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\yv12vfw.dll
2010-04-29 16:32 . 2004-01-24 22:00 70656 ----a-w- c:\windows\system32\i420vfw.dll
2010-04-29 16:32 . 2010-04-29 16:32 -------- d-----w- c:\program files\AviSynth 2.5
2010-04-29 16:31 . 2008-03-16 13:30 216064 --sh--r- c:\windows\system32\nbDX.dll
2010-04-29 16:31 . 2007-02-21 11:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2010-04-29 16:31 . 2006-05-03 10:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2010-04-29 16:31 . 2010-04-29 16:31 -------- d-----w- c:\program files\eRightSoft
2010-04-12 16:48 . 2010-04-12 16:48 -------- d-----w- c:\program files\Rockstar Games

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-05-06 19:06 . 2008-04-14 12:00 85834 ----a-w- c:\windows\system32\perfc00C.dat
2010-05-06 19:06 . 2008-04-14 12:00 512628 ----a-w- c:\windows\system32\perfh00C.dat
2010-05-06 19:03 . 2009-04-28 15:43 -------- d-----w- c:\program files\Steam
2010-05-02 18:08 . 2010-05-02 18:08 16 ----a-w- c:\documents and settings\NetworkService\Application Data\wzmjhy.dat
2010-04-29 18:19 . 2009-09-09 19:12 -------- d-----w- c:\documents and settings\Administrateur\Application Data\vlc
2010-04-29 18:18 . 2009-04-28 16:35 -------- d-----w- c:\documents and settings\Administrateur\Application Data\dvdcss
2010-04-15 19:26 . 2009-04-23 16:35 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2010-04-12 16:48 . 2009-04-23 01:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-04-11 12:36 . 2009-05-23 09:57 -------- d-----w- c:\documents and settings\All Users\Application Data\TrackMania
2010-03-23 08:39 . 2009-11-21 09:23 79488 ----a-w- c:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-03-21 13:36 . 2010-03-21 13:12 -------- d-----w- c:\program files\SpeedFan
2010-03-09 11:10 . 2008-04-14 12:00 430080 ----a-w- c:\windows\system32\vbscript.dll
2010-02-26 05:42 . 2008-04-14 12:00 671232 ----a-w- c:\windows\system32\wininet.dll
2010-02-26 05:42 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2010-02-16 19:06 . 2008-04-14 12:00 2148352 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-02-16 19:06 . 2008-04-13 19:07 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-02-13 09:08 . 2009-04-23 01:16 71208 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-02-12 10:03 . 2010-03-20 08:22 293376 ------w- c:\windows\system32\browserchoice.exe
2010-02-12 04:34 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll
2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys
2006-05-03 10:06 . 2010-04-29 16:31 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2010-04-29 16:31 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 13:30 . 2010-04-29 16:31 216064 --sh--r- c:\windows\system32\nbDX.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]
2010-02-28 08:25 2349080 ----a-w- c:\program files\Softonic_Deutsch\tbSof0.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{8DBB6D8E-E4A6-4E3B-9753-AF78B226441C}"= "c:\program files\Softonic_Deutsch\tbSof0.dll" [2010-02-28 2349080]

[HKEY_CLASSES_ROOT\clsid\{8dbb6d8e-e4a6-4e3b-9753-af78b226441c}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"Steam"="c:\program files\steam\steam.exe" [2010-04-27 1238352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]
"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 16876032]
"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb11.exe" [2004-04-06 172032]
"HPHUPD06"="c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2004-02-12 49152]
"HP Component Manager"="c:\program files\HP\hpcoretech\hpcmpmgr.exe" [2004-05-12 241664]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Administrateur\Menu D'marrer\Programmes\D'marrage\
srvaju32.exe [2008-4-14 30208]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide du logiciel HP Image Zone.lnk - c:\program files\HP\digital imaging\bin\hpqthb08.exe [2004-5-28 53248]
HP Digital Imaging Monitor.lnk - c:\program files\HP\digital imaging\bin\hpqtra08.exe [2004-5-28 241664]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Steam\\SteamApps\\frisotto\\counter-strike source\\hl2.exe"=
"c:\\WINDOWS\\system32\\dpvsetup.exe"=
"c:\\Program Files\\TmNationsForever\\TmForever.exe"=
"c:\\Program Files\\Steam\\Steam.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Steam\\SteamApps\\common\\left 4 dead\\left4dead.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4100:UDP"= 4100:UDP:uPNP Router Control Port

R2 AntiVirSchedulerService;Avira AntiVir Planer;c:\program files\Avira\AntiVir Desktop\sched.exe [01/09/2009 22:11 108289]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - kqjugycq
.
Contenu du dossier 'Tâches planifiées'

2010-05-05 c:\windows\Tasks\HP Usg Daily FY04.job
- c:\program files\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\pexpress\hphped06.exe [2004-06-07 04:53]

2010-05-06 c:\windows\Tasks\OGALogon.job
- c:\windows\system32\OGAEXEC.exe [2009-08-03 14:07]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\s4vuobds.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.facebook.com/home.php
FF - plugin: c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.
- - - - ORPHELINS SUPPRIMES - - - -

WebBrowser-{4F11ACBB-393F-4C86-A214-FF3D0D155CC3} - (no file)



**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\kqjugycq]

.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(764)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-05-06 21:11:19
ComboFix-quarantined-files.txt 2010-05-06 19:11

Avant-CF: 204 677 066 752 octets libres
Après-CF: 204 898 443 264 octets libres

- - End Of File - - 28F339C0DA143A6129CDF86BEFC29CBC
Bonsoir

je ne pas vous aider concernant le résultat mais je crois que la sociéte saphos mets en ligne un anti rootkit , moi je l ai decouvert trop tard mais je vais le mettre dans mes favoris cela pourra toujours m' aider la prochaine fois
voici le lien a essauer
http://www.sophos.fr/products/free-tools/sophos-anti-rootkit.html

bon courage
Malekal_morte-
Messages postés
174242
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
22 janvier 2020
19 092
Si y a des webmasters qui lisent ce topic car infectés (les autres, vous vous en fichez), bha votre site a des chances d'avoir été modifié, faut changer le mot de passe FTP après désinfection.

Lire (faut cliquer pour afficher tous les commentaires et lire toutes les explications) : http://www.commentcamarche.net/forum/affich-17610011-virus-js-jaderun-a-expl
Messages postés
7474
Date d'inscription
lundi 15 février 2010
Statut
Contributeur sécurité
Dernière intervention
22 janvier 2020
518
Ouah, c'est le bazard ici...
@F5MSR: Tu en est ou?
@Freezo: Il faut ouvrir un fil pour toi, colle y le rapport Combofix ;)
bjr je suis sur Alger

bonne journée
hi j ai mal compris la question
euh j amene la bete ce matin au SAV de chez DELL

bonne journée
PB résolu
remplacement du disque dur ...
Messages postés
7424
Date d'inscription
lundi 16 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
9 mai 2012
911
Salut , ouais un peu drastique comme solution, mais bon... Ça résout aussi :)