Se connecter / S'enregistrer
Votre question

Rootkit gen et Win 32 / Avast

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
14 Juin 2010 04:53:32

Bonjour,


Windows XP
Antivirus Avast

J'ai un sérieux problème et mes connaissances dans le domaine sont proches de zéro. Je vais essayer de reconstituer l'historique et les manifestations des "dommages"

Mercredi dernier , en visitant une page du PCF pour préparer un cours :D  , Avast s'est déclenché un nombre incalculable de fois en un temps record annonçant des Win32 comme s'il en pleuvait. J'ai suivi dans l'affolement les prescriptions et j'ai mis les fichiers en quarantaine tous des "system32\drivers\"

J'ai eu un mal fou à redémarrer l'ordi et depuis il affiche correctement le bureau qui est cependant inutilisable (je ne peux cliquer sur rien, ni ouvrir quoi que ce soit). Il faut attendre entre 20 minutes et une demie heure pour que tout refonctionne et que la connection internet devienne active.

Puis des fenêtres Avast m'indiquent ponctuellement la présence d'un rootkit-Gen et d'un virus dans "C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszpe32.exe".

Depuis aujourd'hui, l'antivirus ne fonctionne plus du tout (erreur RPC annoncée...j'ai tenté de réparer par ajout/supression dans Poste de Travail mais sans succès et je n'ai donc même plus accès à la zone de quarantaine!.... et je n'ai plus d'antivirus au passage

Mais j'ai quand même dégotté cela dans "visualiseur de journaux/ Avertissement

http://www.cijoint.fr/cjlink.php?file=cj201006/cijwt73I...


Si vous pouviez me venir en aide, j'ai vraiment besoin d'un coup de main!

Avec tous mes remerciements à l'avance.

Autres pages sur : rootkit gen win avast

14 Juin 2010 14:25:00

Yop! Tu as l'air de t'être salement infecté! :o 

/!\ Pour le bon déroulement de la désinfection:
  • N'ouvre pas le même sujet sur des forums différents, c'est une perte de temps pour tout le monde!
  • Évites les manipulations hasardeuses avec ton PC, mieux vaut demander!
  • Prends le temps de lire corectement et de comprendre l'ensemble des procédures qui te seront demandées.
  • Suis à la lettre chaque procédure qui te sera fournie.
  • Si tu as une quelconque question ou un quelconque problème, n'hésite pas à me demander.
  • Dans un souci de lisibilité du sujet, merci de bien vouloir héberger tous les rapports ici, et de poster les liens dans la discussion. :clin: 

    *****

  • Désactive l'antivirus.

  • Faire un clic droit ici sur «Combofix »
  • enregistrer la cible du lien sous
  • ==> choisir :Bureau
  • et avant d'accepter ==> remplacer : Combofix par: lensky

  • Double-clic sur lensky.
  • Si invitation à télécharger et installer la console de récupération, l'accepter.
  • La recherche va ensuite se lancer,
  • Attendre la fermeture de l’outil ( 5 à 10 mn),
  • Un rapport dans C:\Combofix.txt: héberge le et donne le lien.
    14 Juin 2010 15:30:55

    Bonjour et merci beaucoup ichigo :) 

    Voici le rapport combofix

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijEFNxn...

    A préciser cependant que bien que mon antivirus soit déconnecté comme évoqué dans mon message précédent, combofix me dit le contraire (de toutes façons je n'ai plus aucune possibilité de le manoeuvrer d'une manière ou d'une autre, il ne répond à aucune commande)

    Voilà pour l'instant.
    Contenus similaires
    14 Juin 2010 15:33:01

    Fais un scan OTL maintenant ;) 

    Télécharge OTL(de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
  • (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • Enfin, clique sur le bouton Analyse. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).
  • Héberge les rapports, puis donne leurs liens.
    14 Juin 2010 16:36:57

    Ok! Pas de soucis. ;) 

    Télécharger sur le bureau Malwarebyte's Anti-Malware

  • Double-clic sur « mbam-setup » pour lancer l'installation.
  • Installer simplement sans rien modifier.
  • Quand le programme lancé ==> onglet « Mise à jour » cliquer sur ==> « Recherche de mise à jour. »
  • Onglet « Recherche » ==> cocher « Exécuter un examen complet ».
  • Clic « Rechercher »,
  • Cocher tous les disque dur,
  • Clic « Lancer l'examen ».
  • En fin de scan , si infection trouvée,
  • ==> Clic « Afficher résultat ».
  • Fermer vos applications en cours,
  • Vérifier si tout est coché et clic « Supprimer la sélection ».

  • Un rapport s'ouvre l'héberger et donner son lien.
    14 Juin 2010 17:57:21

    Tu peux refaire un scan OTL?
    14 Juin 2010 18:06:37

    Ok, je m'y colle
    14 Juin 2010 18:34:54

    C'est normal qu'il n'y ai pas le second rapport. ;) 

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Copies et colles le contenu ci dessous dans la partie inférieur d'OTL: Personnalisation

    :Files
    C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszpe32.exe
    C:\WINDOWS\System32\drivers\fuoudu.sys
    C:\WINDOWS\System32\drivers\lesgdnny.sys
    C:\Documents and Settings\Propriétaire\Application Data\qcopjv.dat
    C:\Documents and Settings\NetworkService\Application Data\qcopjv.dat

    :OTL
    O4 - Startup: C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszpe32.exe ()

    :Commands
    [emptytemp]
    [Reboot]


  • Enfin, clique sur le bouton Correction. Le scan ne prendra pas beaucoup de temps.
  • Une fois l'analyse terminée, un rapport va s'ouvrir.
  • Copie/colle ensuite les rapports.
  • Note: Le rapport se trouve dans C:\OTL\

    *****

    Dire si encore soucis après le redémarrage!
    14 Juin 2010 19:07:52

    Eh bien oui , il y a encore des soucis... mais je suppose que ce n'est plus dû à l'infection.

    Redémarrage normal, bureau bien affiché mais "gelé" cette fois ci pendant 10' (montre en main) seulement, puis tout de débloque et internet se connecte.

    Le rapport

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijHPIhG...

    Avast "semble" de nouveau fonctionner mais a completement disparu de la barre de taches.
    14 Juin 2010 19:15:09

    Non, ça ne le faisait jamais



    Edit/ au bas du rapport il y a ceci:

    File\Folder C:\WINDOWS\System32\drivers\fuoudu.sys not found!


    C'est normal?
    14 Juin 2010 19:15:17

    Ça ne te le faisait pas avant l'infection le bureau qui gèle?
    14 Juin 2010 19:58:17

    Je viens de refaire un scan Avast et voici le résultat. Ça aide??



    File\Folder C:\WINDOWS\System32\drivers\fuoudu.sys impossible de scanner

    14/06/2010 19:40:17 Propriétaire 288 Sign of "VBS:Malware-gen" has been found in "C:\System Volume Information\_restore{F3F7140D-B5A6-4B87-91CA-60D0DD6AD9A6}\RP164\A0086716.bat" file.
    14/06/2010 19:41:26 Propriétaire 288 Sign of "Win32:Malware-gen" has been found in "C:\System Volume Information\_restore{F3F7140D-B5A6-4B87-91CA-60D0DD6AD9A6}\RP164\A0086819.sys" file.
    14/06/2010 19:41:35 Propriétaire 288 Sign of "Win32:Malware-gen" has been found in "C:\System Volume Information\_restore{F3F7140D-B5A6-4B87-91CA-60D0DD6AD9A6}\RP164\A0086820.sys" file.
    14/06/2010 19:41:39 Propriétaire 288 Sign of "Win32:Malware-gen" has been found in "C:\System Volume Information\_restore{F3F7140D-B5A6-4B87-91CA-60D0DD6AD9A6}\RP164\A0086821.sys" file.
    14/06/2010 19:41:45 Propriétaire 288 Sign of "Win32:Malware-gen" has been found in "C:\System Volume Information\_restore{F3F7140D-B5A6-4B87-91CA-60D0DD6AD9A6}\RP164\A0086822.sys" file.
    14/06/2010 19:41:48 Propriétaire 288 Sign of "Win32:Malware-gen" has been found in "C:\System Volume Information\_restore{F3F7140D-B5A6-4B87-91CA-60D0DD6AD9A6}\RP164\A0086823.sys" file.
    14/06/2010 19:41:59 Propriétaire 288 Sign of "Win32:Malware-gen" has been found in "C:\_OTL\MovedFiles\06142010_183738\C_Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\siszpe32.exe" file.
    14 Juin 2010 20:35:40

    Alors, pour le fichier ça veut dire qu'il ne l'a pas trouvé, mais c'est bizarre étant donné qu'il a été trouvé lors du premier scan...

    Pour tes détections de avast: C:\System Volume Information\_restore = la restauration du système, on la videra à la fin! ;) 

    *****

    On va faire autrement pour le fichier récalcitrant:

  • Mettre combofix sur le bureau
  • Copier ce texte:

    Driver::
    fuoudu
    File::
    C:\WINDOWS\System32\drivers\fuoudu.sys


  • Ouvrir le Bloc-Notes,
  • Clic-droit ==> coller.
  • Faire ==> fichier ==> enregistrer sous ==> choisir Bureau.
  • Le nommer CFScript.txt
  • Fermer le bloc-note.
  • Prendre le fichier CFScript.txt qui est sur le bureau par un clic gauche maintenue,
  • L'amener sur l'icône de Combofix et relacher le clic.
  • Combofix se relance seul.
  • Héberger le rapport et donner le lien.
    14 Juin 2010 21:25:26

    Ok! Toujours les freeze au début sinon? :) 
    14 Juin 2010 21:35:50

    Hum.. Par contre, il y en a un qui s'est remis... :o  On va le dégager avec CF aussi:

  • Mettre combofix sur le bureau
  • Copier ce texte:

    Driver::
    lesgdnny
    File::
    c:\windows\system32\drivers\lesgdnny.sys


  • Ouvrir le Bloc-Notes,
  • Clic-droit ==> coller.
  • Faire ==> fichier ==> enregistrer sous ==> choisir Bureau.
  • Le nommer CFScript.txt
  • Fermer le bloc-note.
  • Prendre le fichier CFScript.txt qui est sur le bureau par un clic gauche maintenue,
  • L'amener sur l'icône de Combofix et relacher le clic.
  • Combofix se relance seul.
  • Héberger le rapport et donner le lien.
    14 Juin 2010 21:41:44

    Ok, je reviendrai quand la bête aura bien voulu se rallumer car je suppose que ça va être la même angoisse et le délai..indéterminé
    14 Juin 2010 21:54:26

    Ça a l'air d'être bon, il te reste encore des soucis?
    14 Juin 2010 22:00:22

    je ne crois pas si ce n'est que ce temps à démarrer m'ennuie (un peu)....il me faut juste tenir quinze jours avant un d'avoir un nouvel ordi et pouvoir récupérer le maxi de données sur celui ci.

    Il y a autre chose à faire?
    14 Juin 2010 22:07:35

    Mais tu avais ce soucis avant l'infection?
    14 Juin 2010 22:14:13

    Non, jamais..c'était plutôt lent mais jamais au démarrage.

    Tu penses qu'il est complètement nettoyé, now? Tu parlais de vider quelque chose?

    En tous cas je suis très reconnaissant.
    14 Juin 2010 22:21:39

    Les points de restauration, mais c'est pas ça qui l'accéléra. ;)  Tu peux refaire un dernier OTL histoire de vérifier que tout est bien clean?
    15 Juin 2010 10:34:07

    Ça me semble propre. Pour finir:

    1/ Pour supprimer les utilitaires téléchargés:

  • Télécharge ToolsCleaner2 sur ton bureau
  • Double-clique sur Toolscleaner.exe,
  • Clique sur restauration pour créer un point de restauration.
  • Puis clique sur recherche.
  • Quand la recherche sera terminée, clique sur suppression.
  • A la fin (il y aura des indications dans le cadre en-dessous), clique sur quitter et poste le rapport qui se trouve dans C:\Tcleaner.txt.
  • Clique droit sur son icône => supprimer.


    2/ Pour supprimer les fichiers temporaires (à utiliser régulièrement!):

    Télécharge sur le bureau « CCleaner »
  • Installe le en refusant la Yahoo! Toolbar,
  • Puis lance le.
  • Va dans Options, puis Avancé et décoche la case Effacer uniquement les fichiers etc...
  • Retourne dans Nettoyeur, puis choisis Analyse.
  • Une fois cette dernière terminée, clique sur Nettoyer

    -----

    3/ Désactiver et réactiver la restauration système:

    - sous xp:

  • Clique-Droit sur Poste de Travail
  • Clique Propriétés,
  • Clique Restauration du système.
  • Cocher : Désactiver la restauration système sur tous les lecteurs,
  • Valider en cliquant sur OK.
  • Redémarrer le pc.
  • Et même manoeuvre en décochant pour rétablir la restauration.
  • Puis Menu Démarrer ==> Tous les programmes ==> Accessoires ==> Outils système ==> Restauration système,
  • Clique Créer un nouveau point de restauration.
  • note => le nom donné n’a aucune importance.

    - sous vista:

  • Clique sur Démarrer,
  • Clique-droit sur Ordinateur,
  • Clique Propriétés,
  • Clique Protection du système.
  • Décocher : C,
  • Valider en cliquant sur OK.
  • Redémarrer le pc.
  • Et même manoeuvre en recochant pour rétablir la restauration.
  • Puis de même et cliquer créer pour établir un nouveau point de restauration.

    - sous seven:

  • Clique sur Démarrer,
  • Clique-droit sur Ordinateur,
  • Clique Propriétés,
  • Clique Protection du système,
  • Clique sur l'onglet Protection du système.
  • Sélectionne : C,
  • Clique Configurer...,
  • Coche : Désactiver la protection du système.
  • Valider en cliquant sur OK.
  • Redémarrer le pc.
  • Et même manoeuvre en recochant : Restaurer les paramètres système et les versions précédentes des fichiers pour rétablir la restauration.
  • Puis de même et cliquer créer pour établir un nouveau point de restauration.

    -----

    4/Anti-spyware/malware

  • Garder malwarebytes' et penser à faire des scans réguliers avec ce dernier! => Tuto malwarebytes'
  • Antispyware gratuit : ça sert à rien!

    -----

    5/Protection

  • Un dossier sur les infections.
  • Sécuriser son ordinateur (version courte).
  • Surfer sécurisé.
  • Les idées reçues en sécurité logicielle.

    -----

    6/ Problème résolu?

    Alors penser à mettre le sujet en résolu en éditant ton titre!
  • Clique sur le bouton Éditer dans ton premier message (en bas à droite du message).
  • Ajoute [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message :clin: 
    15 Juin 2010 12:23:05

    Bonjour Ichigo

    Merci mille fois

    J'ai accompli l'étape 1 et 2, en revanche je ne sais pas si je dois supprimer manuellement les icones sur le bureau de OTL et Combofix ( car je me demande si les outils ont été supprimés)

    Voici le rapport ToolsCleaner

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijaCc1w...




    En ce qui concerne l'étape 3

    Citation :
    3/ Désactiver et réactiver la restauration système:

    - sous xp:


    Je n'ai encore rien fait pcq
    a) je ne sais pas s'il va redémarrer :D 
    b) et surtout la personne qui m'avait installé le Pc (et qui a disparu dans la nature :fou:  ) ne m'a laissé aucun Cd du système, a bloqué le démarrage en mode sans échec et et visiblement m' a également bloqué la possibilité de créer un point de restauration à une date antérieure (je m'en suis rendu compte en voulant le faire il y a quelques mois)...tout ça par un mot de passe je suppose!

    Je préfère t'informer de tout ça avant de poursuivre et j'attends sagement tes instructions

    15 Juin 2010 12:26:56

    Oui tu peux supprimer les icônes dOTL et de CF du bureau ;) 

    Bloqué la possibilité de créer un point, ou bien de restaurer?
    15 Juin 2010 12:38:23

    ...de restaurer à une date ou une heure antérieure, d'après mon expérience malheureuse.

    De mémoire, en faisant la manip j'étais tombé sur une sorte de calendrier et je n'avais aucune possibilité de choisir quoi que ce soit avant le moment de mon entrée sur la commande.

    J'ignore si créer un point de restauration (nouveau) est bloqué, à vrai dire



    Donc , j'y vais?
    15 Juin 2010 13:17:48

    Oui tu peux, d'une part la restauration est infectée, donc si tu en fais une tu risques de te re-infecté, et d'autre part, tu ne peux pas l'utiliser. Donc vas y ;) 
    15 Juin 2010 15:59:05

    Bon les choses ne s'arrangent pas...je n'ai pas fait le point de restauration car le PC a mis quasi deux heures pour se réinitialiser alors que le bureau est affiché et que la souris affiche le sablier. J'ai cru que c'était mort.

    Je ne suis même pas certain que les deux manip (redémarrage après avoir coché puis encore après avoir décoché) précédentes aient été correctement menées à terme.

    Y-a-t-il un contrôle spécifique à faire?

    Questions:

    1) La création du point de restauration amène -t il le Pc à redémarrer?
    2) Quelqu'un a une idée pour régler mon probléme de démarrage/ initialisation? :pt1cable: 

    La suite au prochain épisode ;) 

    15 Juin 2010 23:27:31

    1) Normalement non, pas besoin de redémarrer pour créer un point de resto.
    2) C'est bizarre ton problème de lenteur au démarrage.. On va vérifier qu'il ne reste pas de rootkit:

    Télécharge sur le bureau « Gmer »
  • Se rendre sur la page et choisir Download EXE.
  • Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
  • Lance le.
  • Note: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
  • Clic sur l'onglet Rootkit/Malware,
  • À droite => coche toutes les cases.
  • Clique sur scan.
  • Lorsque le scan est terminé, clique sur copy,
  • Le coller dans la réponse.
    16 Juin 2010 00:44:14

    Bonsoir Ichigo

    Il y a bien un rootkit dans le menu démarrage, dès que j'exécute Gmer, je n'ai pas le temps de choisir une seule des options que tu annonces, il m'affiche une fenêtre "warning" avec présence d'un rootkit et me demande si je veux compléter le scan et je vois en rouge le rootkit.

    Si je réponds oui, le scan se fait, mais aucune possibilité de copier un quelconque rapport car à la fin de l'analyse tout se fige, je n'ai aucune commande et le pointeur de la souris disparaît...et je suis parti pour rebooter et attendre une bonne heure avant de récupérer l'usage du PC.

    Je vais retenter mais il faut que je trouve autre chose pour récupérer le rapport.

    Edit: je n'ai pas tenté une seconde fois car en lisant un ou deux tuto sur Gmer, j'ai vu que c'est de la nitroglycérine ce truc, je préfère attendre tes instructions demain à commencer par ce que je dois faire dès que la fenêtre pop-up apparaît et me demande de continuer ou non. Il va falloir être précis :D 

    Bonne nuit :) 
    16 Juin 2010 11:34:25

    Merci beaucoup, je m'en doutais un peu du coup du redémarrage en mode sans échec :pt1cable: 

    Mais je me permets de te recopier ce que je disais 3 ou 4 messages plus haut


    Citation :
    b) et surtout la personne qui m'avait installé le Pc (et qui a disparu dans la nature :fou:  ) ne m'a laissé aucun Cd du système, a bloqué le démarrage en mode sans échec et et visiblement m' a également bloqué la possibilité de créer un point de restauration à une date antérieure (je m'en suis rendu compte en voulant le faire il y a quelques mois)...tout ça par un mot de passe je suppose!
    :D  :D 

    Il parait qu'on peut débloquer cela mais j'ignore comment.
    16 Juin 2010 15:44:40

    Bon j'ai fait la manip avec le fichier proposé sp3 mais sans succès, après les deux pages de commandes et sélection du mode sans échec, écran noir!
    Comme je ne sais pas à quelle version le blocage a été fait, je vais faire la même opération avec sp2 et sp1 mais je doute du résultat.

    A priori je reviens te tenir au courant dans une heure.

    Comme il s'agit d'un mot de passe (et qu'il m'avait que n'importe quel informaticien pouvait le supprimer) je m'imagine qu'il faut y accéder différemment...pure spéculation de ma part. ;-)

    16 Juin 2010 16:45:15

    Je vais me renseigner, je te tiens au courant. ;) 
    16 Juin 2010 17:15:10

    1) Bon , les forces du mal ont été vaincues. J'ai pu démarrer en mode sans échec avec le correctif sp2, c'est celui ci qui a fonctionné.

    Génial!

    2) Le problème c'est que Gmer bien affiché sur mon bureau en mode normal est introuvable lorsque je suis en mode sans échec (donc pour faire le scan c'est un peu dur!)

    Ps n'oublie pas qu'à chaque fois que je fais une manip qui éteint le Pc , je suis hors connection pendant une heure

    Merci de ta patience.

    C'est quand même pénible ce rootkit :fou: 
    16 Juin 2010 18:34:29

    Essaye 2 choses: soit tu démarres en mode sans échec avec prise en charge du réseau, et tu re-télécharges gmer.
    Soit tu met gmer sur une clef USB, et tu le copies/colles de la clé usb au bureau en mode sans échec. ;) 
    16 Juin 2010 18:45:21

    Ok , je choisis l'option clef USB

    je reviendrai plus tard, enfin dès que possible. J'espère pouvoir récupérer le rapport scan de Gmer.
    16 Juin 2010 20:21:46

    Ouf, voici le fameux scan Gmer, (même en mode sans échec, j'ai dû le faire deux fois: impossible de récupérer le rapport du 1er scan, freeze total au moment de le sauvegarder)

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijpLhrj...

    ça peut s'arranger, cette affaire???



    Edit: Je ne serai de retour que demain après midi pour cause de Bac ;) 
    17 Juin 2010 11:20:24

    Ok, bonne chance pour ton BAC :o 

    Par contre, tu as l'air d'avoir tes driver encore infectés, d'où le temps de démarrage très long. Il va falloir détecter lesquels c'est, et en restaurer des sains. ;) 

  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche toutes les cases Aucun
  • Copies et colles le contenu ci dessous dans la partie inférieur d'OTL: Personnalisation

    /md5start
    61883.sys
    aec.sys
    alcan5wn.sys
    alcaudsl.sys
    ac97ali.sys
    asyncmac.sys
    atmarpc.sys
    avc.sys
    camdrl.sys
    ccdecode.sys
    Cdaudio.sys
    Changer.sys
    dmusic.sys
    driverhardwarev2.sys
    drmkaud.sys
    Fdc.sys
    Flpydisk.sys
    ip6fw.sys
    ipfltdrv.sys
    ipinip.sys
    irsir.sys
    irenum.sys
    jl2005c.sys
    kmixer.sys
    lbrtfdc.sys
    expasag.
    i2omgmt.sys
    hsf_dp.sys
    http.sys
    mpe.sys
    msdv.sys
    mskssrv.sys
    mspclock.sys
    mspqm.sys
    mstee.sys
    nabtsfec.sys
    ndisip.sys
    nwlnkflt.sys
    nwlnkfwd.sys
    pcampr5.sys
    pcandis5.sys
    PCIDump.sys
    pcouffin.sys
    PDCOMP.sys
    PDFRAME.sys
    PDRELI.sys
    PDRFRAME.sys
    camdrl21.sys
    lv302v32.sys
    pixmcvc.sys
    pixmcva.sys
    pixmcvv.sys
    RDPWD.sys
    Serial.sys
    Sfloppy.sys
    slip.sys
    splitter.sys
    capt905c.sys
    streamip.sys
    swmidi.sys
    TDPIPE.sys
    TDTCP.sys
    toshidpt.sys
    tosrfbd.sys
    tosrfbnp.sys
    tosrfhid.sys
    tosrfnds.sys
    tosrfsnd.sys
    tosrfusb.sys
    mstsched.sys
    embda.sys
    emoem.sys
    usbaapl.sys
    usbscan.sys
    usbser.sys
    usbstor.sys
    WDICA.sys
    wstcodec.sys
    wudfpf.sys
    wudfrd.sys
    /md5stop


  • Enfin, clique sur le bouton Analyse.
  • Une fois l'analyse terminée, un rapport va s'ouvrir.
  • Héberge le rapport.
  • Note: Le rapport se trouve dans C:\OTL\
    17 Juin 2010 13:50:05

    Merci à toi ;) 



    Bonjour Ichigo,

    Voici le rapport OTL

    http://www.cijoint.fr/cjlink.php?file=cj201006/cij62wPG...

    Qq précisions sans doute peu importantes:
    a) bien que je sélectionne Aucun partout , lorsque je démarre l'analyse le registre:standard passe de aucun à tous
    b) je n'ai pas coché Lop ni Purity
    18 Juin 2010 11:30:11

    Bon, l'infection doit modifier les md5 je pense, donc on ne pourra pas la localiser tant que tu seras sous windows, on va contourner le problème:

    Ce fichier est assez volumineux, on utilisera donc votre lecteur CD/DVD et un CD vierge sur votre machine.
    Un Périphérique USB serait pratique également.


    Télécharger OTLPENet.

  • Mets un CD vierge dans ton graveur CD.
  • Double clique sur OTLPENet.exe, cela ouvrira imageBurn pour graver le fichier téléchargé sur un CD.
  • Clic BURN

    Note : Votre CD gravé, vous devez maintenant redémarrer votre machine sur le lecteur CDROM
    Pour se faire je vous invite sur ce lien : Booter sur un CD.

  • Une fois le CD lancé Windows se charge vous arrivez sur le bureau REATOGO-X-PE.
  • Double cliquer sur OTLPE.
  • Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES,
  • Une seconde : Do you wish to load remote user profile(s) for scanning ; Cliquez sur YES,
  • Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK.

    OTL se lance.

  • Copiez et collez le contenu ci dessous dans la partie inférieur d'OTL: Custom Scans/Files

  • netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    61883.sys
    aec.sys
    alcan5wn.sys
    alcaudsl.sys
    ac97ali.sys
    asyncmac.sys
    atmarpc.sys
    avc.sys
    camdrl.sys
    ccdecode.sys
    Cdaudio.sys
    Changer.sys
    dmusic.sys
    driverhardwarev2.sys
    drmkaud.sys
    Fdc.sys
    Flpydisk.sys
    ip6fw.sys
    ipfltdrv.sys
    ipinip.sys
    irsir.sys
    irenum.sys
    jl2005c.sys
    kmixer.sys
    lbrtfdc.sys
    expasag.
    i2omgmt.sys
    hsf_dp.sys
    http.sys
    mpe.sys
    msdv.sys
    mskssrv.sys
    mspclock.sys
    mspqm.sys
    mstee.sys
    nabtsfec.sys
    ndisip.sys
    nwlnkflt.sys
    nwlnkfwd.sys
    pcampr5.sys
    pcandis5.sys
    PCIDump.sys
    pcouffin.sys
    PDCOMP.sys
    PDFRAME.sys
    PDRELI.sys
    PDRFRAME.sys
    camdrl21.sys
    lv302v32.sys
    pixmcvc.sys
    pixmcva.sys
    pixmcvv.sys
    RDPWD.sys
    Serial.sys
    Sfloppy.sys
    slip.sys
    splitter.sys
    capt905c.sys
    streamip.sys
    swmidi.sys
    TDPIPE.sys
    TDTCP.sys
    toshidpt.sys
    tosrfbd.sys
    tosrfbnp.sys
    tosrfhid.sys
    tosrfnds.sys
    tosrfsnd.sys
    tosrfusb.sys
    mstsched.sys
    embda.sys
    emoem.sys
    usbaapl.sys
    usbscan.sys
    usbser.sys
    usbstor.sys
    WDICA.sys
    wstcodec.sys
    wudfpf.sys
    wudfrd.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT

  • Cliquez sur Run Scan pour démarrer le scanner, cela peut prendre quelques minutes.
  • Un fois fini le rapport s'ouvre, utilisez l'icone d'internet explorer pour copier coller son contenu dans la réponse.

    Note : si vous n'avez pas de connection Internet, sauvegardez le rapport sur un périphérique USB
    18 Juin 2010 18:04:31

    Bonsoir Ichigo

    Merci pour le boulot abattu ;) 

    Je viens de lire tout cela et je vois déjà les problèmes arriver: le lecteur Cd ne sera pas en priorité dans le boot + ce c****rd aura certainement foutu un mot de passe sur le BIOS...tu connais la suite aussi bien que moi (maintenant que j'ai tout lu). Quand je pense que j'ai des angoisses existentielles devant un copier/coller :D 


    Autrement, je me lance dans ces manips demain à tête reposée, j'y verrai plus clair et je te tiens au courant sauf si je bousille tout.

    19 Juin 2010 03:58:30

    Voila le nécessaire est fait, au calme, en passant une bonne partie de la nuit et avec tous les ennuis que j'avais envisages les uns après les autres :pt1cable: 
    Au passage , merci pour la doc détaillée sur le BIOS , ça m'a été indispensable vu les circonstances.


    Le rapport OTLPE en question est ici (je n'ai modifié aucun élémént de la configuration proposée lorsque je l'ai ouvert)

    http://www.cijoint.fr/cjlink.php?file=cj201006/cijzh9SV...

    J'espère que cela va nous (me) tirer d' affaire à terme

    Impatient d avoir le diagnostic et les outils de réparation si cela s'avère possible

    A demain donc ;) 

    PS: J'ai gagné un bon 1/4 d'heure à la réinitialisation en mode normal!
    20 Juin 2010 16:51:31

    Hum... je ne vois rien d'anormal dans les logs! Tu pourrais mettre à jour ton avast et faire un scan avec?
        • 1 / 2
        • 2
        • Dernier
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS