| Voir le sujet précédent :: Voir le sujet suivant |
| Auteur |
Message |
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7803
Localisation: Rouen (France)
|
 Posté le: 05 Déc 2007 22:48 Sujet du message: |
|
|
Ouaip on a une belle variante toute neuve là.
On va déjà essayer de réparer le mode sans échec, mais il est possible qu'il soit de nouveau désactivé, tant que la machine est infectée.
Comme je ne sais pas de quoi est capable ce delf, je te conseille de sauvegarder tes données les plus importantes si elles se trouvent sur la partition système. Il vaut mieux être prudent. 
- Télécharge ce fichier et décompresse le sur ton Bureau,
- Double clique sur Safeboot_SP2.reg et accepte la fusion à la base de registre.
Fais analyser ces fichiers sur VirusTotal :
| Citation: | C:\WINDOWS\system32\635C76BDFE.sys
C:\WINDOWS\system32\bececdee4_r.dll
C:\WINDOWS\system32\cdbedea2_s.dll
C:\WINDOWS\system32\dfacbdfbbfcfcd_k.dll |
Et communique-moi les résultats.
On attaque :
- Désactive ton antivirus et tes autres protections pour que Combofix puisse s'éxécuter normalement (Winpatrol et Ad-Aware compris),
- Ouvre le bloc notes et enregistre la totalité du texte ci-dessous :
| Citation: | File::
C:\WINDOWS\bhookpl.dll
C:\WINDOWS\system32\msdll.exe
Registry::
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"Bandook"=-
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentVersion\RunOnce]
"*Bandook"=-
Rootkit::
C:\WINDOWS\bhookpl.dll |
Enregistre le fichier en le nommant CFScript.txt et fais un glisser/déposer du fichier vers Combofix comme sur l'image ci-dessous :
Double-clique Combofix.exe et laisse le s'exécuter (ne touche à rien pendant toute la durée du scan)
Télécharge Deckard's System Scanner (DSS) (de Deckard), sur ton Bureau à partir de ce lien :
http://deckard.geekstogo.com/dss.exe
- Ferme tous les programmes en cours, y compris ton navigateur (pas d'activité internet pendant la manipulation)
- Désactive tes protections durant avant de lancer l'outil pour ne pas le gêner (Antivirus, antispyware etc...)
- Double clique sur DSS.exe pour lancer l'installation, puis l'outil,
- Tu devras cliquer [Ok] à chaque fois que cela sera demandé,
- A l'issue de l'analyse, deux fichiers texte vont apparaître :
main.txt <- ouvert dans une fenêtre normale
extra.txt <- ouvert dans une fenêtre réduite
Ferme ces deux fenêtres du Bloc-notes.
Poste le résultat de Combofix , et les deux rapports de DSS (main.txt et extra.txt) qui se trouvent sous C:\Deckard\System Scanner
Une question importante : as-tu récemment cracké un logiciel avant ces problèmes et si oui, lequel ?
Bon courage
@+
_________________
 |
|
| Revenir en haut |
|
 |
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
| Posté le: 06 Déc 2007 13:13 Sujet du message: |
|
|
Bojour SEV,
je repasse rapidement sur ma machine, je serai plus présent ce soir.
J'ai bien fait l'inscription dans la BDR
en revanche je ne trouve aucun des 4 fichiers de \system32 que tu souhaites analyser par virus total.
Au sujet de la dernière remarque "crack", rien de particulier récemment.
En fait mes soucis sont apparus après que j'ai eu changé ma carte mère, qui s'est parfaitement passé, à une exception près: lorsque j'ai voulu relancer Adobe acrobat pro 8, installé sans encombre depuis au moins trois mois, mises à jour effectuées sans problème, j'ai eu une alerte disant que ma version ne pouvait être validée, ayant tenté de revalider sans résultat, j'ai désinstallé.
C'est le seul incident notable.
Encore merci, à bientôt
_________________
Pierre |
|
| Revenir en haut |
|
|
jjcojax
Membre fondateur
Inscrit le: 25 Nov 2003
Messages: 3599
Localisation: Belgique
|
| Posté le: 06 Déc 2007 15:03 Sujet du message: |
|
|
Bonjour,
Pour voir les fichiers cachés et systèmes:
En texte ou en image.
Si ces fichiers sont présents dans les rapports, ...
|
|
| Revenir en haut |
|
|
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
| Posté le: 06 Déc 2007 20:44 Sujet du message: |
|
|
Bonsoir Sev
Effectivement les 4 fichiers étaient bien présents, j'étais pourtant convaincu de les avoir rendus visibles.
Total Virus ne donne aucun résultat positif pour ces 4 fichiers
Pour ce qui est de "DSS" je n'ai obtenu ce soir que le fichier main:
http://cjoint.com/?mgvKkcHXfA
j'avais auparavant lancé une permière fois, mais sans désactiver winpatrol et l'antivirus, et j'avais obtenu les 2 fichiers, je les ai donc effacés et j'ai relancé Dss après désactivation et je n'ai plus qu'un seul fichier.
J'ai pensé à désinstaller dss mais je n'ai vu aucune procédure pour le faire.
J'ai l'impression de patauger comme un débutant
Merci
Edit
je viens de tenter un mode sans echec et cette fois ça marche
_________________
Pierre |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7803
Localisation: Rouen (France)
|
| Posté le: 06 Déc 2007 23:05 Sujet du message: |
|
|
Bonsoir,
Merci JJCojax
| pg45 a écrit: | | Total Virus ne donne aucun résultat positif pour ces 4 fichiers |
Peut importe le résultat, je voudrais les voir quand même. :)
| Citation: | j'avais auparavant lancé une permière fois, mais sans désactiver winpatrol et l'antivirus, et j'avais obtenu les 2 fichiers, je les ai donc effacés et j'ai relancé Dss après désactivation et je n'ai plus qu'un seul fichier.
J'ai pensé à désinstaller dss mais je n'ai vu aucune procédure pour le faire.
J'ai l'impression de patauger comme un débutant |
C'est pas grave, on va la refaire
- Désactive tes protections résidentes,
- Fais Démarrer / Exécuter
- A l'invite de commande, tape ou copie/colle ceci :
"%userprofile%\Bureau\dss.exe" /config
- Clique sur Ok
- Sur la fenêtre qui apparaît, clique sur Check All puis sur Scan, tu vas obtenir les rapports (un peu long) que je t'ai demandés.
| Citation: | | Editje viens de tenter un mode sans echec et cette fois ça marche |
C'est déjà ça. 
Je n'ai pas regardé complètement ton rapport et vu l'heure, je pense que je vais plutôt attendre que tu me postes les rapports demandés.
Il y a des améliorations, mais encore une trace d'infection :
| Citation: | [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B6A807N6-42DF-4W02-93E5-B156B3FA8AL1}]
C:\WINDOWS\system32\msdll.exe |
| Citation: | | Au sujet de la dernière remarque "crack", rien de particulier récemment. |
Une chose est sûre c'est que ce problème là n'a rien à voir avec le changement de carte mère.
RivaTuner v2.06, ou TomTom sont "cleans" ?
Tu es la seule personne à utiliser ce PC avec les droits d'administration ?
@demain.
++
_________________
|
|
| Revenir en haut |
|
|
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
|
| Revenir en haut |
|
|
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
| Posté le: 07 Déc 2007 13:15 Sujet du message: |
|
|
Re Sev,
suite avec les liens pour les fichiers DSS:
http://cjoint.com/?mhokPqKTaC
http://cjoint.com/?mhoneX5Sh1
juste une remarque je ne trouve plus ce fichier "msdll.exe" dans \system32
est ce un bon présage? 
Edit
Tomtom et Riva Tuner sont parfaitement 'clean'
je suis le seul utilisateur, avec un branchement permanent à internet (modem adsl routeur WiFi Linksys)
Re Edit
je viens de faire une recherche sur msdll.exe, il a bel et bien disparu de \system32
et je l'ai retrouvé renommé en "msdll.exe.vir" dans un répertoire inconnu: C:\qoobox\Quarantine\C\WINDOWS\system32
je n'ai aucune idée de ce que peut être ce répertoire, sûrement consécutif à toutes les manipulations que tu m'as fait faire, apparemment celles ci ont permis de renommer ce fichier et je l'espère de le désactiver.
Je ne touche plus à rien sans ordre de ta part
_________________
Pierre |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7803
Localisation: Rouen (France)
|
| Posté le: 07 Déc 2007 20:48 Sujet du message: |
|
|
Bonsoir 
| pg45 a écrit: | | un répertoire inconnu: C:\qoobox\Quarantine\C\WINDOWS\system32 |
Qoobox correspond à la quarantaine de Combofix, dont il me manque le rapport justement
| Citation: | | Poste le résultat de Combofix , et les deux rapports de DSS (main.txt et extra.txt) qui se trouvent sous C:\Deckard\System Scanner |
Les résultats sont plutôt bons, et je pense qu'il nous restera un peu de ménage pour finir.
Le mode sans échec tient toujours ?
Et Dr Watson te donne des nouvelles ou ça va mieux ?
@+
_________________
|
|
| Revenir en haut |
|
|
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
| Posté le: 07 Déc 2007 21:17 Sujet du message: |
|
|
Bonsoir Sev,
le lien de Combofix:
http://cjoint.com/?mhwo5ejJDS
je reviens dans ce message après avoir essayé le mode sans echec
Edit
le mode sans échec fonctionne normalement, mais à la fermeture de Windows j'ai toujours la fenêtre qui me dit que "dwwin.exe la dll n'a pu s'initialiser"
Merci
Re Edit
je viens de refaire un scan avec Combofix car le lien ci dessus donne un fichier d'hier, voici le dernier fichier:
http://cjoint.com/?mhwQOMGaGO
il semble qu'il y ait toujours une inscription de "msdll" dans la Bdr, mais là c'est facile à supprimer, j'espère
_________________
Pierre |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7803
Localisation: Rouen (France)
|
| Posté le: 08 Déc 2007 14:22 Sujet du message: |
|
|
Bonjour,
C'était bien le 1er rapport de CF que je voulais pour voir ce qu'il avait fait.
On va s'occuper de la clé en question :
- Suppprime CFScript de ton Bureau, on va en créer un nouveau,
- Ouvre le bloc notes et copie/colle ceci :
| Citation: | | [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B6A807N6-42DF-4W02-93E5-B156B3FA8AL1}]=- |
Enregistre le fichier en le nommant CFScript.txt et recommence la manipulation du glisser/déposer vers Combofix
Poste le rapport obtenu. :)
@+
_________________
|
|
| Revenir en haut |
|
|
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
| Posté le: 08 Déc 2007 17:11 Sujet du message: |
|
|
Bonsoir Sev
voici le lien après le nouveau scan:
http://cjoint.com/?miseIBHmsK
une simple intervention dans la Bdr pour supprimer la clé dans HKLM ne suffirait pas?
je vois dans le rapport qu'il est peut être question de rootkit ?
Merci
_________________
Pierre |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7803
Localisation: Rouen (France)
|
| Posté le: 08 Déc 2007 20:39 Sujet du message: |
|
|
Arf, désolée, j'ai mangé un bout de la syntaxe en route 
Le bon script est celui-ci :
| Citation: | registry::
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B6A807N6-42DF-4W02-93E5-B156B3FA8AL1}]=- |
Fichier CFScript à remplacer
Si jamais ça échoue, sais-tu naviguer dans le registre (via regedit) ?
@+
_________________
|
|
| Revenir en haut |
|
|
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
| Posté le: 08 Déc 2007 21:41 Sujet du message: |
|
|
Bonsoir Sev,
ça me rassure, y'a pas que moi qui fait des bétises
voici le lien, j'espère qu'il te conviendra:
http://cjoint.com/?miwKeCoDxj
pour ce qui est de la Bdr, je pense que ça devrait aller, avec regedit bien sûr, mais j'ai également jv16 powertool qui est sûrement mieux
_________________
Pierre |
|
| Revenir en haut |
|
|
Sév
Membre fondatrice
Inscrit le: 15 Fév 2005
Messages: 7803
Localisation: Rouen (France)
|
| Posté le: 08 Déc 2007 21:45 Sujet du message: |
|
|
Ok, alors va atomiser cette clé, redémarre et vérifie qu'elle ne soit pas revenue.
Un petit nettoyage de la BDR et des fichiers temporaires avec CCleaner ne devrait pas faire de mal à ton PC ensuite.
Si succès de suppression de la clé je pense que tu ne devrais plus avoir de message d'erreur avant l'extinction du PC. :)
++
_________________
|
|
| Revenir en haut |
|
|
pg45
Nouveau
Inscrit le: 05 Sep 2007
Messages: 34
|
| Posté le: 08 Déc 2007 22:00 Sujet du message: |
|
|
Sev,
avant cela voici ce que donne une recherche sur msdll
http://cjoint.com/?miw6cD1GqO
recherche faite avec jv16
je ne les supprime qu'après ton avis
_________________
Pierre |
|
| Revenir en haut |
|
|
|
FAQ
Membres
S'enregistrer
Profil
Vérifier ses messages privés
Connexion
