atapi.sys et netbt.sys : suspicious

Si vous avez des infections (Virus/Vers/Malware spywares, pubs etc... :)

Modérateurs: Mods Windows, Helper

atapi.sys et netbt.sys : suspicious

Messagepar mayapan22 » 19 Avr 2010 23:59

Bonjor,

Depuis 15 jours, je traine un virus.
J'ai été sur commentcamarche.net où j'ai beaucoup été aidé.
Depuis " jours, il semblerait que l'on tourne en rond car :
gmer et Combofix n'arrivent pas à nettoyer l'infection.

Que puis-je faire pour m'en sortir ?

Ci-joint un scan via gmer :
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-19 23:37:52
Windows 5.1.2600 Service Pack 3
Running: merg.exe; Driver: C:\DOCUME~1\IBM\LOCALS~1\Temp\kwddrpow.sys


---- System - GMER 1.0.15 ----

SSDT rk_remover.sys (TDSS Remover Kernel Driver/eSage Lab) ZwCreateFile [0xF7534480]
SSDT F7C4AC46 ZwCreateKey
SSDT F7C4AC3C ZwCreateThread
SSDT F7C4AC4B ZwDeleteKey
SSDT F7C4AC55 ZwDeleteValueKey
SSDT F7C4AC5A ZwLoadKey
SSDT rk_remover.sys (TDSS Remover Kernel Driver/eSage Lab) ZwOpenFile [0xF75343E0]
SSDT F7C4AC28 ZwOpenProcess
SSDT F7C4AC2D ZwOpenThread
SSDT F7C4AC64 ZwReplaceKey
SSDT F7C4AC5F ZwRestoreKey
SSDT F7C4AC50 ZwSetValueKey
SSDT F7C4AC37 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.rsrc C:\WINDOWS\system32\DRIVERS\netbt.sys entry point in ".rsrc" section [0xBAEB5A14]

---- Devices - GMER 1.0.15 ----

Device -> \Driver\atapi \Device\Harddisk0\DR0 86860AC8

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\DRIVERS\netbt.sys suspicious modification
File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

mayapan22
newbie
newbie
 
Messages: 5
Inscription: 19 Avr 2010 23:48

Re: atapi.sys et netbt.sys : suspicious

Messagepar Malekal_morte » 20 Avr 2010 00:02

Salut,

Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
Download Mirror:: http://jpshortstuff.247fixes.com/SystemLook.exe
Download Mirror #2:: http://images.malwareremoval.com/jpshor ... emLook.exe

* Double-click SystemLook.exe pour le lançer.
* Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

Code: Tout sélectionner
:filefind
netbt.sys


* Click le bouton Look pour commencer le scan.
* Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche

Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

20% de promotion sur Malwarebyte's Anti-Malware

Soutenez malekal.com en effectuant un don!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 65539
Inscription: 10 Sep 2005 13:57

Re: atapi.sys et netbt.sys : suspicious

Messagepar mayapan22 » 20 Avr 2010 00:07

Bonsoir,

Merci pour ton aide.

Voilà le rapport
SystemLook v1.0 by jpshortstuff (11.01.10)
Log created at 00:03 on 20/04/2010 by IBM (Administrator - Elevation successful)

========== filefind ==========

Searching for "netbt.sys"
C:\WINDOWS\ServicePackFiles\i386\netbt.sys -----c 162816 bytes [19:21 13/04/2008] [19:21 13/04/2008] 74B2B2F5BEA5E9A3DC021D685551BD3D
C:\WINDOWS\system32\dllcache\netbt.sys --a--c 162816 bytes [12:00 05/08/2004] [21:09 19/04/2010] 74B2B2F5BEA5E9A3DC021D685551BD3D
C:\WINDOWS\system32\drivers\netbt.sys --a--- 162816 bytes [12:00 05/08/2004] [21:09 19/04/2010] 74B2B2F5BEA5E9A3DC021D685551BD3D

-=End Of File=-

mayapan22
newbie
newbie
 
Messages: 5
Inscription: 19 Avr 2010 23:48

Re: atapi.sys et netbt.sys : suspicious

Messagepar Malekal_morte » 20 Avr 2010 08:40

Sauvegarde tes données importantes, on est pas à l'abri d'un plantage!

~~

1/Télécharger The Avenger par Swandog46 sur votre Bureau.

http://swandog46.geekstogo.com/avenger.zip

l'extraire sur le bureau

2/ Ouvre le bloc-note et copie/colle ce qu'il y a ci-dessous :

@echo off
copy C:\WINDOWS\ServicePackFiles\i386\netbt.sys c:\netbt.sys
if exist c:\netbt.sys echo la copie a reussi
pause


- Enregistre le fichier sur ton bureau sous le nom atapi.bat (le .bat à la fin est important)
- Fais un clic droit sur atapi.Bat puis exécuter en tant qu'administrateur
Si tout va bien ça te doit te dire que la copie a réussi.

3/ Lance The Avenger via clic droit executer en tant qu'administrateur puis Copier coller tout le texte du cadre ci dessous

Files to move:
c:\netbt.sys | C:\Windows\System32\drivers\netbt.sys


et clic droit coller dans la fenetre d'avenger sous input script here, comme sur la capture

Image

et clic execute.

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

* Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

4/ retente GMER, désactive bien ton antivirus.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

20% de promotion sur Malwarebyte's Anti-Malware

Soutenez malekal.com en effectuant un don!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 65539
Inscription: 10 Sep 2005 13:57

Re: atapi.sys et netbt.sys : suspicious

Messagepar mayapan22 » 20 Avr 2010 20:35

Bonsoir,

Je crois que tu as trouvé le bonne solution.
Gmer ne détecte plus atapi.sys !!

Est-ce que tu crois que c'est bon maintenant ?

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-20 20:27:15
Windows 5.1.2600 Service Pack 3
Running: merg.exe; Driver: C:\DOCUME~1\IBM\LOCALS~1\Temp\kwddrpow.sys


---- System - GMER 1.0.15 ----

SSDT F7C64BBE ZwCreateKey
SSDT F7C64BB4 ZwCreateThread
SSDT F7C64BC3 ZwDeleteKey
SSDT F7C64BCD ZwDeleteValueKey
SSDT F7C64BD2 ZwLoadKey
SSDT F7C64BA0 ZwOpenProcess
SSDT F7C64BA5 ZwOpenThread
SSDT F7C64BDC ZwReplaceKey
SSDT F7C64BD7 ZwRestoreKey
SSDT F7C64BC8 ZwSetValueKey
SSDT F7C64BAF ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

? iyaa.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\Explorer.EXE[1608] SHELL32.dll!ShellExecuteExW 7CA1996B 5 Bytes JMP 5678430C C:\Program Files\SuperCopier\SCHook.DLL
.text C:\WINDOWS\Explorer.EXE[1608] SHELL32.dll!ShellExecuteEx 7CA50EB5 5 Bytes JMP 56784218 C:\Program Files\SuperCopier\SCHook.DLL
.text C:\WINDOWS\Explorer.EXE[1608] SHELL32.dll!SHFileOperationW 7CA80924 5 Bytes JMP 56784074 C:\Program Files\SuperCopier\SCHook.DLL
.text C:\WINDOWS\Explorer.EXE[1608] SHELL32.dll!SHFileOperation 7CA80C0C 5 Bytes JMP 56783EF8 C:\Program Files\SuperCopier\SCHook.DLL

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 mouclass.sys (Pilote de la classe Souris/Microsoft Corporation)
AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

---- EOF - GMER 1.0.15 ----

mayapan22
newbie
newbie
 
Messages: 5
Inscription: 19 Avr 2010 23:48

Re: atapi.sys et netbt.sys : suspicious

Messagepar Malekal_morte » 20 Avr 2010 20:38

Désactive les logiciels de protection (Antivirus, Antispywares) puis :

Télécharge Combofix sUBs : combofix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

20% de promotion sur Malwarebyte's Anti-Malware

Soutenez malekal.com en effectuant un don!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 65539
Inscription: 10 Sep 2005 13:57

Re: atapi.sys et netbt.sys : suspicious

Messagepar mayapan22 » 20 Avr 2010 21:17

Bonsoir,

Voici le lien vers la log de combo fix
http://www.cijoint.fr/cjlink.php?file=c ... 51WIbn.txt

mayapan22
newbie
newbie
 
Messages: 5
Inscription: 19 Avr 2010 23:48

Re: atapi.sys et netbt.sys : suspicious

Messagepar Malekal_morte » 20 Avr 2010 21:30

C'est OK, tu n'es plus infecté en suivant les dernières manipulations ci-dessous et lire ATTENTIVEMENT ce qui suit :)


Finir le nettoyage :
- Menu Démarrer / exécuter et tape : Combofix /uninstall puis OK (attention il y a pas d'espace entre le / et le uninstall)

- Nettoye ton ordinateur avec CCleaner : http://www.malekal.com/tutorial_CCleaner.html
- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP - Mode d'emploi pour désactiver/réactiver la restauration système pour Windows Vista
- Tu peux ensuite désinstaller tous les programmes que l'on a utilisé.

Quelques points essentiels sur la sécurité de ton PC :

- La sécurité, c'est toi qui l'a fait et non les programmes que tu installes, si tu ne connais pas un minimum sur la manière dont les infections se propagent, tu seras réinfecté car ce sera facile de te piéger.
- On ouvre pas n'importe quel fichier quelque soit le prétexte. Derrière n'importe quel fichier un malware peut se cacher, on réfléchit quand on te propose un fichier sur un site, on bannit les cracks et P2P.
- On maintient son système à jour et TOUS ses logiciels à jour pour combler les vulnérabilités : Scan de vulnérabilités.

Pour aller plus loin : Sécuriser son ordinateur (version courte)

___________________________________


je t'invite à lire ce PDF (cliquer sur la bannière si dessous), ce PDF explique comment les infections se propagent, les bonnes habitudes à avoir pour ne plus se faire infecter et comment sécuriser ton ordinateur, lis tout attentivement, n'hésite surtout pas à l'envoyer à tous tes amis par mail pour les sensibiliser :

Image

Tout pour sécuriser ton PC est résumé dans la page Sécuriser son ordinateur (version courte)
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

20% de promotion sur Malwarebyte's Anti-Malware

Soutenez malekal.com en effectuant un don!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 65539
Inscription: 10 Sep 2005 13:57

Re: atapi.sys et netbt.sys : suspicious

Messagepar mayapan22 » 20 Avr 2010 22:15

Bonsoir,

Un Grand Grand merci pour ton aide.
J'ai lu le PDF. J'ai mis son adresse dans la signature de mes mails.

J'ai créé un compte limité, j'ai fait le nettoyage, et je vais surfer plus prudent maintenant...

mayapan22
newbie
newbie
 
Messages: 5
Inscription: 19 Avr 2010 23:48

Re: atapi.sys et netbt.sys : suspicious

Messagepar Malekal_morte » 20 Avr 2010 23:44

:cheers3:
Première régle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

20% de promotion sur Malwarebyte's Anti-Malware

Soutenez malekal.com en effectuant un don!

Avatar de l’utilisateur
Malekal_morte
Site Admin
Site Admin
 
Messages: 65539
Inscription: 10 Sep 2005 13:57


Si vous trouvez le contenu de cette page pertinente, faites +1 :

Publicité

Retourner vers VIRUS : Aide à la désinfection (vers, trojans, spywares, hijack)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 3 invités

Partenaires du site : Geekeden - OxygenePC.com