Virus rootkit win 32gen

[b marlow]

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

File::
C:\WINDOWS\System32\drivers\apayz.sys

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.
-----

[invite7c3eeb84]

Voila le rapport fait par combofix

[b marlow]

recommence avec ceci, supprime l'autre CFScript.

Copie (Ctrl+C) le texte se situant dans le cadre ci-dessous :

Code:

Rootkit::
C:\WINDOWS\System32\drivers\apayz.sys 
 
Folder::
c:\programdata\tunesega      
c:\programdata\towefuzu        
c:\programdata\jekatuji     
c:\programdata\vokubonu         
c:\programdata\lijujuto        
c:\programdata\dayahiba         
c:\programdata\vahuyayu        
c:\programdata\nelumoje        
c:\programdata\huyajuni        
c:\programdata\bovenage        
c:\programdata\zupikure        
c:\programdata\zahuzewi       
c:\programdata\rawuyona        
c:\programdata\nugevozi       
c:\programdata\mamakale        
c:\programdata\rivesogo        
c:\programdata\tehubufe       
c:\programdata\vonutiso        
c:\programdata\vebeliso       
c:\programdata\ropepenu

Ouvre le Bloc-Notes puis colle (Ctrl+V) le texte que tu as copié.
(Démarrer\Tous les programmes\Accessoires\Bloc notes.)
Sauvegarde ce fichier sous le nom de CFScript.txt

Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :


Une fenêtre bleue va apparaître ,tape 1 puis valide .(il se peut qu'il se lance directement)
Ton Bureau va disparaître à plusieurs reprises, pas d'inquiétude c'est normal,
ne touche surtout à rien pendant le scan de Combofix.
Une fois le scan terminé, poste le contenu du rapport obtenu.

[invite7c3eeb84]

Voici le dernier rapport fait par combofix

[b marlow]

Ok, vérifie quand même la présence ou non du fichier C:\WINDOWS\System32\drivers\apayz.sys
s'il a été bien supprimé par Combofix, ca la première fois cela n'avait pas réussi. Ensuite:


Télécharge antiboot.zip et enregistre-le sur le bureau (et pas ailleurs):
Décompresse-le (clic-droit Extraire )sur le Bureau

Puis Démarrer>Exécuter ( Windows + R) et copie-colle le contenu du cadre ci-dessous:

Si un dossier jaune nommé antiboot est sur le bureau -->

Code:

"%userprofile%\bureau\antiboot\antiboot.exe" -l c:\logfile.txt

*** Si les fichiers sont décompressés directement sur le bureau (antiboot.exe et un fichier eula.txt) -->

Code:

"%userprofile%\bureau\antiboot.exe" -l c:\logfile.txt

Une fenêtre noire va s'ouvrir; laisse travailler l'outil.
Si le message suivant apparait: "rootkit has been detected! Would you like to cure? " , tu auras le choix: Y/N : presse la touche Y.

L'outil va désinfecter puis demander un redémarrage. Toutes les applications doivent être fermées (sauf l'outil) presse alors
la touche Y (yes) et valide par la touche Entrée du clavier.

*** Si le pc n'est pas infecté par ce rootkit, l'outil le signalera par ce message: "No infected disks found".

Poste le rapport qui se trouve sur le C:\logfile.txt

[invite7c3eeb84]

Le fichier apayz.sys est toujours la.. qu'est-ce que je fais?

[b marlow]

passe à Antiboot.exe, on utilisera un autre tool pour supprimer le fichier.

[invite7c3eeb84]

ça ne marche pas il y a un message d'erreur quand je fais exécuter: "C:/Users/Bilda/bureau fait référence a un emplacement non disponible. Il peut s'agir d'un emplacement situé sur un disque dur de cet ordinateur ou un réseau. Vérifiez que le disque est inséré correctement, ou que vous êtes connectée à internet ou a un reseau domestique, puis essayez a nouveau. Si vous ne trouvez toujours pas l'information, elle a peut-être été déplacée vers un emplacement.

[b marlow]

quel idée de changer de changer le nom du Bureau en Desktop pour Vista
ils sont un peu torturés de la tête chez microsoft

donc ce sera plutot une de celles-ci :

Code:

"%userprofile%\Desktop\antiboot\antiboot.exe" -l c:\logfile.txt

ou:

Code:

"%userprofile%\Desktop\antiboot.exe" -l c:\logfile.txt

[invite7c3eeb84]

Voici le rapport

[b marlow]

Télécharge: The Avenger2 par Swandog46
Décompresse le fichier (clic-droit Extraire)
Double-clique sur Avenger.exe ( pour Vista faire clic-droit Exécuter en tant qu'administrateur )
Dans le cadre , sous Input script here , copie-colle le contenu du cadre ci-dessous et clique sur Execute:

Code:

Drivers to delete:
apayz
 
Files to delete:
C:\WINDOWS\System32\drivers\apayz.sys

Après le re-Démarrage, un fichier log va s'ouvrir, faisant apparaitre les actions exécutées
par The Avenger. Poste ce rapport.
Une copie est sauvegardé en C:\avenger.txt

[invite7c3eeb84]

Voila le rapport. Si nan j'ai vérifier si le dossier apayz.sys avait disparu et effectiveùent il a bien été supprimé.

[b marlow]

Bien, nous allons supprimer les outils qui nous ont servi pour la procédure

Télécharge ToolsCleaner (A.Rothstein et dj QUIOU)
Enregistre-le sur ton Bureau
Clique sur Recherche et laisse le scan se terminer.
Clique sur Suppression pour finaliser.
Tu peux, si tu le souhaites, te servir des Options facultatives.
Clique sur Quitter, pour que le rapport puisse se créer.
Poste le rapport C:\TCleaner.txt

NB: Pour Vista l'utilisation de l'outil nécessite de faire Clic-droit Exécuter en tant qu'administrateur.

[invite7c3eeb84]

Voici le rapport

[b marlow]

tu peux supprimer ComboFix s'il est encore sur le Bureau.

Un compte limité accroit la sécurité

Les mises à jour des programmes aussi

Comment reconnaitre et éviter les programmes piégés

Les dangers du P2P


@+

[invite7c3eeb84]

Un grand merci!!!! Je ne c'est pas quoi te dire mais c'est vraiment super sympa de m'avoir aidé!!! je n'hésiterai pas a venir te voir pour m'informer si ca ne te dérange pas!! a+ tard