rootkit gen 2

[inviteeeb36446]

Bonsoir,

J'ai lancé zhpdiag et pendant l'analyse antivir a detecté le rootkit gen 2.

Il m'a proposé de le supprimer, ce que j'ai fais et voici le rapport de zhpdiag.

A+
-----

[invitec04351b8]

Re,

tu aurais noté (ou tu te souviendrais) du nom du fichier infecté ?

===

Ouvre ce lien :
http://www.free.fr/assistance/2510-r...ox-server.html

Est ce que tu accèdes à la box en cliquant sur mafreebox.freebox.fr ?

Tu fais un reboot de la Freebox par une des méthodes indiqué.

Si, après redémarrage, tu ne récupères pas ta connexion, tu passes à la page 2.

Essaye d'abord un redémarrage de secours suivi d'un simple, suivi d'un redémarrage de l'ordi.

Si ça ne suffit pas, retour aux paramètres de sortie d'usine de la box et reconfiguration de la connexion (comme pour la première connexion).

@+

[inviteeeb36446]

Bonjour ,

Toujours rien .Au fait ma freebox c'est une hd v5 et pas la free revolution.

J'ai fait hard reboot + mafreebox.freebox.fr et rien.

Voila dans les evenements d' antivir le fichier infecté ..

c:\WINDOWS\system32\drivers\af d.sys.vir ..... TR/rootkit.gen2 ....[trojan]

Fichier deplacé dans le repertoire de quarantaine sous le nom ..4de63bb6.qua
..

[invitec04351b8]

Bonjour,

je crois que l'on vient de progresser.

Le fichier Afd.sys a été patché. Si il a été supprimé et non remplacé, il semble que ça puisse expliquer le problème de la connexion Internet.

On va faire plusieurs choses.

1) le fichier afd.sys est-il toujours sous c:\WINDOWS\system32\drivers ?

Pour le voir, il faut peut être que tu modifies les règles d'affichage pour afficher les fichiers cachés et les fichiers système.

Tu les recacheras après.

2) Sous Hiren' Boot (car il faut Internet), ouvre ce lien :

http://support.kaspersky.com/fr/faq/?qid=208280685

Fais ce qui est dit sous Réparation du système infecté en l'adaptant :

tu télécharges et tu extrais sous Hiren' Boot (tu le mets sur le Bureau de ta session normale)

tu redémarres normalement pour exécuter tdsskiller.exe

le bouton Report te permets de créer un rapport

tu le donneras dans ta réponse

3) pendant que tu es en démarrage normal, relance ZHPDiag

clique sur les jumelles pour lancer ZHPSearch

tape afd.sys dans la fenêtre puis clique sur /s /MD5

clique sur la loupe pour lancer la recherche

en fin de recherche, clique sur la disquette pour enregistrer le rapport

tu le copieras dans ta réponse.

@+

[inviteeeb36446]

Re,

J'ai cherché le fichier c:\WINDOWS\system32\drivers\af d.sys.vir mais il n-y-est plus.

Voici les deux rapports de tdsskiller et ZHPSearch.

Pendant l'analyse de tdsskiller il a trouvé un fichier suspect, puis il ma demandé de choisir une action .

Je l'ai mis en quarantaine . bien ou pas bien???

[invitec04351b8]

Re,

le fichier sptd.sys est légitime (c'est le driver de Daemon Tools).

Mais je crois qu'il se recrée.

Par contre, afd.sys n'existe plus.

On va le recréer à partir de

C:\WINDOWS\system32\dllcache\a fd.sys

tu fais une copie de ce fichier (une copie, pas un déplacement) dans


C:\WINDOWS\system32

Tu fais redémarrer l'ordi et tu regardes si tu récupères ta connexion.

@+

[inviteeeb36446]

Re Je ne trouve pas le chemin c:\WINDOWS\system32\dllcache\a fd.sys Merci

[invitec04351b8]

Re,

tu as affiché les fichiers cachés et les fichiers système ?

Il est possible que le problème vienne de l'espace introduit par le site.

Tu ne trouves pas

Code:

c:\WINDOWS\system32\dllcache\afd.sys

?

@+

[inviteeeb36446]

Re je bien mis sans l espace et les fichiers caches ne le sont plus Merci

[invitec04351b8]

Re,

et tu ne l'as pas trouvé ?

Essaye de copier celui-ci :

Code:

C:\WINDOWS\$hf_mig$\KB2592799\SP3QFE\afd.sys

@+

[inviteeeb36446]

Re,

Non toujours rien, mais j'ai trouvé ce fichier texte et il y en a plusieurs comme celui-ci KB2592799.

[invitec04351b8]

Re,

Copie ou imprime les instructions avant

• Déconnecte toi d'internet et ferme toutes tes applications.
• Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
• Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
  
  
  
  Code:

  Fcopy::
  c:\WINDOWS\system32\dllcache\afd.sys | c:\WINDOWS\system32\afd.sys

• Enregistre ce fichier sous le nom CFscript
• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
• Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
• Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
• Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.

@+

[inviteeeb36446]

Re, J'ai essayé mais combofix me dit que ma console de recupération windows n'est pas installée. Alors j'essaie de l'installer avec le cd windows ,mais il ne trouve pas le chemin dans la commande. Enfin je cherche moi même le chemin dans le cd et la il me dit votre version windows est plus récente . Que faire???? Merci

[invitec04351b8]

Re,

ignore la demande.

@+

[inviteeeb36446]

Bonsoir,

Voila le rapport. Ah oui!! il ne m a pas demandé de tapé 1 pour continuer mais bon il a fini son scan. merci

[invitec04351b8]

Re,

reessaye de relancer ta connexion Internet.

@+

[inviteeeb36446]

Re, bonsoir Non toujours rien....

[invitec04351b8]

Re,

ça ne peut pas marcher, c'est ma faute.

Déplace c:\windows\system32\afd.sys dans

c:\windows\system32\drivers\af d.sys

Fais redémarrer l'ordi et ressaye de relancer ta connexion Internet.

@+

[inviteeeb36446]

Bonjour,

Malheureusement, il-n-y-a pas d 'internet.

Il-y-a plein de fichiers texte comme celui KB9... etc

Enfin,Voila !!!!

Merci beaucoup...

[invitec04351b8]

Bonjour,

Il-y-a plein de fichiers texte comme celui KB9... etc

où ? quand ?

===

afd.sys est bien maintenant dans c:\windows\system32\drivers ?

@+

[inviteeeb36446]

Re , oui le fichier afd.sys est bien dans c:\WINDOWS\system32\drivers
Les fichiers textes comme celui que j ai envoyé KB9...sont dans c:\windows
J ai demarré internet et rien et puis j ai regardé ipconfig, toujours pareil .
Windows repond renouvellement ip pas possible
Merci

[invitec04351b8]

Re,

CompleteInternetRepair ne répare toujours rien ?

Y compris après redémarrage de l'ordi ?

@+

[inviteeeb36446]

Re J ai essayé aussi internet repair mais rien

[inviteeeb36446]

Re Bonjour
Avons-nous epuisé toute les solutions??

Un grand merci à vous.

[invitec04351b8]

Bonjour,

l'option Obtenir une adresse ip automatiquement est cochée ?

(Ouvrez une session sur l'ordinateur client en tant qu'Administrateur ou Propriétaire.
Dans la barre des tâches, cliquez sur Démarrer, puis sur Panneau de configuration.
Dans le Panneau de configuration, cliquez sur Connexions réseau et Internet sous Sélectionner une catégorie.
Sous la section ou une icône du Panneau de configuration, cliquez sur Connexions réseau.
Cliquez avec le bouton droit sur Connexion au réseau local, puis dans le menu contextuel qui apparaît, cliquez sur Propriétés.
Sous l'onglet Général, dans la liste Cette connexion utilise les éléments suivants, cliquez sur Protocole Internet (TCP/IP), puis sur Propriétés.
Dans la boîte de dialogue Propriétés du protocole Internet (TCP/IP), cliquez sur l'option Obtenir une adresse IP automatiquement (si elle n'est pas déjà sélectionnée), puis sur OK.

]+

[inviteeeb36446]

Bonjour,
L'adresse ip est bien en automatique ainsi que les seveurs dns.
Dans la barre des taches ,il-y-a les petites tv qui indiquent une connexion limitée ou inexistante.
Lorsque je clic sur reparer la connexion il repond que le renouvellement de l'adresse ip n'a pas été menée à bien.
Dans état de connexion adresse ip non valide 0.0.0.0 et masque sous réseau 0.0.0.0
Au demarrage de windows il-y-a un message d'erreur runtime error! program:C:\Program Files\Fichier... R6034 an application has made an attempt to load the C runtime library incorrectly.Please contact the application's support team for more information
et pour finir le pare feu windows ( les parametres du pare feu windows ne peuvent pas etre affichés car le services associé n'est pas en cours d'execution. voulez vous demarrer le service pare feu windows/ partage de connection internet) ce que je fais et il me repond (windows ne peut pas démarrer le service Pare feu windows) Quel effronté ce windows!!!!
Voila je crois que j'ai tout dit. Merci

[invitec04351b8]

Re,

tu adaptes la procédure comme d'habitude (Hiren's Boot pour récupérer les infos et transmetre le rapport).

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 19/11/2011 - 12:48:56 ---A- . (...) -- C:\WINDOWS\system32\mE5YNOw.com   [0]
EmptyTemp
M3 - MFPP: Plugins - [christophe] -- C:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\ld629n0r.default\searchplugins\MyStart Search.xml
[HKCU\Software\AppDataLow\Software\IncrediMail_MediaBar_2]
O43 - CFD: 10/10/2009 - 10:28:10 - [532064] ----D- C:\Program Files\Conduit
O43 - CFD: 10/10/2009 - 10:28:10 - [6870] ----D- C:\Documents and Settings\christophe\Local Settings\Application Data\Conduit
O43 - CFD: 05/01/2011 - 20:44:22 - [0] ----D- C:\Documents and Settings\christophe\Local Settings\Application Data\IncrediMail_MediaBar_2
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine]
[HKLM\Software\Classes\Conduit.Engine]
[HKLM\Software\Classes\Toolbar.CT2724386]
[HKLM\Software\Classes\TypeLib\{C31103D1-E584-4880-B1D3-6B1DF6FBDE22}]
C:\Program Files\Conduit
C:\Documents and Settings\christophe\Local Settings\Application Data\Conduit
C:\Documents and Settings\christophe\Local Settings\Application Data\IncrediMail_MediaBar_2
C:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\ld629n0r.default\Conduit
C:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\ld629n0r.default\ConduitEngine
C:\Documents and Settings\christophe\Application Data\Mozilla\Firefox\Profiles\ld629n0r.default\SearchPlugins\MyStart Search.xml

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

Tu reessayes pour ta connexion.

@+

[inviteeeb36446]

RE bonsoir

J'ai executé la manoeuvre !!!

Il n-y-a pas d'internet et toujours la meme histoire, pas de pare feu ni de renouvellement ip .

Voila les rapports .

MERCI

[invitec04351b8]

Re,

dans la quarantaine de Antivir, il y a d'autres fichiers que afdd.sys marqué rootkit gen2 ?

@+

[inviteeeb36446]

Bonjour, Non il-n-y-a pas d'autres fichiers dans la quarantaine d'antivir.

@+