PC qui redémarre systématiquement...

Thanos · le 24 novembre 2007

salut karo02

Merci à QC001 pour son intervention

karo02, on va continuer comme ceci stp avec Gmer >

1) Si tu as fermé le programme Gmer, relance le et une fois de plus, clique sur le bouton Scan

Une fois le scan terminé, dans le panneau de gauche, tu vas voir quelque chose de similaire à ceci >

Code \SystemRoot\system32\drivers\fdfgugcg.dat ObOpenObjectByName

Fais un clic droit sur cette ligne et sélectionne 'Restore Code'

Une fois ceci fait, ferme GMER.exe

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/3psf9l

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

3) Double clique sur VundoFix.exe (il se trouve sur ton bureau) >

Ne clique pas sur "Scan for a vundo" !!
Fais un clic droit sur une endroit vide de la fenêtre.
Un message va afficher "Add More Files ?", clique dessus : une seconde fenêtre va s'ouvrir.
Sous "Paste files into the box below:" copie/colle les fichiers ci-dessous ( un par case) >

C:\WINDOWS\system32\ckbackb.dll
C:\WINDOWS\system32\drivers\fdfgugcg.dat
Clique sur Add files
Ensuite clique sur Close Windows
Enfin, clique sur Remove Vundo ( les fichiers précédents doivent apparaitre dans la fenêtre principale)
Si l'outil demande un redémarrage, accepte.

Poste les rapports suivants >

-le rapport de ComboFix

-le rapport VundoFix

En mode sans échec, les antivirus n'apparaissent pas dans la barre des tâches : comment faire pour les désactiver ?
Dois-je désinstaller l'un des deux tout de suite ? Dans ce cas, vous me recommandez plutôt Antivir j'imagine ?

Etant donné que tu es en mode sans échec, les protections ne sont pas actives, donc pas de souci

Moi je pencherait pour conserver Antivir, mais tu peux très bien conserver McAfee VirusScan Enterprise: le principal c'est que tu n'en conserve qu'un seul

Modifié le 24 novembre 2007 par charles ingals

karo02 · le 24 novembre 2007

Bonjour !

Ok je continue, je n'aurais peut-être pas le temps de tout finir ce soir car je dois bientôt partir pour une soirée.

En fait (juste pour ma culture perso parce que j'aime bien comprendre ce qui se passe !), si je comprends bien, il y avait un tas de malwares sur mon ordi, dont un très méchant.

Là ils sont à peu près éradiqués, par contre il y a des données endommagées qu'il faut remettre avec Vundofix, pour que le PC refonctionne normalement ?

Dans le scan gmer : le plus ressemblant à ce que tu m'indiques que j'ai, c'est :

? fdfgugcg.dat le fichier spécifié est introuvable

et quand je fais clic droit dessus, l'option "restore code" n'est pas disponible (grisée).

La seule ligne sur laquelle je peux faire restore code, c'est celle-là :

PAGE ntoskrnl.exe!TrlCopySid + FF 805673BA 7 Bytes etc?

Je fais quoi, je continue quand même avec le script et vundo ou pas ?

Modifié le 24 novembre 2007 par karo02

Thanos · le 24 novembre 2007

re!

si je comprends bien, il y avait un tas de malwares sur mon ordi, dont un très méchant.

Un qui est relativement récent et qui est un peu plus compliqué à éliminer

Si la ligne ne correspond pas dans Gmer, passe cette étape et continue avec CFScript et VundoFix (option Add More Files ?)

Félicitations pour ta persévérance

Edit: si tu as déjà téléchargé le fichier CFScript.txt, élimine le! je l'ai modifié et j'ai changé l'adresse de téléchargement dans ma précédente procédure. Si tu ne l'a pas encore téléchargé, ne tiens pas compte de ce message

Modifié le 24 novembre 2007 par charles ingals

karo02 · le 25 novembre 2007

Bonjour !

Bon j'ai un peu merdé pour vundofix, j'ai cliqué plusieurs fois par erreur sur le bouton add files, donc les fichiers ont été rajouté en triple...j'espère que ce n'est pas trop gênant !

voici les 2 logs :

ComboFix 07-11-19.3 - francois platel 2007-11-25 10:23:38.4 - FAT32x86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.383 [GMT 1:00]

Running from: C:\Documents and Settings\francois platel\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\francois platel\Bureau\CFScript.txt

FILE

C:\WINDOWS\system32\ckbackb.dll

C:\WINDOWS\system32\drivers\fdfgugcg.dat

.

Incapable d'obtenir les privilèges Système

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-25 to 2007-11-25 ))))))))))))))))))))))))))))))))))))

.

2007-11-25 10:34 <REP> d--hs---- C:\FOUND.003

2007-11-24 13:13 <REP> d-------- C:\WINDOWS\LastGood

2007-11-24 12:35 <REP> d--hs---- C:\FOUND.002

2007-11-24 11:59 <REP> d-------- C:\WINDOWS\LastGood.Tmp

2007-11-22 22:35 <REP> d--hs---- C:\FOUND.001

2007-11-21 16:34 <REP> d-------- C:\VundoFix Backups

2007-11-21 15:25 <REP> d-------- C:\Program Files\Avira

2007-11-21 15:25 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2007-11-21 09:36 230 --a------ C:\WINDOWS\system32\spupdsvc.inf

2007-11-21 08:39 335 --a------ C:\WINDOWS\system32\vsconfig.xml

2007-11-11 17:43 <REP> d--hs---- C:\FOUND.012

2007-11-11 16:20 <REP> d--hs---- C:\FOUND.011

2007-11-11 14:45 <REP> d--hs---- C:\FOUND.010

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-11-20 19:30 84,480 ----a-w C:\WINDOWS\system32\ckbackb.dll

2007-10-25 16:56 8,510,976 ------w C:\WINDOWS\system32\dllcache\shell32.dll

2007-10-20 10:10 --------- d-----w C:\Program Files\iPod

2007-10-20 10:09 18,688 ----a-w C:\WINDOWS\system32\drivers\fdfgugcg.dat

2007-10-20 10:09 --------- d-----w C:\Program Files\iTunes

2007-10-20 10:08 --------- d-----w C:\Program Files\Amazon

.

((((((((((((((((((((((((((((( snapshot@2007-11-22_18.56.56.96 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-11-23 20:51:26 585,791 ----a-w C:\WINDOWS\gmer.dll

+ 2007-06-29 08:38:18 581,632 ----a-w C:\WINDOWS\gmer.exe

+ 2007-11-23 20:51:26 70,001 ----a-w C:\WINDOWS\system32\drivers\gmer.sys

- 2007-10-28 17:21:28 192,184 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT

+ 2007-11-24 11:36:04 192,184 ----a-w C:\WINDOWS\system32\FNTCACHE.DAT

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{87EFE72E-ED21-48B1-B465-4DEA4ABA77E0}]

2007-11-20 20:30 84480 --a------ c:\windows\system32\ckbackb.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]

"swg"="C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-16 22:51]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PCTVOICE"="pctspk.exe" [2002-09-10 21:32 C:\WINDOWS\system32\pctspk.exe]

"SynTPLpr"="C:\Program Files\Synaptics\SynTP\SynTPLpr.exe" [2002-10-07 16:40]

"SynTPEnh"="C:\Program Files\Synaptics\SynTP\SynTPEnh.exe" [2002-10-07 16:40]

"ESB"="C:\WINDOWS\System32\ESB.exe" [2002-11-19 10:13]

"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 16:10 C:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" [2002-11-08 13:25 C:\WINDOWS\system32\nwiz.exe]

"WINPROC AUDIT"="C:\OEMCUST\TOOLS\WIN32\WINPROC.exe" [2002-05-13 11:39]

"RemoteControl"="C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe" [2004-11-02 20:24]

"TkBellExe"="C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" [2006-06-01 18:15]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

"Zone Labs Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2006-03-16 11:34]

"WinampAgent"="C:\Program Files\Winamp\winampa.exe" [2007-05-15 00:22]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 06:24]

"iTunesHelper"="C:\Program Files\iTunes\iTunesHelper.exe" [2007-09-26 14:42]

"avgnt"="C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-08-31 12:25]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2004-10-13 18:24]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"SharedAccess"=2 (0x2)

R0 sidswawf;Microsoft RPC API Helper;C:\WINDOWS\system32\drivers\fdfgugcg.dat

R3 MTC0001_ESB;ESB device driver;C:\WINDOWS\system32\ntESB.sys

S1 NaiAvTdi1;NaiAvTdi1;C:\WINDOWS\system32\drivers\mvstdi5x.sys

S3 DSDrv4;DSDrv4;\??\C:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys

S3 M2500;802.11g Wireless Network Driver;C:\WINDOWS\system32\DRIVERS\M2500.sys

S3 NuVision;Hauppauge WinTV USB Pro (PAL/SECAM);C:\WINDOWS\system32\DRIVERS\NUVision.sys

S3 PortlUSB;PortlUSB;C:\WINDOWS\system32\DRIVERS\YH920GS.sys

S3 usbscan;Pilote de scanneur USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys

S3 USBSTOR;Pilote de stockage de masse USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

*Newly Created Service* - SIDSWAWF

.

Contenu du dossier 'Scheduled Tasks/Tƒches planifi‚es'

"2007-09-19 15:50:52 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

- C:\Program Files\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-25 10:35:25

Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2007-11-25 10:36:21 - machine was rebooted

C:\ComboFix3.txt ... 2007-11-22 22:37

C:\ComboFix2.txt ... 2007-11-24 12:37

.

--- E O F ---

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.3

Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6

Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 16:34:29 21/11/2007

Listing files found while scanning....

C:\windows\system32\CKBACKB(3).DLL

Beginning removal...

Attempting to delete C:\windows\system32\CKBACKB(3).DLL

C:\windows\system32\CKBACKB(3).DLL Has been deleted!

Performing Repairs to the registry.

Done!

VundoFix V6.6.2

Checking Java version...

Java version is 1.5.0.3

Old versions of java are exploitable and should be removed.

Java version is 1.5.0.6

Old versions of java are exploitable and should be removed.

Java version is 1.5.0.11

Scan started at 12:40:36 24/11/2007

Listing files found while scanning....

No infected files were found.

Beginning removal...

Attempting to delete C:\WINDOWS\system32\ckbackb.dll

C:\WINDOWS\system32\ckbackb.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ckbackb.dll

C:\WINDOWS\system32\ckbackb.dll Could not be deleted.

Attempting to delete C:\WINDOWS\system32\ckbackb.dll

C:\WINDOWS\system32\ckbackb.dll Could not be deleted.

Performing Repairs to the registry.

Done!

Toujours pas de redémarrage en mode normal, là je ne te cache pas que je ne vais pas tarder à atteindre les limites de ma persévérance ,

surtout que mon copain est pressé de pouvoir réutiliser l'ordi et insiste pour formater et réinstaller windows.

Thanos · le 25 novembre 2007

salut

Je comprend bien que toutes ces manipulations finnissent paar être pénibles, aussi on va tenter une dernière procédure si tu veux bien avant l'ultime formatage !

J'attend quelques infos afin de te poster ca, courage

karo02 · le 25 novembre 2007

Ca marche !

Merci encore.

Thanos · le 25 novembre 2007

re!

Voilà une procédure qui a fait ses preuves, en espérant qu'elle viendra à bout des deux derniers fichiers récalcitrants.

Ca peut paraitre un peu compliqué, mais ne te laisse pas rebuter

Tu devras ajuster ta résolution d'écran à 1024 X 768 (ou supérieure) en mode Sans Échec, afin de bien voir les fenêtres d'outils en entier (astuce au post #38).

Une remarque d'usage concernant un outil que tu vas utiliser :

- L'outil IceSword est très pointu et puissant. Je vais te donner une manip très claire (je l'espère !) que tu devras suivre à la lettre. Je déconseille fortement à quiconque d'installer et d'utiliser cet outil pour tests ou amusement; il peut réparer, mais aussi détruire rapidement si mal utilisé.

Karo02 : si tu as des questions ou doutes durant les manips, stoppe tout et demande sans hésiter, s'il te plaît. Voici donc;

---------------------------------------------------------------------------------

Télécharge KillAFile (par Marckie) sur ton Bureau, du lien suivant :

http://users.telenet.be/marcvn/tools/KillAFile.exe

- Ne le lance pas tout de suite.

Télécharge IceSword sur ton Bureau, du lien suivant :

http://www.majorgeeks.com/downloadget.php?...5daac78f0c6a417

1) Double clique sur le fichier téléchargé, puis déplace (extrait) le dossier IceSword122_en sur ton Bureau.

2) Double clique sur ce dossier, puis sur IceSword.exe afin de lancer l'outil.

3) Agrandis la fenêtre de l'outil en plein écran, en cliquant sur le petit carré (au haut, à droite)

4) À gauche, au bas, tu dois cliquer sur le bouton File;

- Tu devras agrandir le volet de gauche, afin de mieux visualiser son contenu (clique sur la ligne qui sépare les deux volets, maintiens le bouton gauche enfoncé puis déplace la ligne vers la droite).

-Toujours dans le panneau de gauche, clique successivement sur C:\ > Windows > system32 > drivers

Clique sur le dossier drivers > son contenu va alors s'afficher dans le panneau de droite.

- Fais un clic droit sur ce fichier > fdfgugcg.dat et clique Delete

5) À gauche, vers le haut maintenant, clique sur le bouton Registry (juste sous "Functions");

- Par l'arborescence fournie, retrouve cette clé (en cliquant sur le signe "+" à chaque fois) :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sidswawf

- Dans la fenêtre de gauche, fais un clic droit sur le petit dossier nommé sidswawf et clique Delete

6) Ferme l'outil IceSword en cliquant le X au haut à droite. Confirme par Oui à l'invite.

7) Double clique sur KillAFile.exe afin de le lancer. Une fenêtre DOS au fond rouge apparaîtra.

- Tape le chiffre 2 puis valide avec la touche Entrée pour choisir "Replace a file by a dummy on reboot"

- Tu verras maintenant une nouvelle invite : "Insert full path and filename to delete. and then press enter:"

- Tu dois taper (ou copier/coller) ceci, au complet et très exactement :

C:\WINDOWS\system32\ckbackb.dll

- Appuie sur la touche Entrée

- À l'invite qui suit, appuie sur n'importe quelle touche pour valider (Entrée par exemple)

- Ton ordi va maintenant redémarrer.

8 ) Poste le contenu du rapport de l'outil KillAFile qui apparaîtra à l'écran (kaflog.txt), qui est également sauvegardé ici : C:\kaflog.txt

9) Je vais te demander de faire tourner un autre outil :

Télécharge SREng (par Smallfrogs) de ce lien:

http://www.kztechs.com/eng/download.html

(clique sur le bouton Local Download1 ou 2)

Extrais tout son contenu sur ton Bureau

Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil

Clique sur Smart Scan

Ensuite, clique sur le bouton [scan]

Lorsque complété, clique sur le bouton [save Reports]

Sauvegarde le rapport sur ton Bureau

Copie/colle le contenu du fichier SREnglLOG.log dans ta prochaine réponse, s'il te plaît.

10) Poste un nouveau rapport HijackThis! dans ta prochaine réponse également.

Modifié le 25 novembre 2007 par charles ingals

karo02 · le 26 novembre 2007

Bonjour !

Ouh là tu me fais un peu peur avec ta procédure !

Je suis sûre que toutes tes instructions sont très claires (comme les précédentes ),

mais comme je ne suis quand même pas super douée, je fais faire une sauvegarde de mes données avant de la suivre.

Comme ça après de toutes façons, je n'ai rien à perdre puisque soit la procédure marche, soit je formate et je réinstalle windows.

Une petite question quand même : est-ce que je peux sauver mes données sans risque de récupérer le malware ? Tant que je reste dans les répertoires "documents & settings" y'a pas de risque ?

Sinon, pour être dans les meilleures conditions pour suivre tes instructions, je ferai sans doute ça plutôt mercredi (je ne travaille pas mercredi) que le soir en rentrant après le boulot, où je risque plus d'être dérangée et de faire des bêtises...

Thanos · le 26 novembre 2007

salut

Bonne nouvelle: Le créateur de ComboFix vient de mettre son programme à jour.

Aussi on va laisser tomber la procédure avec Ice Sword pour le moment et on va réutiliser ComboFix.

Elimine le fichier Combofix.exe sur ton bureau ainsi que le dossier Qoobox dans C:\

De nouveau télécharge ComboFix >

1) Télécharge la nouvelle version de combofix.exe de sUBs

Ne le lance pas maintenant! passe directement à l'étape ci-dessous!

2) Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/3psf9l

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

courage, ce sera plus simple

karo02 · le 26 novembre 2007

Bonsoir !

Bon bah je crois qu'il va quand même falloir passer par la procédure plus compliquée...

Ca marche toujours pas !

Voilà le log :

ComboFix 07-11-19.4 - francois platel 2007-11-26 21:55:53.6 - FAT32x86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.1.1036.18.391 [GMT 1:00]

Running from: C:\Documents and Settings\francois platel\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\francois platel\Bureau\CFScript.txt

FILE

C:\WINDOWS\system32\ckbackb.dll

C:\WINDOWS\system32\drivers\fdfgugcg.dat

.

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-10-26 to 2007-11-26 ))))))))))))))))))))))))))))))))))))

.

2007-11-26 19:08 <REP> d--hs---- C:\FOUND.004