Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection Rootkit.agent

dreamer9

Par dreamer9
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

On va bricoler autrement.

 

1. Télécharge The Avenger par Swandog46 sur ton Bureau.

  • Décompresse le fichier
  • avenger.exe sur le bureau

 

2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre :P :

 

drivers to disable:
tbwraged

drivers to delete:
tbwraged

files to delete:
c:\WINDOWS\system32\drivers\tbwraged.sys

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lance The Avenger en double cliquant dessus, sauf pour VIsta et 7 : là par clic droit, exécuter en tant qu'administrateur.

  • Sous "Input Script There", colle le code précédemment copié.
  • Clique sur Execute
  • Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système.
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

dreamer9 Mega Power Member

dreamer9

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour :P

 

Voici le rapport mais :

au redémarrage, qui a eu lieu deux fois consécutives, j'avais une fenêtre qui ne se fermait plus quelle que soit l'option :

cmd.exe - Pas de disque. Il n'y a pas de disque dans le lecteur. Insérez un disque dans le lecteur Device/harddisk4/DR7

annuler/recommencer/continuez...

Elle a disparu après redémarrage.

En revanche, tbwraged.sys a bien été supprimé.

:P

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Driver "tbwraged" disabled successfully.

Driver "tbwraged" deleted successfully.

File "c:\WINDOWS\system32\drivers\tbwraged.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

Modifié par dreamer9
Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

La bestiole a dégagé.

 

Ne touche plus à Avenger.

 

Est-ce que MBAM trouve encore quelque chose ? Je suppose que non, mais tu confirmes ? (tu le sous-entends) :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

On va confirmer, avec un scan Gmer, "registry" et "services" uniquement stp.

 

(ensuite, on vire les outils, et on sécurise)

dreamer9 Mega Power Member

dreamer9

Posté(e)
  • Auteur
Posté(e)

voila :P

En revanche la machine à planté après la sauvegarde...???

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-14 17:40:42

Windows 5.1.2600 Service Pack 2

Running: mrr1jbwg.exe; Driver: C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\uxddqpob.sys

 

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9C060E5A-C0A2-D2AD-EA05-CD0AA6EBFAC5}

 

---- EOF - GMER 1.0.15 ----

dreamer9 Mega Power Member

dreamer9

Posté(e)
  • Auteur
Posté(e)

MAis antivir me signale aujourd'hui à plusieurs reprise

 

Virus or unwanted program 'RKIT/Kryptic.763904 [trojan]'

detected in file 'C:\System Volume Information\_restore{512DF77D-45B5-4AE1-9C2A-EC48B0F584C1}\RP359\A0068064.sys.

Action performed: Deny access

 

Il faudrait que je désactive la restauration mais je ne sais plus comment....

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...