Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection Rootkit.agent

dreamer9

Par dreamer9
dans Analyses et éradication malwares

 Partager

Messages recommandés

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Ok on voit notre bestiole (donc on la tient).

 

Télécharge MBR Rootkit Detector de gmer et enregistre-le sur le bureau.

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse.

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Télécharge delRK.bat ici :

http://senduit.com/f415a6

Ce code est fait spécifiquement pour ta machine : ne pas utiliser ailleurs.

 

Place-le dans le dossier où se trouve Gmer, et double clique dessus pour le démarrer, il va piloter gmer pour effacer la bestiole.

 

Dis moi si ça passe bien (une fenêtre noire va apparaître, et doit disparaître).

dreamer9 Mega Power Member

dreamer9

Posté(e)
  • Auteur
Posté(e)

gmbr, je suppose que c'est mbr.exe?

J'ai créé un dossier sur le bureau, l'y ai placé avec delRK.

En double cliquant dessus une fenêtre noire est apparue et a disparue en 1 seconde.

C'est tout....

dreamer9 Mega Power Member

dreamer9

Posté(e)
  • Auteur
Posté(e)

MAlwarebytes trouve trs le même pb :

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3535

Windows 5.1.2600 Service Pack 2

Internet Explorer 6.0.2900.2180

 

10/01/2010 20:01:29

mbam-log-2010-01-10 (20-01-29).txt

 

Type de recherche: Examen rapide

Eléments examinés: 24431

Temps écoulé: 7 minute(s), 52 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

c:\WINDOWS\system32\drivers\tbwraged.sys (Rootkit.Agent) -> Delete on reboot.

dreamer9 Mega Power Member

dreamer9

Posté(e)
  • Auteur
Posté(e)

OK.

Ben j'ai fait la même chose en plaçant mrr1jbwg.exe dans le dossier. Une fenêtre noire est apparue une fraction de seconde lorsque j'ai lancé delRK.bat.

Je vais devoir déconnecter.

A demain j'espère, merci encore pour ton aide.

dreamer9 Mega Power Member

dreamer9

Posté(e)
  • Auteur
Posté(e)

Bonjour.

 

Je ne pourrai me reconnecter que demain ou ce soir tard.

 

MAlwarebytes n'a pas pu éliminer tbwraged.sys.

 

Gmer après son scan m'a alerté que le système était modifié par un rootkit.

 

 

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-11 08:15:24

Windows 5.1.2600 Service Pack 2

Running: mrr1jbwg.exe; Driver: C:\DOCUME~1\HP_ADM~1\LOCALS~1\Temp\uxddqpob.sys

 

 

---- Services - GMER 1.0.15 ----

 

Service (*** hidden *** ) [bOOT] tbwraged <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet001\Services\tbwraged@Type 1

Reg HKLM\SYSTEM\ControlSet001\Services\tbwraged@Start 0

Reg HKLM\SYSTEM\ControlSet001\Services\tbwraged@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet001\Services\tbwraged@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet002\Services\tbwraged@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\tbwraged@Start 0

Reg HKLM\SYSTEM\ControlSet002\Services\tbwraged@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\tbwraged@Group Boot Bus Extender

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbwraged@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbwraged@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbwraged@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\tbwraged@Group Boot Bus Extender

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{9C060E5A-C0A2-D2AD-EA05-CD0AA6EBFAC5}

 

---- EOF - GMER 1.0.15 ----

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...