[Résolu] PC brutalement éteint : infecté !

Thanos · le 21 janvier 2010

On va faire une recherche supplémentaire >>

Télécharge GMER Rootkit Scanner du lien suivant :

http://www.gmer.net/#files

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

Sections
IAT/EAT
**Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

Sophie123 · le 23 janvier 2010

Bonjour Thanos,

Quel plaisir de voir ce forum de nouveau accessible

Voici le rapport demandé :

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-22 19:04:48

Windows 5.1.2600 Service Pack 2

Running: stnifqnb.exe; Driver: C:\DOCUME~1\Sophie\LOCALS~1\Temp\axtiapog.sys

---- System - GMER 1.0.15 ----

SSDT 856FB109 ZwCreateThread

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs naiavf5x.sys (Anti-Virus File System Filter Driver/Network Associates, Inc.)

AttachedDevice \Driver\Tcpip \Device\Ip mvstdi5x.sys (Anti-Virus Mini-Firewall Driver/Network Associates, Inc.)

AttachedDevice \Driver\Tcpip \Device\Tcp mvstdi5x.sys (Anti-Virus Mini-Firewall Driver/Network Associates, Inc.)

AttachedDevice \Driver\Tcpip \Device\Udp mvstdi5x.sys (Anti-Virus Mini-Firewall Driver/Network Associates, Inc.)

AttachedDevice \Driver\Tcpip \Device\RawIp mvstdi5x.sys (Anti-Virus Mini-Firewall Driver/Network Associates, Inc.)

AttachedDevice \FileSystem\Fastfat \Fat naiavf5x.sys (Anti-Virus File System Filter Driver/Network Associates, Inc.)

Device -> \Driver\atapi \Device\Harddisk0\DR0 862ED856

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

---- Files - GMER 1.0.15 ----

File C:\WINDOWS\system32\drivers\atapi.sys suspicious modification

---- EOF - GMER 1.0.15 ----

Sophie123 · le 23 janvier 2010

J'ai procédé comme tu m'as dit pour récupérer Internet Explorer, mais toujours pas. Heureusement que tu m'as conseillé FireFox en attendant.

On peut tenter autre chose ou on verra après avoir résolu les autres problèmes ?

Thanos · le 23 janvier 2010

salut Sophie

J'ai procédé comme tu m'as dit pour récupérer Internet Explorer, mais toujours pas. Heureusement que tu m'as conseillé FireFox en attendant.

Ok on va tenter autre chose.

Rend toi à cette adresse => http://www.virustotal.com/

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> copie/colle ceci dans le champs à droite de "Nom du Fichier" en bas de page >> C:\WINDOWS\system32\drivers\atapi.sys

Clique maintenant sur "ouvrir" en bas de la fenêtre puis sur "Envoyer le fichier". Le scan de ce fichier va débuter. Tu n'as plus qu'à sélectionner puis copier /coller l'analyse dans ton prochain message.

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ca prendra pour faire analyser)

Note: il arrive parfois que le fichier ait déjà été analysé. Si c'est le cas, clique sur le bouton Reanalyse file now

Sophie123 · le 23 janvier 2010

Le rapport :

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.50 2010.01.23 -

AhnLab-V3 5.0.0.2 2010.01.22 -

AntiVir 7.9.1.146 2010.01.22 -

Antiy-AVL 2.0.3.7 2010.01.22 -

Authentium 5.2.0.5 2010.01.23 -

Avast 4.8.1351.0 2010.01.22 -

AVG 9.0.0.730 2010.01.23 -

BitDefender 7.2 2010.01.23 -

CAT-QuickHeal 10.00 2010.01.22 -

ClamAV 0.94.1 2010.01.22 -

Comodo 3680 2010.01.23 -

DrWeb 5.0.1.12222 2010.01.23 -

eSafe 7.0.17.0 2010.01.21 -

eTrust-Vet 35.2.7255 2010.01.22 -

F-Prot 4.5.1.85 2010.01.22 -

F-Secure 9.0.15370.0 2010.01.23 -

Fortinet 4.0.14.0 2010.01.23 -

GData 19 2010.01.23 -

Ikarus T3.1.1.80.0 2010.01.23 -

Jiangmin 13.0.900 2010.01.23 -

K7AntiVirus 7.10.952 2010.01.22 -

Kaspersky 7.0.0.125 2010.01.23 -

McAfee 5869 2010.01.22 -

McAfee+Artemis 5869 2010.01.22 -

McAfee-GW-Edition 6.8.5 2010.01.23 -

Microsoft 1.5405 2010.01.23 -

NOD32 4798 2010.01.22 -

Norman 6.04.03 2010.01.23 -

nProtect 2009.1.8.0 2010.01.23 -

Panda 10.0.2.2 2010.01.22 -

PCTools 7.0.3.5 2010.01.23 -

Prevx 3.0 2010.01.23 -

Rising 22.31.04.04 2010.01.22 -

Sophos 4.50.0 2010.01.23 -

Sunbelt 3.2.1858.2 2010.01.23 -

Symantec 20091.2.0.41 2010.01.23 -

TheHacker 6.5.0.9.160 2010.01.23 -

TrendMicro 9.120.0.1004 2010.01.23 -

VBA32 3.12.12.1 2010.01.21 -

ViRobot 2010.1.22.2151 2010.01.22 -

VirusBuster 5.0.21.0 2010.01.22 -

Information additionnelle

File size: 95360 bytes

MD5...: cdfe4411a69c224bd1d11b2da92dac51

SHA1..: a42fbfeb5a4d94118b483d7f18113aa8c329a052

SHA256: 0e6b23a80f171550575bebc56f7500cd87a5cf03b2b9fdc49bc3de96282cd69d

ssdeep: 1536:BVzXEOXUOyD8HT6OhAVJqNoQrPs2W7IDdXBoDZYkvR5TJWBwEsjG0cXFIQ0

bbZPO:BVL/Eiz6OhrNoQzsnwBoDjR51hljrckO

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x155f7

timedatestamp.....: 0x41107b4d (Wed Aug 04 05:59:41 2004)

machinetype.......: 0x14c (I386)

( 9 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x380 0x9672 0x9680 6.45 70b67d65eb28dcccdcba61a31c4d40e2

NONPAGE 0x9a00 0x18e8 0x1900 6.48 5629c7db94fbcf0123c267ec52f0c942

.rdata 0xb300 0xa54 0xa80 4.37 569d2979d21f645730a1a59fd512d25c

.data 0xbd80 0xd94 0xe00 0.44 77b784be18c5257bf3b9c132a03019db

PAGESCAN 0xcb80 0x154f 0x1580 6.15 d1c7adb0c1e5491b58c485d62076561f

PAGE 0xe100 0x5f54 0x5f80 6.46 0951fe4f10eee3d01d5d5aab9a0472bc

INIT 0x14080 0x22a0 0x2300 6.48 4354ab341533bda39d4f4dc3548ef9bd

.rsrc 0x16380 0x3f0 0x400 3.40 0184b21986944fd39532f818b4c642ab

.reloc 0x16780 0xcf0 0xd00 6.46 ae8fd4a932f7899f6257876856210914

( 3 imports )

> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, PoCallDriver, IoCreateDevice, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, KeCancelTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, RtlCopyUnicodeString, memmove, MmHighestUserAddress

> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR

> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest

( 0 exports )

RDS...: NSRL Reference Data Set

-

packers (Kaspersky): PE_Patch

sigcheck:

publisher....: Microsoft Corporation

product......: Microsoft_ Windows_ Operating System

description..: IDE/ATAPI Port Driver

original name: atapi.sys

internal name: atapi.sys

file version.: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

pdfid.: -

Thanos · le 23 janvier 2010

Passe par le Panneau de Configuration >> Options Internet >> clique sur l'onglet Avancés. Clique sur le bouton Paramètres par défaut. Clique ensuite sur l'onglet Programmes puis sur le bouton Rétablir les paramètres Web.

Relance IE et dis moi si le problème persiste.

Sophie123 · le 23 janvier 2010

Excellente idée, Thanos ! Internet Explorer fonctionne de nouveau

Et pour Outlook Express qui ne s'ouvre pas, tout comme Windows Media Player et Word, je dois télécharger quelque chose pour que tout fonctionne comme avant ?

Modifié le 23 janvier 2010 par Sophie123

Thanos · le 23 janvier 2010

Bien A présent, pour les autres programmes, ca se passe comment lorsque tu les ouvre ?

Sophie123 · le 23 janvier 2010

Les autres programmes ne s'ouvrent toujours pas.

Thanos · le 24 janvier 2010

re!

Sophie: fais les mises à jour proposées sur le site de Microsoft: pour cela passe par Windows Update.

Clique sur le menu Démarrer >> Tous les programmes >> Windows Update

Une fenêtre Internet Explorer va s'ouvrir et il te sera proposé de télécharger un contrôle active x: accepte.

Sous "Maintenez votre ordinateur à jour", clique sur le bouton Rapide

Ton pc va être scanné, clique sur le bouton "Installer les mises à jour" lorsque ca te sera proposé.

Il faut installer le Service Pack 3 ainsi que Internet Explorer 8 car c'est important pour la sécurité du pc.

Dis mois si tu ne parviens toujours pas à ouvrir tes programmes après ca.

Connexion

Pas encore inscrit ?

[Résolu] PC brutalement éteint : infecté !

Messages recommandés

Thanos

Sophie123

Sophie123

Thanos

Sophie123

Thanos

Sophie123

Thanos

Sophie123

Thanos

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer