infect rootkit c:windows/drivers/uyjilio.sys

Falkra · le 6 mars 2010

Ok, on y va, en plusieurs étapes.

Tu vas utiliser Combofix. Ce logiciel n'est à utiliser que prescrit et piloté par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

Assure toi que tous les programmes sont fermés avant de commencer.
Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
Double-clique combofix.exe afin de l'exécuter.
Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
Le bureau disparaît, c'est normal, et il va revenir.
Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
Lorsque l'analyse sera terminée, un rapport apparaîtra.
Copie-colle ce rapport dans ta prochaine réponse.
Le rapport se trouve dans : C:\Combofix.txt (si jamais).

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

nevsky · le 7 mars 2010

Voila le log de combofix

ComboFix 10-03-06.07 - Fredi 07/03/2010 13:57:35.1.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.219 [GMT 1:00]

Lancé depuis: c:\documents and settings\Fredi\Bureau\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\recycler\S-1-5-21-1993962763-412668190-725345543-1003

c:\recycler\S-1-5-21-2415211754-3039350803-2696559470-1003

c:\windows\system32\dumphive.exe

c:\windows\system32\reboot.txt

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

----- BITS: Il y a peut-être des sites infectés -----

hxxp://www.thenmnetwork.com

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_NPF

-------\Legacy_UPNPDEVSERVICE

-------\Service_NPF

((((((((((((((((((((((((((((( Fichiers créés du 2010-02-07 au 2010-03-07 ))))))))))))))))))))))))))))))))))))

.

2010-03-04 16:28 . 2010-03-04 16:28 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys

2010-03-04 16:22 . 2010-03-04 18:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft

2010-03-04 16:04 . 1999-01-20 04:01 210032 ----a-w- c:\windows\system32\DBCLIENT.DLL

2010-03-04 16:04 . 2010-03-04 16:04 -------- d-----w- c:\program files\Fichiers communs\Borland Shared

2010-03-04 16:03 . 2010-03-04 16:06 -------- d-----w- c:\program files\ZebHelpProcess

2010-03-03 19:23 . 2010-03-06 11:11 -------- d-----w- C:\Ad-Remover

2010-02-28 17:35 . 2010-02-28 17:35 -------- d-----w- c:\documents and settings\Fredi\Application Data\Malwarebytes

2010-02-28 17:34 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-02-28 17:34 . 2010-02-28 17:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-02-28 17:34 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-02-28 17:34 . 2010-03-02 12:27 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-02-28 17:15 . 2010-02-28 17:20 -------- d-----w- c:\program files\Navilog1

2010-02-28 14:46 . 2010-03-07 13:05 792064 ----a-w- c:\windows\system32\drivers\uyjilio.sys

2010-02-24 23:37 . 2010-02-24 23:37 -------- d-----w- c:\program files\Fichiers communs\SWF Studio

2010-02-06 22:27 . 2010-02-06 22:27 -------- d-----w- c:\documents and settings\LocalService\Application Data\Once Load

2010-02-06 21:34 . 2010-02-06 21:34 -------- d-----w- c:\documents and settings\LocalService\Menu Démarrer

2010-02-06 21:34 . 2009-03-30 08:32 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-02-06 21:34 . 2009-02-13 10:28 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys

2010-02-06 21:34 . 2009-11-25 10:19 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-02-06 21:34 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys

2010-02-06 21:34 . 2010-02-06 21:34 -------- d-----w- c:\program files\Avira

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-07 12:32 . 2005-03-04 13:36 -------- d-----w- c:\program files\DivX

2010-03-06 22:56 . 2009-01-05 18:04 -------- d-----w- c:\documents and settings\Fredi\Application Data\dvdcss

2010-03-01 20:59 . 2008-02-17 14:13 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-02-28 22:20 . 2009-12-06 08:45 -------- d-----w- c:\program files\BitSpirit

2010-02-27 15:32 . 2010-02-27 15:32 12 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat

2010-02-27 11:56 . 2010-02-27 11:56 12 ----a-w- c:\documents and settings\LocalService\Application Data\rbuwzv.dat

2010-02-24 23:46 . 2006-07-11 21:47 -------- d-----w- c:\documents and settings\Fredi\Application Data\U3

2010-02-06 22:26 . 2010-02-03 17:55 -------- d-----w- c:\documents and settings\Fredi\Application Data\Once Load

2010-02-06 22:26 . 2010-02-03 17:55 -------- d-----w- c:\documents and settings\All Users\Application Data\flag ace stupid data

2010-02-06 21:34 . 2008-02-24 15:44 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira

2010-02-03 17:55 . 2010-02-03 17:55 -------- d-----w- c:\program files\Once Load

2010-02-03 17:55 . 2010-02-03 17:55 -------- d-----w- c:\program files\TorrentSpeeder

2010-02-02 11:49 . 2010-02-02 11:49 -------- d-----w- c:\documents and settings\Fredi\Application Data\Babylon

2010-02-02 11:49 . 2010-02-02 11:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Babylon

2010-02-02 09:18 . 2010-02-02 09:18 -------- d-----w- c:\documents and settings\All Users\Application Data\EBP

2010-02-02 09:18 . 2010-02-02 09:18 -------- d-----w- c:\program files\EBP

2010-02-02 09:18 . 2005-02-21 14:39 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-12-08 23:50 . 2005-02-21 11:20 64922 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-08 23:50 . 2005-02-21 11:20 447222 ----a-w- c:\windows\system32\perfh00C.dat

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AGRSMMSG"="AGRSMMSG.exe" [2005-01-17 88363]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^BlueSoleil.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\BlueSoleil.lnk

backup=c:\windows\pss\BlueSoleil.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk

backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Logitech Desktop Messenger.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Logitech Desktop Messenger.lnk

backup=c:\windows\pss\Logitech Desktop Messenger.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2004-08-05 12:00 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KTPWare]

2005-01-17 10:12 258048 ----a-r- c:\program files\Elantech\Ktp3.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBJ]

2004-12-09 14:38 1937408 ----a-w- c:\program files\Ahead\Nero BackItUp\NBJ.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\Program Files\\CyberLink\\PowerCinema\\PowerCinema.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\backWeb-8876480.exe"=

"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

"c:\\Program Files\\Autodesk\\3dsMax8\\3dsmax.exe"=

"c:\\WINDOWS\\system32\\LMabcoms.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Autodesk\\backburner\\manager.exe"=

"c:\\Program Files\\Autodesk\\backburner\\monitor.exe"=

"c:\\Program Files\\Autodesk\\backburner\\server.exe"=

"c:\\WINDOWS\\system32\\mshta.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program Files\\VLC\\vlc.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [06/02/2010 22:34 108289]

R3 Bonifay;Bonifay;c:\windows\system32\drivers\Bonifay.sys [01/08/2007 13:28 12160]

R3 Ktp3;Elantech TouchPad(KTP3);c:\windows\system32\drivers\Ktp3.sys [21/02/2005 16:49 24704]

S3 CB54G3;Wireless CB54G3/MP54G3 Wireless LAN Card Driver;c:\windows\system32\drivers\i2220ntx.sys [21/02/2005 16:45 148480]

S3 Gonzales;Gonzales;c:\windows\system32\drivers\Gonzales.sys [01/08/2007 13:28 7040]

S3 LVHybrid;LVHybrid service;c:\windows\system32\drivers\LVHybrid.sys [21/02/2005 16:47 1012608]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\drivers\s115bus.sys [26/07/2009 19:20 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\drivers\s115mdfl.sys [26/07/2009 19:21 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\drivers\s115mdm.sys [26/07/2009 19:21 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s115mgmt.sys [26/07/2009 19:21 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\drivers\s115obex.sys [26/07/2009 19:21 98568]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - uyjilio

.

Contenu du dossier 'Tâches planifiées'

.

------- Examen supplémentaire -------

.

uInternet Settings,ProxyOverride = localhost

IE: &eBay Search - c:\program files\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html

IE: Envoyer à &Bluetooth - c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm

FF - ProfilePath - c:\documents and settings\Fredi\Application Data\Mozilla\Firefox\Profiles\dg3501f3.default\

FF - prefs.js: browser.search.selectedEngine - MyStart

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - prefs.js: keyword.URL - hxxp://search.yahoo.com/search?ei=utf-8&fr=megaup&p=

FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll

FF - plugin: c:\program files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll

FF - plugin: c:\program files\VLC\npvlc.dll

---- PARAMETRES FIREFOX ----

c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("network.protocol-handler.warn-external.veoh2", false);

.

- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-dupecomplong - c:\docume~1\Fredi\APPLIC~1\ONCELO~1\Roam heart.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-07 14:05

Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\uyjilio]

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-4058797087-1872374222-1640616834-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(572)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Autodesk\3dsMax8\mentalray\satellite\raysat_3dsmax8server.exe

c:\windows\system32\wdfmgr.exe

c:\windows\AGRSMMSG.exe

.

**************************************************************************

.

Heure de fin: 2010-03-07 14:08:33 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-03-07 13:08

Avant-CF: 18 827 448 320 octets libres

Après-CF: 18 703 921 152 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=AllwaysOff /fastdetect

- - End Of File - - A97B3EC5180B285C171ECCAA499752DB

Falkra · le 7 mars 2010

ComboFix a déjà supprimé des nuisibles, mais on va continuer avec un script sur-mesure.

Rend toi sur cette page afin de télécharger le fichier CFScript sur le Bureau => http://senduit.com/ac80af

Patiente une seconde: le téléchargement va se lancer automatiquement.

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Quand CF finit de s'exécuter, il affiche cette boîte de message:
Cliquer sur OK va faire débuter l'envoi automatique du fichier archivé (zip).
Une fois le scan achevé, le pc va certainement redémarrer: un rapport va s'afficher, poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note1: Le script proposé est spécifique au cas de cet utilisateur : vous ne devez en aucun cas l'utiliser sur votre pc!

Note2: un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse.

Dans le cas où le site de téléchargement se trouve hors ligne, tu verras le message ci-dessous =>

Il te suffira seulement de faire un double clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier.

Le rapport de ComboFix ne s'affichera qu'après la fin de la fonction d'envoi.

nevsky · le 7 mars 2010

j'ai eu un petit problème,

j'ai glisser le fichier sur combofix, le programme c'est exécuté.

puis il s'est bloqué très longtemps sur suppression des fichiers :

c:\windows\system32\drivers\uyjilio.sys

c:\documents and settings\NetworkService\Application Data\rbuwzv.dat

c:\documents and settings\LocalService\Application Data\rbuwzv.dat

pendant au moins 1heurs

et j'ai fait un reboot, puis relancer le programme.

là, il m'a demandé d'envoyer le fichier CF-Submit.htm ce que j'ai fait.

ci joint le rapport combofix, j'espere ne pas avoir fait trop de betises

ComboFix 10-03-06.07 - Fredi 07/03/2010 16:44:52.3.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.511.145 [GMT 1:00]