Infection trojan TR/Rootkit.Gen

[Apollo]

Ote-moi un doute: ton système est pourtant bien un 32 Bits (pas un 64?).

 

C'est la première fois que je rencontre ce genre d'incident et il va falloir que je me renseigne.

 

Si problème pour faire ce qui suit, fais-le en mode sans échec. http://www.vista-xp.fr/forum/topic93.html

 

Télécharge gmer : http://www.gmer.net/gmer.zip

• Ferme tous les programmes en cours d'exécution.
   
  
• Décompresse le fichier zip (clic droit sur le fichier puis Extraire tout) et double-clic sur gmer.exe
  IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
   
  
• A droite, décoche les cases Sections, IAT/EAT et ne laisse cochée que la partition système (généralement C:).
   
  
   
   
  
• Clique alors sur Scan et patiente tout le long du scan sans rien toucher (ça peut prendre plusieurs minutes).
   
  
• Lorsque le scan est terminé, clique sur "copy"
   
  
• Ouvre le bloc-note et clique sur le Menu Edition / Coller
  Le rapport doit alors apparaître.
   
  
• Enregistre le fichier sur ton bureau et copie/colle le contenu dans ta prochaine réponse.
  

 

Attention! Il peut y avoir des faux-positifs: N'utilise pas les autres fonctions de Gmer de ta propre initiative.

[papatango]

voilà que j'en douterais moi-même !!!!

ci-dessous le rapport Usbfix à propos de ma machine.

 

AMD Athlon™ 64 Processor 3800+

Microsoft® Windows Vista™ Professionnel (6.0.6000 32-bit) #

Internet Explorer 7.0.6000.16945

Windows Firewall Status : Enabled

AV : AntiVir Desktop 9.0.1.32 [ (!) Disabled | Updated ]

 

je procède au contrôle avec Gmer

 

papatango

[Apollo]

Non c'est bon, c'est un 32 donc pas de souci pour ComboFix (jamais sur un 64 Bits!)

 

Je t'ai envoyé un message privé pour chercher un fichier, réponds-moi en privé également stp.

Mais prends ton temps, procède d'abord avec Gmer.

 

@++

[papatango]

j'ai le rapporrt Gmer à l'écran, mais je ne parviens pas à faire un copier/coller

le fonction copy ne me dit pas ou il est copié

à l'aide

papatango

[Apollo]

Quand tu as cliqué sur Copy, ouvre ton bloc notes.

 

(démarrer/tous les programmes/accessoires/bloc notes.)

Clique alors sur édition au dessus puis clique sur coller.

 

Tu auras le rapport.

 

Fais alors un clic droit sur le texte ouvert/tout sélectionner/copier.

 

Colle le contenu du presse papiers ici à la suite.

[papatango]

Voilà une fonction que j'ignorais.

bonne lecture

a+

 

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-03-18 13:27:57

Windows 6.0.6000

Running: gmer.exe; Driver: C:\Users\ACMF\AppData\Local\Temp\uglorpob.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.pak2 C:\Windows\System32\Drivers\wopaoo.sys entry point in ".pak2" section [0x8079C13D]

? C:\Windows\System32\Drivers\wopaoo.sys Un périphérique attaché au système ne fonctionne pas correctement.

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxIndirectParamW 760014EA 5 Bytes JMP 712B43F7 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!CreateWindowExW 760085F8 5 Bytes JMP 711BD9BC C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxExA 7601570D 5 Bytes JMP 712B425C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxParamA 760165BF 5 Bytes JMP 712B4394 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxIndirectW 7601F1B3 5 Bytes JMP 712B42BE C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxParamW 7602129F 5 Bytes JMP 710E5689 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!DialogBoxIndirectParamA 760429C9 5 Bytes JMP 712B445A C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxIndirectA 7604FACF 5 Bytes JMP 712B4329 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1844] USER32.dll!MessageBoxExW 7604FBC9 5 Bytes JMP 712B41FA C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!UnhookWindowsHookEx 75FF7CE7 5 Bytes JMP 7112486E C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!CallNextHookEx 75FF8A6E 5 Bytes JMP 711AD171 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!SetWindowsHookExW 75FF913D 5 Bytes JMP 711B9B29 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxIndirectParamW 760014EA 5 Bytes JMP 712B43F7 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!CreateWindowExW 760085F8 5 Bytes JMP 711BD9BC C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxExA 7601570D 5 Bytes JMP 712B425C C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxParamA 760165BF 5 Bytes JMP 712B4394 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxIndirectW 7601F1B3 5 Bytes JMP 712B42BE C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxParamW 7602129F 5 Bytes JMP 710E5689 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!DialogBoxIndirectParamA 760429C9 5 Bytes JMP 712B445A C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxIndirectA 7604FACF 5 Bytes JMP 712B4329 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] USER32.dll!MessageBoxExW 7604FBC9 5 Bytes JMP 712B41FA C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] ole32.dll!OleLoadFromStream 758D08B2 5 Bytes JMP 712B4778 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program Files\Internet Explorer\iexplore.exe[1908] ole32.dll!CoCreateInstance 7591DD8F 5 Bytes JMP 711BDA18 C:\Windows\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCloneImage] [742DFBC8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDrawImageRectI] [742AB9AA] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetInterpolationMode] [7429A31F] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipSetCompositingMode] [7429CBFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateFromHDC] [74298AB2] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStream] [742ACF28] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageHeight] [74297D98] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipGetImageWidth] [74297CFF] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDisposeImage] [74296A64] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFileICM] [7432C1D8] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipLoadImageFromFile] [742B7F56] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipDeleteGraphics] [742990CD] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipFree] [742A2179] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipAlloc] [742A21A4] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [742A7F1C] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusStartup] [742A7D3E] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

IAT C:\Windows\Explorer.EXE[1440] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdipCreateBitmapFromStreamICM] [742D83D5] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6000.16782_none_9ea1072e

c96e0be7\gdiplus.dll (Microsoft GDI+/Microsoft Corporation)

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 8490F070

 

---- Services - GMER 1.0.15 ----

 

Service (*** hidden *** ) [bOOT] wopaoo <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\wopaoo@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@Start 0

Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\wopaoo@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@Type 1

Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@Start 0

Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet003\Services\wopaoo@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@Type 1

Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@Start 0

Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet004\Services\wopaoo@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@Type 1

Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@Start 0

Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet005\Services\wopaoo@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@Type 1

Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@Start 0

Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet006\Services\wopaoo@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@Type 1

Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@Start 0

Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet007\Services\wopaoo@Group Boot Bus Extender

 

---- EOF - GMER 1.0.15 ----

[Apollo]

Tu n'as pas trouvé le fichier que je t'ai demandé en message privé?

 

Comme je ne sais pas ce qui provoque l'erreur suite à ComboFix, je ne vais plus tenter de le faire lancer pour le moment.

 

Je te suggère d'utiliser un antivirus non-résident pour voir ce qu'il sera capable de faire sur cette saleté.

Cela risque d'être long car en mode sans échec et il n'y a aucune garantie de succès car c'est bien la première fois qu'on tombe sur ce genre d'erreur après utilisation de ComboFix.

 

Il va falloir que je reconsulte, mais pour bien faire il faudrait ce fameux fichier texte Bug.txt qui doit se trouver sur ton disque dur.

 

Télécharge Dr.Web CureIt sur ton Bureau:

ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe --> renomme-le en 123DW avant de l'enregistrer.

 

Faire l'analyse en mode sans échec

http://www.vista-xp.fr/forum/topic93.html

 

• Double clique 123DW.exe et ensuite clique sur Analyse;
  
• Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire; s'il trouve des processus infectés, clique le bouton Oui pour tout à l'invite.
  **Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction"; vous pouvez quitter en cliquant le "X"
  
• Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
  
• Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique "Ok"
  
• De retour à la fenêtre principale : clique pour activer "Analyse complète";
  
• Clique le bouton avec flèche verte sur la droite, et le scan débutera.
  
• Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
  
• Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés :
  
• Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable
  
• Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
  
• Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv Ouvrir le fichier avec le bloc-notes puis sauvegarder ce fichier.
  
• Ferme Dr.Web Cureit
  
• Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
  
• Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse.
  

Modifié le 18 mars 2010 par Apollo

[papatango]

je n'ai pas trouver de fichier bug.txt sur le disque dur.

 

par ailleurs j'ai lancé antivir enmode sans echec et il ne trouve pas Rootkit alors en mode normal il le détecte.

 

je continue la manip

 

a+

[papatango]

Drweb travaille et il semble trouver plusieurs infections sur le programme antivir

 

rapport dans 2 à 3 h seulement.

 

a+

 

papatango

[papatango]

Déception après 4 heures de travail, analyse drweb terminée, impossibilite de générer le rapport.

Lorsque j'ai demandé l'enregistrement du rapport le système s'est mis mis à ramer L'UC était 100% et le processeur saturé.

Après 1/2 heure j'ai dû me résoudre à relancer la machine.

L'analyse avait trouvée 1O élémens infectés

8 ont été placés en quarantaine directement et 2 ont été supprimés

Désolé pour le rapport

papatango