Infection trojan TR/Rootkit.Gen

[Apollo]

Essaie ceci, mais cela m'étonnerait...

 

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien:

 

OTM

 

Ou ici: http://ottools.noahdfear.net/OTM.exe

 

• Double-clique sur OTM.exe pour le lancer (l'extension .exe peut ne pas apparaître)
   
  ---> sous VISTA/7: clic droit: exécuter en temps qu'administrateur.
   
  
• Copie l'entièreté du code ci-dessous.
  

  Go
  
  :Files
  
  C:\Windows\System32\drivers\wopaoo.sys
  
  :Services
  
  wopaoo
  
  :Reg
  
  [HKEY_LOCAL_MACHINE\System\ControlSet001\Services]
  "wopaoo"=-
  
  :Commands
  
  [purity]
  [emptytemp]
  [start explorer]
  [reboot]

  
   
  

• Colle ce code dans la partie jaune de OtMoveIt3 intitulée:
  "Paste Instructions for Items to be Moved"
   
  
• Clique sur le bouton Moveit! pour lancer le nettoyage:
   
  
• Copie-colle dans ta prochaine réponse tout ce qui se trouve dans la fenêtre Results
  --> Un rapport sera généré dans le dossier C:\ _OTMoveIt\MovedFiles avec la date et l'heure du passage de l'outil (mmddyyyy_hhmmss.log)
  
• Ferme OTM en cliquant sur Exit:
  

Note : Si un fichier ou un dossier ne peut être supprimé directement, l'outil peut demander un redémarrage pour terminer le processus. Clique alors sur "Yes" pour accepter.

 

*** L'outil va terminer son travail après le redémarrage du pc puis fournira son rapport; copie/colle le dans ta réponse stp.

[papatango]

Entre temps le dernier rapport Mbam

papatango

 

 

Malwarebytes' Anti-Malware 1.44

Version de la base de données: 3876

Windows 6.0.6000

Internet Explorer 8.0.6001.18882

 

19/03/2010 10:08:21

mbam-log-2010-03-19 (10-08-21).txt

 

Type de recherche: Examen complet (C:\|)

Eléments examinés: 208262

Temps écoulé: 46 minute(s), 36 second(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 2

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Windows\System32\drivers\95577322.sys (Rootkit.Agent.H) -> Quarantined and deleted successfully.

C:\Windows\System32\drivers\wopaoo.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

[papatango]

Ci-joint rapport OTM

papatango

 

 

All processes killed

Error: Unable to interpret <Go> in the current context!

========== FILES ==========

File move failed. C:\Windows\System32\drivers\wopaoo.sys scheduled to be moved on reboot.

========== SERVICES/DRIVERS ==========

Error: No service named wopaoo was found to stop!

Service\Driver key wopaoo not found.

========== REGISTRY ==========

Registry value HKEY_LOCAL_MACHINE\System\ControlSet001\Services\\wopaoo not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: ACMF

->Temp folder emptied: 65884 bytes

->Temporary Internet Files folder emptied: 103870403 bytes

->Java cache emptied: 8467559 bytes

->FireFox cache emptied: 49821339 bytes

->Flash cache emptied: 8836 bytes

 

User: All Users

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

 

User: Public

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 675840 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 1145535 bytes

%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 33664 bytes

RecycleBin emptied: 135704774 bytes

 

Total Files Cleaned = 286,00 mb

 

 

OTM by OldTimer - Version 3.1.10.1 log created on 03192010_101618

 

Files moved on Reboot...

File C:\Windows\System32\drivers\wopaoo.sys not found!

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\SuggestedSites.dat moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\adsCAJDIUGM.htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\ban_728x90[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\imgCAV4BC6O.htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\YH8J2SMC\v=4;m=3;l=6699;c=71137;b=748660;ts=20100319091144;p=ui=zuZTh-cNViFMBB;tr=Y9vBScigT-D;tm=0-0[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MEJHYMM1\hp[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\MEJHYMM1\imgCAK2G60F.htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\iframe[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\imgCASN1OK6.htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\imgCAXALR4W.htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\index[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\rectangle_300x250[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\JNCR8H8W\v=4;m=3;l=6701;c=65838;b=753186;ts=20100319091147;p=ui=zuZTh-cNViFMBB;tr=ZFChuLHYQrA;tm=0-0[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\adsCA1P3H8W.htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\infection-trojan-tr-rootkitgen-t174758[5].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\povh[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\83AK6SIW\v=4;m=3;l=6701;c=65838;b=753186;ts=20100319091410;p=ui=zuZTh-cNViFMBB;tr=e5B1FDiRZCE;tm=0-0[1].htm moved successfully.

C:\Users\ACMF\AppData\Local\Microsoft\Windows\Temporary Internet Files\AntiPhishing\2CEDBFBC-DBA8-43AA-B1FD-CC8E6316E3E2.dat moved successfully.

C:\Windows\temp\JETD4BB.tmp moved successfully.

 

Registry entries deleted on Reboot...

[Apollo]

Eh ben voilà: échec et mat.

 

Cela ne m'arrive pas souvent d'échouer dans une désinfection, mais cela te fait une belle jambe....

 

Je suis vraiment désolé mais je suis complètement à court d'arguments.

 

J'ai utilisé tout ce que je connaissais à mon niveau, mais j'ai attteint mes limites.

 

Crois bien que je le regrette sincèrement.

 

@++

[papatango]

Apollo,

tout d'abord merci pour ton aide, même si le résultat n'est pas au RdV.

J'ai pris l'initiative d'une ultime tentative, voir résultat ci-dessous et ton avis

A+

papatango

 

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows Vista

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Driver "wopaoo" deleted successfully.

File "C:\Windows\System32\drivers\wopaoo.sys" deleted successfully.

 

Error: registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo" not found!

Deletion of registry key "HKEY_LOCAL_MACHINE\System\ControlSet001\Services\wopaoo" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

[papatango]

Apollo,

 

les dernières vérif avec antivir et Mbam sont bonnes.

plus aucun fichier infecté.

c'est cool !!!

 

merci de m'indiquer la procédure pour désinstaller proprement 123DW, OTM et TDSSKILLER, que n ous avons installés ensemble.

Bon courage et merci encore pour tout.

papatango

[Apollo]

Re,

 

Je voudrais savoir si tu as vraiment utilisé The Avenger de ta propre initiative ou si un des mes "collègues" t'a donné cette procédure par message privé.

 

Dans le 1er cas, tu es sacrément hardi car The Avenger n'est pas anodin, mais je te félicite quand-même. --> En fait, c'est exactement ce que je voulais faire avec ComboFix; je n'utilise jamais The Avenger.

Je vais me pencher un peu plus sur cet outil.

 

Je n'ai toujours pas compris pourquoi CF n'a pas voulu fonctionner chez toi!

 

Dans le 2e cas, je pense qu'on aurait aurait au moins pu avoir la délicatesse de me prévenir en MP.

 

Pour désinstaller OTM, tu le lances et tu cliques sur Clean Up!.

 

Pour les autres, DrWeb et TDSSKILLER, tu les mets à la corbeille, tout simplement.

 

Pour ComboFix: Windows + R et copier/coller cette commande: combofix /uninstall

 

Lis ceci: Vista: désactiver la restauration du sytème

 

 

@++

Modifié le 19 mars 2010 par Apollo

[papatango]

Bonjour Apollo,

 

Je n'ai pas trouvé la solution tout seul, mais peu importe les moyens, seul le résultat compte.

 

je tenais à te renouveller mes remerciements pour ta disponibilité, malgré tout.

 

Combofix n'a pas fonctionné et tu n'y peux rien, mais Avenger a été efficace, c'est certain.

 

Bon courage et bon WE

 

papatango