Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Acces impossible aux sites d'anti-virus ou microsoft (résolu)

Paris_xiii

Par Paris_xiii
dans Analyses et éradication malwares

 Partager

Messages recommandés

Paris_xiii Junior Member

Paris_xiii

Posté(e)
  • Auteur
Posté(e)

Voici le rapport

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/04/23 22:33

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP2

==================================================

 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xB29A7000 Size: 98304 File Visible: No Signed: -

Status: -

 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7A91000 Size: 8192 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xB132D000 Size: 49152 File Visible: No Signed: -

Status: -

 

Hidden/Locked Files

-------------------

Path: C:\hiberfil.sys

Status: Locked to the Windows API!

 

SSDT

-------------------

#: 025 Function Name: NtClose

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99c56

 

#: 041 Function Name: NtCreateKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99b12

 

#: 063 Function Name: NtDeleteKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a9a0c6

 

#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99ff0

 

#: 068 Function Name: NtDuplicateObject

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a996e8

 

#: 119 Function Name: NtOpenKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99bec

 

#: 122 Function Name: NtOpenProcess

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99628

 

#: 128 Function Name: NtOpenThread

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a9968c

 

#: 177 Function Name: NtQueryValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99d0c

 

#: 192 Function Name: NtRenameKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a9a194

 

#: 204 Function Name: NtRestoreKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99ccc

 

#: 247 Function Name: NtSetValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xb2a99e4c

 

Hidden Services

-------------------

Service Name: ofrmcs

Image Path: %SystemRoot%\system32\svchost.exe -k netsvcs

 

==EOF==

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

1. Télécharge The Avenger par Swandog46 sur ton Bureau.

  • Décompresse le fichier
  • avenger.exe sur le bureau

 

2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre :P :

 

drivers to disable:
ofrmcs

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lance The Avenger en double cliquant dessus, sauf pour VIsta et 7 : là par clic droit, exécuter en tant qu'administrateur.

  • Sous "Input Script There", colle le code précédemment copié.
  • Clique sur Execute
  • Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système.
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

 

Après normalement, Combofix ne devrait pas planter.

Paris_xiii Junior Member

Paris_xiii

Posté(e)
  • Auteur
Posté(e) (modifié)

[*]Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

 

Après normalement, Combofix ne devrait pas planter.

 

-----------------------------

VOila le contenu du fichier log affiché apres reboot :

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Driver "ofrmcs" disabled successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

Par contre, dans c:\avenger il n'y a qu'un fichier zip (backup.zip) avec un mot de passe et qui contient avenger.txt et backup.reg

 

Info importante, je peux désormais retourner sur les sites Microsoft et remettre à jour Avast !!!!

La situation est-elle fixée ou est-ce seulement temporaire ???

Modifié par Paris_xiii
Paris_xiii Junior Member

Paris_xiii

Posté(e)
  • Auteur
Posté(e)
Temporaire, mais on a trouvé le truc, passe combofix stp.

----------------------------------

Toujours le meme pb avec combofix (tralala) il fait un ecran bleu apres le step 50 et reboot la machine qui a généré une erreur grave captée par Crosoft (pb provoque par device driver)

Par contre apres le reboot je peux toujours accéder au site de crosoft et d'avast, trend, kaspersky....

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Réutilise Avenger, avec ce code, qui supprimera en plus de désactiver une partie de la bestiole :

 

drivers to disable:
ofrmcs

drivers to delete:
ofrmcs

 

Fais comme tu as fait avant avec Avenger, ça avait donné de bons résultats.

Paris_xiii Junior Member

Paris_xiii

Posté(e)
  • Auteur
Posté(e)
Réutilise Avenger, avec ce code, qui supprimera en plus de désactiver une partie de la bestiole :

 

drivers to disable:
ofrmcs

drivers to delete:
ofrmcs

 

Fais comme tu as fait avant avec Avenger, ça avait donné de bons résultats.

-----------------------------

OK relancé cela donne :

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Driver "ofrmcs" disabled successfully.

Driver "ofrmcs" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

Pendant ce temps les 48 mises à jour de crosoft essayent de s'installer.... Pas assez de place sur C: je dois faire du ménage..

 

Une idée sur ce qui s'est passé ?

 

En tout cas, merci pour le temps passé et sur l'expertise !

Paris_xiii Junior Member

Paris_xiii

Posté(e)
  • Auteur
Posté(e)

Attends pour les mises à jour.

 

>>> Quelques unes sont déjà passées :P

 

Essaie MBAM là.

---------------------

Voila :

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4032

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

24/04/2010 23:02:05

mbam-log-2010-04-24 (23-02-05).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 112350

Temps écoulé: 11 minute(s), 26 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Pendant le scan de MBAM, Avast s'est reveillé et a mis en quarantaine une dll de windows32/mvukltw.dll (Rookit_gen[RKT])...

Je relance MBAM en arrêtant Avast ?

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)
Je relance MBAM en arrêtant Avast ?
Oui, après un redémarrage (coupe Avast au démarrage, puis relance MBAM).

 

Le plus gros est fait. :P

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...