Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infections détectée par ZHPDIAG

pldta

Par pldta
dans Analyses et éradication malwares

 Partager

Messages recommandés

pldta Member

pldta

Posté(e)
  • Auteur
Posté(e)

Quand je regarde à nouveau la log de Sysprot je ne vois pas la dernière ligne du post précédent. j'ai du faire une erreur de copier-coller au milieu de la log de mbr

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

 

Avec retard !!!

 

Il y a encore une méthode à tenter:

 

Télécharger antiboot de Kaspersky

Décompresser le fichier zip sur le bureau(Clic droit->Extraire vers..)

Lancez antiboot.exe

2727_1.jpg

Si le pc n'est pas infecté vous aurez cette image

2727_3.jpg

 

Si vous avez ce messageRootkit has been detected!Would you like to cure? y/n

Cliquez y pour désinfecter.

L'outil procède à la désinfection

2727_2.jpg

Cliquez y puis validez pourRedémarrer[/b]

pldta Member

pldta

Posté(e)
  • Auteur
Posté(e)

Je ne suis pa pressé!

 

Le problème est que antirootkit se fige après avoir affiché " starting up driver". Tout le pc est bloqué et je rédémarre de manière brutale.

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

La perplexité demeure!!

Ce sera probablement la dernière cartouche:

L'avis des experts:

Si Maxlook ne retourne rien d'intéressant,on supposera qu'il s'agit d'un hook fantôme, fort probablement lié aux multiples pilotes d'émulateurs de CDs présents sur cette machine.

Dans ce cas,s'il n'y a aucun symptôme d'infections ce sera la fin du combat. ,

 

Télécharger Maxlook vers le Bureau.

 

- Double-cliquer sur maxlook.exe.

Autoriser son exécution.

*Note importante : Cet outil ne doit être lancé qu'une seule fois

Après la recherche, l'outil demandera de redémarrer l'ordi en mode de réparation

Sous Xp

Démarrer la console de récupération:

Dans le cas où la console n'est pas installée, munissez-vous de votre CD d'installation ou du cd que vous avez fait.

Assurez-vous que les options du Boot soient bien paramétrées pour démarrer sur le lecteur de CD en premier dans votre BIOS

- Insérez le CD dans le lecteur de CD, puis redémarrez l'ordinateur

- Lorsque l'écran de bienvenue du programme d'installation s'affiche,

console_recuperation_09.gif

Appuyez sur la touche R pour démarrer la console de récupération.

Si on vous le demande, parce que vous n'avez pas installé la commande Set:

Tapez votre mot de passe Administrateur si vous en avez un, sinon, ne tapez rien et cliquez sur ENTRÉE.

 

Sous Vista

Tuto de Marie

 

Avant de redémarrer, insérer le DVD de Vista et choisir "Réparer l'ordinateur" (au bas de la fenêtre d'installation)

 

Ensuite ,choisir la partition du système, puis à la fenêtre suivante "Invite de commandes" (au bas)

 

Taper très exactement la commande suivante cd /d c:\windows

et valider.

 

Lorsque l'invite pour %SystemRoot% (généralement C:\Windows) apparaît, vous pouvez commencer à taper les commandes appropriées pour diagnostiquer et réparer votre installation.

Windows vous demande quel système démarrer.

Appuyez la touche Verr Num pour activer le clavier numérique

Généralement , vous tapez 1 pour accéder au prompt C:\Windows>

Vous arrivez là:

C:\WINDOWS>

 

Taper batch look.bat

(il y a un espace après "batch")

Valider

 

 

Quelques fichiers copiés défilent rapidement , dans la fenêtre.

Lorsque terminé, taper Exit puis valider

Redémarrer en mode Normal.

Relancer l'outil maxlook -sig

(il y a un espace après "maxlook")

 

Un rapport texte apparaîtra à l'écran, nommé looklog.txt.

En coller le contenu dans la réponse.

Modifié par pear
pldta Member

pldta

Posté(e)
  • Auteur
Posté(e)

Voici le résultat :

 

Run from C:\Documents and Settings\Pascal Admin\Bureau\maxlook.exe on 10/05/2010 at 20:27:36,11

--------- maxlook unsigned files ---------

c:\windows\maxdriver\asapiW2k.sys:
Verified:	Unsigned
File date:	20:27 17/04/2002
Publisher:	VOB Computersysteme GmbH
Description:	ASAPI
Product:	asapi
Version:	6, 0, 0, 1
File version:	6, 0, 0, 1
c:\windows\maxdriver\chdrvr01.sys:
Verified:	Unsigned
File date:	01:36 21/11/2006
Publisher:	CH Products
Description:	CH Control Manager Driver 1
Product:	CH Products Control Manager
Version:	4.20
File version:	11.21.2006
c:\windows\maxdriver\chdrvr02.sys:
Verified:	Unsigned
File date:	23:41 22/12/2005
Publisher:	CH Products
Description:	CH Control Manager Driver 2
Product:	CH Products Control Manager
Version:	4.10
File version:	12.19.2005
c:\windows\maxdriver\chdrvr03.sys:
Verified:	Unsigned
File date:	23:41 22/12/2005
Publisher:	CH Products
Description:	CH Control Manager Driver 3
Product:	CH Products Control Manager
Version:	4.10
File version:	12.19.2005
c:\windows\maxdriver\imagedrv.sys:
Verified:	Unsigned
File date:	22:30 03/03/2004
Publisher:	Ahead Software AG
Description:	NERO IMAGEDRIVE SCSI miniport
Product:	Nero ImageDrive
Version:	2.27.0.0
File version:	2.27.0.0 built by: WinDDK
c:\windows\maxdriver\imagesrv.sys:
Verified:	Unsigned
File date:	22:30 03/03/2004
Publisher:	Ahead Software AG
Description:	Nero Image Server
Product:	Nero ImageDrive
Version:	2.27.0.0
File version:	2.27.0.0 built by: WinDDK
c:\windows\maxdriver\iteraid.sys:
Verified:	Unsigned
File date:	05:25 26/03/2003
Publisher:	Integrated Technology Express, Inc.
Description:	ITE IT8212 ATA RAID SCSI miniport
Product:	Windows (R) 2000 DDK driver
Version:	5.00.2195.1620
File version:	v1.3.1.4
c:\windows\maxdriver\pcouffin.sys:
Verified:	Unsigned
File date:	14:53 29/11/2008
Publisher:	VSO Software
Description:	low level access layer for CD/DVD/BD devices
Product:	Patin couffin engine
Version:	1.37
File version:	1.37
c:\windows\maxdriver\PFMODNT.SYS:
Verified:	Unsigned
File date:	12:19 05/03/2003
Publisher:	Creative Technology Ltd.
Description:	PCI/ISA Device Info. Service
Product:	PfModNT
Version:	3.0.0.3
File version:	3.0.0.3
c:\windows\maxdriver\precsim.sys:
Verified:	Unsigned
File date:	01:00 22/05/2002
Publisher:	Engelmann GmbH
Description:	PrecSim SCSI miniport
Product:	PrecSim
Version:	1.16.0.0
File version:	1.16.0.0
c:\windows\maxdriver\TPkd.sys:
Verified:	Unsigned
File date:	09:00 27/09/2005
Publisher:	PACE Anti-Piracy, Inc.
Description:	InterLok system file
Product:	InterLok(R)
Version:	5.3.0.2339
File version:	5.3.0.2339
c:\windows\maxdriver\VIAPFD.SYS:
Verified:	Unsigned
File date:	09:24 04/05/2001
Publisher:	VIA Technologies. Inc.
Description:	VIA PFD driver
Product:	VIA PFD driver
Version:	5.00.2195.100
File version:	5.00.2195.100

--------- system32\drivers unsigned files ---------

c:\windows\system32\drivers\asapiW2k.sys:
Verified:	Unsigned
File date:	20:27 17/04/2002
Publisher:	VOB Computersysteme GmbH
Description:	ASAPI
Product:	asapi
Version:	6, 0, 0, 1
File version:	6, 0, 0, 1
c:\windows\system32\drivers\chdrvr01.sys:
Verified:	Unsigned
File date:	01:36 21/11/2006
Publisher:	CH Products
Description:	CH Control Manager Driver 1
Product:	CH Products Control Manager
Version:	4.20
File version:	11.21.2006
c:\windows\system32\drivers\chdrvr02.sys:
Verified:	Unsigned
File date:	23:41 22/12/2005
Publisher:	CH Products
Description:	CH Control Manager Driver 2
Product:	CH Products Control Manager
Version:	4.10
File version:	12.19.2005
c:\windows\system32\drivers\chdrvr03.sys:
Verified:	Unsigned
File date:	23:41 22/12/2005
Publisher:	CH Products
Description:	CH Control Manager Driver 3
Product:	CH Products Control Manager
Version:	4.10
File version:	12.19.2005
c:\windows\system32\drivers\imagedrv.sys:
Verified:	Unsigned
File date:	22:30 03/03/2004
Publisher:	Ahead Software AG
Description:	NERO IMAGEDRIVE SCSI miniport
Product:	Nero ImageDrive
Version:	2.27.0.0
File version:	2.27.0.0 built by: WinDDK
c:\windows\system32\drivers\imagesrv.sys:
Verified:	Unsigned
File date:	22:30 03/03/2004
Publisher:	Ahead Software AG
Description:	Nero Image Server
Product:	Nero ImageDrive
Version:	2.27.0.0
File version:	2.27.0.0 built by: WinDDK
c:\windows\system32\drivers\iteraid.sys:
Verified:	Unsigned
File date:	05:25 26/03/2003
Publisher:	Integrated Technology Express, Inc.
Description:	ITE IT8212 ATA RAID SCSI miniport
Product:	Windows (R) 2000 DDK driver
Version:	5.00.2195.1620
File version:	v1.3.1.4
c:\windows\system32\drivers\pcouffin.sys:
Verified:	Unsigned
File date:	14:53 29/11/2008
Publisher:	VSO Software
Description:	low level access layer for CD/DVD/BD devices
Product:	Patin couffin engine
Version:	1.37
File version:	1.37
c:\windows\system32\drivers\PFMODNT.SYS:
Verified:	Unsigned
File date:	12:19 05/03/2003
Publisher:	Creative Technology Ltd.
Description:	PCI/ISA Device Info. Service
Product:	PfModNT
Version:	3.0.0.3
File version:	3.0.0.3
c:\windows\system32\drivers\precsim.sys:
Verified:	Unsigned
File date:	01:00 22/05/2002
Publisher:	Engelmann GmbH
Description:	PrecSim SCSI miniport
Product:	PrecSim
Version:	1.16.0.0
File version:	1.16.0.0
c:\windows\system32\drivers\TPkd.sys:
Verified:	Unsigned
File date:	09:00 27/09/2005
Publisher:	PACE Anti-Piracy, Inc.
Description:	InterLok system file
Product:	InterLok(R)
Version:	5.3.0.2339
File version:	5.3.0.2339
c:\windows\system32\drivers\VIAPFD.SYS:
Verified:	Unsigned
File date:	09:24 04/05/2001
Publisher:	VIA Technologies. Inc.
Description:	VIA PFD driver
Product:	VIA PFD driver
Version:	5.00.2195.100
File version:	5.00.2195.100

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Il y a 2 drivers suspects:

Dans les deux cas , il y a interface de bas niveau pour de la gravure

et/ou de l'émulation, donc possibilité de crocheter Adapi.sys.

 

c:\windows\system32\drivers\asapiW2k.sys:

Verified: Unsigned

File date: 20:27 17/04/2002

Publisher: VOB Computersysteme GmbH

Description: ASAPI

Product: asapi

Version: 6, 0, 0, 1

File version: 6, 0, 0, 1

-

-

c:\windows\system32\drivers\pcouffin.sys:

Verified: Unsigned

File date: 14:53 29/11/2008

Publisher: VSO Software

Description: low level access layer for CD/DVD/BD devices

Product: Patin couffin engine

Version: 1.37

File version: 1.37

 

On peut laisser les choses en l'état puisque on ne voit pas d'infection.

On peut aussi poursuivre.

 

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

img-13211200p4x.jpg

 

Occurences à rechercher ->Taper

asapiW2k.sys

pcouffin.sys

 

Cocher"Chercher également dans le régistre"

 

cocher Informations suppémentaires

la recherche dure quelques minutes et produit un rapport C:\SEAFlog.txt à poster

 

A partir de là, vous voyez quels logiciels lancent cela et pouvez décider ce qu'on en fait :suppression ou pas.

pldta Member

pldta

Posté(e)
  • Auteur
Posté(e)

Voici la log de Seaf :

 

1. ========================= SEAF 1.0.0.7 - C_XX

2.

3. Commencé à: 20:15:34 le 12/05/2010

4.

5. Valeur(s) recherchée(s):

6.

7. asapiW2k.sys

8. pcouffin.sys

9.

10. (!) --- Informations supplémentaires

11. (!) --- Recherche registre

12.

13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======

14.

15. "c:\WINDOWS\system32\drivers\asapiW2k.sys" [ ----A---- | 11264 ]

16. TC: 31/03/2006,11:59:56 | TM: 17/04/2002,20:27:02 | DA: 12/05/2010,20:08:12

17.

18. CompagnyName: VOB Computersysteme GmbH

19. ProductName: asapi

20. InternalName: asapi.sys

21. OriginalFilename: asapi.sys

22. LegalCopyright: © 1997-2001 by VOB Computersysteme GmbH

23. ProductVersion: 6, 0, 0, 1

24. FileVersion: 6, 0, 0, 1

25.

26. =========================

27.

28. "c:\WINDOWS\system32\drivers\pcouffin.sys" [ ----A---- | 47360 ]

29. TC: 24/11/2008,21:11:45 | TM: 29/11/2008,14:53:06 | DA: 12/05/2010,20:08:20

30.

31. CompagnyName: VSO Software

32. ProductName: Patin couffin engine

33. InternalName: Pcouffin.sys

34. OriginalFilename: Pcouffin.sys

35. LegalCopyright: Copyright © 2001-2006 VSO Software

36. ProductVersion: 1.37

37. FileVersion: 1.37

38.

39. =========================

40.

41. "c:\WINDOWS\maxdriver\asapiW2k.sys" [ ----A---- | 11264 ]

42. TC: 31/03/2006,11:59:56 | TM: 17/04/2002,20:27:02 | DA: 10/05/2010,19:58:02

43.

44. CompagnyName: VOB Computersysteme GmbH

45. ProductName: asapi

46. InternalName: asapi.sys

47. OriginalFilename: asapi.sys

48. LegalCopyright: © 1997-2001 by VOB Computersysteme GmbH

49. ProductVersion: 6, 0, 0, 1

50. FileVersion: 6, 0, 0, 1

51.

52. =========================

53.

54. "c:\WINDOWS\maxdriver\pcouffin.sys" [ ----A---- | 47360 ]

55. TC: 24/11/2008,21:11:45 | TM: 29/11/2008,14:53:06 | DA: 10/05/2010,19:58:11

56.

57. CompagnyName: VSO Software

58. ProductName: Patin couffin engine

59. InternalName: Pcouffin.sys

60. OriginalFilename: Pcouffin.sys

61. LegalCopyright: Copyright © 2001-2006 VSO Software

62. ProductVersion: 1.37

63. FileVersion: 1.37

64.

65. =========================

66.

67. "c:\Documents and Settings\Pascal Admin\Application Data\pcouffin.sys" [ ----A---- | 47360 ]

68. TC: 24/11/2008,21:11:45 | TM: 29/11/2008,14:53:06 | DA: 02/05/2010,14:36:12

69.

70. CompagnyName: VSO Software

71. ProductName: Patin couffin engine

72. InternalName: Pcouffin.sys

73. OriginalFilename: Pcouffin.sys

74. LegalCopyright: Copyright © 2001-2006 VSO Software

75. ProductVersion: 1.37

76. FileVersion: 1.37

77.

78. =========================

79.

80. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======

81.

82. Aucun dossier trouvé

83.

84.

85. ====== Entrée(s) du registre ======

86.

87.

88.

89. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\AsapiW2K]

90. "ImagePath"="system32\drivers\Asapiw2k.sys"

91.

92. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\AsapiW2K]

93. "ImagePath"="system32\drivers\Asapiw2k.sys"

94.

95. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\AsapiW2K]

96. "ImagePath"="system32\drivers\Asapiw2k.sys"

97.

98. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AsapiW2K]

99. "ImagePath"="system32\drivers\Asapiw2k.sys"

100.

101.

102.

103. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603]

104. "000"="pcouffin.sys"

105.

106. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\pcouffin]

107. "ImagePath"="System32\Drivers\pcouffin.sys"

108.

109. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Services\pcouffin]

110. "ImagePath"="System32\Drivers\pcouffin.sys"

111.

112. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\pcouffin]

113. "ImagePath"="System32\Drivers\pcouffin.sys"

114.

115. [HKEY_USERS\S-1-5-21-1935655697-1993962763-1343024091-1003\Software\Microsoft\Search Assistant\ACMru\5603]

116. "000"="pcouffin.sys"

117.

118. =========================

119.

120. Fin à: 20:23:23 le 12/05/2010 ( E.O.F )

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonsoir,

 

Faites un point de restauration.

Après ceci,les logiciels nécessitant ces drivers ne fonctionneront plus.

Bien entendu, ce n'est pas irréversible.(point de restauration)

 

Copiez collez dans le bloc notes.

Enregistrez sous Serv.bat, sur le bureau.

Double clic pour lancer.

@echo

cd c:\

cd windows

cd system32

CD drivers

del /f /s /q C:\WINDOWS\System32\drivers\Asapiw2k.sys

del /f /s /q C:\WINDOWS\System32\drivers\pcouffin.sys

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...