RKIT/Bubnix.S

luvida · le 22 octobre 2010

Voilà,

Fix Navipromo version 4.0.9 commencé le 22/10/2010 17:43:30,31

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!

!!! Postez ce rapport sur le forum pour le faire analyser !!!

Outil exécuté depuis C:\navilog1

Mise à jour le 17.09.2010 à 16h00 par IL-MAFIOSO

Microsoft Windows XP Professionnel ( v5.1.2600 ) Service Pack 2

X86-based PC ( Multiprocessor Free : AMD Athlon 64 X2 Dual Core Processor 3800+ )

BIOS : )Phoenix - Award WorkstationBIOS v6.00PG

USER : kneub ( Administrator )

BOOT : Normal boot

Antivirus : AntiVir Desktop 9.0.1.32 (Activated)

C:\ (Local Disk) - NTFS - Total:111 Go (Free:3 Go)

D:\ (Local Disk) - FAT32 - Total:102 Go (Free:8 Go)

E:\ (CD or DVD)

F:\ (Local Disk) - NTFS - Total:13 Go (Free:1 Go)

G:\ (USB)

H:\ (USB)

L:\ (USB)

M:\ (USB)

Recherche executée en mode normal

Aucune Infection Navipromo/Egdaccess trouvée

*** Scan terminé 22/10/2010 17:45:22,67 ***

Apollo · le 22 octobre 2010

Bizarre,

tu es allé(e) sur un autre forum pour te faire aider?

Si c'est le cas, autant me le dire stp.

Fais l'analyse complète avec Antivir mis à jour.

Il ne faudra surtout pas oublier de faire toutes les mises à jour recommandées dans le rapport Kaspersky (KVRT) car il y en a une flopée. Il suffit de cliquer les liens.

@++

luvida · le 22 octobre 2010

Non, pas du tout, j'ai déjà assez à faire ici ! :tsss:

Apollo · le 23 octobre 2010

Bonjour,

Je n'ai pas encore vu le rapport complet d'Antivir mais il y a certaines choses à retenter si l'antivirus détecte encore et toujours Bubnix.S sur ton pc.

Pour commencer, tu vas supprimer l'exécutable de TDSSKiller que tu as téléchargé précédemment de même que le dossier de WinfileReplace qui se trouve sur le C:\ et tout ce qui s'y rapporte (FR.files par exemple).

De même, débarrasse-toi de l'exécutable de WinfileReplace; j'ai contacté le développeur de l'outil, Loup blanc qui a fait quelques modifications après contrôle du fonctionnement de l'outil.

Vide la corbeille après l'élimination des fichiers et dossier décrits ci-dessus.

Tu vas repasser une nouvelle copie de TDSSKiller mais cette fois, tu devras choisir "CURE" lorsque le fichier aec.sys sera détecté. Surtout ne pas choisir l'option Skip. (ne mets pas en quarantaine non plus et encore moins le supprimer); seule l'option CURE est acceptable.

Je redonne la procédure:

Télécharge TDSSKiller de Kaspersky sur ton bureau.

Double-clique sur TDSSKiller.exe

L'écran de TDSSKiller s'affiche:

Cliquer sur Start scan pour lancer l'analyse.

Lorsque l'outil a terminé son travail d'inspection, si des nuisibles ("Malicious objects") ont été trouvés,

vérifier que l'option Cure est sélectionnée, puis cliquer sur le bouton Continue puis sur le bouton Reboot now.

Envoyer en réponse:

*- Le rapport de TDSSKiller (contenu du fichier SystemDrive \TDSSKiller.Version_Date_Heure_log.txt)

[systemDrive représente la partition sur laquelle est installé le système, généralement C:] .

--------------------

De même on va réutiliser WinFileReplace qui a été corrigé et tu devrais pouvoir l'utiliser normalement cette fois.

Même s'il ne parvenait pas à remplacer les fichiers infectés, il nous donnerait la possibilité d'utiliser le ou les fichiers téléchargés avec le SP2, qui se trouveraient alors dans le dossier C:\FR.files.

Ces fichiers pourront servir à établir un script à utiliser avec ComboFix (mais il faut attendre mes instructions avant de relancer cet outil. (combofix).

Télécharge http://frade s ch.per s o.cegetel.net/tran s f/WinFileReplace.exe et enregistre-le sur le bureau.

Ferme tous les programmes et double-clique sur l'icône WinFileReplace.

Dans le menu qui apparaît , choisis la langue du programme. soit F puis Entrée pour mettre le programme en Français.

Le programme se lance et vérifie ta version de Windows.

Le bloc-note s'ouvre dès que tu appuieras sur une touche comme demandé, et tu dois y indiquer le ou les fichiers à restaurer,sous forme de liste.. >>

c:\windows\system32\drivers\aec.sys
c:\windows\$hf_mig$\KB900485\SP2QFE\aec.sys
c:\windows\system32\dllcache\aec.sys

Ferme le bloc-note et enregistre les changements.

Le service pack correspondant à ton système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

Tu devras ensuite accepter le contrat d'utilisateur de Microsoft

Confirme la restauration du fichier en appuyant sur la touche o et Entrée

Une fois le remplacement effectué, tu devras redémarrer l'ordinateur en appuyant sur la touche o puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et t'indiquera si la restauration a réussi.

Si tu te fais aider sur un forum, fais un copier/coller ce rapport.

Le rapport se trouvera sur C:\rapport-WFR.txt.

Très bonne journée.

@++

luvida · le 24 octobre 2010

Bonjour,

Voici le rapport avira, je crois que kasp à dégagé Bubnix !

Si j'ai bien compris le sp2 n'a pas été chargé?

Auparavant j'avais téléchargé le sp3 sur le site officiel microsoft, apparemment l'opération a échoué...

Bonne journée, à bientôt.

Avira AntiVir Personal

Date de création du fichier de rapport : vendredi 22 octobre 2010 18:00

La recherche porte sur 2962543 souches de virus.

Détenteur de la licence : Avira AntiVir Personal - FREE Antivirus

Numéro de série : 0000149996-ADJIE-0000001

Plateforme : Windows XP

Version de Windows : (Service Pack 2) [5.1.2600]

Mode Boot : Démarré normalement

Identifiant : SYSTEM

Nom de l'ordinateur : ACER-3DDD0F9C53

Informations de version :

BUILD.DAT : 9.0.0.77 21698 Bytes 09/06/2010 12:01:00

AVSCAN.EXE : 9.0.3.10 466689 Bytes 19/11/2009 18:08:08

AVSCAN.DLL : 9.0.3.0 49409 Bytes 03/03/2009 09:21:02

LUKE.DLL : 9.0.3.2 209665 Bytes 20/02/2009 10:35:11

LUKERES.DLL : 9.0.2.0 13569 Bytes 03/03/2009 09:21:31

VBASE000.VDF : 7.10.0.0 19875328 Bytes 06/11/2009 18:08:08

VBASE001.VDF : 7.10.1.0 1372672 Bytes 19/11/2009 17:49:16

VBASE002.VDF : 7.10.3.1 3143680 Bytes 20/01/2010 17:01:55

VBASE003.VDF : 7.10.3.75 996864 Bytes 26/01/2010 17:11:51

VBASE004.VDF : 7.10.4.203 1579008 Bytes 05/03/2010 09:19:03

VBASE005.VDF : 7.10.6.82 2494464 Bytes 15/04/2010 15:56:57

VBASE006.VDF : 7.10.7.218 2294784 Bytes 02/06/2010 17:57:43

VBASE007.VDF : 7.10.9.165 4840960 Bytes 23/07/2010 17:13:58

VBASE008.VDF : 7.10.11.133 3454464 Bytes 13/09/2010 12:54:52

VBASE009.VDF : 7.10.11.134 2048 Bytes 13/09/2010 12:54:52

VBASE010.VDF : 7.10.11.135 2048 Bytes 13/09/2010 12:54:52

VBASE011.VDF : 7.10.11.136 2048 Bytes 13/09/2010 12:54:52

VBASE012.VDF : 7.10.11.137 2048 Bytes 13/09/2010 12:54:52

VBASE013.VDF : 7.10.11.165 172032 Bytes 15/09/2010 12:54:52

VBASE014.VDF : 7.10.11.202 144384 Bytes 18/09/2010 12:54:53

VBASE015.VDF : 7.10.11.231 129024 Bytes 21/09/2010 12:54:53

VBASE016.VDF : 7.10.12.4 126464 Bytes 23/09/2010 12:54:53

VBASE017.VDF : 7.10.12.38 146944 Bytes 27/09/2010 15:42:02

VBASE018.VDF : 7.10.12.64 133120 Bytes 29/09/2010 15:43:18

VBASE019.VDF : 7.10.12.99 134144 Bytes 01/10/2010 15:43:12

VBASE020.VDF : 7.10.12.122 131584 Bytes 05/10/2010 15:43:18

VBASE021.VDF : 7.10.12.148 119296 Bytes 07/10/2010 15:43:26

VBASE022.VDF : 7.10.12.175 142848 Bytes 11/10/2010 15:43:35

VBASE023.VDF : 7.10.12.198 131584 Bytes 13/10/2010 15:43:41

VBASE024.VDF : 7.10.12.216 133120 Bytes 14/10/2010 15:43:45

VBASE025.VDF : 7.10.12.238 137728 Bytes 18/10/2010 15:44:00

VBASE026.VDF : 7.10.12.254 129536 Bytes 20/10/2010 15:44:13

VBASE027.VDF : 7.10.13.22 137728 Bytes 22/10/2010 15:44:07

VBASE028.VDF : 7.10.13.23 2048 Bytes 22/10/2010 15:44:07

VBASE029.VDF : 7.10.13.24 2048 Bytes 22/10/2010 15:44:07

VBASE030.VDF : 7.10.13.25 2048 Bytes 22/10/2010 15:44:07

VBASE031.VDF : 7.10.13.26 2048 Bytes 22/10/2010 15:44:07

Version du moteur : 8.2.4.84

AEVDF.DLL : 8.1.2.1 106868 Bytes 30/07/2010 16:57:04

AESCRIPT.DLL : 8.1.3.45 1368443 Bytes 25/09/2010 12:55:00

AESCN.DLL : 8.1.6.1 127347 Bytes 13/05/2010 15:54:00

AESBX.DLL : 8.1.3.1 254324 Bytes 23/04/2010 15:53:55

AERDL.DLL : 8.1.9.2 635252 Bytes 25/09/2010 12:54:59

AEPACK.DLL : 8.2.3.11 471416 Bytes 11/10/2010 15:44:01

AEOFFICE.DLL : 8.1.1.8 201081 Bytes 21/07/2010 16:09:12

AEHEUR.DLL : 8.1.2.36 2974072 Bytes 20/10/2010 15:44:27

AEHELP.DLL : 8.1.14.0 246134 Bytes 11/10/2010 15:43:40

AEGEN.DLL : 8.1.3.23 401779 Bytes 01/10/2010 15:43:20

AEEMU.DLL : 8.1.2.0 393588 Bytes 23/04/2010 15:53:53

AECORE.DLL : 8.1.17.0 196982 Bytes 25/09/2010 12:54:55

AEBB.DLL : 8.1.1.0 53618 Bytes 23/04/2010 15:53:53

AVWINLL.DLL : 9.0.0.3 18177 Bytes 12/12/2008 07:47:30

AVPREF.DLL : 9.0.3.0 44289 Bytes 26/09/2009 16:26:59

AVREP.DLL : 8.0.0.7 159784 Bytes 18/02/2010 17:39:38

AVREG.DLL : 9.0.0.0 36609 Bytes 07/11/2008 14:24:42

AVARKT.DLL : 9.0.0.3 292609 Bytes 24/03/2009 14:05:22

AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30/01/2009 09:36:37

SQLITE3.DLL : 3.6.1.0 326401 Bytes 28/01/2009 14:03:49

SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02/02/2009 07:20:57

NETNT.DLL : 9.0.0.0 11521 Bytes 07/11/2008 14:40:59

RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 13/07/2009 08:52:08

RCTEXT.DLL : 9.0.73.0 88321 Bytes 19/11/2009 18:08:08

Configuration pour la recherche actuelle :

Nom de la tâche...............................: Contrôle intégral du système

Fichier de configuration......................: c:\program files\avira\antivir desktop\sysscan.avp

Documentation.................................: bas

Action principale.............................: interactif

Action secondaire.............................: ignorer

Recherche sur les secteurs d'amorçage maître..: marche

Recherche sur les secteurs d'amorçage.........: marche

Secteurs d'amorçage...........................: C:, D:, F:,

Recherche dans les programmes actifs..........: marche

Recherche en cours sur l'enregistrement.......: marche

Recherche de Rootkits.........................: marche

Contrôle d'intégrité de fichiers système......: arrêt

Fichier mode de recherche.....................: Tous les fichiers

Recherche sur les archives....................: marche

Limiter la profondeur de récursivité..........: 20

Archive Smart Extensions......................: marche

Heuristique de macrovirus.....................: marche

Heuristique fichier...........................: moyen

Catégories de dangers divergentes.............: +APPL,+JOKE,+PCK,+PFS,+SPR,

Début de la recherche : vendredi 22 octobre 2010 18:00

La recherche d'objets cachés commence.

'91954' objets ont été contrôlés, '0' objets cachés ont été trouvés.

La recherche sur les processus démarrés commence :

Processus de recherche 'avscan.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avcenter.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MiPony.exe' - '1' module(s) sont contrôlés

Processus de recherche 'firefox.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wuauclt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'alg.exe' - '1' module(s) sont contrôlés

Processus de recherche 'wmiapsrv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'setup_9.0.0.722_21.10.2010_21-19.exe' - '1' module(s) sont contrôlés

Processus de recherche 'CCC.exe' - '1' module(s) sont contrôlés

Processus de recherche 'webshots.scr' - '1' module(s) sont contrôlés

Processus de recherche 'WrtProc.exe' - '1' module(s) sont contrôlés

Processus de recherche 'MOM.exe' - '1' module(s) sont contrôlés

Processus de recherche 'WrtMon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avgnt.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jusched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'explorer.exe' - '1' module(s) sont contrôlés

Processus de recherche 'UAService7.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'jqs.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ehSched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'avguard.exe' - '1' module(s) sont contrôlés

Processus de recherche 'sched.exe' - '1' module(s) sont contrôlés

Processus de recherche 'spoolsv.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'svchost.exe' - '1' module(s) sont contrôlés

Processus de recherche 'ati2evxx.exe' - '1' module(s) sont contrôlés

Processus de recherche 'lsass.exe' - '1' module(s) sont contrôlés

Processus de recherche 'services.exe' - '1' module(s) sont contrôlés

Processus de recherche 'winlogon.exe' - '1' module(s) sont contrôlés

Processus de recherche 'csrss.exe' - '1' module(s) sont contrôlés

Processus de recherche 'smss.exe' - '1' module(s) sont contrôlés

'37' processus ont été contrôlés avec '37' modules

La recherche sur les secteurs d'amorçage maître commence :

Secteur d'amorçage maître HD0

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD1

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD2

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD3

[iNFO] Aucun virus trouvé !

Secteur d'amorçage maître HD4

[iNFO] Aucun virus trouvé !

La recherche sur les secteurs d'amorçage commence :

Secteur d'amorçage 'C:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'D:\'

[iNFO] Aucun virus trouvé !

Secteur d'amorçage 'F:\'

[iNFO] Aucun virus trouvé !

La recherche sur les renvois aux fichiers exécutables (registre) commence :

Le registre a été contrôlé ( '77' fichiers).

La recherche sur les fichiers sélectionnés commence :

Recherche débutant dans 'C:\' <ACER>

C:\hiberfil.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

C:\pagefile.sys

[AVERTISSEMENT] Impossible d'ouvrir le fichier !

[REMARQUE] Ce fichier est un fichier système Windows.

[REMARQUE] Il est correct que ce fichier ne puisse pas être ouvert pour la recherche.

Recherche débutant dans 'D:\' <ACERDATA>

Recherche débutant dans 'F:\' <2008 SERVEUR>

Fin de la recherche : vendredi 22 octobre 2010 20:45

Temps nécessaire: 2:44:51 Heure(s)

La recherche a été effectuée intégralement

23479 Les répertoires ont été contrôlés

1067082 Des fichiers ont été contrôlés

0 Des virus ou programmes indésirables ont été trouvés

0 Des fichiers ont été classés comme suspects

0 Des fichiers ont été supprimés

0 Des virus ou programmes indésirables ont été réparés

0 Les fichiers ont été déplacés dans la quarantaine

0 Les fichiers ont été renommés

2 Impossible de contrôler des fichiers

1067080 Fichiers non infectés

14090 Les archives ont été contrôlées

2 Avertissements

2 Consignes

91954 Des objets ont été contrôlés lors du Rootkitscan

0 Des objets cachés ont été trouvés

Apollo · le 24 octobre 2010

Bonjour,

Cela parait très bien d'après ce rapport.

Comment va la machine? Si c'est bon, on peut passer au SP3 sinon je reverrai un peu ce qu'on peut faire comme manip avec ComboFix.

Pour le SP3, il arrive que cela échoue avec le système "normal" des mises à jour; pour pallier à ça, il existe un moyen de graver ce SP3 sur un CD afin de pouvoir l'installer avec tous les programmes fermés, y compris les protections antivirus et firewall.

Mais pour cela, le pc doit impérativement être déconnecté du net, c'est à dire en retirant le câble de la tour ou en coupant le WI-FI. J'ai fait comme ça et je n'ai rencontré aucun souci.

Installer le SP3 de XP:

Image ISO à graver sur CD.

Enregistre le fichier ISO sur le bureau et surtout ne décompresse rien.

Si tu as besoin d'un logiciel de gravure d'images iso, je te propose

Active Iso Burner: Active@ ISO Burner. Data CD DVD burning software. Write ISO image to CD,DVD,CD-RW,CDR,DVD-RW.

Si tu as Nero, choisir "graver une image sur disque"

Choisis toujours une vitesse de gravure lente (4x), une trop rapide a des chances de louper le cd.

Durant l'installation du SP3 avec le CD, ne navigue pas et ferme toutes tes applications en cours, même les protections de sécurité.

Dans ce cas, prends soin de déconnecter physiquement le pc du net, en retirant le câble de la tour ou en coupant la connexion wi-fi.

Tu pourras, après redémarrage, te rebrancher au net et te rendre sur Microsoft Update afin de procéder au reste des mises à jour prioritaires à faire. (y compris Explorer

@++

luvida · le 24 octobre 2010

Merci, au sujet des vulnérabilités que dois-je faire exactement ?

Apollo · le 24 octobre 2010

Re.

Je vais regarder ça dans le rapport de Kaspersky mais en attendant, tu peux déjà corriger celles-ci:

Apollo Et Compagnie A vérifier de temps en temps, important!

@++

Apollo · le 24 octobre 2010

Concernant les autres vulnérabilités:

Les applications dont tu ne te servirais plus doivent être désinstallées pour supprimer les failles de sécurité.

Si tu as une version Béta de 7Zip, désinstalle-la et installe la version 4.65

Download

Pour ImageMagick 6.x, installer la mise à jour décrite ici: Viruslist.com - ImageMagick "XMakeImage()" Integer Overflow Vulnerability (Mise à jour à la version 6.5.2-9.)

Pour Dreamweaver, installer la mise à jour ici: Users of Dreamweaver 8 should update to version 8.0.2.

Adobe - Dreamweaver Support Center : Updaters

Dreamweaver MX 2004, MX, and Ultradev users should follow the published instructions for updating the code:

Protecting ColdFusion server behaviors from SQL injection vulnerability

Opera: Mettre à jour vers la version 10.63.

VMware: Update to a fixed version.

VMware Workstation 7.x:

Update to version 7.1.2 build 301548 or later.

http://www.vmware.com/download/ws/

VMware Player 3.x:

Update to version 3.1.2 build 301548 or later.

http://www.vmware.com/download/player/

Winamp: Mise à jour à la version 5.58 ou plus récente: Télécharger Winamp - Logithèque PC Astuces

Wireshark: Mise à jour à la version 1.2.12 or 1.4.1. Wireshark · Download

XnView: Mise à jour à la version 1.97.5. XnView - Logiciel de visualisation, conversion et organisation des images et photos

Microsoft XML Core Services: Faire les mises à jour prioritaires et secondaires sur Microsoft Update.

jetAudio: pas de correctif: désinstaller.

Es-tu certaine que ton pc va bien? Je te le souhaite en tous cas

@++

Modifié le 24 octobre 2010 par Apollo

luvida · le 24 octobre 2010

Bonsoir, le sp3 est installé, en ce qui concerne la machine, on dirait qu'elle manque de réactivité....@+

Connexion

Pas encore inscrit ?

RKIT/Bubnix.S

Messages recommandés

luvida

Apollo

luvida

Apollo

luvida

Apollo

luvida

Apollo

Apollo

luvida

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer