msdirectx et maxifiles

[sophie2]

Je n'ai trouvé que SVKP.sys.

 

Ce qui est étrange c'est qu'aucun antivirus ne détecte de virus sur mon ordi mais qu'il m'est impossible d'effacer les clés de registre infectées que trouve a-quared (HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\root\legacy_msdirectx entre autre).

[Thanos]

Ok pour les fichiers!tu as bien rendu visibles tous les fichiers?

 

Concernant ces clés,il faut les éliminer en mode sans échec, et de plus les droits ont certainement été modifiés sur ces clés!

Je prépare une analyse

Modifié le 23 février 2006 par charles ingals

[Thanos]

Une dernière question avant de s'attaquer à SVKP : est ce que tu as sur ton pc un logiciel qui se nomme:

SVK Protector ?=> http://www.anticracking.sk/

 

Bon allons y pour msdirectx :

 

*Créé un fichier Bloc Notes avec le texte qui se trouve dans l'espace "code" ci-dessous (copie/colle, sans le mot "Code"=>Attention pas de ligne vierge avant REGEDIT4 ) :

 

REGEDIT4

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX]

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX]

[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX]

 

-Enregistrer ce fichier dans : Bureau

-Nom du fichier : remove.reg

-Type : tous les fichiers

-cliquer sur Enregistrer

-quitter le Bloc Notes(n'utilise pas le fichier reg maintenant!!)

 

Par ailleur on va utiliser cet excellent antivirus en mode sans échec:

 

*Étape 1:

Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau.

Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2.

 

Étape 2:

Voici comment mettre l'outil à jour :

 

1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit").

 

2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes.

 

3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer.

 

Ne pas lancer le scan tout de suite !

 

Étape 3:

Redémarre en mode Sans Échec

 

 

Étape 4:

Du mode Sans Échec, voici comment utiliser le programme :

 

1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky

 

2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran.

 

3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services.

 

4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\.

 

5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files.

 

6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite !

 

7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum.

 

Ferme le programme.

 

*Clique sur le fichier remove.reg pour qu'il s'exécute.Un message te demandera la fusion,accepte.Elimine le fichier reg.

 

*Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé escan antivirus dans ta prochaine réponse +

le resultat d'une nouvelle recherche avec Regsearch sur le terme suivant:

MSDIRECTX

Modifié le 24 février 2006 par charles ingals

[sophie2]

Merci pour la méthode à suivre Charles Ingals,

A première vue je n'ai pas SVK Protector, j'ai bien regardé dans Program Files et dans le panneau de désinstallation mais je demanderai à mon frère quand il rentrera ce soir (c'est son ordi).

 

J'attaquerai les hostilités du mode sans échec ce soir et posterai les logs demain. Bonne soirée en attendant

[sophie2]

Rebonjour à tous,

Nous ne sommes malheureusement pas venu à bout de msdirectx.

 

_ Log de escan antivirus :

File C:\WINDOWS\System32\NTOSKRNL.BAD tagged as not-a-virus:AdWare.Win32.Gator.3103. No Action Taken.

 

File C:\Documents and Settings\florian\Favoris\FLORIAN\??????18???.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

 

File C:\Documents and Settings\florian\Favoris\FLORIAN\?????????????????!.url infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

 

File C:\Program Files\Warning Stupid People Inside\fucking-script.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.60. No Action Taken.

 

File C:\WINDOWS\system32\NTOSKRNL.BAD tagged as not-a-virus:AdWare.Win32.Gator.3103. No Action Taken.

 

A noter que fucking-script.exe est le nom d'un client irc à savoir mirc.

 

 

_ Résultat de regsearch :

REGEDIT4

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.0.1

 

; Results at 25/02/2006 13:06:01 for strings:

; 'msdirectx'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX\0000\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX\0000\Control]

 

[HKEY_USERS\S-1-5-21-507921405-583907252-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Applets\Regedit]

"LastKey"="Poste de travail\\HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\Root\\LEGACY_MSDIRECTX"

 

; End Of The Log...

 

Cette fois-ci la fusion des clés de registre a fonctionné mais msdirectx est toujours là et toujours impossible de supprimer la clé de registre manuellement alors que nous avons les autorisations (caches cochées).

 

 

Charles Ingals, est-ce que tu pourrai STP jeter un oeil à cette méthode, il me semble que ça a été la solution pour quelqu'un d'autre qui rencontrai le même problème. Merci.

[Thanos]

bonjour sophie2

 

- Une petite recherche de ce fichier à faire stp:

 

C:\WINDOWS\system32\NTOSKRNL.BAD

 

Fais le analyser ici stp=>

 

1- http://virusscan.jotti.org/

2- http://www.virustotal.com/flash/index_en.html

 

communiquer les 2 rapports.

 

Fais pareil avec celui ci:

 

C:\Program Files\Warning Stupid People Inside\fucking-script.exe

 

Pour ce qui est des services,je fais habituellement éliminer les services récalcitrants de cette manière:

 

1)- Pour commencer une petite sauvegarde par sécurité: crée un point de restauration avant de supprimer les clés ci dessous, pour pouvoir en cas de problème revenir en arrière:

 

Pour le faire suis le tutorial suivant (tres simple!)

http://www.vulgarisation-informatique.com/...estauration.php

 

2)- Redémarre en mode sans échec.

 

3)-Suppression manuelle:

 

Passe par démarrer > exécuter > tape regedit

 

naviguer jusqu'a cette clé ( en cliquant sur le signe + à gauche):

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_MSDIRECTX

 

Fais un clic avec le bouton droit de la souris sur cette clé (LEGACY_MSDIRECTX) et sélectionne Autorisations => dans la fenêtre qui vient de s'ouvrir, sélectionne ton profil (dans nom d'utilisateur ou de groupe) => assure toi que la case "Contrôle Total" soit bien cochée ,si ce n'est pas le cas,coche puis clique sur "ok" => fais un clic droit sur la clé et sélectionne "Supprimer"

 

Fais pareil avec les deux clés suivantes=>

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_MSDIRECTX

 

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_MSDIRECTX

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MSDIRECTX

 

4)- Passe Easy cleaner inutile et registre.

 

5)-Redémarre normalement :si ca a fonctionné ,relance regsearch et fais une recherche sur MSDIRECTX ,et poste le rapport.

 

Ca marche normalement ,essaie et dis moi ce qu'il en est

[sophie2]

Les cases sont bien cochées : mais toujours impossible à supprimer et ceci même en mode sans échec.

 

Rapport virusscan :

 

Pour NTOSKRNL.BAD :

Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Gator.3103

NOD32 Found Win32/Adware.Gator.Trickler.E application

 

Pour fucking-script.exe :

ArcaVir Found Trojan.Door.Mirc-based

Dr.Web Found BackDoor.IRC.based

Kaspersky Anti-Virus Found not-a-virus:Client-IRC.Win32.mIRC.60

Norman Virus Control Found W32/IRCFlood.EC

UNA Found Backdoor.mIRC

 

 

Rapport virustotal :

 

Pour NTOSKRNL.BAD :

NOD32v2 1.1418 02.24.2006 Win32/Adware.Gator.Trickler.E

 

Pour fucking-script.exe :

DrWeb 4.33 02.25.2006 BackDoor.IRC.based

Norman 5.70.10 02.24.2006 W32/IRCFlood.EC

[Thanos]

salut sophie2

 

On va continuer si tu veux bien de la manière suivante:

 

*Télécharge ATF Cleaner by Atribune sur ton bureau.

 

Elimine les fichiers suivants(en gras)=>

 

C:\WINDOWS\system32\NTOSKRNL.BAD (ne pas confondre avec le vrai fichier ntoskrnl.exe !!)

C:\Program Files\Warning Stupid People Inside\fucking-script.exe

 

-Vide la corbeille.

 

Double-clique sur ATF-Cleaner.exe pour lancer le programme

Coche ceci :

Windows Temp

Current User Temp

All Users Temp

Temporary Internet Files

Prefetch

Java Cache

 

Clique sur Empty Selected et au message "Done Cleaning" sur Ok

 

*Est ce que tu peux utiliser Regsearch stp,et lancer une recherche sur l'élément suivant:

IPOT USB Service DRV32

 

Recherche les fichiers suivants sur le disque dur:

 

hpsebc08.exe

compaq.exe

msdirectx.sys (je te l'ai déjà demandé, mais regarde stp).

 

dans le dossier =>c:\Windows\System32

 

n'oublie pas avant de rendre tous les dossiers et fichiers visibles comme ceci:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Activer la case : Afficher les fichiers et dossiers cachés

Désactiver la case : Masquer les extensions des fichiers dont le type est connu

Désactiver la case : Masquer les fichiers protégés du système d'exploitation

Puis Appliquer

 

- faire ce scan en ligne:

 

-Faire un scan en ligne ici et coller le rapport.

Panda si tu n'y arrive pas : tutorial

 

Si tu ne l'as pas déjà fait,le concepteur d'AIMfix:JayLoden , recommende de scanner le pc de cette manière:

 

-télécharge Ad-awareSE:

http://www.ordi-netfr.com/adawarese.html

http://www.lavasoft.de/support/download/#free

Son tuto:

http://home.tiscali.be/schouppeguy/adawarese/adawase.htm

 

-télécharge SpyBot-Search & Destroy:

http://spybot.safer-networking.de/fr/download/index.html

-l'installer et le configurer comme dans ce lien=>

http://www.zebulon.fr/articles/spybot_1.php

 

1)-lancer Ad-awareSE et scanner le pc(apres l'avoir mis à jour et paramétré).

2)-lancer Spybot et scanner le pc(apres l'avoir mis à jour et paramétré).

 

3)-Si AimFix n'a pas fonctionné en mode normal, l'auteur du tool recommande de relancer AIMfix mais en mode sans échec cette fois:

 

Télécharge AimFix (de JayLoden) de ce lien :

http://www.jayloden.com/AIMFix.exe

Modifié le 27 février 2006 par charles ingals

[sophie2]

Charles Ingals, on s'en donne du mal pour éradiquer ce malware !

 

J'ai suivi tes conseils :

J'ai supprimé NTOSKRNL.BAD et fucking-script.exe.

Je n'ai pas trouvé de trace de IPOT USB Service DRV32.

Je n'ai pas trouvé hpsebc08.exe, compaq.exe, msdirectx.sys dans system32. J'ai vérifié sur l'ensemble de l'ordi pour msdirectx.sys, sans résultat.

 

Panda Antivirus me détecte :

Adware:adware/maxifiles No Désinfecté Registre Windows

 

J'ai recherché "maxifiles" dans la base de registre mais n'ai rien trouvé.

 

Adaware et spybot ne détectent aucun malware.

Aimfix est malheureusement toujours sans effet même en mode sans échec.

 

J'en ai profité pour faire un screenshot des différents processus qui tournent en mode sans échec, on ne sait jamais...

[Thanos]

salut sophie2

 

Si tu veux bien(c'est rapide!) on va utiliser siltentrunners pour voir ce que le pc cache!

 

Télécharge silentrunners sur le bureau:

 

http://www.silentrunners.org/Silent%20Runners.zip

 

Dézippe le fichier dans un dossier . double clique sur le fichier "silentrunners.vbs" :une fenêtre va s'ouvrir ,clique sur "oui" . Poste le rapport qui a été généré.

 

On va bien trouver!