Besoin d'aide pour un certain rootkit trouvé avec AVG Anti-rootkit

joelcunha · Juillet 9, 2007, 1:10

J’ai fait un scan avec AVG anti-rootkit et il m’a trouvé un rootkit dans le répertoire C:\Windows\System32\Drivers\ac5afjub.SYS et il me dit qu’il s’agit d’un “Hidden driver file”. Est-ce que quelqu’un saurait s’il s’agit vraiment d’un rootkit ou non? J’ai peur de rendre mon système instable en supprimant ce fichier. Qui plus est je n’ai trouvé aucune aide sur Google et je ne vois pas de quel type de driver il pourrait s’agir.

Merci d’avance pour votre aide.

ordiclic · Juillet 9, 2007, 1:15

Un driver caché (hidden), en effet, c’est rare, peut-être que c’est un driver un peu exotique.
Mieux vaut ne pas y toucher et vérifier s’il est trouvable avec une recherche de fichier (afficher les fichiers cachés et systèmes)

joelcunha · Juillet 9, 2007, 1:32

Qui plus est je ne trouve pas ce soi-disant rootkit dans l’emplacement cité, même en affichant les dossier et fichiers cachés. Il peut bel et bien s’agir d’un rootkit dans ce cas-ci, mais je suis en train de lancer une deuxième analyse avec Rootkit Revealer voir s’il trouve lui aussi ce soié-disant rootkit. Pour l’instant il n’a pas encore trouvé ce “driver caché”.

ordiclic · Juillet 9, 2007, 1:47

Et en affichant les fichiers du système d’exploitation?

joelcunha · Juillet 9, 2007, 2:16

J’ai affiché les fichiers protégés par le système d’exploitation, mais toujours rien, le fichier ac5afjub.SYS est toujours introuvable. Rootkit Revealer n’a rien trouvé de comparable non plus, mais AVG anti rootkit continue de me trouver ce fichier.

joelcunha · Juillet 9, 2007, 3:11

J’ai créer un point de restauration avant de supprimer le rootkit, j’ai dû redémarrer mon pc et avg m’indique avoir supprimer le rootkit; problème bien qu’il ne le trouve plus, il m’indique avoir dorénavant trouvé un autre rootkit dans le même dossier, nommé a3yydt9q.SYS :@ encore une fois il s’agit d’un driver caché qui porte un nom du moins assez étrange.

joelcunha · Juillet 9, 2007, 3:38

Bon après avoir supprimé ce 2e fichier, voila qu’il trouve un troisième… :arf: je me pose des questions par rapport aux fichiers qu’il trouve. Ou il s’agit d’un rootkit bien téméraire. J’ai fait un scan avec BlackLight de F-Secure mais il ne trouve rien tout comme Rootkit Revealer (qui ne trouve rien de ce genre).J’ai fait un scan avec HijackThis, voici le log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:36:13, on 09.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program Files\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\cidaemon.exe
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Eset\nod32kui.exe
C:\Program Files\Razer\Diamondback\razerhid.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\PowerISO\PWRISOVM.EXE
C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe
C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Program Files\Fichiers communs\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Program Files\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\DOCUME~1\COMPAQ~1\LOCALS~1\Temp\Rar$EX01.407\LCDMisc.exe
C:\Program Files\Razer\Diamondback\razertra.exe
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\SuperCopier2\SuperCopier2.exe
C:\Program Files\UberIcon\UberIcon Manager.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Razer\Diamondback\razerofa.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Documents and Settings\Compaq_Propriétaire\Bureau\Applications\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.tele2.lu…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IE7Pro\IE7Pro.dll
O2 - BHO: Aide pour le lien d’Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM…\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM…\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM…\Run: [hpppta] C:\Program Files\Hewlett-Packard\HP PrecisionScan\PrecisionScan Pro\hpppta.exe /ICON
O4 - HKLM…\Run: [nod32kui] “C:\Program Files\Eset\nod32kui.exe” /WAITSERVICE
O4 - HKLM…\Run: [Diamondback] C:\Program Files\Razer\Diamondback\razerhid.exe
O4 - HKLM…\Run: [Outpost Firewall] “C:\Program Files\Agnitum\Outpost Firewall\outpost.exe” /waitservice
O4 - HKLM…\Run: [OutpostFeedBack] C:\Program Files\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKLM…\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM…\Run: [ClockGen] C:\Documents and Settings\Compaq_Propriétaire\Bureau\Applications\ClockGen.exe -i p=0
O4 - HKLM…\Run: [PWRISOVM.EXE] C:\Program Files\PowerISO\PWRISOVM.EXE
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [VGAUtil] C:\Program Files\GigaByte\VGA Utility Manager\G-VGA.exe
O4 - HKLM…\Run: [Launch LCDMon] “C:\Program Files\Fichiers communs\Logitech\LCD Manager\lcdmon.exe”
O4 - HKLM…\Run: [Launch LGDCore] “C:\Program Files\Fichiers communs\Logitech\G-series Software\LGDCore.exe” /SHOWHIDE
O4 - HKLM…\Run: [!AVG Anti-Spyware] “C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe” /minimized
O4 - HKLM…\Run: [iTunesHelper] “C:\Program Files\iTunes\iTunesHelper.exe”
O4 - HKCU…\Run: [SuperCopier2.exe] C:\Program Files\SuperCopier2\SuperCopier2.exe
O4 - HKCU…\Run: [UberIcon] “C:\Program Files\UberIcon\UberIcon Manager.exe”
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08ad -f video -m logitech -d 10.5.1.2023 (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\RunOnce: [WUAppSetup] C:\Program Files\Fichiers communs\logishrd\WUApp32.exe -v 0x046d -p 0x08ad -f video -m logitech -d 10.5.1.2023 (User ‘Default user’)
O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled
O4 - Global Startup: Lancement rapide d’Adobe Reader.lnk.disabled
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE…
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - [C:\Program…](file://C:\Program) Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Télécharger avec Free Download Manager - [C:\Program…](file://C:\Program) Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger le site avec Free Download Manager - [C:\Program…](file://C:\Program) Files\Free Download Manager\dlpage.htm
O8 - Extra context menu item: Télécharger les tous avec Free Download Manager - [C:\Program…](file://C:\Program) Files\Free Download Manager\dlselected.htm
O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra ‘Tools’ menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IE7Pro\IE7Pro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra ‘Tools’ menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Réglage rapide de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Program Files\Agnitum\Outpost Firewall\Plugins\BrowserBar\ie_bar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra ‘Tools’ menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra ‘Tools’ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com…
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - update.microsoft.com…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program Files\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Program Files\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: PDAgent - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDAgent.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Fichiers communs\Sonic Shared\RoxioUPnPRenderer9.exe
O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Fichiers communs\Sonic Shared\RoxioUpnpService9.exe
O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Fichiers communs\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Fichiers communs\SureThing Shared\stllssvr.exe

–
End of file - 11389 bytes

Quelqu’un aurait une idée de quel fichier pourrait être suspect?

ordiclic · Juillet 9, 2007, 3:50

non, je ne suis pas un pro des logs Hijackthis, mais je ne vois rien de suspect.
Sans doute le rootkit en est un.
Nod32 ne trouve jamais rien?
Il faudrait lancer un scan avec l’heuristique avancée et détection des menaces à faible risque.
Edité le 09/07/2007 à 15:50

joelcunha · Juillet 9, 2007, 4:10

J’ai fait un scan il y a de ça quelques jours, mais je vais en refaire un pour voir… tout comme je vais lancer la totale avec anti spywares et scan online Kaspersky et Bitdefender. Je l’aurai…

joelcunha · Juillet 9, 2007, 7:24

NOD32, Ad-Aware 2007, Spybot, AVG anti spyware et F-Secure Blacklight (anti-rootkit) n’ont donné rien de concluant. AVG anti-rootkit me trouve toujours ce satané rootkit, et je crois qu’en le supprimant il en trouvera toujours un autre semblable… Maintenant il faudrait savoir s’il s’agit bel et bien d’un rootkit ou d’un quelconque bug avec avg… :arf:

ordiclic · Juillet 10, 2007, 10:47

Un fichier qui revient sous un nom différent plusieurs fois de suite, c’est sans doute un rootkit.
Et après une analyse très approfondie du log, je n’ai trouvé qu’une chose, qui n’est même pas en rapport avec le rootkit:
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) :inutile
C’est tout.
Edité le 10/07/2007 à 10:48

hubert61 · Juillet 15, 2007, 7:53

j ai exactement le meme probleme, je ne trouve rien. ,Avat et avg anti virus et Windows-KB890830-V1.29.exe ne detecte rien…J ai desactiver la restauration , j ai lance tout les outils que j ai , rien ni fait. Une piste peut etre en mode sans echec ce logiciel (PAVARK.exe) plante quand il tombe sur ce rootkit

merci si vous avez la solution se serais bien de la communiquer
cordialement

Sacabouffe · Août 4, 2007, 3:55

Salut tout le monde!
Je sais pas si vous avez trouvé la réponse à votre question mais en tout cas voilà:

Pour toi Joël je pense que tu n’as pas trop à t’inquiéter pour ce driver. Je suis pas un pro des log Hijackthis mais j’ai vu que t’avais le soft Alcohol 52%. Il y a de grande chance pour que ce driver ********.sys (8 caractères aléatoires) qui change à chaque fois que tu te loggues soit créé par Alcohol. Si tu veux t’en convaincre désinstalles-le, nettoie bien toute trace de ce qu’il pourrait rester et relance AVG anti-rootkit, il devrait plus rien y avoir. Une fois que t’es bien sûr réinstalles Alcohol 52%.

La même chose se produit avec Daemon Tools sauf que là c’est : A*******.sys (A + 7 caractères aléatoires) qui est généré.

Pour toi Hubert je sais pas trop. Si tu as aussi un des deux softs c’est peut-être ça.

A plus.

joelcunha · Septembre 4, 2007, 7:45

J’étais en vacances donc jai pas pu consulter cet article, mais il semble bien que tu étais dans le vrai Sacabouffe.

Sacabouffe · Septembre 10, 2007, 3:46

OK, tant mieux si t’as pas de saloperie alors.
A plus.

cetcl · Septembre 10, 2007, 3:54

Bonjour à tous,
J’ai remarqué le même phénomène sur mon pc, sous vista, en lançant avg antirootkit.
Par contre, quand je lance la recherche en mode administrateur, il ne trouve plus ce fichier.

Arobax · Septembre 15, 2007, 10:52

Salut à tous

Après avoir fait un scan avec AV Anti-Rootkit, j’obtiens 7 items :

C:\SYZ_DAT\install.exe Hidden application file
C:\WINDOWS\system 32\qpjuugmfp.exe Hidden application file
C:\WINDOWS\system 32\QPJUUGMFP.EXE-05314CED.pf Hidden File
C:\WINDOWS\system 32\qpjuugmfp.dat Hidden File
C:\WINDOWS\system 32\qpjuugmfp.exe Hidden File
C:\WINDOWS\system 32\qpjuugmfp_nav.dat Hidden File
C:\WINDOWS\system 32\qpjuugmfp-navps.dat Hidden File

Est-ce-que quelqu’un pourrai m’aider pour la suite, est-ce-que je dois tout supprimer ? et y-a-t’il un risque ? AVG me dit : attention ! ça risque de foutre tout en l’air.

Merci d’avanceet @ +

snookette · Septembre 15, 2007, 1:30

Salut ,

tu aurais dû créé un nouveau sujet …

Lance Navolog1 , option 1 .
Relance Navilog1 , option 2 pour le nettoyage .
perso.orange.fr…

Redémarre le pc et poste un rapport Hijackthis .

Arobax · Septembre 18, 2007, 8:46

Snookette, je suis ton conseil et démarre un nouveau sujet.

Merci à toi et à +

snookette · Septembre 19, 2007, 3:58

… puis applique ce qui est proposé dans mon post … !!!