Aller au contenu

[XP] Bip d'erreur à répétition sous WinXP


Qui suis je

Messages recommandés

Salut à tous,

Me voici face à un "ti" problème: Sur la machine d'un collègue, donc au boulot plusieurs cochonneries se sont installées. Genre Rootkit. :transpi: (les bougres...)

Je passe sa machine au crible et une série de malware etc sont détectés et ainsi "totalement" supprimés.

Sachant que sur cette dite bécane toute la panoplie de F-secure, entre autre, est installée, et que le service info. ici même n'a que une ou deux personnes compétentes.

Donc avant de les affoler je nettoie moi même. Toujours avec succés jusqu'à aujourd'hui: Sa machine tourne à nouveau sans problèmes "sauf" un bip d'erreur windows qui se met en route de temps en temps, pendant quelques secondes, s'arrête et redémarre 5mns, 10mns ou 20mns aprés. Sans messages, ni blocage de machine, ni de ralenti, rien d'autre.

Je ne vois plus rien de suspicieux dessus (du moins à ma connaissance) donc est ce quelqu'un a déjà était confronté à ce ti soucis??

Un petit coup de main sera la bienvenue. ;)

Merci de m'avoir lu et pour votre aide. :chinois:

Lien vers le commentaire
Partager sur d’autres sites

Salut ,

Une alerte quelconque est-elle configurée dans le BIOS ? ( température cpu , gpu ... )

Lance ComboFix et poste le rapport créé :

( > désactive ton antivirus avant , place en zone de coniance , si détection )

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

Merci d'abord pour ta réponse rapide. :pastaper:

Je vais devoir le télécharger de chez moi et te le poster demain car ici presque tout téléchargement est hélàas bloqué;.donc moins commode. Plutot casse pied même. Cela dit j'ai passé un coup de hitjack, de mbam, et de smitfraud.

Quant au bios non n'y suis pas aller mais je le ferai également. Je n'y ai pas été car le bip rémanent en question vient de win et non hardware donc je ne l'ai pas interpréter comme un tel soucis.

Te tiens au courant.

Encore merci.

Lien vers le commentaire
Partager sur d’autres sites

Salut Snooky,

Bon du boulot ce matin désolé; cela dit pour l'util. combofix je l'ai oublié chez moi.... :yes: (pas d'tête parfois)

Je le prendrai pour demain; sinon je peux te poster un rapport d'Hijack, si cela peut te servir en attendant.....

Tiens moi au courant dés que tu peux.

Encore merci :zarb:

Lien vers le commentaire
Partager sur d’autres sites

Désinstalle Spybot , sert à rien ce soft !

L'infection est là :

O20 - Winlogon Notify: rbegks - rbegks.dll (file missing)

Lance Clean v2.0 bu FRUiT , procédure 1.

Puis Combofix + rapport .

@+

PS : le rapport Hijackthis doit se faire en mode normal , pas sans échec ... ceci pour révéler tous les processus/fichiers actfs :francais:

Lien vers le commentaire
Partager sur d’autres sites

Désinstalle Spybot , sert à rien ce soft !

L'infection est là :

O20 - Winlogon Notify: rbegks - rbegks.dll (file missing)

Lance Clean v2.0 bu FRUiT , procédure 1.

Puis Combofix + rapport .

@+

PS : le rapport Hijackthis doit se faire en mode normal , pas sans échec ... ceci pour révéler tous les processus/fichiers actfs :transpi:

Pour Hijack autant pour moi; tout à fait :francais:

La ligne 020 avec le dll avait bien été détectée.

Je fais tout ceci demain et te tiens au courant.

Cela dit j'efface le rapport plus haut pour pas laisser de trace...hum.....vu que certaines données apparaissent :francais: .

Merci Snooky.

Lien vers le commentaire
Partager sur d’autres sites

Salut Snooky,

Voici aprés quelques manipes le résultat de combo; mais j'ai passé un coup d'clean et visiblement il ne m'a pas demandé de procédure....il a nettoyé direct et a demandé à la fin de placé un cd de rest. pour remettre les fichiers d'origines....L'icône est clean.cmd; y a t il eu une erreur lors du téléchargement de clean??!!.

Bref.

Voici le rapport:

ComboFix 08-09-30.03 - Sig-2 2008-10-03 9:12:53.1 - NTFSx86

Microsoft Windows XP Professionnel 5.1.2600.1.1252.1.1033.18.1620 [GMT 2:00]

Running from: C:\Documents and Settings\....\Desktop\combofix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\WINDOWS\httpconf.dat

C:\WINDOWS\system32\blphcvr1j0eg41.scr

C:\WINDOWS\system32\lphcvr1j0eg41.exe

C:\WINDOWS\system32\mdm.exe

C:\WINDOWS\system32\phcvr1j0eg41.bmp

C:\WINDOWS\system32\rbegks.dll

C:\WINDOWS\system32\rbegks32.dll

C:\WINDOWS\system32\setup.ini

----- BITS: Possible infected sites -----

hxxp://126.0.0.60

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_MSWINLOGONPROCSERVICE

-------\Legacy_TCPSR

-------\Service_sysrest.sys

-------\Service_tcpsr

((((((((((((((((((((((((( Files Created from 2008-09-03 to 2008-10-03 )))))))))))))))))))))))))))))))

.

2008-10-03 09:16 . 2008-10-03 09:16 6,784 --a------ C:\WINDOWS\system32\drivers\tcpsr.sys

2008-10-03 09:11 . 2008-10-03 09:11 23,552 --a------ C:\WINDOWS\system32\SYSREST32.0XE

2008-10-03 09:11 . 2008-10-03 09:11 15,328 --a------ C:\WINDOWS\system32\SYSREST.0YS

2008-10-02 08:53 . 2008-10-02 08:53 21,504 --a------ C:\WINDOWS\system32\RBEGKS.0LL

2008-10-01 14:49 . 2008-10-01 14:49 <DIR> d-------- C:\Documents and Settings\Sig-2\Application Data\Malwarebytes

2008-10-01 14:49 . 2008-10-01 14:49 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-10-01 14:49 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-10-01 14:49 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys

2008-09-29 14:03 . 2008-10-01 11:25 250 --a------ C:\WINDOWS\gmer.ini

2008-09-26 11:28 . 32,256 C:\WINDOWS\system32\drivers\ati3ghxx.sys

2008-09-16 12:10 . 2008-09-16 12:10 0 --a------ C:\WINDOWS\DATAINST.INI

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-03 07:16 54 ----a-w C:\Documents and Settings\Sig-2\ocsinventory.dat

2008-10-01 13:03 2,842 ----a-w C:\WINDOWS\system32\tmp.reg

2008-10-01 13:02 12,800 ----a-w C:\WINDOWS\system32\svchost.exe

2008-09-19 12:25 --------- d-----w C:\Program Files\Microsoft Picture It! PhotoPub

2008-08-27 09:36 --------- d-----w C:\Program Files\Pochette Express 2

2008-01-16 10:00 51 ----a-w C:\Documents and Settings\Administrateur\ocsinventory.dat

2001-03-28 10:02 122,880 ----a-w C:\WINDOWS\inf\Agfa\message.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="C:\Program Files\Messenger\msmsgs.exe" [2002-08-20 1511453]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-03-31 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"FRYMXINS"="C:\Program Files\ATI Technologies\Fire GL 3D Studio Max\atiimxgl" [X]

"FRYHIGHRES"="C:\Program Files\ATI Technologies\Fire GL Control Panel\atipmogl.dll" [2003-07-07 401408]

"CTSysVol"="C:\Program Files\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe" [2003-05-02 57344]

"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 90112]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]

"F-Secure Manager"="C:\Program Files\F-Secure\Common\FSM32.EXE" [2005-09-19 106571]

"REGSHAVE"="C:\Program Files\REGSHAVE\REGSHAVE.EXE" [2002-02-05 53248]

"OCS-Inventory agent"="C:\Program Files\OCS Inventory NG\ocsinventory.exe" [2006-08-01 176128]

"EPSON PageSTM TrayIcon01"="C:\Program Files\EPSON\BSTM\PG\E_L20IC2.EXE" [2005-03-08 131072]

"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]

"ATIModeChange"="Ati2mdxx.exe" [2002-08-27 C:\WINDOWS\system32\Ati2mdxx.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-03-31 13312]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

Microsoft Office.lnk - C:\Program Files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rbegks]

2008-10-03 09:18 21504 C:\WINDOWS\system32\rbegks.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ghxx.sys]

@="Driver"

R0 ati3ghxx;ati3ghxx;C:\WINDOWS\System32\Drivers\ati3ghxx.sys [ ]

R2 F-Secure Filter;F-Secure File System Filter;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2003-11-14 48720]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSgk.sys [2005-09-23 48256]

R2 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2003-02-06 16048]

R2 FGLRYUtil;FGLRYUTIL;C:\Program Files\ATI Technologies\Fire GL Control Panel\atiisrgl.exe [2003-07-07 49152]

R2 FSpm;F-Secure Policy Manager;C:\Program Files\F-Secure\Common\FSPM.SYS [2005-09-19 65328]

R2 sshd;CYGWIN sshd;C:\Program Files\OpenSSH\bin\cygrunsrv.exe [2007-08-13 43008]

R3 tcpsr;tcpsr;C:\WINDOWS\System32\drivers\tcpsr.sys [ ]

S1 kbd;kbd;C:\WINDOWS\system32\drivers\kbd.sys [ ]

*Newly Created Service* - TCPSR

.

- - - - ORPHANS REMOVED - - - -

HKCU-Run-MsnMsgr - C:\Program Files\MSN Messenger\MsnMsgr.Exe

HKLM-Run-lphcvr1j0eg41 - C:\WINDOWS\System32\lphcvr1j0eg41.exe

HKLM-Run-sysrest32.exe - C:\WINDOWS\System32\sysrest32.exe

MSConfigStartUp-WinSysModule - dsrss.exe

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.fr/

O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm -

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-03 09:16:35

Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe

PROCESS: C:\WINDOWS\system32\lsass.exe

-> C:\WINDOWS\system32\rbegks.dll

PROCESS: C:\WINDOWS\system32\lsass.exe

.

------------------------ Other Running Processes ------------------------

.

C:\Program Files\Common Files\EPSON\eEBAPI\eEBSvc.exe

C:\WINDOWS\system32\CTSVCCDA.EXE

C:\WINDOWS\system32\Crypserv.exe

C:\WINDOWS\system32\DWRCS.EXE

C:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program Files\F-Secure\Anti-Virus\fsgk32.exe

C:\Program Files\F-Secure\Anti-Virus\fssm32.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program Files\OpenSSH\usr\sbin\sshd.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\F-Secure\Common\FSMA32.exe

C:\Program Files\F-Secure\Common\FSMB32.exe

C:\Program Files\F-Secure\Common\fch32.exe

C:\Program Files\F-Secure\Common\FAMEH32.exe

C:\WINDOWS\system32\DWRCST.EXE

C:\Program Files\F-Secure\Common\FNRB32.exe

C:\Program Files\F-Secure\Anti-Virus\fsav32.exe

C:\Program Files\F-Secure\Common\FIH32.exe

.

**************************************************************************

.

Completion time: 2008-10-03 9:19:28 - machine was rebooted

ComboFix-quarantined-files.txt 2008-10-03 07:19:21

Pre-Run: 22 775 734 272 bytes free

Post-Run: 22,750,445,568 octets libres

148 --- E O F --- 2008-06-18 09:31:38

Si erreur de manip de ma part désolé et je recommencerai, pas d'soucis.

Voilà; sinon une fois le rapport il m'a remis le fond d'ecran avec un warning etc...chose que j'ai corrigé avec le smitf.

Merci Snooky

:chinois:

Lien vers le commentaire
Partager sur d’autres sites

1) Pour Clean v2.0 :

"Contraintes" :

1) Remettre son fond d'écran ( papier peint )

2) Annuler l'avertissement windows .

... il y a également une petite vidéo à regarder ... :chinois:

2 )Recherche et supprime ces fichiers du system32 :

tmp.reg

SYSREST32.0XE

SYSREST.0YS

RBEGKS.0LL

3) Installe le SP2 :

http://www.microsoft.com/downloads/details...45-9e368d3cdb5a

.. ou directement le SP3 , sans passer par le SP2 :

http://www.cnetfrance.fr/telecharger/windo...9311785s,00.htm

4) Redémarre le pc et poste un nouveau rapport ComboFix .

Lien vers le commentaire
Partager sur d’autres sites

1) Pour Clean v2.0 :
"Contraintes" :

1) Remettre son fond d'écran ( papier peint )

2) Annuler l'avertissement windows .

... il y a également une petite vidéo à regarder ... :transpi:

2 )Recherche et supprime ces fichiers du system32 :

tmp.reg

SYSREST32.0XE

SYSREST.0YS

RBEGKS.0LL

3) Installe le SP2 :

http://www.microsoft.com/downloads/details...45-9e368d3cdb5a

.. ou directement le SP3 , sans passer par le SP2 :

http://www.cnetfrance.fr/telecharger/windo...9311785s,00.htm

4) Redémarre le pc et poste un nouveau rapport ComboFix .

Ok mille merci.

Mais en rapport avec la mise à jour du sp3 de sa bécane, sachant que c'est celle du boulot y aura t il une incidence sur quoi que ce soit?? je ne pense pas à ma connaissance mais sait on jamais...

Ces fichiers en questions (2) sont supprimés; pas d'soucis la dessus.

Pour clean je vais y jeter un coup d'oeil.

Par contre à présent, en redémarant f-secure me détecte un nouveau sur .../Drivers/TCPSR.SYS ; il n'éxistait pas celui là :transpi:

...et un autre, .../.tt7.TMP VBS ; mais plus dans le temp que j'ai supprimé mais dans un autre Temp....

Je les supprimes manuellement. Enfin j'imagine....

Te tiens au courant.

Merci pour le temps que tu me consacres. :francais:

Lien vers le commentaire
Partager sur d’autres sites

...à la minute même F-secure vient de me détecter à nouveau Backdoor sur un .tt19 tmp dans le win/temp/.

J'ai déjà nettoyer ce répertoire mais visiblement quelque chose doit encore le générer.

.......

tout juste ! c'est la restauration système qui les régénère .avant de supprimer un virus , désactive la et supprime les points de sauvegarde.

Lien vers le commentaire
Partager sur d’autres sites

...à la minute même F-secure vient de me détecter à nouveau Backdoor sur un .tt19 tmp dans le win/temp/.

J'ai déjà nettoyer ce répertoire mais visiblement quelque chose doit encore le générer.

.......

tout juste ! c'est la restauration système qui les régénère .avant de supprimer un virus , désactive la et supprime les points de sauvegarde.

Tout à fait merci :francais:

Une manip que l'on connait et qui est précisée partout en plus..c'est de ma faute....je dois perdre la tête en c'moment :transpi:

Bien je vais m'y remettre...

Ces 2 fichiers sont à supprimer .

SDFix devrait en venir à bout ( mode sans échec obligatoire , Désactive le démarrage de F-Secure avant .)

http://www.site-naheulbeuk.com/sdfix.php

Poste le rapport créé , stp .

Pour le SP3 , pas de souci , au pire , tu pourras le désinstaller puis installer le SP2 .

Ok pour le sp3; je télécharge ça de chez moi (plus prudent) et je le colle lundi.

Pour le rapport je vais essayer le faire au plus vite et te tiens au courant. :transpi:

Merci :duel1:

Lien vers le commentaire
Partager sur d’autres sites

Salut,

Bon; arrivant ce matin plein de bonne volonté pour me relancer dans cette grande aventure qu'est le désamorçage des virus :kill: j'ai appris à ma grande surprise que le collègue en question a paniqué en arrivant et en voyant sur son écran plein de belles choses; par exemple un antivirus gratuit qui scanné sa machine, une jolie voix féminine avec (la première fois que je l'ai vu celui là!!!).....et a donc appelé le service info......... :francais:

Donc toutes ses manipes finalement pour rien.......

Résultat: ils s'en sortent pas.......ah ah ah. :cap:

Ca me fait un peu rire.

Donc fin de l'histoire.

Sans être prévenue, ni quoi que ce soit...Qu'ils se débrouillent.

Suis désolé les gars du dérangement finalement pour rien. :pleure:

Encore mille merci pour votre aide. :yes:

Lien vers le commentaire
Partager sur d’autres sites

Le service info a décidé de formater le pc ?

Ils sont revenus mais j'ai toujours entendu cette alarme, etc....et ils n'avaient pas l'air content content :transpi:

Je comprends mais bon.....

Alors pour le moment la bécane tourne toujours, mais ils ont évoqué une réinstalle, donc probablement un formatage oui; mais ça risque de causer des soucis avec certains outils pour le boulot.....bref....

Lien vers le commentaire
Partager sur d’autres sites

Archivé

Ce sujet est désormais archivé et ne peut plus recevoir de nouvelles réponses.

×
×
  • Créer...