-
Compteur de contenus
484 -
Inscription
-
Dernière visite
-
Jours gagnés
1
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par sharleen*
-
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonsoir. STP, ne craque pas ... ça recommence. Comme il n'y a pas d'infection en vue, j'ai réinitialisé IE. Ce qui l'a rendu plus rapide. Par contre (?) à nouveau le problème de pub cachée + redirection : le message d'avertissement IE comme quoi "IE ne peut afficher.. "; je viens d'aller sur la page de Zébulon concernant Mozilla (téléchargement) et ce message sort du coin de l'écran à droite, et pas en entier. Au-dessus du "x" pour fermer le message, il y a un "?", et en fait lorsque l'on met le curseur sur "?", ça affiche "http......bubblestat.com/publicite.php" (je n'ai pas cliqué, donc pas de redirection malencontreuse). Et après un instant cette adresse laisse place à "javascript : wbo_display Où est la faille ? -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Merci pour ta réponse. Je ne fais pas dans la paranoïa Si j'insiste c'est que ces anomalies n'existaient pas avant : -je sais que GMX est d'origine allemande, néanmoins depuis que je l'utilise, jamais rien eu en allemand dans la BAL. Et depuis qu'il y a eu ces bugs, soudain des pubs en allemand sont apparues sur certains sites fançais dont Zebulon en naviguant sur le FAI. Et il n'y a qu'une rubrique, soudain en allemand sur GMX. Il me semble que si c'était normal, tout (éventuellement..) aurait dû passer en allemand et en plus pour le même mot ça n'est pas avec la même orthographe. - ok pour les mirroirs de téléchargement (avant il n'y en avait pas quand je téléchargeais : ?). Est-il normal que les noms d'éditeurs changent à chaque fois ? - pour les pubs sur le FAI : je ne navigue plus dessus, mais quand il m'arrivait de le faire, il n'y avait pas de pubs, ni à la fermeture du panneau de connexion. J'ai coché "ne pas autoriser les pop-ups ni les pubs" et ça ne sert à rien, ça ne fonctionne pas bien que cela soit coché et validé. Aujourd'hui, plus de pubs en allemand (je viens de vérifier), par contre le pb demeure sur GMX : à la fermeture de la messagerie des animations et/ou pubs alors que j'ai paramétré pour que ça ne soit pas autorisé. - toujours sur le FAI : comme l'autre soir sur Zebulon, j'ai vérifié un site où je vais et où je n'étais donc pas encore connectée et j'apparaissais "connectée". - c'est la 1ère fois que je reçois un e-mail bizarre (pub avec lien) qui utilise un de mes contacts, depuis qu'on a ce FAI. ça peut venir je suppose du compte de ma parente, mais tu ne m'as pas répondu à ce sujet ; sans doute pas le temps. Pour le copier-coller, ça n'est pas moi , il s'agit sans doute d'un autre sujet. -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Re A nouveau un e-mail indésirable sur la messagerie du FAI, cette fois-ci je ne l'ai pas ouvert, l'ai mis en spam, bien que ça ne soit pas un spam non plus. ça utilise tj l'adresse de ma parente, l'intitulé est : =?ks_c_5601-1987?B?aGkglKbe? J'ai été voir le statut de cet e-mail, et le destinataire est "adelejames@hotmail.com" : ??? La messagerie de mon ami n'a pas reçu d'e-mail utilisant un de ses contacts comme moi, pour info. Il y vraiment un truc qui ne va pas, et comme l'a suggéré un autre intervenant, le pb vient souvent du FAI semble-t-il, bien que l'on ne l'utilise que peu. Que fait-on ? -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Re I/ J'ai fait un petit tour d'inspection avant de mettre l'ordi en veille.... il s'avère que Norton a fait une transmission statistique IPS pour chaque nom d'éditeur relevé pour Mozilla et Opera. Je n'en pense rien, je te communique pour info, 2 exemples : Application name (pour Mozilla et Opera) : \DEVICE\HARDDISKVOLUME1\PROGRAM FILES\INTERNET EXPLORER\EXPLORER.EXE Offending URL (Mozilla) : 3347-mozilla.voxcdn.com/pub/mozilla.org/firefox/releases/3.6.3/win32/fr/Firefox%20Setup%203.6.3.exe Offending URL (Opera) : get6.opera.com/pub/opera/win/1053/int/Opera_1053_int_Setup.exe II/ rajout : Désolée, je ne fais pas exprès : je viens de vérifier la BAL du FAI, je reçois un e-mail d'une parente en FW, j'ouvre sans hésiter et voilà ce que ça donne... .... j'ai perdu le copier/coller.. c'était un e-mail en anglais avec un lien web et adresse électonique aussi je crois comme quoi la soi-disant amie "Ellen", de mon amie aurait acquis il y a peu un i-phone à l'adresse dite, qu'elle était super contente et voulait partager sa joie avec ma parente (mais pas de nom indiqué évidemment)... Pas de signature de ma parente.. Dont j'ai reçu il y a qq jours un e-mail (envoi groupé). L'e-mail d'aujourd'hui provenait de hotmail (comme ma parente). D'habitude AOL bloque les spams. -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonjour Pas d'infection en vue donc : tant mieux. Excuse-moi d'insister, mais il demeure ces anomalies : de l'allemand dans la BAL GMX sur IE, idem sur le FAI avec là des pubs en allemand. Le message d'avertissement Tcpip. J'ai suis allée pour télécharger Opera comme tu le conseilles, mais j'ai vérifié auparavant ce qui suit et il y a toujours (Mozilla) et aussi (Opera) des anomalies : - Mozilla : à chaque clic pour télécharger, le nom d'éditeur est différent (j'ai fait 4 essais): 3347-mozilla.voxcdn.com ftp.up.pt mirrors.dctsrc.org godel.cs.bilgi.edu.tr - Opera (ordre chronologique) : get5.opera.com get7.opera.com get8.opera.com opera.europnews.de ; encore un truc d'allemagne qui s'était mis dans la barre des taches au lieu de s'ouvrir dans la fenêtre : ?? get.4.opera.com Et dans pour les 2 navigateurs, ce panneau en clair accolé au panneau du fichier à télécharger - pour Mozilla : 0% de FireFox % 20 Setup % 203.6.3 Crois-moi je voudrais clore ce sujet, mais il me semble qu'il faudrait résoudre ces points avant d'installer un autre navigateur. Est-ce de ton ressort ou bien dois-je repasser sur "Optimisation" ? (... je craque ) @+ -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Excuse-moi mais je ne comprends pas : je ne trouve que le rapport que je t'ai mis message 41 : ? (C:\Combofix.txt) -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Ok 1/ réglages IE : c'est fait. Le niveau de sécurité était sur "moyen-haut" (réglé précédemment ainsi) et "rétablir toutes les zones au niveau défaut" n'était pas accessible : normal ? J'ai mis la sécurité sur "haut" pour pouvoir accéder à ce bouton qui m'a ramenée à "moyen-haut" (avec bouton "rétablir..." en clair donc). 2/ Rapport : 2010-05-03 09:31:58 . 2010-05-03 09:31:58 173 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Toolbar-Locked.reg.dat 2010-05-03 09:29:47 . 2010-05-03 09:29:47 9,595 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg 2010-05-03 09:23:32 . 2010-05-03 09:23:32 51 ----a-w- C:\Qoobox\Quarantine\catchme.log -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonjour J'ai désactivé Norton pour lancer Combofix, pour info. Et désolée, mais il y a qq chose de bizarre : en réouvrant IE pour coller le rapport, la page s'est affichée à nouveau de façon morcelée + quand j'écris, là, à chaque frappe le curseur se transforme en sablier : ? @+ ComboFix 10-05-02.02 - YORK 03/05/2010 11:26:33.6.1 - x86 Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.552 [GMT 2:00] Lancé depuis: c:\documents and settings\YORK\Bureau\sharleen.exe AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8} FW: CA Personal Firewall 9.1.0.26 *disabled* {14CB4B80-8E52-45EA-905E-67C1267B4160} FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220} . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\program files\WindowsUpdate . ((((((((((((((((((((((((((((( Fichiers créés du 2010-04-03 au 2010-05-03 )))))))))))))))))))))))))))))))))))) . 2010-05-03 09:22 . 2010-02-03 09:00 84912 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\NAVENG.SYS 2010-05-03 09:22 . 2010-02-03 09:00 1324720 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\NAVEX15.SYS 2010-05-03 09:22 . 2009-12-10 09:00 2747440 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\CCERASER.DLL 2010-05-03 09:22 . 2009-10-24 09:55 371248 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\EECTRL.SYS 2010-05-03 09:22 . 2009-10-24 09:55 259440 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\ECMSVR32.DLL 2010-05-03 09:22 . 2009-10-24 09:55 177520 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\NAVENG32.DLL 2010-05-03 09:22 . 2009-10-24 09:55 1647984 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\NAVEX32A.DLL 2010-05-03 09:22 . 2009-10-24 09:55 102448 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100502.020\ERASER.SYS 2010-04-28 18:18 . 2010-02-03 09:00 84912 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\NAVENG.SYS 2010-04-28 18:18 . 2010-02-03 09:00 1324720 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\NAVEX15.SYS 2010-04-28 18:18 . 2009-12-10 09:00 2747440 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\CCERASER.DLL 2010-04-28 18:18 . 2009-10-24 09:55 371248 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\EECTRL.SYS 2010-04-28 18:18 . 2009-10-24 09:55 259440 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\ECMSVR32.DLL 2010-04-28 18:18 . 2009-10-24 09:55 177520 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\NAVENG32.DLL 2010-04-28 18:18 . 2009-10-24 09:55 1647984 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\NAVEX32A.DLL 2010-04-28 18:18 . 2009-10-24 09:55 102448 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20100428.002\ERASER.SYS 2010-04-27 11:42 . 2009-10-28 22:37 343088 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100422.002\IDSvix86.sys 2010-04-27 11:42 . 2009-10-28 22:37 329592 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100422.002\IDSXpx86.sys 2010-04-27 11:42 . 2009-10-28 22:37 811896 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100422.002\Scxpx86.dll 2010-04-27 11:42 . 2009-10-28 22:37 488312 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100422.002\IDSxpx86.dll 2010-04-27 11:42 . 2009-10-28 22:37 466992 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100422.002\IDSviA64.sys 2010-04-27 11:36 . 2010-02-12 16:41 558448 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\coFFPlgn\components\coFFPlgn.dll 2010-04-22 08:43 . 2010-04-22 09:09 -------- d-----w- C:\RootRepeal 2010-04-20 11:40 . 2010-04-20 11:44 -------- d-----w- C:\rsit 2010-04-17 10:38 . 2009-10-28 22:37 811896 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100415.001\Scxpx86.dll 2010-04-17 10:38 . 2009-10-28 22:37 343088 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100415.001\IDSvix86.sys 2010-04-17 10:38 . 2009-10-28 22:37 488312 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100415.001\IDSxpx86.dll 2010-04-17 10:38 . 2009-10-28 22:37 466992 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100415.001\IDSviA64.sys 2010-04-17 10:38 . 2009-10-28 22:37 329592 ----a-w- c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100415.001\IDSXpx86.sys 2010-04-13 11:57 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-05-03 09:15 . 2010-03-17 14:12 -------- d-----w- c:\documents and settings\All Users\Application Data\USB-set 2010-04-05 18:19 . 2005-08-29 09:38 84964 ----a-w- c:\windows\system32\perfc00C.dat 2010-04-05 18:19 . 2005-08-29 09:38 510980 ----a-w- c:\windows\system32\perfh00C.dat 2010-04-05 18:01 . 2009-07-21 17:26 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-04-05 17:59 . 2009-08-06 17:42 5918776 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe 2010-03-29 22:46 . 2009-07-21 17:26 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-03-29 22:45 . 2009-07-21 17:26 20824 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-03-27 14:22 . 2009-07-30 12:25 -------- d-----w- c:\program files\trend micro 2010-03-27 14:04 . 2010-03-17 14:12 -------- d-----w- c:\program files\USB-set 2010-03-24 18:17 . 2010-03-24 08:04 952768 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\13591\AdobeARM.exe 2010-03-24 18:17 . 2010-03-24 08:04 70584 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\13591\AdobeExtractFiles.dll 2010-03-24 18:17 . 2010-03-24 08:04 326056 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\13591\ReaderUpdater.exe 2010-03-24 18:17 . 2010-03-24 08:04 326056 ----a-w- c:\documents and settings\All Users\Application Data\Adobe\Reader\9.3\ARM\13591\AcrobatUpdater.exe 2010-03-16 14:56 . 2010-03-16 14:56 -------- d-----w- c:\documents and settings\All Users\Application Data\open-config 2010-03-10 06:16 . 2005-08-29 09:38 420352 ----a-w- c:\windows\system32\vbscript.dll 2010-02-25 06:17 . 2005-08-29 09:38 916480 ----a-w- c:\windows\system32\wininet.dll 2010-02-24 13:11 . 2005-08-29 09:37 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2010-02-17 12:07 . 2005-08-29 09:37 2192000 ----a-w- c:\windows\system32\ntoskrnl.exe 2010-02-16 19:07 . 2004-08-04 00:48 2068864 ----a-w- c:\windows\system32\ntkrnlpa.exe 2010-02-12 04:34 . 2005-08-29 09:37 100864 ----a-w- c:\windows\system32\6to4svc.dll 2010-02-11 12:02 . 2005-08-29 09:37 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys 2007-02-10 15:14 . 2007-02-10 15:14 278528 ----a-w- c:\program files\Fichiers communs\FDEUnInstaller.exe 2009-03-31 20:47 . 2008-05-16 12:29 324976 ----a-w- c:\program files\mozilla firefox\components\coFFPlgn.dll . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "TOSCDSPD"="c:\program files\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-11 65536] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "USB-Set"="wscript" [X] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-27 7118848] c:\documents and settings\YORK\Menu D‚marrer\Programmes\D‚marrage\ ERUNT AutoBackup.lnk - c:\program files\ERUNT\AUTOBACK.EXE [2005-10-20 38912] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Enryko.lnk - c:\program files\Enryko\Enryko.exe [2006-10-19 274432] NETGEAR ProSafe VPN Client.lnk - c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\SafeCfg.exe [2009-12-10 77876] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "HonorAutoRunSetting"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless] 2005-05-31 20:46 110592 ----a-w- c:\program files\Intel\Wireless\Bin\LgNotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina] 2005-08-22 09:52 49152 ----a-w- c:\program files\Softex\OmniPass\OPXPGina.dll [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SymEFA.sys] @="FSFilter Activity Monitor" [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLacsd.exe"= "c:\\Program Files\\Fichiers communs\\AOL\\ACS\\AOLDial.exe"= "c:\\Program Files\\AOL 9.0\\waol.exe"= "c:\\Program Files\\AOL 9.0a\\waol.exe"= "c:\\Program Files\\Fichiers communs\\AOL\\1171206881\\ee\\aolsoftware.exe"= "c:\\Program Files\\AOL 9.0 VR\\waol.exe"= "c:\\Program Files\\Fichiers communs\\AOL\\TopSpeed\\3.0\\aoltpsd3.exe"= "c:\\Program Files\\Fichiers communs\\AOL\\Loader\\aolload.exe"= "c:\\Program Files\\Fichiers communs\\AOL\\System Information\\sinf.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\AOL 9.0b\\waol.exe"= "c:\\Program Files\\AOL 9.0c\\waol.exe"= "c:\\Program Files\\NETGEAR\\NETGEAR ProSafe VPN Client\\IreIKE.exe"= "c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\ViewLog.exe:127.0.0.1/255.255.255.255:Enabled:ViewLog "c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\CmonApp.exe:127.0.0.1/255.255.255.255:Enabled:CMonApp "c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe"= c:\program files\NETGEAR\NETGEAR ProSafe VPN Client\vpn.exe:127.0.0.1/255.255.255.255:Enabled:VPN Connection Manager R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1008000.029\SymEFA.sys [03/02/2010 22:52 310320] R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27/12/2004 23:31 16384] R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [30/08/2005 09:02 6144] R1 BHDrvx86;Symantec Heuristics Driver;c:\windows\system32\drivers\NIS\1008000.029\BHDrvx86.sys [03/02/2010 22:52 259632] R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1008000.029\cchpx86.sys [03/02/2010 22:51 482432] R1 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\IPSDefs\20100422.002\IDSXpx86.sys [27/04/2010 13:42 329592] R1 IPSECDRV;SafeNet IPSec Plugin;c:\windows\system32\drivers\IpSecDrv.sys [10/12/2009 18:05 138296] R1 TMEI3E;TMEI3E;c:\windows\system32\drivers\TMEI3E.SYS [30/08/2005 09:04 5888] R2 Crypto;Crypto;c:\windows\system32\drivers\Crypto.sys [10/12/2009 18:05 536634] R2 Norton Internet Security;Norton Internet Security;c:\program files\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe [03/02/2010 22:51 117640] R2 Tmesrv;Tmesrv3;c:\program files\Toshiba\TME3\TMESRV31.EXE [30/08/2005 09:04 118784] R3 DniVap;SafeNet WAN Miniport (VA);c:\windows\system32\drivers\vap.sys [10/12/2009 18:04 29184] R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [27/08/2009 19:02 102448] R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [30/08/2005 10:35 35968] R3 TEchoCan;Toshiba Audio Effect;c:\windows\system32\drivers\TEchoCan.sys [30/08/2005 09:09 444032] . Contenu du dossier 'Tâches planifiées' 2006-10-19 c:\windows\Tasks\Rappel d'enregistrement 1.job - c:\windows\system32\OOBE\oobebaln.exe [2005-08-29 02:34] 2006-10-19 c:\windows\Tasks\Rappel d'enregistrement 2.job - c:\windows\system32\OOBE\oobebaln.exe [2005-08-29 02:34] . . ------- Examen supplémentaire ------- . uStart Page = hxxp://news.google.fr/ . - - - - ORPHELINS SUPPRIMES - - - - Toolbar-Locked - (no file) ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-05-03 11:31 Windows 5.1.2600 Service Pack 3 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Norton Internet Security] "ImagePath"="\"c:\program files\Norton Internet Security\Engine\16.8.0.41\ccSvcHst.exe\" /s \"Norton Internet Security\" /m \"c:\program files\Norton Internet Security\Engine\16.8.0.41\diMaster.dll\" /prefetch:1" . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(1376) c:\program files\Softex\OmniPass\opxpgina.dll c:\program files\Intel\Wireless\Bin\LgNotify.dll - - - - - - - > 'explorer.exe'(2800) c:\windows\system32\webcheck.dll c:\windows\system32\WPDShServiceObj.dll c:\windows\system32\PortableDeviceTypes.dll c:\windows\system32\PortableDeviceApi.dll c:\windows\system32\eappprxy.dll . Heure de fin: 2010-05-03 11:33:09 ComboFix-quarantined-files.txt 2010-05-03 09:33 Avant-CF: 82 142 720 000 octets libres Après-CF: 82 121 031 680 octets libres WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /forceresetreg - - End Of File - - BA4FBEB126078C03CC1AC4D154AB867C -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Re Et merci. J'espère que je te comprends bien, vu que j'ai désinstallé Mozilla (il reste bien sûr des dossiers ; je n'ai pas nettoyé le registre après)... et que Foxscan affiche ceci : Le système n'a pas pu trouver la clé ou la valeur de registre spécifiée. Recherche en cours... ERROR : Access is denied in the key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows Fichier introuvable - INSTALL.RDF Quand tu peux, tiens-moi juste au courant s'il doit y avoir du délai Rajout : 1/ je viens d'aller sur GMX, nouvelle bizarrerie : en plus de la rubrique "contacts" maintenant en allemand, un e-mail que j'ai laissé vide et sans destinataire , s'est enregistré dans "brouillon" et affiche "pas de destinataire" à la place de l'adresse électronique : en allemand.. ça fait un certain temps que je n'ai pas été sur un site en allemand, et même à l'époque, je ne retrouvais pas de l'allemand disséminé sur les navigateurs. 2/ svchost.exe - port 676 service local a toujours un nombre de tentatives de connexion trop important : ? -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Re-bonjour Thanos Je rajoute ce post pour te signaler qu'en plus des problèmes de pub en allemand, et des noms d'éditeurs multiples et bizarres (?) pour Mozilla, il y a un problème avec la messagerei GMX, sur IE, déjà depuis hier : - j'ouvre IE, je me connecte à la messagerie, je lis l'e-mail reçu et lorsque je clique sur "répondre" le curseur reste en sablier un temps infini = je suis obligée de fermer IE et de le rouvrir à nouveau. Et comme tu le sais de l'allemand s'est infiltré dans la BAL. En espérant que tu puisses me répondre aujourd'hui. -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonjour. Je ne fais pas de la fixation , mais je relève ce qui est inhabituel : A nouveau le message d'avertissement système (tentatives de connexion trop importantes) : UDP, même adresse IP qu'hier soir, port 652 qui est svchost.exe service local J'ai des bugs de connexions ou d'envoi de mp sur zebulon sur IE qui perdurent. Merci -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Re. - A nouveau message d'avertissement ce soir. ça correspond à : UDP - 192.168.2.126.1900 - 676 676 : svhost.exe Service Local - si je me connecte au FAI : des pubs en allemands, sur zebulon aussi. Et par le + gd des hasards : je n'étais pas connectée à zebulon sur le FAI, or j'apparaissais en bas de page parmis les utilisateurs connectés ! Et j'avais bien fermé IE et fait un nettoyage ATFCleaner avant de me connecter au FAI. J'arrête pour ce soir. En espérant qu'on va finir par trouver le "hic". -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonsoir. J'ai supprimé Sentinel Protection Installer hier et aujourd'hui, le même message d'avertissement système revient, fin de matinée avant la fermeture de l'ordi : ?? Sinon, comme précedemment indiqué : la rubrique "contacts" de la BAL qui s'affiche en allemand, sur le site mozilla, différents noms d'éditeurs pour télécharger Mozilla, IE dont la navigation est fluctuante (les pages qui sont chargées mais le curseur bloqué) : que fait-on ? Merci -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonjour Ta boîte est pleine, je ne peux t'envoyer le mp pour l'instant, donc. Ok pour Sentinel Protection Installer que je n'utilise pas : je vais voir. A + tard -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Rapport mbr : Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
A nouveau avertissement du journal d'évènements-système ce jour ; j'ai procédé à la manipulation indiquée : Le processus le plus en bas de page dans la liste est : UDP 192.168.2.126:6001 2820 2820 : spnsrvnt.exe ; 1 081 erreurs de page ; utilisateur : System -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Rapport Virustotal : (je peux lire maintenant que le service a été stoppé : je n'ai pas vu le formulaire pour un envoi ultérieur de l'analyse : ?) Fichier PCANDIS5.sys reçu le 2010.04.24 11:53:54 (UTC) Situation actuelle: en cours de chargement ... mis en file d'attente en attente en cours d'analyse terminé NON TROUVE ARRETE Résultat: 1/41 (2.44%) en train de charger les informations du serveur... Votre fichier est dans la file d'attente, en position: ___. L'heure estimée de démarrage est entre ___ et ___ . Ne fermez pas la fenêtre avant la fin de l'analyse. L'analyseur qui traitait votre fichier est actuellement stoppé, nous allons attendre quelques secondes pour tenter de récupérer vos résultats. Si vous attendez depuis plus de cinq minutes, vous devez renvoyer votre fichier. Votre fichier est, en ce moment, en cours d'analyse par VirusTotal, les résultats seront affichés au fur et à mesure de leur génération. Formaté Impression des résultats Votre fichier a expiré ou n'existe pas. Le service est en ce moment, stoppé, votre fichier attend d'être analysé (position : ) depuis une durée indéfinie. Vous pouvez attendre une réponse du Web (re-chargement automatique) ou taper votre e-mail dans le formulaire ci-dessous et cliquer "Demande" pour que le système vous envoie une notification quand l'analyse sera terminée. Email: Antivirus Version Dernière mise à jour Résultat a-squared 4.5.0.50 2010.04.24 - AhnLab-V3 5.0.0.2 2010.04.24 - AntiVir 8.2.1.224 2010.04.23 - Antiy-AVL 2.0.3.7 2010.04.23 - Authentium 5.2.0.5 2010.04.24 - Avast 4.8.1351.0 2010.04.24 - Avast5 5.0.332.0 2010.04.24 - AVG 9.0.0.787 2010.04.24 - BitDefender 7.2 2010.04.24 - CAT-QuickHeal 10.00 2010.04.23 - ClamAV 0.96.0.3-git 2010.04.24 - Comodo 4675 2010.04.24 - DrWeb 5.0.2.03300 2010.04.24 - eSafe 7.0.17.0 2010.04.22 Win32.DNSChanger.ewf eTrust-Vet 35.2.7448 2010.04.24 - F-Prot 4.5.1.85 2010.04.24 - F-Secure 9.0.15370.0 2010.04.24 - Fortinet 4.0.14.0 2010.04.21 - GData 21 2010.04.24 - Ikarus T3.1.1.80.0 2010.04.24 - Jiangmin 13.0.900 2010.04.24 - Kaspersky 7.0.0.125 2010.04.24 - McAfee 5.400.0.1158 2010.04.24 - McAfee-GW-Edition 6.8.5 2010.04.23 - Microsoft 1.5703 2010.04.24 - NOD32 5055 2010.04.24 - Norman 6.04.11 2010.04.24 - nProtect 2010-04-24.01 2010.04.24 - Panda 10.0.2.7 2010.04.23 - PCTools 7.0.3.5 2010.04.24 - Prevx 3.0 2010.04.24 - Rising 22.44.05.04 2010.04.24 - Sophos 4.53.0 2010.04.24 - Sunbelt 6215 2010.04.24 - Symantec 20091.2.0.41 2010.04.24 - TheHacker 6.5.2.0.268 2010.04.23 - TrendMicro 9.120.0.1004 2010.04.24 - TrendMicro-HouseCall 9.120.0.1004 2010.04.24 - VBA32 3.12.12.4 2010.04.23 - ViRobot 2010.4.24.2293 2010.04.24 - VirusBuster 5.0.27.0 2010.04.23 - Information additionnelle File size: 17134 bytes MD5...: 2f9806b52cb3748b1e49222744b28e3c SHA1..: 752d4f3195842208ba0b59c0b2f28cd6ba529c8e SHA256: f48b828bd8d2581fa97e78af569d6444bff2e00e915182b4b1e9998f006c5767 ssdeep: 192:p2S/rxTUhc2RTXOshVoqoKE91T4Zpxs5UgtXOjwjHqokAfG9MJxjLBNbPKa: p2S72h9cVDaZCRk0j9HyOxJxv PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x3c2 timedatestamp.....: 0x3ccccb3f (Mon Apr 29 04:25:35 2002) machinetype.......: 0x14c (I386) ( 6 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x2c0 0x2ac4 0x2ae0 6.41 cb0bf8daad3150ad6f9fb3507df8fa83 .rdata 0x2da0 0x18c 0x1a0 3.36 35e0bb489ca4ea110878c72e222ee279 .data 0x2f40 0x68 0x80 2.26 65403084ed05d7ffea78a6898a2cd203 INIT 0x2fc0 0x6d6 0x6e0 5.18 d5dce85b4d31aa12edca152b8bc7b63f .rsrc 0x36a0 0x418 0x420 3.41 0b232c133319a9a6df43504c18331e15 .reloc 0x3ac0 0x2b4 0x2c0 5.57 c56e3ad9fe679d19d69e659b5d1d93a8 ( 3 imports ) > ntoskrnl.exe: ExFreePool, IoDeleteSymbolicLink, IoCreateSymbolicLink, RtlAnsiStringToUnicodeString, RtlFreeUnicodeString, KeInitializeEvent, KeWaitForSingleObject, KeResetEvent, RtlEqualUnicodeString, KeSetEvent, MmUnlockPages, IoAllocateMdl, MmProbeAndLockPages, IoFreeMdl, _except_handler3, DbgPrint, IoReleaseCancelSpinLock, ExInterlockedAddLargeStatistic, InterlockedExchange, MmMapLockedPagesSpecifyCache, IofCompleteRequest, IoDeleteDevice, IoIsWdmVersionAvailable, IoCreateDevice, ExAllocatePoolWithTag, RtlAppendUnicodeToString > HAL.dll: KeQueryPerformanceCounter > NDIS.SYS: NdisFreePacket, NdisUnchainBufferAtFront, NdisFreeBuffer, NdisInitAnsiString, NdisCloseAdapter, NdisResetEvent, NdisOpenAdapter, NdisWaitEvent, NdisCompleteBindAdapter, NdisSetEvent, NdisFreeSpinLock, NdisFreeBufferPool, NdisAllocatePacketPool, NdisAllocateBufferPool, NdisFreePacketPool, NdisAllocateSpinLock, NdisInitializeEvent, NdisFreeMemory, NdisAllocateMemory, NdisRequest, NdisUnicodeStringToAnsiString, NdisSend, NdisAcquireSpinLock, NdisInterlockedRemoveHeadList, NdisReleaseSpinLock, NdisGetCurrentSystemTime, NdisInitUnicodeString, NdisRegisterProtocol, NdisDeregisterProtocol, NdisAllocateBuffer, NdisAllocatePacket, NDIS_BUFFER_TO_SPAN_PAGES, NdisQueryBufferOffset, NdisInterlockedInsertTailList, NdisTransferData ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Generic Win/DOS Executable (49.9%) DOS Executable Generic (49.8%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%) sigcheck: publisher....: Printing Communications Assoc., Inc. (PCAUSA) copyright....: Copyright © 1995-2002 Printing Communications Assoc., Inc. (PCAUSA) product......: PCAUSA Rawether for Windows description..: PCAUSA NDIS 5.0 Protocol Driver original name: PCANDIS5.SYS internal name: PCANDIS5.SYS file version.: 5.03.16.54 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Excuse-moi : tu veux bien dire qu'il faut que je coupe la connexion à la box AOL ? Je n'oublie pas virustotal, j'y allais de ce pas @+ tard -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonjour Je ne comprends pas, il y a ceci dans le rapport RootRepeal : Hidden/Locked Files ------------------- Path: Volume C:\ Status: MBR Rootkit Detected! Oui : je ne savais pas qu'il était légitime, mais j'ai relevé hier et avant-hier d'autres transmissions statistiques IPS que Norton avait relevées... HijackThis, alors que d'ordinaire il le détecte simplement. Norton a aussi relevé un éventuel pb avec les pages jaunes (Hardisk\Volume) avec les webcams et également une des signatures bizarres (pour moi) des éditeurs différents de Mozilla lorsque j'avais voulu le télécharger. Donc Norton relève des choses peut-être pas toujours pertinentes : ? Pas du tout. Je ferai cette manip. tout à l'heure, mais je t'informe que je l'avais effectuée la semaine dernière sur le conseil de Tibonhomme et que ce qui apparaît dans le panneau noir est décalé et difficilement lisible. @+ -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Pour info : L'historique de Norton a relevé aujourd'hui un Suspicious S.Rootkit et a procédé à la transmission statistique + transmission échantillon à Norton Community Watch. Détails : C:\Windows\System32\pcandis.5.sys (le problème de tentatives de connexion TCP simultanées recommence aujourd'hui. Et, il se peut que j'ai fait une mauvaise manip, mais quand j'écris, le curseur va ailleurs et "fichier" de la barre d'outils d'IE devient surligné : ?) -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonjour Thanos. Un petit "Up" : il semble que tu n'aies pas vu le rapport + post suivant hier soir. -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonsoir Thanos. J'ajoute ce post pour t'informer de quelque chose de nouveau (.. enfin, tout change selon les jours) : - le compte GMX que j'ai affiche ce soir "contacts" en allemand et sur IE (au singulier) et sur le FAI (au pluriel) ; c'est du reste lors de la navigation (forum et BAL et un autre site) par la connection au FAI que des pubs en allemand sont apparues). Par ailleurs : - sur le FAI (où je ne naviguais que rarement quand j'avais encore Mozilla), j'ai paramétré "bloquer les pop-ups et les animations" pour GMX et aol.com : ça ne sert à rien.. - Le rootkit détecté : cela peut-il poser problème pour les cartes bancaires ? = je ne sais pas depuis quand c'est là. Merci P.S. Excuse-moi de t'encombrer peut-être, mais dans le doute, je te signale encore ceci sur lequel je viens de tomber par hasard (en cherchant autre chose ; je n'ai pas eu de pb de connexion). Cela ne l'a pas fait les autres jours, par contre aujourd'hui, il y a plusieurs avertissements identiques. Type de l'événement : Avertissement Source de l'événement : Tcpip Catégorie de l'événement : Aucun ID de l'événement : 4226 Date : 22/04/2010 Heure : 21:19:01 Utilisateur : N/A Ordinateur : YORKMOBILE Description : TCP/IP a atteint la limite de sécurité imposée sur le nombre de tentatives de connexion TCP simultanées. Pour plus d'informations, consultez le centre Aide et support à l'adresse http://go.microsoft.com/fwlink/events.asp. Données : 0000: 00 00 00 00 01 00 54 00 ......T. 0008: 00 00 00 00 82 10 00 80 ...... 0010: 01 00 00 00 00 00 00 00 ........ 0018: 00 00 00 00 00 00 00 00 ........ 0020: 00 00 00 00 00 00 00 00 ........ -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Bonjour Rapport : ROOTREPEAL © AD, 2007-2009 ================================================== Scan Start Time: 2010/04/22 11:02 Program Version: Version 1.3.5.0 Windows Version: Windows XP SP3 ================================================== Drivers ------------------- Name: dump_diskdump.sys Image Path: C:\WINDOWS\System32\Drivers\dump_diskdump.sys Address: 0xF4922000 Size: 16384 File Visible: No Signed: - Status: - Name: dump_KR10I.sys Image Path: C:\WINDOWS\System32\Drivers\dump_KR10I.sys Address: 0xF4471000 Size: 217088 File Visible: No Signed: - Status: - Name: rootrepeal.sys Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys Address: 0xBA83D000 Size: 49152 File Visible: No Signed: - Status: - Name: SYMEFA.SYS Image Path: SYMEFA.SYS Address: 0xF752F000 Size: 323584 File Visible: No Signed: - Status: - Hidden/Locked Files ------------------- Path: Volume C:\ Status: MBR Rootkit Detected! Path: Volume C:\, Sector 1 Status: Sector mismatch Path: Volume C:\, Sector 2 Status: Sector mismatch Path: Volume C:\, Sector 3 Status: Sector mismatch Path: Volume C:\, Sector 4 Status: Sector mismatch Path: Volume C:\, Sector 5 Status: Sector mismatch Path: Volume C:\, Sector 6 Status: Sector mismatch Path: Volume C:\, Sector 7 Status: Sector mismatch Path: Volume C:\, Sector 8 Status: Sector mismatch Path: Volume C:\, Sector 9 Status: Sector mismatch Path: Volume C:\, Sector 10 Status: Sector mismatch Path: Volume C:\, Sector 11 Status: Sector mismatch Path: Volume C:\, Sector 12 Status: Sector mismatch Path: Volume C:\, Sector 13 Status: Sector mismatch Path: Volume C:\, Sector 14 Status: Sector mismatch Path: Volume C:\, Sector 15 Status: Sector mismatch Path: Volume C:\, Sector 16 Status: Sector mismatch Path: Volume C:\, Sector 17 Status: Sector mismatch Path: Volume C:\, Sector 18 Status: Sector mismatch Path: Volume C:\, Sector 19 Status: Sector mismatch Path: Volume C:\, Sector 20 Status: Sector mismatch Path: Volume C:\, Sector 21 Status: Sector mismatch Path: Volume C:\, Sector 22 Status: Sector mismatch Path: Volume C:\, Sector 23 Status: Sector mismatch Path: Volume C:\, Sector 24 Status: Sector mismatch Path: Volume C:\, Sector 25 Status: Sector mismatch Path: Volume C:\, Sector 26 Status: Sector mismatch Path: Volume C:\, Sector 27 Status: Sector mismatch Path: Volume C:\, Sector 28 Status: Sector mismatch Path: Volume C:\, Sector 29 Status: Sector mismatch Path: Volume C:\, Sector 30 Status: Sector mismatch Path: Volume C:\, Sector 31 Status: Sector mismatch Path: Volume C:\, Sector 32 Status: Sector mismatch Path: Volume C:\, Sector 33 Status: Sector mismatch Path: Volume C:\, Sector 34 Status: Sector mismatch Path: Volume C:\, Sector 35 Status: Sector mismatch Path: Volume C:\, Sector 36 Status: Sector mismatch Path: Volume C:\, Sector 37 Status: Sector mismatch Path: Volume C:\, Sector 38 Status: Sector mismatch Path: Volume C:\, Sector 39 Status: Sector mismatch Path: Volume C:\, Sector 40 Status: Sector mismatch Path: Volume C:\, Sector 41 Status: Sector mismatch Path: Volume C:\, Sector 42 Status: Sector mismatch Path: Volume C:\, Sector 43 Status: Sector mismatch Path: Volume C:\, Sector 44 Status: Sector mismatch Path: Volume C:\, Sector 45 Status: Sector mismatch Path: Volume C:\, Sector 46 Status: Sector mismatch Path: Volume C:\, Sector 47 Status: Sector mismatch Path: Volume C:\, Sector 48 Status: Sector mismatch Path: Volume C:\, Sector 49 Status: Sector mismatch Path: Volume C:\, Sector 50 Status: Sector mismatch Path: Volume C:\, Sector 51 Status: Sector mismatch Path: Volume C:\, Sector 52 Status: Sector mismatch Path: Volume C:\, Sector 53 Status: Sector mismatch Path: Volume C:\, Sector 54 Status: Sector mismatch Path: Volume C:\, Sector 55 Status: Sector mismatch Path: Volume C:\, Sector 56 Status: Sector mismatch Path: Volume C:\, Sector 57 Status: Sector mismatch Path: Volume C:\, Sector 58 Status: Sector mismatch Path: Volume C:\, Sector 59 Status: Sector mismatch Path: Volume C:\, Sector 60 Status: Sector mismatch Path: Volume C:\, Sector 61 Status: Sector mismatch Path: Volume C:\, Sector 62 Status: Sector mismatch Path: C:\hiberfil.sys Status: Locked to the Windows API! Path: c:\documents and settings\all users\application data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\nco\wacert.dat Status: Allocation size mismatch (API: 94208, Raw: 36864) Path: c:\documents and settings\all users\application data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\norton\common client\ccsetmgr\volatile.dat Status: Allocation size mismatch (API: 4096, Raw: 544) SSDT ------------------- #: 012 Function Name: NtAlertResumeThread Status: Hooked by "<unknown>" at address 0x86bd3dd0 #: 013 Function Name: NtAlertThread Status: Hooked by "<unknown>" at address 0x86bd4d68 #: 017 Function Name: NtAllocateVirtualMemory Status: Hooked by "<unknown>" at address 0x86bd8e00 #: 019 Function Name: NtAssignProcessToJobObject Status: Hooked by "<unknown>" at address 0x86bfbcd0 #: 025 Function Name: NtClose Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4b6f #: 031 Function Name: NtConnectPort Status: Hooked by "<unknown>" at address 0x86cb1b00 #: 034 Function Name: NtCreateDirectoryObject Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4b9b #: 037 Function Name: NtCreateFile Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4bcf #: 041 Function Name: NtCreateKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4c23 #: 043 Function Name: NtCreateMutant Status: Hooked by "<unknown>" at address 0x86bfde00 #: 052 Function Name: NtCreateSymbolicLinkObject Status: Hooked by "<unknown>" at address 0x86bf7dc0 #: 053 Function Name: NtCreateThread Status: Hooked by "<unknown>" at address 0x86bc6df0 #: 057 Function Name: NtDebugActiveProcess Status: Hooked by "<unknown>" at address 0x86bfbdb0 #: 063 Function Name: NtDeleteKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4c67 #: 065 Function Name: NtDeleteValueKey Status: Hooked by "C:\WINDOWS\system32\Drivers\SYMEVENT.SYS" at address 0xf4954910 #: 068 Function Name: NtDuplicateObject Status: Hooked by "<unknown>" at address 0x86bf9d10 #: 071 Function Name: NtEnumerateKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4c93 #: 073 Function Name: NtEnumerateValueKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4cd3 #: 079 Function Name: NtFlushKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4d13 #: 083 Function Name: NtFreeVirtualMemory Status: Hooked by "<unknown>" at address 0x86bd9da0 #: 089 Function Name: NtImpersonateAnonymousToken Status: Hooked by "<unknown>" at address 0x86b8fd88 #: 091 Function Name: NtImpersonateThread Status: Hooked by "<unknown>" at address 0x86bd3d10 #: 097 Function Name: NtLoadDriver Status: Hooked by "<unknown>" at address 0x86ec65d8 #: 105 Function Name: NtMakeTemporaryObject Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4d3f #: 108 Function Name: NtMapViewOfSection Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4d6b #: 114 Function Name: NtOpenEvent Status: Hooked by "<unknown>" at address 0x86bfdd40 #: 119 Function Name: NtOpenKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4dbb #: 122 Function Name: NtOpenProcess Status: Hooked by "<unknown>" at address 0x86bcedb8 #: 123 Function Name: NtOpenProcessToken Status: Hooked by "<unknown>" at address 0x86c2dd88 #: 125 Function Name: NtOpenSection Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4def #: 128 Function Name: NtOpenThread Status: Hooked by "<unknown>" at address 0x86bf9de0 #: 137 Function Name: NtProtectVirtualMemory Status: Hooked by "<unknown>" at address 0x86bd2d58 #: 151 Function Name: NtQueryInformationFile Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4e23 #: 160 Function Name: NtQueryKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4e5f #: 177 Function Name: NtQueryValueKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4e9b #: 183 Function Name: NtReadFile Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4edb #: 206 Function Name: NtResumeThread Status: Hooked by "<unknown>" at address 0x86c73a90 #: 213 Function Name: NtSetContextThread Status: Hooked by "<unknown>" at address 0x86bdad20 #: 224 Function Name: NtSetInformationFile Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4f27 #: 228 Function Name: NtSetInformationProcess Status: Hooked by "<unknown>" at address 0x86bdae00 #: 229 Function Name: NtSetInformationThread Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4f63 #: 240 Function Name: NtSetSystemInformation Status: Hooked by "<unknown>" at address 0x86bfcd20 #: 247 Function Name: NtSetValueKey Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4f9b #: 253 Function Name: NtSuspendProcess Status: Hooked by "<unknown>" at address 0x86bfadd0 #: 254 Function Name: NtSuspendThread Status: Hooked by "<unknown>" at address 0x86bd5cd0 #: 257 Function Name: NtTerminateProcess Status: Hooked by "<unknown>" at address 0x86c2fcd8 #: 258 Function Name: NtTerminateThread Status: Hooked by "<unknown>" at address 0x86bd5db0 #: 267 Function Name: NtUnmapViewOfSection Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb4fdb #: 274 Function Name: NtWriteFile Status: Hooked by "C:\WINDOWS\system32\Drivers\Crypto.sys" at address 0xbabb500b #: 277 Function Name: NtWriteVirtualMemory Status: Hooked by "<unknown>" at address 0x86bd8d30 Shadow SSDT ------------------- #: 307 Function Name: NtUserAttachThreadInput Status: Hooked by "<unknown>" at address 0x86743050 #: 383 Function Name: NtUserGetAsyncKeyState Status: Hooked by "<unknown>" at address 0x86b95e50 #: 414 Function Name: NtUserGetKeyboardState Status: Hooked by "<unknown>" at address 0x86744050 #: 416 Function Name: NtUserGetKeyState Status: Hooked by "<unknown>" at address 0x86721050 #: 428 Function Name: NtUserGetRawInputData Status: Hooked by "<unknown>" at address 0x858ff1b8 #: 460 Function Name: NtUserMessageCall Status: Hooked by "<unknown>" at address 0x858f71f8 #: 475 Function Name: NtUserPostMessage Status: Hooked by "<unknown>" at address 0x858fa1f8 #: 476 Function Name: NtUserPostThreadMessage Status: Hooked by "<unknown>" at address 0x858f91b8 #: 549 Function Name: NtUserSetWindowsHookEx Status: Hooked by "<unknown>" at address 0x859011f8 #: 552 Function Name: NtUserSetWinEventHook Status: Hooked by "<unknown>" at address 0x85999928 ==EOF== -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
Je viens de revérifier : je t'ai induit en erreur malgré moi. = c'est la façon dont la page du site de GMER s'affiche : -sur le FAI, c'est la partie du haut qui s'affiche avec ce qui est en fait un exemple (et je n'ai pas vu que la ligne de défilement verticale n'était pas en bas de page..) - sur IE, c'est le milieu de page qui s'affiche. Or comme d'ordinaire, les pages s'affichent à partir du début, je n'ai pas du tout songé à vérifier la barre de défilement pour voir à quel niveau de la page j'étais, j'ai directement téléchargé. Le problème général demeure. A demain -
[Résolu] Backdoor.Trojan et/ou rootkits : pubs intempestives et +
sharleen* a répondu à un(e) sujet de sharleen* dans Analyses et éradication malwares
-Comme au début de cette histoire les bizarreries étaient majoritaires sur IE8, je suis allée sur Internet et le forum via le panneau de connection du FAI, et non pas par IE8. - J'ai donc lu tes indications pour GMER en étant sur AOL. Lorsque j'ai voulu télécharger le fichier, je suis arrivée sur une page qui indiquait ce que je t'ai décrit (Polski, etc) et où se trouvaient une petite fenêtre avec des fichiers répertoriés (dont ceux qui présentaient un pb en rouge). Et par-dessus cette fenêtre, un message d'avertissement "Warning - GMER has found system modifications caused by Rootkit activity". Il n'y a pas eu de scan lancé, c'est apparu ainsi. J'ai fermé la fenêtre, et le panneau de connection et suis allée voir si le lien de GMER aboutissait à la même chose sur IE ou bien s'il était possible de le télécharger. J'espère que c'est plus clair.