Aller au contenu

basmati

Membres
 Afficher le profil  Afficher son activité

  • Compteur de contenus

    5

  • Inscription

  • Dernière visite

 Type de contenu 

Tout ce qui a été posté par basmati

  1. basmati
    Le .bat ne peut pas se lancer si je le laisse sous cette forme puisque j'ai du renommer l'exe en "ngmer.exe". Le virus interdit le lancement de plusieurs logiciels de sécurité. idem pour Mbam d'ailleurs...
  2. basmati
    j'ai pu lancer gmer en le renommant GMER 1.0.15.15077 [ngmer.exe] - http://www.gmer.net Rootkit scan 2009-08-30 19:23:34 Windows 5.1.2600 Service Pack 3 ---- System - GMER 1.0.15 ---- Code 8A2F80C8 ZwEnumerateKey Code 8A2EF548 ZwFlushInstructionCache Code 8A2DB6DE IofCallDriver Code 8A2DC64E IofCompleteRequest Code 8A2F9E45 ZwSaveKey Code 8A2F796D ZwSaveKeyEx ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!IofCallDriver 804EF1A6 5 Bytes JMP 8A2DB6E3 .text ntkrnlpa.exe!IofCompleteRequest 804EF236 5 Bytes JMP 8A2DC653 .text ntkrnlpa.exe!ZwSaveKey 80500D68 5 Bytes JMP 8A2F9E4A .text ntkrnlpa.exe!ZwSaveKeyEx 80500D7C 5 Bytes JMP 8A2F7972 PAGE ntkrnlpa.exe!ZwFlushInstructionCache 805B6812 5 Bytes JMP 8A2EF54C PAGE ntkrnlpa.exe!ZwEnumerateKey 80623FF0 5 Bytes JMP 8A2F80CC ? C:\WINDOWS\system32\drivers\sptd.sys Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus. .text USBPORT.SYS!DllUnload F5A3E8AC 5 Bytes JMP 8A2E5960 ? System32\Drivers\a1cq2g1c.SYS Le chemin d'accès spécifié est introuvable. ! ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F72C3A9A] sptd.sys ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A7C81D8 Device \FileSystem\Fastfat \FatCdrom 8A23C980 Device \Driver\usbohci \Device\USBPDO-0 8A2E81D8 Device \Driver\usbehci \Device\USBPDO-1 8A2AE980 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A7571D8 Device \Driver\dmio \Device\DmControl\DmConfig 8A7571D8 Device \Driver\dmio \Device\DmControl\DmPnP 8A7571D8 Device \Driver\dmio \Device\DmControl\DmInfo 8A7571D8 AttachedDevice \Driver\Tcpip \Device\Tcp fssfltr_tdi.sys (Family Safety Filter Driver (TDI)/Microsoft Corporation) AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A7CB1D8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A7CB1D8 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A7CB1D8 Device \Driver\Cdrom \Device\CdRom1 8A2E71D8 Device \Driver\nvata \Device\00000081 8A7CA1D8 Device \Driver\nvata \Device\00000083 8A7CA1D8 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A1D6648 Device \Driver\NetBT \Device\NetbiosSmb 8A1D6648 Device \Driver\nvata \Device\00000085 8A7CA1D8 Device \Driver\NetBT \Device\NetBT_Tcpip_{D22B89C7-D3DB-4FEE-89A2-F4FE8674E846} 8A1D6648 Device \Driver\00000107 \Device\0000005d sptd.sys Device \Driver\usbohci \Device\USBFDO-0 8A2E81D8 Device \Driver\nvata \Device\NvAta0 8A7CA1D8 Device \Driver\usbehci \Device\USBFDO-1 8A2AE980 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A1FB1D8 Device \Driver\nvata \Device\NvAta1 8A7CA1D8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A1FB1D8 Device \Driver\nvata \Device\NvAta2 8A7CA1D8 Device \Driver\Ftdisk \Device\FtControl 8A7CB1D8 Device \Driver\a1cq2g1c \Device\Scsi\a1cq2g1c1 8A16B768 Device \Driver\si3114r5 \Device\Scsi\si3114r51 8A7561D8 Device \Driver\a1cq2g1c \Device\Scsi\a1cq2g1c1Port4Path0Target0Lun0 8A16B768 Device \Driver\si3114r5 \Device\Scsi\si3114r51Port3Path3Target1fLun0 8A7561D8 Device \FileSystem\Fastfat \Fat 8A23C980 AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation) Device \FileSystem\Cdfs \Cdfs 89402980 ---- Processes - GMER 1.0.15 ---- Library \\?\globalroot\systemroot\system32\UACijoobwwker.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [212] 0x00BE0000 Library \\?\globalroot\systemroot\system32\UACnlanbnadlj.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1044] 0x02B50000 Library \\?\globalroot\systemroot\system32\UACnlanbnadlj.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1392] 0x10000000 Library \\?\globalroot\systemroot\system32\UAClktuedxwhd.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1392] 0x00760000 Library \\?\globalroot\systemroot\system32\UACnlanbnadlj.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1500] 0x10000000 Library \\?\globalroot\systemroot\system32\UAClktuedxwhd.dll (*** hidden *** ) @ C:\WINDOWS\System32\svchost.exe [1500] 0x00760000 Library \\?\globalroot\systemroot\system32\UACnlanbnadlj.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1540] 0x10000000 Library \\?\globalroot\systemroot\system32\UAClktuedxwhd.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1540] 0x00760000 ---- EOF - GMER 1.0.15 ----
  3. basmati
    comme je l'ai dis plus haut gmer ne se lance pas
  4. basmati
    Bonjour, Ce qu'il s'est passé sur mon pc: En surfant avec ie, mon avira s'est mis à m'indiquer qu'un virus était repéré. j'ai donc voulu consulter le rapport pour savoir à quel genre de bestiole j'avais à faire. C'est à ce moment que j'ai constaté que l'antivirus avait été fermé. Il n'a pas fallu bcp de temps pour voir les premiers effets de l'infection: - google qui m'envoyait vers des liens bizarres (find.fm) par exemple - plusieurs processus iexplore.exe dans le gestionnaire de taches (sans qu'aucun ie ne soit lancé) - plantage systématique du pc après 10 mn d'utilisation - impossible de lancer certains exécutables exemple Gmer Adaware m'indique bien la présence d'un Win32 trojan.tdss et propose de le supprimer apres un reboot mais rien à faire il est tj là. J'ai juste renommé tous les iexplore.exe en .old et pour l'instant le pc ne plante plus. Voila le topo.
  5. basmati
    Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:39:52, on 30/08/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe C:\WINDOWS\system32\DeltaIITray.exe C:\WINDOWS\system32\CTHELPER.EXE C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe c:\program files\fichiers communs\installshield\updateservice\isuspm.exe C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\agent.exe C:\Documents and Settings\Admin\Mes documents\Téléchargements\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr/ie R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.fr R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.fr/ie R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.fr/keyword/%s R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.google.fr/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program Files\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [M-Audio Taskbar Icon] C:\WINDOWS\System32\DeltaIITray.exe O4 - HKLM\..\Run: [DeltaIITaskbarApp] C:\WINDOWS\system32\DeltaIITray.exe O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [iSUSPM Startup] "c:\Program Files\Fichiers communs\InstallShield\UpdateService\isuspm.exe" -startup O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /install O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe O4 - HKLM\..\RunOnce: [NvRegisterMCTray] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvMCRegisterApp C:\WINDOWS\system32\NvCpl.dll O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [Config] %systemroot%\system32\run.cmd (User 'Default user') O8 - Extra context menu item: E&xport to Microsoft Excel - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/co...ex/qtplugin.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1230571316703 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1246796698156 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://80.118.31.26:444/dwa7W.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 9610 bytes Dois-je formater ? Merci de me venir en aide
×
×
  • Créer...