Aller au contenu

pewpew

Membres
 Afficher le profil  Afficher son activité

  • Compteur de contenus

    2

  • Inscription

  • Dernière visite

 Type de contenu 

Tout ce qui a été posté par pewpew

  1. pewpew
    J'ai remarqué quelque chose d'un peu étonnant. Quand je lance mon pc en mode sans échec, et que je lance un scan malwarbyte, il ne trouve rien (pourtant le fichier problématique est bien présent). Mais quand le pc est lancé normalement il trouve quelque chose (toujours le même fichier). Il est chiant ce rootkit :/ ps : Pour info, le site ou je l'ai vraisemblablement choppé est : dpstream.net. Faites gaf
  2. pewpew
    Bonjour, Comme dit dans le titre j'ai un problème avec : Rootkit.Agent Pour reprendre depuis le début, en me baladant sur un site de streaming, j'ai choppé cette saloperie. J'ai lancé malwarebytes qui a détecté 4 ou 5 fichiers infectés et je les ai supprimés. (enfin essayé) Plusieurs n'ont pas été supprimé, j'ai dont regardé sur le forum et j'ai fini par télécharger combofix et je l'ai lancé. Ça a supprimé quelques fichiers problématique mais il en reste toujours un : (résultat mbam:) Fichier(s) infecté(s): C:\WINDOWS\system32\drivers\szldncmg.sys (Rootkit.Agent) -> Delete on reboot. Évidement, lorsque je reboot il est toujours présent. J'ai vu sur le forum que combofix peut etre dangereux, il y a souvent une personne qui donne un script sur mesure comme ici par exemple : http://forum.zebulon.fr/infect-rootkit-cwi...ys-t174504.html Bon bah voila j'ai tout dit. Mbam : Malwarebytes' Anti-Malware 1.44 Version de la base de données: 3854 Windows 5.1.2600 Service Pack 2 Internet Explorer 6.0.2900.2180 11/03/2010 21:16:26 mbam-log-2010-03-11 (21-16-26).txt Type de recherche: Examen rapide Eléments examinés: 122274 Temps écoulé: 3 minute(s), 32 second(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): C:\WINDOWS\system32\drivers\szldncmg.sys (Rootkit.Agent) -> Delete on reboot. et pour le fichier combofix : ComboFix 10-03-11.02 - Propriétaire 11/03/2010 19:25:25.1.2 - x86 Microsoft Windows XP Édition familiale 5.1.2600.2.1252.33.1036.18.2047.1636 [GMT 1:00] Lancé depuis: c:\documents and settings\Propriétaire\Bureau\ComboFix.exe . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Propri‚taire\Mes documents\savereg.reg c:\windows\system32\srcr.dat c:\windows\system32\tmp96.tmp c:\windows\system32\tmp97.tmp . ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-11 au 2010-03-11 )))))))))))))))))))))))))))))))))))) . 2010-03-11 17:58 . 2010-03-11 17:58 148 ----a-w- c:\windows\system32\fjhdyfhsn.bat [u]2010-03-11 17:50 . 2010-03-11 18:28 802304 ----a-w- c:\windows\system32\drivers\szldncmg.sys[/u] 2010-02-27 11:39 . 2010-02-27 11:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Creative 2010-02-27 11:39 . 2008-09-30 03:23 181760 ----a-r- c:\windows\system32\ctdvinst.dll 2010-02-27 11:39 . 2007-10-12 08:19 53248 ----a-r- c:\windows\ksdef.exe 2010-02-27 11:39 . 2008-09-19 01:46 1462 ----a-r- c:\windows\skdef.reg 2010-02-27 11:39 . 2008-02-12 02:50 1670016 ----a-r- c:\windows\system32\drivers\skfilt.sys 2010-02-27 11:39 . 2007-10-29 03:16 151040 ----a-r- c:\windows\system32\KSXPPI32.dll 2010-02-27 11:39 . 2007-07-16 07:50 782336 ----a-r- c:\windows\OALInst.exe 2010-02-27 11:38 . 2010-02-27 11:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Creative Labs 2010-02-27 11:37 . 2010-02-27 11:37 -------- d-----w- c:\program files\Fichiers communs\Creative Labs Shared 2010-02-27 11:37 . 2010-02-27 11:39 -------- d-----w- c:\program files\Creative 2010-02-27 11:34 . 2004-08-03 22:07 59264 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys 2010-02-27 11:34 . 2004-08-03 22:07 59264 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys 2010-02-21 19:21 . 2010-02-21 19:28 -------- d-----w- c:\program files\StarCraft II bêta 2010-02-21 19:21 . 2010-02-21 19:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Blizzard Entertainment 2010-02-14 10:01 . 2010-02-14 10:02 -------- d-----w- c:\program files\eXist . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2010-03-11 17:58 . 2010-03-11 17:58 16 ----a-w- c:\documents and settings\NetworkService\Application Data\rbuwzv.dat 2010-03-11 17:58 . 2007-10-08 00:19 -------- d-----w- c:\program files\Steam 2010-03-11 17:20 . 2007-10-08 16:53 -------- d-----w- c:\program files\Warcraft III 2010-03-11 16:41 . 2007-10-08 16:55 263188 ----a-w- c:\windows\War3Unin.dat 2010-03-03 19:58 . 2004-08-05 12:00 83566 ----a-w- c:\windows\system32\perfc00C.dat 2010-03-03 19:58 . 2004-08-05 12:00 505176 ----a-w- c:\windows\system32\perfh00C.dat 2010-02-27 11:41 . 2007-09-22 16:18 -------- d--h--w- c:\program files\InstallShield Installation Information 2010-02-21 19:28 . 2007-09-27 10:40 -------- d-----w- c:\program files\Fichiers communs\Blizzard Entertainment 2010-02-19 12:00 . 2008-02-25 07:39 1140 ----a-w- C:\drmHeader.bin 2010-01-16 14:54 . 2009-12-27 13:56 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-01-16 14:53 . 2007-12-21 12:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy 2010-01-07 15:07 . 2009-12-27 13:56 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-01-07 15:07 . 2009-12-27 13:56 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2009-12-27 12:47 . 2009-12-26 21:25 664 ----a-w- c:\windows\system32\d3d9caps.dat 2009-12-16 11:02 . 2009-12-16 11:02 6883936 ----a-w- c:\documents and settings\All Users\Application Data\PPLive\update\PPLiveLiteSetup2.exe 2009-01-27 01:34 . 2009-01-27 01:34 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll 2009-01-27 01:34 . 2009-01-27 01:34 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll . ------- Sigcheck ------- [7] 2006-04-20 . B2220C618B42A2212A59D91EBD6FC4B4 . 360576 . . [5.1.2600.2892] . . c:\windows\$hf_mig$\KB917953\SP2QFE\tcpip.sys [7] 2006-04-20 . 1DBF125862891817F374F407626967F4 . 359808 . . [5.1.2600.2892] . . c:\windows\system32\dllcache\tcpip.sys [-] 2006-04-20 . B4E29943B4B04BD5E7381546848E6669 . 359808 . . [5.1.2600.2892] . . c:\windows\system32\drivers\tcpip.sys [7] 2004-08-05 . 9F4B36614A0FC234525BA224957DE55C . 359040 . . [5.1.2600.2180] . . c:\windows\$NtUninstallKB917953$\tcpip.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856] "Steam"="c:\program files\steam\steam.exe" [2010-02-20 1217872] "Octoshape Streaming Services"="c:\documents and settings\Propriétaire\Local Settings\Application Data\Octoshape\Octoshape Streaming Services\OctoshapeClient.exe" [2008-05-22 156944] "DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144] "SW20"="c:\windows\system32\sw20.exe" [2006-12-15 208896] "SW24"="c:\windows\system32\sw24.exe" [2006-12-15 69632] "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696] "Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288] "VolPanel"="c:\program files\Creative\USB Headsets\Volume Panel\VolPanlu.exe" [2008-08-27 233588] "Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-01-07 1394000] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360] c:\documents and settings\Propri‚taire\Menu D‚marrer\Programmes\D‚marrage\ winesm32.exe [2004-8-5 29696] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk] path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk backup=c:\windows\pss\Microsoft Office.lnkCommon Startup [HKLM\~\startupfolder\C:^Documents and Settings^Propriétaire^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk] path=c:\documents and settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk backup=c:\windows\pss\OpenOffice.org 2.2.lnkStartup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\A-Shop] 2009-08-27 11:36 76464 ----a-w- c:\program files\A-Shop\A-Shop.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite] 2008-04-01 09:39 486856 ----a-w- c:\program files\DAEMON Tools Lite\daemon.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter] 2008-09-17 07:55 86016 ----a-w- c:\windows\system32\nvmctray.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz] 2008-09-17 07:55 1657376 ----a-w- c:\windows\system32\nwiz.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX] 2006-04-10 07:19 729088 ----a-w- c:\program files\Analog Devices\SoundMAX\SMax4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP] 2006-05-01 10:07 843776 ----a-r- c:\program files\Analog Devices\Core\smax4pnp.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer] 2007-08-31 15:46 1460560 ----a-w- c:\program files\Spybot - Search & Destroy\TeaTimer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] 2008-06-10 03:27 144784 ----a-w- c:\program files\Java\jre1.6.0_07\bin\jusched.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateMonitor] 2009-12-06 13:29 274488 ----a-w- c:\documents and settings\Propriétaire\Application Data\UpdateMoniter\UpdateMonitor.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Veoh] 2008-04-01 16:35 3587120 ----a-w- c:\program files\Veoh Networks\Veoh\VeohClient.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\WINDOWS\\system32\\dpvsetup.exe"= "c:\\Program Files\\Steam\\Steam.exe"= "c:\\Program Files\\Steam\\steamapps\\rul3z\\counter-strike\\hl.exe"= "c:\\Program Files\\Warcraft III\\replay\\wtvClient.exe"= "c:\\Program Files\\TVAnts\\Tvants.exe"= "c:\\Program Files\\World of Warcraft\\BackgroundDownloader.exe"= "c:\\Program Files\\Warcraft III\\wtvClient0.95.00\\wtvClient.exe"= "c:\\Program Files\\SopCast\\SopCast.exe"= "c:\\Program Files\\Veoh Networks\\Veoh\\VeohClient.exe"= "c:\\Program Files\\SopCast\\adv\\SopAdver.exe"= "c:\\Program Files\\Ocean Technologies & Media\\GG E-Sports Platform\\Garena.exe"= "c:\\Program Files\\Azureus\\Azureus.exe"= "c:\\Documents and Settings\\Propriétaire\\Local Settings\\Application Data\\Octoshape\\Octoshape Streaming Services\\OctoshapeClient.exe"= "c:\\Program Files\\Curse\\CurseClient.exe"= "c:\\Program Files\\Java\\jre1.6.0_03\\bin\\javaw.exe"= "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"= "c:\\Program Files\\KONAMI\\pes2009.exe"= "c:\\Program Files\\uusee\\UUSeePlayer.exe"= "e:\\install\\wtvClient0.97.00\\wtvClient.exe"= "c:\\Program Files\\Warcraft III\\wtvClient0.97.00\\wtvClient.exe"= "c:\\Documents and Settings\\Propriétaire\\Bureau\\wtvClient.exe"= "c:\\Program Files\\World of Warcraft\\Launcher.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"= "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"= "c:\\Program Files\\Mozilla Firefox\\firefox.exe"= "c:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"= "c:\\Program Files\\Java\\jdk1.6.0_07\\bin\\java.exe"= "e:\\exist\\sedna\\bin\\se_gov.exe"= "c:\\wamp\\bin\\apache\\Apache2.2.11\\bin\\httpd.exe"= "c:\\Program Files\\Steam\\steamapps\\common\\call of duty modern warfare 2\\iw4sp.exe"= "c:\\Program Files\\Steam\\steamapps\\common\\call of duty modern warfare 2\\iw4mp.exe"= "c:\\Program Files\\StarCraft II bêta\\StarCraft II.exe"= "c:\\Program Files\\StarCraft II bêta\\Versions\\Base13891\\SC2.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3724:TCP"= 3724:TCP:Blizzard Downloader: 3724 R2 vpnagent;Cisco AnyConnect VPN Agent;c:\program files\Cisco\Cisco AnyConnect VPN Client\vpnagent.exe [21/08/2008 02:42 370872] R3 skfilt;skfilt;c:\windows\system32\drivers\skfilt.sys [27/02/2010 12:39 1670016] S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/06/2008 01:07 717296] S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\Fichiers communs\Creative Labs Shared\Service\CTAELicensing.exe [27/02/2010 12:37 79360] S3 GarenaPEngine;GarenaPEngine;\??\c:\docume~1\PROPRI~1\LOCALS~1\Temp\WTVD0.tmp --> c:\docume~1\PROPRI~1\LOCALS~1\Temp\WTVD0.tmp [?] S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?] S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?] --- Autres Services/Pilotes en mémoire --- *Deregistered* - szldncmg . Contenu du dossier 'Tâches planifiées' . . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000 DPF: {55963676-2F5E-4BAF-AC28-CF26AA587566} - hxxps://nomade.etu.univ-nantes.fr/CACHE/stc/9/binaries/vpnweb.cab DPF: {EF0D1A14-1033-41A2-A589-240C01EDC078} - hxxp://dl.pplive.com/PluginSetup.cab FF - ProfilePath - c:\documents and settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\br4pr8em.default\ FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= FF - prefs.js: browser.search.selectedEngine - Google FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll FF - plugin: c:\program files\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll . - - - - ORPHELINS SUPPRIMES - - - - WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) HKCU-Run-ICQ - c:\program files\ICQ6\ICQ.exe HKCU-Run-PPLive - c:\program files\PPLive\PPLive.exe HKCU-Run-PPAP - c:\documents and settings\All Users\Application Data\PPLiveVA\Application\PPAP.exe MSConfigStartUp-Adobe Reader Speed Launcher - c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe MSConfigStartUp-AdobeUpdater - c:\program files\Fichiers communs\Adobe\Updater5\AdobeUpdater.exe MSConfigStartUp-WinampAgent - c:\program files\Winamp\winampa.exe MSConfigStartUp-WinSys2 - c:\windows\system32\winsys2.exe AddRemove-OpenAL - c:\program files\OpenAL\OalinstGridRelease.exe AddRemove-Trend Micro HouseCall 6.6 - c:\documents and settings\Propriétaire\Application Data\HouseCall 6.6\uninstaller.exe ************************************************************************** Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\GarenaPEngine] "ImagePath"="\??\c:\docume~1\PROPRI~1\LOCALS~1\Temp\WTVD0.tmp" [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\npggsvc] "ImagePath"="c:\windows\system32\GameMon.des -service" [u][HKEY_LOCAL_MACHINE\System\ControlSet001\Services\szldncmg][/u] . --------------------- CLES DE REGISTRE BLOQUEES --------------------- [HKEY_USERS\S-1-5-21-1606980848-436374069-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\Koei\wû0 NW!qÌSÿ *SOšHr] "Order"=hex:08,00,00,00,02,00,00,00,8a,00,00,00,01,00,00,00,01,00,00,00,7e,00, 00,00,00,00,00,00,70,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,5e,00,32,\ [HKEY_USERS\S-1-5-21-1606980848-436374069-725345543-1003\Software\SecuROM\License information*] "datasecu"=hex:00,52,97,9d,71,5f,96,17,bf,41,60,fc,ea,12,a6,ce,5e,e6,ed,55,78, 37,8a,d9,22,e3,e8,1a,c8,fd,93,31,78,6c,48,7a,e6,3e,15,74,3d,a7,5e,6d,aa,cc,\ "rkeysecu"=hex:29,60,03,af,9d,ed,df,d4,47,eb,35,24,a3,33,8a,de . Heure de fin: 2010-03-11 19:29:46 ComboFix-quarantined-files.txt 2010-03-11 18:29 Avant-CF: 3 104 522 240 octets libres Après-CF: 3 678 269 440 octets libres WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect - - End Of File - - 5F697E4DF0989A9A72CE854C21AD8AA3 Je ne vois pas trop comment faire pour l'enlever, j'ai beau chercher, à par avec combofix, je n'ai pas trouvé d'autre solution, mais comme celui ci semble dangereux d'après certains , j'hésite à le relancer. Ne pas hésiter à me dire si j'ai oublié des informations. Merci.
×
×
  • Créer...