Patrick St P. Bosguerard

Bonjour PEAR, Ah, pardon. Je n'ai pas fait attention au contenu de ton message, envoyé entre mes 3 messages, car : pour moi, les 3 articles formaient un tout, et j''avais bien indiqué qu'il était inutile de poster avant le dernier le problème était résolu ; il n'y avait plus lieu de chercher davantage même si j'avais voulu suivre ta procédure, elle aurait été vaine, car ... le système était redevenu totalement sain. Bravo, donc, et médaille d'Or, à PEAR de ZEBULON.

3eme ETAPE : recherche du malware tous azimuths – découverte de l'intrus. J'avais scanné avec ESET en ligne, puis on a cherché avec l'équipe de Zébulon, puis mon vendeur a cherché aussi. Aucun indice trouvé. Je vais donc démarrer une action exhaustive, entre autres, tous les scans que je peux trouver. Ayant la suite ESET SMART SECURITY installée sur mon PC, j'avais scanné avec leur outil en ligne, mais n'avais pas scanné avec l'outil de ESET déjà installé avec la suite et n'avais pas consulté les journaux : ça semblait inutile, car il se manifeste méchamment à la moindre alerte, or, je n'avais eu aucun message. C'était une erreur : décidé à tout faire, je commence dans l'ordre, et donc le début est de voir ce que dit vraiment son propre outil de sécurité. Je regarde donc le journal, et vois des alertes en bleu (mineures) et une en rouge : Infection par le trojean OLMASCO EN MEMOIRE VIVE : nettoyage impossible. Je fonce consulter OLMASCO sur Internet : beaucoup de sujets sur Google, mais peu de pages en Français. Je n'ose pas effectuer les préconisations des sujets en Anglais, car il s'agit de manipulations très précises, et mon Anglais est rustique. OLMA S CO s emble pui s s ant. Il d é joue pre s que tou s le s s canner s (y compri s celui de E S ET en ligne). D'apr è s le s s ujet s s ur Internet, il e s t tr è s nocif : il d é truit le s donn é e s , il bloque certaine s connexion s … Très surpris par le comportement de ESET (qui approvisionne son journal, sans alerter l'utilisateur) je lance à tout hasard le scan par le soft installé avec la suite ESET. Stupeur, au bout de 4 heures, verdict : MBR infecté par le trojean OLMASCO, les SECTEURS D'AMORCE des 4 autres partitions, aussi. Nettoyage impossible. ESET indique le nom du processus qui tourne et son numéro (le 1512). Je fouille avec Process Explorer (de Sysinternals) les dépendances, pour essayer de le déconnecter. Explorer réussit apparement à tuer le processus, mais un message fatal annonce l'arrêt du PC dans 1 minute, et un infernal compte à rebours s'affiche à l'écran. OLMA S CO maintient s on empri s e, m ê me s 'il e s t d é pi s t é (par E S ET de la s uite S mart S ecurity) : il emp ê che qu'on le s upprime, et continue s on action, comme s i de rien n' é tait. On a vu (en 2è étape) que, le supprimer de C:\ ne suffit pas, car il s'incruste dans les amorces des autres partitions. C'est donc confirmé par ESET. Je crois comprendre sur Internet, qu'il faut ré-initialiser le MBR, mais je ne suis pas familier de ces manips potentiellement dangereuses. J'appelle le support de ESET : ils confirment qu'il suffit de reconstruire les tables de partitions. Il préconisent d'utiliser la console de réparation de Windows ou l'utilitaire mbrwiz.exe. Quant à moi, j'ai repéré dans Partition Wizard, une option "Rebuilt MBR". Je leur demande si je peux m'en servir. Après recherche, ils me confirment que c'est correct. Suspense : j'active l'option ; Partition Wizard rend la main après quelques secondes avec un bon message. Je reboote. Tout est nickel, car une visite rapide du Pc, montre que les symptômes sont tous absents : connexion Adsl retrouvée à son débit nominal, processus IEXPLORER absent, clé Usb pouvant être retirée, sites de sécurité à nouveau libres d'accès. Je re-scanne avec ESET : lui aussi, constate la bonne santé du PC. Le MBR est propre, tout comme les amorces de partition ! Conclusion : La réparation est simple et ne dure que quelques secondes, alors que l'agression était ample, et a paralysé mon système et mon activité, plusieurs jours (+ les retards à rattraper). Cela semble disproportionné. mais c'est comme tout dépannage : la panne est petite, mais il faut …la trouver ! Pour ma part, le sujet est clos. Le problème est enfin résolu (totalement résolu). Si vous le voulez, vous pouvez poster, je répondrai, si nécessaire. · · · ANNEXES : Récompenses - Questions. Récompenses. Je donne un bon point à ESET pour son outil (payant) : l'outil live a dépisté l'intrus et archivé en journal, et son scan l'a identifié aussi (ce bon point est un peu forcé, car Eset dépiste l'intrus et le mentionne dans son journal, mais n'en dit rien à l'utilisateur !). Je donne un 2è bon point à ESET, pour son support (accessible et pertinent). Par contre, je donne aussi un mauvais point à ESET, dont le scan par le produit gratuit a été pris en défaut. Comme quoi, un produit g é n é rique (moin s cher) n'e s t pa s au s s i efficace que l'original ! Nota : per s onnellement, je trouve lamentable qu'un é diteur comme E S ET, pour une action s trat é gique, s e permette de propo s er, en u s age gratuit, un outil, intentionnellement affaibli. Je trouverai s tout à fait acceptable, voire tr è s po s itif, que E s et fa s s e le m ê me s can, en "gratuit" et en "payant", mai s que pour le gratuit, il s annoncent " S Y S TEME INFECTE par un "trojean", et propo s ent, pour le d é couvrir (et l' é radiquer), de facturer une petite quote-part … Un bon point évidemment à l'équipe Zebulon, pour sa prise en main très didactique. Son action n'a pas permis de découvrir le coupable, mais l'outil en ligne du grand éditeur ESET, ne l'a pas trouvé non plus, et mon vendeur, un professionnel, ne l'a pas trouvé non plus. Un bon point aussi à Ghost et à Partition Wizard. Questions sur divers aspects de cette infection. Comment peut-on avoir un MBR propre, et en même temps une amorce de partition corrompues ? Quelqu'un connaîtrait-il Norton GHOST, pour savoir quelles options, il faut activer, pour avoir un MBR reconstitué à neuf (s'agit-il d'une reconstruction, ou s'agit-il de rapatrier le MBR du disque source, sans doute, sous réserve que l'image ait été créée sur ce disque) Que penser des scanners online ? Le 1er que j'ai testé (Eset) a été pris en défaut. Mon outil (Eset) dispose d'un scanner local. Au début de la grande traque de l'intrus, j'ai commencé par mon propre outil. Comme il a "percuté", je n'ai pas eu l'occasion de tester d'autres scanners (ni en local, ni online) Pourquoi les conseils du Support d'ESET, comme ceux des gourous de ZEBULON, demandent-ils de faire les tests sous une session normale de Windows, plutôt qu'en mode sans échec ?

Bonjour PEAR, Merci de tout ce que vous faites (et avez déjà fait). Mais n'ayant pu entretenir le post sur Zebulon, en temps réel, je refais ici la chronologie, en 3 étapes. Je n'ai pas encore fini la rédaction de la dernière. Elle paraîtra ce soir, sans faute. Pour vous éviter des travaux inutiles, sachez que je suis finalement parvenu à en sortir, à trouver l'intrus et à l'éradiquer. Lisez la dernière partie (ce soir). Vous pourrez alors, éventuellement, trouver matière à commentaire, à éclaircissement, à critique ou à complément technique. Merci encore.

2eme ETAPE : trouver quelle est l'infection ? I. Vérification que l'intrus est sur C:\. a) Je restaure, sur la partition système du disque 1, une image Ghost (intègre) (je ne touche pas aux 4 autres partitions, où se trouvent données, programmes portables, images Ghost, …). L'infection demeure ! (malgré un Ghost intègre). Conclusion : Il semble donc, que ce n'est pas le disque qui est infecté, mais … le PC (Bios ? … ?). b) Très inquiet par ce constat, je vérifie, en bootant avec mon disque 3, seul en ligne. Impeccable. OUF ! Le disque 3 n'a rien, donc le Pc n'a rien non plus. Conclusion : Finalement, il semble donc, que c'est le disque n°1 qui est infecté, et pas le Pc. Nota : Pui s que le di s que 3 e s t s ain, j'en profite pour v é rifier que l'image Gho s t e s t int è gre : je la re s taure s ur le di s que 3. Encore impeccable. J'ai donc un PC sain et une partition C:\ correcte. Le système est infecté quand même. Conclusion : le virus n'est pas sur C, mais sur une autre partition, et il contamine le système, au boot. (le démarrage lance de nombreux programmes portables, sur D:\). c) Je vérifie en bootant une config minimale : C;\ restauré "propre", seul en ligne, devrait booter "propre" Je restaure l'image intègre Ghost en C Je cache les 4 autres partitions (D, E, F, G) par le Cd live Partition Wizard (utilitaire gratuit, qui remplace avantageusement Partition Magic). Je boote donc avec une seule partition, réputée saine (image Ghost totalement intègre). Je crois vraiment que ça va être correct : CATASTROPHE, SYSTEME INFECTE ! On est au bord de l'incohérence : PC sain + partition unique C saine (restaurée à neuf) bootent avec un virus ! II. Dernière hypothèse : boot sector ou MBR infectés. La restauration Ghost propose des options, pour le boot sector et/ou le MBR. Je n'ai jamais osé modifier ces options, de peur de casser le MBR, et de ne pouvoir accéder à mes partitions. Les circonstances présentes m'incitent à encore plus de prudence. MAIS je vais simuler la restauration du boot sector de l' image Ghost du disque source ou du disque cible, par des manipulations connues. Voici cette tentative (tout remis à neuf : ça doit être nickel !) : Je ré-initialise complètement le boot-sector et le MBR, au moyen de Partition Wizard, en réalisant : destruction de C (obtention d'un espace non-alloué), création de nouvelles partitions en plus (pour accueillir provisoirement une sauvegarde des partitions) copie des partitions D, E, F, G, vers les nouvelles partitions, destruction de D, E, F, G, re-création de toutes les partitions supprimées, en modifiant leur taille restauration du contenu des partitions restauration de Ghost sur la partition C recréée cachage de toutes les partitions, sauf C Avec la nouvelle géométrie des partitions, c'est forcément une configuration nouvelle. Le virus éventuel, devrait avoir quitté les lieux. S'il est encore là, je saute par la fenêtre (suicide en direct sur le forum de Zébulon !). Je boote avec C:\ tout seul, et attends fébrilement le verdict. OUF ! C'est OK. J'arrive enfin à avoir une session Windows, qui marche : Conclusion : le virus peut être éradiqué (sans savoir qui il est ni comment il opère !) ; c'est à moitié rassurant. Dernière confirmation que le virus est éradiqué : on remet en service les partitions D, E, F, G. Je décache les partitions par Partition Wizard. Je reboote et attends sereinement le verdict. Je crois vraiment que ça va être correct : CATASTROPHE, SYSTEME INFECTE ! Mais où est-il niché ? Je n'en reviens pas ! Je ne saute pas par la fenêtre, mais presque ! Je reprends les investigations demain.

Merci pour la réponse. Toutefois, comme je l'ai dit, la situation a beaucoup évolué. Je rends compte de la chronologie, en publiant aujourd'hui la 2è étape et demain la 3è et dernière. En conséquence, on fera le point éventuel, après le compte-rendu de la 3è étape.

Evolution importante, La situation a beaucoup évolué, dont une aggravation des symptômes, puis, l'environnement devenant trop dangereux pour y faire le moindre travail, une indisponibilité totale du PC (je me suis alors rabattu sur mon laptop). Débordé par les problèmes et ne trouvant aucune solution, je n'ai pu continuer ce post. Finalement, j'en suis sorti, et je peux reprendre le post … pour le clôturer. Je résume donc la chronologie , en 3 étapes et donc, 3 messages (1 par jour, dont le 1er, ci-dessous), comme si je les avais publiés en direct. En fait, chaque é tape, fut longue car demandant foule de manipulation s , longue s , de s urcro î t : re s tauration s Gho s t , arr ê t s machine (pour changer/ajouter/ ô ter un di s que), boot s s ur live-cd Gho s t ou Partition Wizard , manipulation s de partition s dan s Partition Wizard : de s truction, redimen s ionnement, copie de partition tr è s -tr è s -tr è s lon … on … ongue, formatage r é p é tition s nombreu s e s de manip s , due s à mon incompr é hen s ion et aux incoh é rence s à priori impo s s ible s , m'impo s ant un comportement type " S aint Thoma s ". Chaque op é ration impo s ant plu s ieur s boot : avec 1 di s que, avec 2 di s que s , avec 3 di s que s , afin de r é u s s ir le s bonne s affectation s de lettre s -unit é s aux partition s s ou s Window s . Inutile donc, de répondre aux 2 premiers messages (puisqu'ils ne sont plus d'actualité). Rappel sur ma config. J'ai 3 disques fixes, extractibles (5 partitions, chacun), et des images Ghost à diverses étapes de l'installation du PC. Le disque 1 est celui opérationnel. Le disque 2 est la sauvegarde du 1, en faisant : des sauvegardes de dossiers par Synchronizer, des images Ghost de partitions, des copies directes de partitions par Partition Wizard. Le disque 3 sert aux tests tous azimuths. ________________________________________________________________________ VOICI LE 1er DES 3 MESSAGES. ________________________________________________________________________ 1ERE ETAPE : être sûr de la bonne santé ou de la contamination. Pendant cette étape, sans être persuadé de l'infection, je continue les tests, entre des séquences de travail, sur le même PC (restaurations Ghost, permutation de disque …). D'abord en "dilettante", car, même si les symptômes de départ n'ont pas disparu, ils ont peu d'impact. Comme prévu, j'amène d'abord le Pc à mon vendeur. Le vendeur confirme les précédentes constatations : le Pc n'est pas infecté ! Puis, le lendemain, un nouveau symptôme apparaît : messages de Windows à propos des scripts à autoriser ou interdire dans Internet Explorer. Nota : je rappelle qu'un proce s s u s s auvage tourne tout s eul ( s an s fen ê tre) : IEXPLORE.EXE ; s i on l'arr ê te par le ge s tionnaire de t â che s , il r é appara î t rapidement. Puis la situation s'aggrave : La connexion Adsl ralentit d'heure en heure. Le 1er jour, j'avais remarqué un ralentissement, pas assez manifeste, pour penser à une anomalie. Le lendemain, je vois le sablier du téléchargement (ce qui n'arrive jamais) : le débit est alors 1 Kbits/s !!!!! (il devient impossible de travailler). Certains sites de sécurité sont inaccessibles : parce que mon débit est trop faible ou par ciblage intentionnel ? Conclusion : Il devient évident qu'un intrus contrôle le PC. Je décide d'entreprendre une action exhaustive, pour assainir la situation (2è et 3è étape). A demain ...

Re, Je vais soumettre le disque à la boutique qui me l'a vendu (ici, chez moi, à Rouen). Ils sont assez compétents, et font du dépannage varié, dont nettoyage après infestation. Je ne pense pas qu'ils vont trouver un intrus, car vous n'avez rien vu et car depuis mon grand nettoyage, toutes les alertes et manifestations intentionnelles ont disparu : il n'y a plus aucun message, aucune casse visible, aucun blocage (j'ai accès à tout), aucun processus louche (sauf IEPLORER.EXE qui tourne sans fenêtre de navigateur). Il ne reste que des anomalies mineures et marginales. Mais je vais leur soumettre quand même, sait-on jamais. Je donnerai demain les dernières nouvelles, suite à leur inspection.

Re, Est-ce que le verdict final est : pas de rootkit ? Si oui, c'est rassurant. Mais si oui, c'est aussi inquiétant, car les anomalies sont inexpliquées et ... demeurent. Exemple : en plus de celles citées en ouverture de post : à chaque ouverture de session, mon navigateur par défaut est ré-inialisé , au profit de IE pendant la saisie, le pointeur se mue en sablier, et clique tout seul, ailleurs (en déplaçant le point d'insertion) J'attends donc confirmation du verdict final. Merci, encore pour ce suivi individualisé.

Je soumets le bon fichier : il répond "ce fichier a déjà été scanné", et il donne le lien concernant le fichier identique, de clé différente. Je viens de recommencer : idem. J'ai dupliqué alors, le fichier sous un autre nom et lui ai soumis, pensant pouvoir le leurer ! Il répond de même, qu'il a déjà été scanné. Je pense qu'il doivent identifier les fichiers par leur contenu et non par leur clé : une sorte de hash-coding calculant une valeur unique pour un fichier, le rendant unique par sa valeur calculée (sa valeur calculée étant une suite de symboles, comme la clé d'un produit Microsoft, par exemple). Je pense donc que c'est vrai, qu'il a déjà scanné le même et que l'on peut considérer ce résultat comme valide, mais c'est vous le connaisseur : dois-je insister, et aller chez un autre scanneur en ligne ?

Re, Voici le résultat chez JOTTI : Compte-rendu-d'analyse Il semble donc être resté intègre, après son téléchargement. A plus tard.

Re, Pas de chance, nos messages se sont croisé : j'avais déjà démarré, et ai été jusqu'au bout, puis ai posté mon message, avant de voir le vôtre. Je reprends donc l'analyse du fichier, que vous me demandez. A plus tard.

Re, J'ai désactivé ESET (pare-feu et anti-malware), avant de lancer. Voici les 2 rapports de Rogue Killer : ========== 1er rapport ========================== RogueKiller V6.1.9 [16/11/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/37) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Recherche -- Date : 18/11/2011 13:58:35 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt ========== Fin du 1er rapport ========================== Voici le 2è rapport : ========== 2è rapport ========================== RogueKiller V6.1.9 [16/11/2011] par Tigzy mail: tigzyRK<at>gmail<dot>com Remontees: [RogueKiller] Remontées (1/37) Blog: tigzy-RK Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur: Administrateur [Droits d'admin] Mode: Suppression -- Date : 18/11/2011 14:00:49 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\Security Center : UpdatesDisableNotify (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt ========== Fin du 2è rapport ========================== Bien que non-connaisseur de la chose, il me semble comprendre que les malicieux potentiels ont pris peur, devant la contre-attaque de la super équipe de ZEBULON, et ont pris la fuite, ou alors, ils ont échafaudé un plan encore plus diabolique, pour bien se cacher. Y voit-on clair maintenant, ou la contre-attaque doit elle s'affiner ? Merci encore pour ce suivi, autant pour le contenu, que pour les efforts de présentation, qui confinent à un véritable tuto, sous forme de cours particulier (je n'en méritais pas tant !).

Bonjour, Je viens de finir la 1ère partie : SEAF.EXE Voici le rapport : ========================== début du rapport ============================= 1. ========================= SEAF 1.0.1.0 - C_XX 2. 3. Commencé à: 13:36:39 le 18/11/2011 4. 5. Valeur(s) recherchée(s): 6. ybl8fpqc.exe 7. 8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès 9. 10. (!) --- Calcul du Hash "MD5" 11. (!) --- Informations supplémentaires 12. (!) --- Recherche registre 13. 14. ====== Fichier(s) ====== 15. 16. 17. "C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe" [ ARCHIVE | 303 Ko ] 18. TC: 17/11/2011,22:57:37 | TM: 17/11/2011,22:57:37 | DA: 18/11/2011,13:33:14 19. 20. Hash MD5: FF72056739C31E4CC920FBDFF4F9A8E5 21. 22. FileVersion: 1, 0, 15, 15641 23. 24. ========================= 25. 26. 27. 28. ====== Entrée(s) du registre ====== 29. 30. 31. [HKU\S-1-5-21-1482476501-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*] 32. "a"="C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe" (REG_SZ) 33. 34. [HKU\S-1-5-21-1482476501-507921405-839522115-500\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\exe] 35. "a"="C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe" (REG_SZ) 36. 37. [HKU\S-1-5-21-1482476501-507921405-839522115-500\Software\Microsoft\Windows\ShellNoRoam\MUICache] 38. "C:\Documents and Settings\Administrateur\Bureau\ybl8fpqc.exe"="ybl8fpqc" (REG_SZ) 39. 40. ========================= 41. 42. Fin à: 13:40:58 le 18/11/2011 43. 572364 Éléments analysés 44. 45. ========================= 46. E.O.F ========================== fin du rapport ============================= Je m'occupe à l'instant de la suite. A plus tard.

Pardon, j'étais absent toute la journée. Je n'ai pu m'atteler à la traque des intrus que ce soir. Après les manips demandées, voici le rapport obtenu (aucune ligne n'était rouge). =========================== début du rapport =========================== GMER 1.0.15.15641 - GMER - Rootkit Detector and Remover Rootkit scan 2011-11-18 00:38:55 Windows 5.1.2600 Service Pack 3 Running: ybl8fpqc.exe; Driver: D:\Temp\afliypog.sys ---- Modules - GMER 1.0.15 ---- Module mv61xx.sys (Marvell Thor Windows Driver/Marvell Semiconductor, Inc.) BA6CA000-BA70A000 (262144 bytes) Module \SystemRoot\system32\DRIVERS\nv4_mini.sys (NVIDIA Compatible Windows 2000 Miniport Driver, Version 175.16 /NVIDIA Corporation) B9BE7000-BA228000 (6557696 bytes) Module \SystemRoot\system32\DRIVERS\HDAudBus.sys (High Definition Audio Bus Driver v1.0a/Windows ® Server 2003 DDK provider) B9B87000-B9BAF000 (163840 bytes) Module \SystemRoot\system32\DRIVERS\yk51x86.sys (NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller/Marvell) B9B46000-B9B87000 (266240 bytes) Module \SystemRoot\system32\DRIVERS\ASACPI.sys BADC2000-BADC4000 (8192 bytes) Module \SystemRoot\system32\DRIVERS\Epfwndis.sys (ESET Personal Firewall NDIS filter/ESET) BAA08000-BAA15000 (53248 bytes) Module \SystemRoot\system32\DRIVERS\ptilink.sys (Parallel Technologies DirectParallel IO Library/Parallel Technologies, Inc.) BAB88000-BAB8D000 (20480 bytes) Module \SystemRoot\system32\drivers\ADIHdAud.sys (High Definition Audio Function Driver/Analog Devices, Inc.) B4938000-B498E000 (352256 bytes) Module \SystemRoot\system32\drivers\AEAudio.sys (Audio Noise Filtering Driver (32-bit)/Andrea Electronics Corporation) B48FC000-B4914000 (98304 bytes) Module \SystemRoot\system32\drivers\Senfilt.sys (Sensaura WDM 3D Audio Driver/Sensaura) B489C000-B48FC000 (393216 bytes) Module \SystemRoot\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) B487C000-B489C000 (131072 bytes) Module \SystemRoot\system32\DRIVERS\epfwtdi.sys (ESET Personal Firewall TDI filter/ESET) B47DD000-B47F0000 (77824 bytes) Module \SystemRoot\system32\drivers\AsIO.sys BAE16000-BAE18000 (8192 bytes) Module \SystemRoot\System32\nv4_disp.dll (NVIDIA Compatible Windows 2000 Display driver, Version 175.16 /NVIDIA Corporation) BF9D5000-BFFA9000 (6111232 bytes) Module \SystemRoot\System32\ATMFD.DLL (Windows NT OpenType/Type 1 Font Driver/Adobe Systems Incorporated) BFFA9000-BFFEF000 (286720 bytes) Module \SystemRoot\system32\DRIVERS\epfw.sys (ESET Personal Firewall driver/ESET) B4240000-B4268000 (163840 bytes) Module \SystemRoot\system32\DRIVERS\eamon.sys (Amon monitor/ESET) B1D62000-B1E2D000 (831488 bytes) Module \??\D:\Temp\afliypog.sys (GMER Driver http://www.gmer.net/GMER) (GMER) B1D49000-B1D62000 (102400 bytes) ---- Processes - GMER 1.0.15 ---- Process GoogleUpdate.exe 140 Process jqs.exe 156 Process nvsvc32.exe (NVIDIA Driver Helper Service, Version 175.16/NVIDIA Corporation) 348 Process GoogleToolbarNotifier.exe 628 Process egui.exe 876 Process ekrn.exe 1940 Process smax4pnp.exe 2024 Process ybl8fpqc.exe 3544 Process iexplore.exe 3756 ---- Services - GMER 1.0.15 ---- Service C:\WINDOWS\system32\drivers\ADIHdAud.sys (High Definition Audio Function Driver/Analog Devices, Inc.) [MANUAL] ADIHdAudAddService Service C:\WINDOWS\system32\drivers\AEAudio.sys (Audio Noise Filtering Driver (32-bit)/Andrea Electronics Corporation) [MANUAL] AEAudio Service C:\WINDOWS\system32\drivers\AsIO.sys [sYSTEM] AsIO Service C:\Program Files\Fichiers communs\Nuance\dgnsvc.exe (Dragon NaturallySpeaking Service/Nuance Communications, Inc.) [DISABLED] DragonSvc Service C:\WINDOWS\system32\DRIVERS\eamon.sys (Amon monitor/ESET) [MANUAL] eamon Service C:\WINDOWS\system32\DRIVERS\ehdrv.sys (ESET Helper driver/ESET) [sYSTEM] ehdrv Service C:\Program Files\ESET\ESET Smart Security\ekrn.exe (ESET Service/ESET) [AUTO] ekrn Service C:\WINDOWS\system32\DRIVERS\epfw.sys (ESET Personal Firewall driver/ESET) [AUTO] epfw Service C:\WINDOWS\system32\DRIVERS\Epfwndis.sys (ESET Personal Firewall NDIS filter/ESET) [MANUAL] Epfwndis Service C:\WINDOWS\system32\DRIVERS\epfwtdi.sys (ESET Personal Firewall TDI filter/ESET) [sYSTEM] epfwtdi Service X:\INSTALL\GMSIPCI.SYS [MANUAL] GMSIPCI Service C:\Program [AUTO] gupdate Service C:\Program [MANUAL] gupdatem Service C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (gusvc/Google) [MANUAL] gusvc Service C:\WINDOWS\system32\DRIVERS\HDAudBus.sys (High Definition Audio Bus Driver v1.0a/Windows ® Server 2003 DDK provider) [MANUAL] HDAudBus Service C:\Program Files\Java\jre6\bin\jqs.exe (Java Quick Starter Service/Sun Microsystems, Inc.) [AUTO] JavaQuickStarterService Service MSDTC Bridge 3.0.0.0 Service X:\install4\MSICPL.sys [MANUAL] MSICPL Service C:\WINDOWS\system32\DRIVERS\ASACPI.sys [MANUAL] MTsensor Service C:\WINDOWS\system32\DRIVERS\mv61xx.sys (Marvell Thor Windows Driver/Marvell Semiconductor, Inc.) [bOOT] mv61xx Service X:\NTACCESS.sys [MANUAL] NTACCESS Service C:\WINDOWS\system32\DRIVERS\nv4_mini.sys (NVIDIA Compatible Windows 2000 Miniport Driver, Version 175.16 /NVIDIA Corporation) [MANUAL] nv Service C:\WINDOWS\system32\nvsvc32.exe (NVIDIA Driver Helper Service, Version 175.16/NVIDIA Corporation) [AUTO] NVSvc Service Outlook Service C:\WINDOWS\system32\DRIVERS\ptilink.sys (Parallel Technologies DirectParallel IO Library/Parallel Technologies, Inc.) [MANUAL] Ptilink Service C:\WINDOWS\system32\DRIVERS\rt2870.sys (Ralink 802.11 USB Wireless Adapter Driver/Ralink Technology, Corp.) [MANUAL] rt2870 Service C:\WINDOWS\system32\DRIVERS\secdrv.sys (Macrovision SECURITY Driver/Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K.) [MANUAL] Secdrv Service C:\WINDOWS\system32\drivers\Senfilt.sys (Sensaura WDM 3D Audio Driver/Sensaura) [MANUAL] SenFiltService Service ServiceModelEndpoint 3.0.0.0 Service ServiceModelOperation 3.0.0.0 Service ServiceModelService 3.0.0.0 Service X:\NTGLM7X.sys [MANUAL] SetupNTGLM7X Service SMSvcHost 3.0.0.0 Service Windows Workflow Foundation 3.0.0.0 Service C:\WINDOWS\system32\DRIVERS\yk51x86.sys (NDIS5.1 Miniport Driver for Marvell Yukon Ethernet Controller/Marvell) [MANUAL] yukonwxp ---- EOF - GMER 1.0.15 ---- ====================== fin du rapport ============================== L'absence de ligne en rouge est-elle l'indice que le PC est sain, ou au contraire, chacune des 70 lignes du rapport montrerait-elle, un fichier contaminé ? J'espère que le verdict sera clément !

. C'est fait. Ce "crack" a été installé par mégarde (téléchargé sur un serveur "normal"). Ma bonne foi s e prouve par le s core : 4 é x é cutable s "crac k " s ur environ 7800 é x é cutable s ! S oit j'ach è te, s i aucun gratuit ne peut s ati s faire la fonction voulue, s oit je choi s i s un gratuit, s i po s s ible, portable (et, s i po s s ible : "libre"). Je privil é gie le portable, m ê me s i le s fonction s s ont un peu inf é rieure s , pour rai s on s d'organi s ation. Nota : j'utili s e parfoi s de s ver s ion s à l'e s s ai, et, s i c'e s t un be s oin faible, mai s r é gulier, je prolonge la p é riode d'e s s ai, par un jeu d'image s GHO S T. Merci, pour le suivi de mon problème.

Rebonjour, Merci pour votre aide. Voici le lien vers mon rapport : Rapport Hijackthis Je n'y connais pas grand chose, j'ai donc parcouru le rapport à tout hasard. J'ai repéré qu'en fin de rapport, il mentionne l'éventualité d'un rootkit ? Que dit ce rapport ? A plus. PLC27370

Bonjour, Il y a quelques jours, j'ai été infesté sur mon PC, par des malwares. Ça se traduisait entre autres, par un ralentissement de plus en plus visible de ma connexion ADSL, ainsi que le refus de lancer certains outils comme le gestionnaire de tâches ou MSCONFIG, ou, empêchant des modifications comme la désactivation de certains services (d'autres symptomes surgissaient, ponctuellement, comme des messages d'infestation, et des incitations à installer une protection prétenduement efficace). j'ai scanné par l'outil en ligne de ESET SMARTSECURITY SUITE. Il a découvert la présence de plusieurs intrus (spywares, trojeans) : j'ai nettoyé et en principe, plus rien n'est resté. La manifestation la plus apparente (débit Internet qui était tombé très bas), a disparu : la connexion est redevenue normale. Toutefois, alors que le PC semblait sain depuis plus d'une journée de travail, j'ai repéré hier, 2 anomalies que je n'avais pas remarquées, au milieu des problèmes qui s'amoncelaient. 1ère anomalie : je ne peux plus retirer de périphérique USB. Le message bloquant, dit à peu près : "impossible d'arrêter le périphérique, car un programme y a encore accès". Détails : j'ai essayé avec plusieurs clés USB. Ne pouvant la retirer par l'icône, dans le System Tray (à côté de l'horloge, à droite sur la barre des tâches), je réussis à l'éjecter par clic droit, sur la partition de la clé, dans Explorer : Explorer accepte la demande, rend effectivement inopérant le contenu de la clé (contenu vide), mais laisse cette partition présente dans l'arborescence. Annexe : j'ai tenté un disque externe USB ; cela provoque un figeage total de la machine (obligé de l'éteindre et de la rallumer). 2è anomalie : Internet Explorer est lancé systématiquement, comme processus ("iexplore.exe"), alors que je ne m'en sers jamais. Je me sers surtout de Firefox, et en complément, de Chrome et Opéra (Internet Explorer, seulement quand c'est obligatoire). COMMENTAIRE : il semblerait que le disque soit atteint par un genre de rootkit. En effet, je possède 3 disques extractibles (3 tiroirs : donc possibilité de booter avec 1 ou 2 ou 3 disques en ligne). Le disque 1 est celui utilisé tout le temps : c'est lui a pris la contamination, dans les dents. Le disque 2 sert de sauvegarde et le disque 3 pour les grands tests. Si je restaure sur le disque 1, une image GHOST, propre, du système, ça ne change rien : les 2 anomalies demeurent. Si je restaure sur le disque 2 (qui n'a pas vu les malwares), il n'y a aucune anomalie. Annexe : Le disque externe, qui fige le PC, n'aurait-il pas un Autorun infesté ? ACTION PRÉVUE : après consultation Internet, il me semble que je devrais utiliser COMBOFIX. Mais j'ai vu des avertissements sévères de mise en garde contre ses dangers. Par ailleurs, je ne suis pas habitué à ces manips : je n'ai jamais utilisé Hijackthis, ni d'autres outils car jusqu'à présent, je me débrouillais avec mes disques extractibles et mes nombreuses images GHOST (je ne suis pas un fan de SYMANTEC, mais là, bravo GHOST !). Que dois-je faire ??? J'attends donc vos ordres, CHEF ! PLC27370 de Saint Pierre du Bosguerard