Hervé49
-
Compteur de contenus
5 -
Inscription
-
Dernière visite
Type de contenu
Profils
Forums
Blogs
Messages posté(e)s par Hervé49
-
-
Vous voulez dire : choix 2 - suppression ?
voici le rapport
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/42)
Blog: tigzy-RK
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: X [Droits d'admin]
Mode: Suppression -- Date : 05/01/2012 16:29:28
¤¤¤ Processus malicieux: 1 ¤¤¤
[sUSP PATH] StartupMonitor.exe -- C:\WINDOWS\StartupMonitor.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390)
SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46)
SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8)
SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74)
SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0)
SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388)
SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00)
SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0)
SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8)
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 0d8ba1c5110d7997ede9d189274f6a38
[bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo
1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
-
Voici les résultats :
adwcleaner[R1]
adwcleaner[s1] : il n'a pas été généré. Le soft demande de redémarrer pour avoir le rapport : or j'ai eu 4 reboot avant d'arriver sur le bureau (petite frayeur ...)
RKreport 1: (sans ping.exe en memoire)
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/42)
Blog: tigzy-RK
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Recherche -- Date : 04/01/2012 23:00:06
¤¤¤ Processus malicieux: 1 ¤¤¤
[sUSP PATH] StartupMonitor.exe -- C:\WINDOWS\StartupMonitor.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390)
SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46)
SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8)
SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74)
SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0)
SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388)
SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00)
SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0)
SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8)
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 0d8ba1c5110d7997ede9d189274f6a38
[bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo
1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 13893e6f736a2055d64a6d4b0152a995
[bSP] 3cbff429ae39ce5a6dfaf4f2b6fdccce : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 63 | Size: 66 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RKreport 2: (avec ping.exe en memoire)
RogueKiller V6.2.2 [31/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/42)
Blog: tigzy-RK
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: X [Droits d'admin]
Mode: Recherche -- Date : 04/01/2012 23:01:52
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390)
SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46)
SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8)
SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74)
SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0)
SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388)
SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00)
SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0)
SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8)
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 0d8ba1c5110d7997ede9d189274f6a38
[bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo
1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 13893e6f736a2055d64a6d4b0152a995
[bSP] 3cbff429ae39ce5a6dfaf4f2b6fdccce : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 63 | Size: 66 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
2 remarques :
1 - startup monitor n'est pas malicieux. il évite toute modif ds msconfig/demarrage
2 - pour info, le disque dur a des secteurs cachés (tatouage), peut-être est-ce la cause de l'alerte du MBR ?
Merci
-
Vous pourrez revenir ,avec un nouveau rapport Zhpdiag,lorque vous aurez nettoyé ceci:
C:\Tempo\tempo\all\job\camtasia\keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Lightroom 2.1\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\Crack.WinRAR.v3.50.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\WinRAR.v3.50.Final.FR.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\ra_WZ8keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\WINZIP80.EXE => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\job\camtasia\keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Lightroom 2.1\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\Crack.WinRAR.v3.50.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\WinRAR.v3.50.Final.FR.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\ra_WZ8keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\WINZIP80.EXE => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Activation\! crack pour Windows Seven Ultimate serial keygen fr (french) activation.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Adobe.Photoshop.Lightroom.v3.0.Incl.Keymaker-EMBRACE\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82\Grapher_v8.2.460_setup.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82\Keygen\Grapher8x_keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82.rar => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80\Crack\Grapher8_keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80\Grapher8_setup.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80.rar => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\My Completed Downloads\ACDSee.Pro.v4.0.198.Incl.Keymaker-CORE\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\temp_verbat\WinRAR Password Recovery Key v6.3 + serial\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware
E:\X\Mes documents\temp_verbat\WinRAR Password Recovery Key v6.3 + serial\Winmpg Video Converter 5.6 + Keygen.Rareste Programa Te Permite Pasar De Avi A Mpeg1, Mpeg2,Vcd,Dvd,O Todo A Divx O A Avi.rar => Crack, KeyGen, Keymaker - Possible Malware
Bonjour,
Mmoui, pas très glorieux.
Voici le nouveau rapport (cjoint.com ne veut toujours pas)
Merci
-
Bonjour à toutes et tous,
Tout d'abord, bonne année et bonne santé pour 2012.
Courant décembre (et depuis ce temps là), j'ai eu une fenêtre du débogueur juste-à-temps de Visual studio, indiquant une erreur dans ping.exe . En effet, dans process explorer (très pratique) ping.exe était apparu dans un svchost.exe. J'ai 'killé' tout ça dans un premier temps, mais c'est revenu.
J'ai lancé un scan microsoft security essentials qui a détecté les 2 intrus cités en sujet. J'ai cliqué pour supprimer.
Mais le problème du ping est resté. (il y avait un autre exe qui se lançait en changeant de nom, mais lui a disparu)
J'ai visité quelques forums et bidouillé un peu...mais sans grand résultat.
J'ai besoin de votre aide, car outre le fait que ce ping plombe ma connexion, ça ne me plait pas des masses.
Voici les dernières manips effectuées :
En mode sans échec :
- Désactivation du hibernfile.sys et pagefile.sys (et suppression)
- ccleaner pour supprimer les temporary et cookies internet, nettoyage base de registre et fichiers temp
- Re scan avec microsoft SE : ne trouve plus rien...
- Scan avec TDSkiller : rien
- Scan avec Stinger : rien
- ZHP diag, donc le log est donné ci-dessous (je n'ai pas pu le mettre sur cjoint.com ce matin)
Voilà.
Merci de me donner la marche à suivre pour corriger cela.
Hervé
[Résolu] Probable infection unruy.h et/ou sefbov.e ?
dans Analyses et éradication malwares
Posté(e)
Bonsoir,
En fait, ça été résolu un peu à l'insu de mon plein gré.
Je testais divers utilitaires, et je suis tombé sur Combofix, que j'ai lancé.
Mais j'ai pensé que ça me sortirait un log. Et non, il a scanné le PC et corrigé les problèmes trouvés.
Au reboot, plus de ping.exe qui se lance tout seul.
Mais, il a fait le ménage. Du coup, plus d'accès réseau.
Impossible de lancer les services IPSEC, DHCP, DNS, Pare-feu...erreur 1068 etc...
Au gré d'infos trouvées sur les forums, je commençait à faire des copies de BDR et fichiers SYS à partir d'un autre Pc.
Et puis, j'ai lu l'info (que j'avais oubliée) : sfc /scannow, avec le cd qui va bien.
Il m'a remis tous les fichiers au propre, et tout marche bien maintenant.
Merci à Pear pour avoir commencé à faire le ménage dans le PC.
PS: combofix semble puissant, à utiliser avec précaution ...