Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Infection virus Win32:CTX (Résolu)

ape.401

Par ape.401
dans Analyses et éradication malwares

 Partager

Messages recommandés

ape.401 Member

ape.401

Posté(e)
  • Auteur
Posté(e)

Désolé, je n'ai pas noté le message d'erreur exact de rustbfix, qui avait trait à la création du fichier il me semble.

J'ai relancé, ci-joint la log. Cette fois-ci, il n'a pas rebooté.

Je lance gmer et poste la log...

 

************************* Rustock.b-fix -- By ejvindh *************************

01/04/2007 23:53:58,06

 

Rustock.b-driver on the system: NONE!

 

Rustock.b-ADS attached to the System32-folder:

:lzx32.sys 73098

Total size: 73098 bytes.

Attempting to remove ADS...

system32: deleted 73098 bytes in 1 streams.

 

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

 

 

******************* Post-run Status of system *******************

 

Rustock.b-driver on the system: NONE!

 

Rustock.b-ADS attached to the System32-folder:

No System32-ADS found.

 

Looking for Rustock.b-files in the System32-folder:

No Rustock.b-files found in system32

 

 

******************************* End of Logfile ********************************

Lien vers le commentaire
Partager sur d’autres sites

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

très bien :P à présent poste le rapport GMER stp comme demandé >

 

Télécharge gmer : http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.

Décompresse le fichier zip et double-clic sur gmer.exe

 

Clic sur l'onglet "rootkit" et clic sur Scan

Lorsque le scan est terminé, clic sur "copy"

 

Ouvre le bloc-note et clic sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

Lien vers le commentaire
Partager sur d’autres sites
Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

c'est tout?

 

Ok poste moi ceci alors stp >

 

Télécharge combofix.exe de sUBs

  • Assure toi que tous les programmes sont fermés avant de lancer le fix!
  • Fait un double clique sur combofix.exe.
  • Note: Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
  • Tape sur la touche Y (Yes) pour démarrer le scan.
  • Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
  • Si le rapport est trop long, poste le en deux fois.

(on éliminera tous ces utilitaires à la fin ne t'inquiêtes pas :P

Lien vers le commentaire
Partager sur d’autres sites
ape.401 Member

ape.401

Posté(e)
  • Auteur
Posté(e)

Et oui, c'est tout ce que j'ai eu comme log.

 

L'adresse de combofix ne marche pas :

 

http://download.bleepingcomputer.com/sUBs/combofix.exe

 

 

404 Not Found

The requested URL '/sUBs/combofix.exe' was not found on this server.

--------------------------------------------------------------------------------

 

thttpd

Lien vers le commentaire
Partager sur d’autres sites
ape.401 Member

ape.401

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Combofix ne marche pas. J'ai un message d'erreur quand je le lance :

Faut-il utiliser une des deux adresses ?

 

Bonne journée (je ne pourrais répondre que ce soir)

 

You have used an invalid url to download ComboFix.exe. Please be advised that these are the correct links to use

 

http://www.techsupportforum.com/sectools/sUBs/ComboFix.exe

 

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Lien vers le commentaire
Partager sur d’autres sites
ape.401 Member

ape.401

Posté(e)
  • Auteur
Posté(e)

Bonsoir, me voici de retour.

Effectivement j'arrive également à le télécharger, mais j'ai le message lorsque je cherche à l'executer.

J'ai téléchargé à partir d'un des deux autres liens, c'est OK. Voici le log.

 

"Andr‚" - 07-04-02 19:37:36 Service Pack 2

ComboFix 07-03-27.4.2 - Running from: "D:\Documents and Settings\Andr‚\Bureau"

 

 

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\U.exe

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-03-02 to 2007-04-02 ))))))))))))))))))))))))))))))))))

 

 

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 0 --a------ C:\backup.reg

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:35 <REP> d-------- C:\avenger

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 96 --a------ C:\avexport.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 336 --a------ C:\reboot.bat

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 19,814 --a------ C:\reboot.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 23:33 126,976 --a------ C:\zip.exe

2007-04-01 21:48 <REP> d-------- C:\Program Files\Lavasoft

2007-04-01 21:48 <REP> d-------- C:\Program Files\Lavasoft

2007-04-01 16:38 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2007-04-01 14:27 <REP> d-------- C:\WINDOWS\system32\ActiveScan

2007-04-01 13:41 <REP> d-------- C:\Program Files\Trend Micro

2007-04-01 13:41 <REP> d-------- C:\Program Files\Trend Micro

2007-03-31 19:28 <REP> d-------- C:\WINDOWS\BDOSCAN8

2007-03-31 18:58 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys

2007-03-31 16:46 90,112 --a------ C:\WINDOWS\system32\RegDACL.exe

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 8,234 --a------ C:\clean.bat

2007-03-31 16:46 53,248 --a------ C:\WINDOWS\system32\process.exe

2007-03-31 16:46 40,960 --a------ C:\WINDOWS\system32\swsc.exe

2007-03-31 16:46 4,096 --a------ C:\WINDOWS\system32\reboot.exe

2007-03-31 16:46 38,400 --a------ C:\WINDOWS\system32\moveex.exe

2007-03-28 15:04 <REP> d-------- C:\Program Files\InCode Solutions

2007-03-28 15:04 <REP> d-------- C:\Program Files\InCode Solutions

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-03-31 22:48 -------- d--h----- C:\Program Files\installshield installation information

2007-03-31 22:48 -------- d--h----- C:\Program Files\installshield installation information

2007-03-31 22:48 -------- d-------- C:\Program Files\ulead systems

2007-03-31 22:48 -------- d-------- C:\Program Files\ulead systems

2007-03-31 22:28 -------- d-------- C:\Program Files\winace

2007-03-31 22:28 -------- d-------- C:\Program Files\winace

2007-03-25 10:22 64732 --a------ C:\WINDOWS\system32\perfc00c.dat

2007-03-25 10:22 448190 --a------ C:\WINDOWS\system32\perfh00c.dat

2007-03-04 10:47 -------- d-------- C:\Program Files\java

2007-03-04 10:47 -------- d-------- C:\Program Files\java

2007-02-18 20:00 0 --a------ C:\Program Files\idw33725tmp

2007-02-18 20:00 0 --a------ C:\Program Files\idw33725tmp

2007-02-11 19:25 -------- d-------- C:\Program Files\windows media connect 2

2007-02-11 19:25 -------- d-------- C:\Program Files\windows media connect 2

2007-02-10 19:05 36864 --a------ C:\WINDOWS\system32\fwapi.dll

2007-02-10 19:05 23806 --a------ C:\WINDOWS\system32\drivers\lnsfw.sys

2007-02-10 19:05 -------- d-------- C:\Program Files\soft4ever

2007-02-10 19:05 -------- d-------- C:\Program Files\soft4ever

2007-02-09 22:26 -------- d-------- C:\Program Files\winhttrack

2007-02-09 22:26 -------- d-------- C:\Program Files\winhttrack

2007-01-15 19:32 689280 --a------ C:\WINDOWS\system32\aswboot.exe

2007-01-15 19:23 90112 --a------ C:\WINDOWS\system32\avastss.scr

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"PHIME2002ASync"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /SYNC"

"PHIME2002A"="C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE /IMEName"

"High Definition Audio Property Page Shortcut"="HDAShCut.exe"

"AzMixerSel"="C:\\Program Files\\Realtek\\InstallShield\\AzMixerSel.exe"

"TkBellExe"="\"C:\\Program Files\\Fichiers communs\\Real\\Update_OB\\realsched.exe\" -osboot"

"SunJavaUpdateSched"="\"C:\\Program Files\\Java\\jre1.5.0_11\\bin\\jusched.exe\""

"PCMService"="\"c:\\Apps\\Powercinema\\PCMService.exe\""

"Look 'n' Stop"="C:\\Program Files\\Soft4Ever\\looknstop\\looknstop.exe -auto"

"IMJPMIG8.1"="\"C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32\""

"avast!"="C:\\PROGRA~1\\ALWILS~1\\Avast4\\ashDisp.exe"

"ACTIVBOARD"="c:\\apps\\ABoard\\ABoard.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]

"Installed"="1"

"NoChange"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce\Setup]

"Registrando Panda ActiveX"="C:\\WINDOWS\\system32\\regsvr32.exe /s C:\\WINDOWS\\system32\\ActiveScan\\as.dll"

"Registrando Panda Almacen"="C:\\WINDOWS\\system32\\regsvr32.exe /s C:\\WINDOWS\\system32\\ActiveScan\\pavpz.dll"

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]

"WPDShServiceObj"="{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

HTTPFilter REG_MULTI_SZ HTTPFilter\

LocalService REG_MULTI_SZ AlerterWebClientLmHostsRemoteRegistryupnphostSSDPSRV\

NetworkService REG_MULTI_SZ DnsCache\

DcomLaunch REG_MULTI_SZ DcomLaunchTermService\

rpcss REG_MULTI_SZ RpcSs\

imgsvc REG_MULTI_SZ StiSvc\

termsvcs REG_MULTI_SZ TermService\

WudfServiceGroup REG_MULTI_SZ WUDFSvc\

 

 

 

Contents of the 'Scheduled Tasks' folder

C:\WINDOWS\tasks\Uniblue SpyEraser.job

 

 

********************************************************************

 

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006

http://www.gmer.net

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

********************************************************************

 

Completion time: 07-04-02 19:39:40

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...