Gros pb

ivy · le 5 décembre 2007

et hop, le rapport catchme !

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006

http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

(ne t'inquiète pas, je suis ailleurs sur le net, malgré les recommandations de charles , j'ai cette fenêtre en fond, je fais des refresh de temps en temps pour venir aux nouvelles. ne vous sentez pas obligés de me répondre rapidement parce que vous me voyez en ligne, je ne suis pas forcément vraiment là ).

merci

Thanos · le 5 décembre 2007

re ivy, Mark

ivy, je t'ai envoyé un MP, je ne sais pas si tu l'as vu aussi je poste ici.

Peux tu m'expédier le fichier stp? c'est à des fins d'analyse. (poste le lien par mp)

Merci et @ + tard pour la suite

Modifié le 5 décembre 2007 par charles ingals

Thanos · le 6 décembre 2007

salut ivy

Merci pour le fichier

On va continuer comme ceci stp >

Télécharge Gmer.

Dézippe le dans un dossier ou sur ton bureau.

Déconnecte toi d'Internet puis et ferme tous les programmes.

Double-clique sur Gmer.exe.

IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.

Clique sur l'onglet rootkit.

A droite, coche Files et Services.

Clique maintenant sur Scan.

Lorsque le scan est terminé, clique sur Copy.

Enregistre le rapport sur ton bureau et copie/colle le contenu ici.

@+

ivy · le 6 décembre 2007

coucou !

je n'ai pas de rapport à fournir car : "gmer hasn't found any system modification" (il me semble qu'il a sauté le dossier qu'on a évoqué un peu plus tôt). avast n'a pas moufté non plus.

instructions ?

merci

ivy · le 7 décembre 2007

salut charles.

ta boîte mp semble pleine, je n'arrive pas à t'envoyer ma réponse... c'est le message d'erreur que j'ai en tout cas).

merci et bonne journée

Thanos · le 7 décembre 2007

salut ivy

Désolé, elle était blindée !! Voilà, je l'ai vidée, tu peux m'envoyer un Mp

Voici la suite ivy >

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/qe0z1h

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

@+ tard

ivy · le 7 décembre 2007

coucou !

et hop !

ComboFix 07-12-02.7 - ivy 2007-12-07 12:09:22.5 - NTFSx86

Running from: C:\Documents and Settings\ivy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\ivy\Bureau\CFScript.txt

* Created a new restore point

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Program Files\Fichiers communs\Services\IQLZNYq.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_SYSWPG

-------\SysWpg

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-07 to 2007-12-07 ))))))))))))))))))))))))))))))))))))

.

2007-12-07 08:29 . 2007-12-07 08:29 <REP> d-------- C:\Program Files\Eraser

2007-12-07 08:29 . 2007-12-07 08:29 <REP> d--h----- C:\Documents and Settings\All Users\Application Data\{74D61F17-FFC2-41AF-96E5-1DCB0631B6D1}

2007-12-06 20:08 . 2007-12-06 20:08 250 --a------ C:\WINDOWS\gmer.ini

2007-12-05 12:50 . 2007-12-05 12:50 <REP> d-------- C:\Documents and Settings\ivy\Application Data\SLAutoSave

2007-12-03 20:18 . 2007-12-03 20:18 <REP> d-------- C:\WINDOWS\system32\Kaspersky Lab

2007-12-03 11:26 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui

2007-12-03 11:26 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui

2007-12-03 11:26 . 2007-07-30 19:19 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui

2007-12-03 11:26 . 2007-07-30 19:18 21,336 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

2007-12-03 10:26 . 2007-12-03 10:26 <REP> d-------- C:\Deckard

2007-12-02 17:06 . 2007-12-02 17:06 <REP> d-------- C:\WINDOWS\report

2007-12-02 17:04 . 2007-12-02 17:04 <REP> d-------- C:\WINDOWS\AU_Backup

2007-12-02 17:04 . 2007-12-02 17:04 39,801,177 --a------ C:\WINDOWS\VPTNFILE.855

2007-12-02 17:04 . 2007-12-02 17:04 39,801,177 --a------ C:\WINDOWS\LPT$VPN.855

2007-12-02 17:04 . 2007-12-02 17:04 1,899,383 --a------ C:\WINDOWS\tsc.ptn

2007-12-02 17:04 . 2007-12-02 17:04 1,163,344 --a------ C:\WINDOWS\vsapi32.dll

2007-12-02 17:04 . 2007-12-02 17:04 267,845 --a------ C:\WINDOWS\tsc.exe

2007-12-02 17:04 . 2007-12-02 17:04 86,094 --a------ C:\WINDOWS\BPMNT.dll

2007-12-02 17:04 . 2007-12-02 17:04 71,749 --a------ C:\WINDOWS\hcextoutput.dll

2007-12-02 17:04 . 2007-12-02 18:49 823 --a------ C:\WINDOWS\tsc.ini

2007-12-02 17:02 . 2007-12-02 17:04 <REP> d-------- C:\WINDOWS\AU_Temp

2007-12-02 17:02 . 2007-12-02 17:02 <REP> d-------- C:\WINDOWS\AU_Log

2007-12-02 17:02 . 2007-12-02 17:02 507,904 --a------ C:\WINDOWS\TMUPDATE.DLL

2007-12-02 17:02 . 2007-12-02 17:02 286,720 --a------ C:\WINDOWS\PATCH.EXE

2007-12-02 17:02 . 2007-12-02 17:02 69,689 --a------ C:\WINDOWS\UNZIP.DLL

2007-12-02 17:02 . 2007-12-02 17:02 170 --a------ C:\WINDOWS\GetServer.ini

2007-12-01 17:32 . 2007-06-21 07:01 545 --a------ C:\WINDOWS\UC.PIF

2007-12-01 17:32 . 2007-06-21 07:01 545 --a------ C:\WINDOWS\RAR.PIF

2007-12-01 17:32 . 2007-06-21 07:01 545 --a------ C:\WINDOWS\PKZIP.PIF

2007-12-01 17:32 . 2007-06-21 07:01 545 --a------ C:\WINDOWS\PKUNZIP.PIF

2007-12-01 17:32 . 2007-06-21 07:01 545 --a------ C:\WINDOWS\NOCLOSE.PIF

2007-12-01 17:32 . 2007-06-21 07:01 545 --a------ C:\WINDOWS\LHA.PIF

2007-12-01 17:32 . 2007-06-21 07:01 545 --a------ C:\WINDOWS\ARJ.PIF

2007-12-01 17:32 . 2007-12-01 17:33 387 --a------ C:\WINDOWS\wincmd.ini

2007-11-30 11:54 . 2007-12-05 10:50 <REP> d-------- C:\Documents and Settings\ivy\Application Data\OpenOffice.org2

2007-11-30 11:43 . 2007-11-30 11:44 <REP> d-------- C:\Program Files\OpenOffice.org 2.3

2007-11-19 22:51 . 2007-11-30 11:40 <REP> d-------- C:\Program Files\Java

2007-11-19 22:50 . 2007-11-19 22:50 <REP> d-------- C:\Program Files\Fichiers communs\Java

2007-11-18 20:55 . 2007-12-01 22:15 <REP> d-------- C:\Documents and Settings\ivy\Application Data\Grisoft

2007-11-18 20:54 . 2007-11-18 20:54 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Grisoft

2007-11-18 20:54 . 2007-05-30 13:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2007-11-18 18:35 . 2007-11-18 18:35 <REP> d-------- C:\Program Files\Trend Micro

2007-11-16 19:16 . 2004-10-20 16:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau

2007-11-16 19:16 . 2004-10-20 16:47 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression

2007-11-16 19:16 . 2004-10-20 15:56 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles

2007-11-16 19:16 . 2004-10-20 16:47 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents

2007-11-16 19:16 . 2004-10-20 16:47 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer

2007-11-16 19:16 . 2004-10-20 16:47 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris

2007-11-16 19:16 . 2007-12-01 21:21 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau

2007-11-16 17:44 . 2007-11-16 17:45 <REP> d-------- C:\Program Files\process-explorer_process_explorer_10.21_anglais_14566

2007-11-16 17:02 . 2007-11-16 17:02 <REP> d--h----- C:\WINDOWS\system32\GroupPolicy

2007-11-10 23:23 . 2007-11-10 23:23 0 --a------ C:\WINDOWS\oodcnt.INI

2007-11-10 23:22 . 2007-11-10 23:22 <REP> d-------- C:\WINDOWS\system32\oodag

2007-11-09 11:06 . 2007-11-09 11:06 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Avg7

2007-11-08 18:49 . 2007-11-10 21:56 <REP> d-------- C:\Program Files\EClea2_0

2007-11-08 18:00 . 2004-08-20 00:09 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

2007-11-08 15:50 . 2007-11-08 15:55 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy

2007-11-08 15:02 . 2007-11-08 15:02 23 --ahs---- C:\WINDOWS\system32\fccbbcc8_g.dll

2007-11-08 15:02 . 2007-11-08 15:02 23 --a------ C:\WINDOWS\system32\cbbcbbdafed_g.ocx

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-12-05 19:56 2,834 ----a-w C:\Program Files\RegSearch.txt

2007-12-05 19:54 916 ----a-w C:\Program Files\Options.txt

2007-12-05 19:54 352,768 ----a-w C:\Program Files\regsearch.exe

2007-12-05 19:54 2,560 ----a-w C:\Program Files\History.txt

2007-12-05 15:28 --------- d-----w C:\Program Files\BSW

2007-12-03 21:33 863 ----a-w C:\Program Files\i_view32.ini

2007-12-01 21:16 --------- d-----w C:\Documents and Settings\ivy\Application Data\Lavasoft

2007-12-01 21:16 --------- d-----w C:\Documents and Settings\ivy\Application Data\Image Zone Express

2007-12-01 21:15 --------- d-----w C:\Documents and Settings\ivy\Application Data\HP

2007-12-01 21:13 --------- d-----w C:\Documents and Settings\ivy\Application Data\dvdcss

2007-12-01 21:13 --------- d-----w C:\Documents and Settings\ivy\Application Data\AdobeUM

2007-11-08 14:45 --------- d-----w C:\Program Files\Fichiers communs\Wise Installation Wizard

2007-10-25 17:05 94,416 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-10-25 17:05 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-10-25 17:03 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-10-25 17:01 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-10-25 16:58 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-10-07 06:54 71,680 ----a-w C:\WINDOWS\ST5UNST.EXE

2007-07-30 08:53 765 -c--a-w C:\Program Files\i_languages.txt

2007-07-30 08:53 62,543 -c--a-w C:\Program Files\i_changes.txt

2007-07-30 08:53 5,734 -c--a-w C:\Program Files\i_plugins.txt

2007-07-30 08:53 456,704 ----a-w C:\Program Files\i_view32.exe

2007-07-30 08:53 29,184 -c--a-w C:\Program Files\iv_uninstall.exe

2007-07-30 08:53 272,616 -c--a-w C:\Program Files\i_view32.chm

2007-07-30 08:53 2,235 -c--a-w C:\Program Files\i_about.txt

2007-07-30 08:53 11,737 -c--a-w C:\Program Files\i_options.txt

.

((((((((((((((((((((((((((((( snapshot@2007-12-03_17.54.09,42 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-03-13 09:57:10 163,328 ----a-w C:\WINDOWS\ERDNT\subs\ERDNT.EXE

+ 2007-12-06 19:08:44 585,791 ----a-w C:\WINDOWS\gmer.dll

+ 2007-12-06 19:04:28 581,632 ----a-w C:\WINDOWS\gmer.exe

+ 2007-12-06 19:08:45 70,001 ----a-w C:\WINDOWS\system32\drivers\gmer.sys

- 2003-07-25 09:14:34 458,752 ----a-w C:\WINDOWS\system32\eraser.dll

+ 2007-07-28 21:05:06 640,336 ----a-w C:\WINDOWS\system32\Eraser.dll

+ 2007-07-28 21:05:04 112,976 ----a-w C:\WINDOWS\system32\Eraserl.exe

+ 2007-07-28 21:05:08 292,176 ----a-w C:\WINDOWS\system32\Erasext.dll

+ 2007-12-07 11:19:53 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_5e0.dat

.

((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))

.

REGEDIT4

*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Eraser"="C:\Program Files\Eraser\eraser.exe" [2007-07-28 22:05]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe]

"nwiz"="nwiz.exe" [2004-07-15 10:42 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="RUNDLL32.exe" [2004-08-20 00:10 C:\WINDOWS\system32\rundll32.exe]

"Smapp"="C:\Program Files\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57]

"WinPatrol"="C:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-12-12 22:18]

"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-10-25 17:20]

"HP Software Update"="C:\Program Files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 23:12]

"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02]

"!AVG Anti-Spyware"="C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 10:25]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-20 00:09]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistryTools"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoRecentDocsMenu"= 1 (0x1)

"NoFavoritesMenu"= 1 (0x1)

*Newly Created Service* - SYSWPG

.

**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-07 12:21:46

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

**************************************************************************

.

Completion time: 2007-12-07 12:27:18 - machine was rebooted

C:\ComboFix2.txt ... 2007-12-05 18:50

C:\ComboFix3.txt ... 2007-12-05 18:25

.

--- E O F ---

merci

Thanos · le 8 décembre 2007

salut ivy

Il y a un service qui résiste! Il faut nous en débarrasser: aussi on va refaire un script modifié (merci @ Mark )>

Rend toi sur cette page afin de télécharger le fichier CFScript > http://www.sendspace.com/file/hf12ft

pour cela, clique sur le lien en bas de page > Download Link: CFScript

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaitre: au message qui apparait ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

en espérant que ca fonctionne

Ps: je t'embête une dernière fois! Retente d'expédier les fichiers comme ceci stp >

1) Télécharge SFP de Safer Networking Limited sur ton bureau.

Décompresse le (clic droit dessus, extraire tout).
Double-clique sur le fichier sfp.exe
Dans l'onglet Step 1:Paste text, copie-colle la liste suivante :

C:\qoobox\Quarantine\C:\Program Files\Fichiers communs\Microsoft Shared\ABR.exe
C:\qoobox\Quarantine\C:\Program Files\Fichiers communs\Microsoft Shared\aKflkn.exe
C:\qoobox\Quarantine\C:\Program Files\Fichiers communs\Services\IQLZNYq.exe
C:\qoobox\Quarantine\C:\Program Files\Fichiers communs\rFj.exe
C:\qoobox\Quarantine\C:\Program Files\Fichiers communs\System\laY.exe
C:\qoobox\Quarantine\C:\Program Files\Fichiers communs\System\ewcyxk.exe
C:\qoobox\Quarantine\C:\Program Files\Windows NT\dOa.exe
C:\qoobox\Quarantine\C:\Program Files\Windows NT\EBamZD.exe

Clique sur Continue
Ferme SFP en cliquant sur la croix (X) en haut à droite.
Tu vas avoir sur ton bureau un fichier qui se nomme requested-files[200x-xx-xx_xx_xx].cab où les chiffres entre [] correspondent à la date et l'heure de la création de l'archive.

2) Fais héberger le fichier sur le site et donne moi stp le lien par MP

Modifié le 8 décembre 2007 par charles ingals

ivy · le 8 décembre 2007

salut charles, salut les amis

ce matin, grâce à sfp, aucun souci pour uploader le fichier qui posait problème

voici le rapport demandé :

ComboFix 07-12-02.7 - ivy 2007-12-08 8:05:52.6 - NTFSx86

Running from: C:\Documents and Settings\ivy\Bureau\ComboFix.exe

Command switches used :: C:\Documents and Settings\ivy\Bureau\CFScript.txt

* Created a new restore point

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Program Files\Fichiers communs\Services\IQLZNYq.exe

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\LEGACY_SYSWPG

-------\SysWpg

((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-11-08 to 2007-12-08 ))))))))))))))))))))))))))))))))))))

.

2007-12-06 20:08 . 2007-12-07 13:06 250 --a------ C:\WINDOWS\gmer.ini