Demande d'analyse rapport, merci d'avance

[susana]

Bon, kaspersky est en train de tourner, on en est à 1h55 de scan et il n'a toujours pas terminé. Et sans freezer ! J'espère que ça ne plantera pas vers la fin...

Je poste le log dès que c'est fini !

Merci de ta patience, j'ai libéré le pitbull )

A plus tard !

[susana]

Le scan en ligne s'est arrêté sans crier gare au bout d'un peu plus de 3 heures. Il en était aux programs files, je ne sais pas exactement où.

Jusqu'à ce moment-là, il n'avait rien détecté.

Impossible d'avoir une copie du rapport.

 

Qu'est-ce qu'on pourrait tenter maintenant ?

 

Merci de ton aide Thanos !

[susana]

Bonsoir Thanos,

 

Ce court message pour te signaler que je dois m'absenter quelques jours.

Je reprendrai le post et ton éventuelle réponse à mon retour, c'est à dire lundi.

 

Merci de ta patience !

[susana]

Bonjour Thanos,

 

Me voici de retour, désolée pour l'absence prolongée.

Nous en étions donc à un scan en ligne grâce à Kaspersky (http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html), qui n'a pas fonctionné.

Que pourrions-nous tenter d'autre ?

Merci d'avance et bonne journée.

[Thanos]

salut susana

 

Désolé pour l'attente! Dis moi: comment ce se manifeste ces pop-ups lorsque tu surfes ? est ce sur certaines pages en particulier ou de manière aléatoire ?

 

On va tenter un scan susana car les précédents rapports ne montrent rien, en espérant que celui ci ne plante pas!

 

Télécharge gmer : http://www.gmer.net/gmer.zip

Déconnecte toi d'internet si possible et ferme tous les programmes.

Désactive ton antivirus temporairement le temps du scan.

Décompresse le fichier zip et double-clique sur gmer.exe

 

clique sur l'onglet "rootkit" et clique sur Scan

Lorsque le scan est terminé, clique sur "copy"

 

Ouvre le bloc-note et clique sur le Menu Edition / Coller

Le rapport doit alors apparaître.

Enregistre le fichier sur ton bureau et copie/colle le contenu ici.

Modifié le 21 avril 2009 par Thanos

[susana]

Bonsoir Thanos, merci encore pour ta patience.

Les pop-ups se manifestaient de façon aléatoire mais depuis quelques jours, je n'en ai pas.

 

Le scan a mis du temps, un peu plus de 6 heures, et sans planter cette fois !

 

A bientôt de te lire pour savoir si le pc est encore infecté ou pas...

 

Bonne soirée et merci encore.

 

Voici une copie du rapport généré :

 

GMER 1.0.15.14966 - http://www.gmer.net

Rootkit scan 2009-04-23 20:26:25

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.15 ----

 

SSDT 86078630 ZwAssignProcessToJobObject

SSDT 86077A60 ZwOpenProcess

SSDT 86077E80 ZwOpenThread

SSDT 86078460 ZwSuspendProcess

SSDT 86078280 ZwSuspendThread

SSDT 86077C90 ZwTerminateProcess

SSDT 860780B0 ZwTerminateThread

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe[1232] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 4 Bytes [C2, 04, 00, 00]

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)

 

---- Threads - GMER 1.0.15 ----

 

Thread System [4:308] 86076790

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32@cd042efbbd7f7af1647644e76e06692b 0xE2 0x63 0x26 0xF1 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32@bca643cdc5c2726b20d2ecedcc62c59b 0x46 0x47 0x15 0xB0 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32@2c81e34222e8052573023a60d06dd016 0xFF 0x7C 0x85 0xE0 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32@2582ae41fb52324423be06337561aa48 0x3E 0x1E 0x9E 0xE0 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32@caaeda5fd7a9ed7697d9686d4b818472 0xF5 0x1D 0x4D 0x73 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32@a4a1bcf2cc2b8bc3716b74b2b4522f5d 0xDF 0x20 0x58 0x62 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32@4d370831d2c43cd13623e232fed27b7b 0xFB 0xA7 0x78 0xE6 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32@1d68fe701cdea33e477eb204b76f993d 0x83 0x6C 0x56 0x8B ...

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32@1fac81b91d8e3c5aa4b0a51804d844a3 0xF6 0x0F 0x4E 0x58 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32@f5f62a6129303efb32fbe080bb27835b 0x37 0xA4 0xAA 0xC3 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32@fd4e2e1a3940b94dceb5a6a021f2e3c6 0xE3 0x0E 0x66 0xD5 ...

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ThreadingModel Apartment

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@ C:\WINDOWS\system32\OLE32.DLL

Reg HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32@8a8aec57dd6508a385616fbc86791ec2 0xFA 0xEA 0x66 0x7F ...

 

---- Disk sectors - GMER 1.0.15 ----

 

Disk \Device\Harddisk0\DR0 sector 10: copy of MBR

 

---- Files - GMER 1.0.15 ----

 

File C:\WINDOWS\system32\config\software.LOG (size mismatch) 24576/1024 bytes

 

---- EOF - GMER 1.0.15 ----

[Thanos]

salut

 

Désolé pour l'attente! susana, je suis embêté car les différents rapports ne montrent rien de probant...

Les pop-ups se manifestaient de façon aléatoire mais depuis quelques jours, je n'en ai pas.

Est ce toujours le cas ? le pc plante t-il encore ?

[susana]

Je vais tenter de relancer Malwarebytes pour voir.

Si ça fonctionne, je posterai le rapport ici sans faute.

 

Merci !

[susana]

Re bonjour,

 

Donc j'ai relancé Malwarebytes et le PC a de nouveau planté lorsqu'il a détecté 1 fichier infecté.

Je ne sais pas trop ce que c'est, il n'y a aucun rapport de généré.

Je peux retenter Daonol pour voir si ça replante aussi ou pas...

Je te tiens au courant Thanos.

A bientôt.

[susana]

Bonsoir à nouveau,

 

J'ai relancé un scan en ligne Kaspersky et l'ordinateur a donc bien planté, écran bleu, "erreur système irrécupérable, le système a été arrêté".

J'ai quand même réussi à le relancer.

Daonol a également freezé mais a généré un fichier texte. Il est sûrement incomplet, le voici :

 

DaonolFix (14.04.09) by jpshortstuff

Log created at 17:37 on 25/04/2009 by Laliga

Running from C:\Documents and Settings\Laliga\Bureau\DaonolFix.exe

 

=====Find Daonol=====

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]

"midi"="wdmaud.drv"

"midimapper"="midimap.dll"

"mixer"="wdmaud.drv"

"msacm.iac2"="C:\WINDOWS\system32\iac25_32.ax"

"msacm.imaadpcm"="imaadp32.acm"

"msacm.l3acm"="C:\WINDOWS\system32\l3codeca.acm"

"msacm.lhacm"="lhacm.acm"

"msacm.msadpcm"="msadp32.acm"

"msacm.msaudio1"="msaud32.acm"

"msacm.msg711"="msg711.acm"

"msacm.msg723"="msg723.acm"

"msacm.msgsm610"="msgsm32.acm"

"msacm.siren"="sirenacm.dll"

"msacm.sl_anet"="sl_anet.acm"

"msacm.trspch"="tssoft32.acm"

"vidc.cvid"="iccvid.dll"

"vidc.DIVX"="DivX.dll"

"vidc.I420"="i420vfw.dll"

"vidc.iv31"="ir32_32.dll"

"vidc.iv32"="ir32_32.dll"

"vidc.iv41"="ir41_32.ax"

"vidc.iv50"="ir50_32.dll"

"vidc.iyuv"="iyuv_32.dll"

"vidc.LEAD"="LCODCCMP.DLL"

"vidc.M261"="msh261.drv"

"vidc.M263"="msh263.drv"

"vidc.mjpg"="pvmjpg30.dll"

"vidc.mrle"="msrle32.dll"

"vidc.msvc"="msvidc32.dll"

"vidc.uyvy"="msyuv.dll"

"vidc.XVID"="xvidvfw.dll"

"vidc.yuy2"="msyuv.dll"

"vidc.yv12"="yv12vfw.dll"

"vidc.yvu9"="tsbyuv.dll"

"vidc.yvyu"="msyuv.dll"

"wave"="serwvdrv.dll"

"wave1"="wdmaud.drv"

"wave2"="serwvdrv.dll"

"wave3"="serwvdrv.dll"

"wave4"="serwvdrv.dll"

"wave5"="serwvdrv.dll"

"wave6"="serwvdrv.dll"

"wave7"="serwvdrv.dll"

"wave8"="serwvdrv.dll"

"wave9"="serwvdrv.dll"

"wavemapper"="msacm32.drv"

 

-=Daonol Files=-