Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

help! plus d'AV, de FW, de connection internet

kaoula

Par kaoula
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir vous deux ;

 

kaoula : je vais te faire lancer un outil spécifique pour une infection que je soupçonne ici. On verra ensuite, selon ce que révèle le rapport :

=============

 

Télécharge puis sauvegarde ce fichier sur ton Bureau.

Double-clique sur le fichier afin de lancer l'outil. Lorsque l'analyse sera terminée, un fichier/rapport nommé Win32kDiag.txt sera créé sur ton Bureau. Ouvre le fichier puis copie/colle son contenu ici, dans ta réponse.

 

@+

kaoula Member

kaoula

Posté(e)
  • Auteur
Posté(e)

voici le rapport win32kdiag (pas tres fourni) :P

 

Log file is located at: C:\Documents and Settings\Administrateur\Bureau\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\WINDOWS'...

 

 

 

 

Finished!

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bon... Je devrai voir ça avec le créateur de l'outil, mais il semble que l'infection que je soupçonnais n'y soit pas. Ou bien il y a une infection hyper nouvelle et sophistiquée, ou bien ton Windows a subi des dégats importants.

 

J'aimerais que tu cherches pour la présence du fichier suivant : C:\Bug.txt

> Si trouvé, copie/colle son contenu ici, dans ta réponse.

~~~~~~~~~~~~~~~~~~~~

 

 

Un autre essai d'anti-rootkit :

 

Imprime les instructions ci-bas ou colle-les dans un fichier texte car tu ne pourras pas surfer durant la procédure;

 

Télécharge SysProt (de swatkat) du lien suivant et sauvegarde-le sur ton Bureau (le fichier .zip est au bas de la page) :

 

http://sites.google.com/site/sysprotantirootkit/

 

 

Déconnecte-toi d'Internet (tire le cable s'il le faut), ferme toutes tes applications ouvertes et désactive tes protections (antivirus, pare-feu) ;

 

> Extrait l'outil de l'archive (clic droit sur le fichier .zip >> "Extraire tout...")

> Ouvre le dossier puis double-clique sur SysProt.exe afin de lancer l'outil.

> Clique sur l'onglet "log" ;

> Coche toutes les cases présentes dans la fenêtre "Write to log" ;

> Coche Hidden Objects Only (au bas, à gauche)

> Clique sur Create log (au bas, à droite)

> Une nouvelle fenêtre apparaîtra : coche "Scan root drive" et clique sur Start ;

> L'analyse débutera ; lorsque complétée, un rapport sera sauvegardé dans le dossier SysProt.

Copie/colle le contenu du rapport généré dans ta réponse.

 

-----------------------------------------

 

Alors les deux rapports que j'aimerais consulter (si présents) :

 

> C:\Bug.txt

> Le rapport de SysProt

 

@+

kaoula Member

kaoula

Posté(e)
  • Auteur
Posté(e)

bonjour,

 

pas de fichier c:\bug.txt

juste pour info : j'ai réussi a réinstaller ZA et mettre a jour antivir

j'ai un processus nssstub qui essaye de se connecter (alerte ZA), apparement c'est en rapport avec norton, mais le problème c'est que je n'ai pas norton ni aucun logiciel de symantec

 

voici le rapport SysProt :

SysProt AntiRootkit v1.0.1.0

by swatkat

 

********************************************************************************

**********

********************************************************************************

**********

 

No Hidden Processes found

 

********************************************************************************

**********

********************************************************************************

**********

Kernel Modules:

Module Name: srescan.sys

Service Name: srescan

Module Base: F7217000

Module End: F722B000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_nvatabus.sys

Service Name: ---

Module Base: AA52B000

Module End: AA53F000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS

Service Name: ---

Module Base: ED3D7000

Module End: ED3D9000

Hidden: Yes

 

********************************************************************************

**********

********************************************************************************

**********

SSDT:

Function Name: ZwConnectPort

Address: AA6FA040

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwCreateFile

Address: AA6F6930

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwCreateKey

Address: F7C2CABE

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwCreatePort

Address: AA6FA510

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwCreateProcess

Address: AA700870

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwCreateProcessEx

Address: AA700AA0

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwCreateSection

Address: AA703FD0

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwCreateThread

Address: F7C2CAB4

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwCreateWaitablePort

Address: AA6FA600

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwDeleteFile

Address: AA6F6F20

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwDeleteKey

Address: F7C2CAC3

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwDeleteValueKey

Address: F7C2CACD

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwDuplicateObject

Address: AA700580

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwEnumerateKey

Address: F740FD48

Driver Base: F740A000

Driver End: F74DB000

Driver Name: sptd.sys

 

Function Name: ZwEnumerateValueKey

Address: F74100C0

Driver Base: F740A000

Driver End: F74DB000

Driver Name: sptd.sys

 

Function Name: ZwLoadKey

Address: F7C2CAD2

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwOpenFile

Address: AA6F6D70

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwOpenKey

Address: F740FAE2

Driver Base: F740A000

Driver End: F74DB000

Driver Name: sptd.sys

 

Function Name: ZwOpenProcess

Address: AA700350

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwOpenThread

Address: AA700150

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwQueryKey

Address: F741018A

Driver Base: F740A000

Driver End: F74DB000

Driver Name: sptd.sys

 

Function Name: ZwQueryValueKey

Address: F7410022

Driver Base: F740A000

Driver End: F74DB000

Driver Name: sptd.sys

 

Function Name: ZwRenameKey

Address: AA703250

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwReplaceKey

Address: F7C2CADC

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwRequestWaitReplyPort

Address: AA6F9C00

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwRestoreKey

Address: F7C2CAD7

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwSecureConnectPort

Address: AA6FA220

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwSetInformationFile

Address: AA6F7120

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

Function Name: ZwSetValueKey

Address: F7C2CAC8

Driver Base: 0

Driver End: 0

Driver Name: _unknown_

 

Function Name: ZwTerminateProcess

Address: AA700CD0

Driver Base: AA6C7000

Driver End: AA727000

Driver Name: \SystemRoot\System32\vsdatant.sys

 

********************************************************************************

**********

********************************************************************************

**********

No Kernel Hooks found

 

********************************************************************************

**********

********************************************************************************

**********

IRP Hooks:

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CREATE_NAMED_PIPE

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_READ

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_WRITE

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_INFORMATION

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_INFORMATION

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_EA

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_EA

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_FLUSH_BUFFERS

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_VOLUME_INFORMATION

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_VOLUME_INFORMATION

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_DIRECTORY_CONTROL

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_FILE_SYSTEM_CONTROL

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SHUTDOWN

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_LOCK_CONTROL

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CLEANUP

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_CREATE_MAILSLOT

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_SECURITY

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_SECURITY

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_DEVICE_CHANGE

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_QUERY_QUOTA

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\nvatabus.sys

Hooked IRP: IRP_MJ_SET_QUOTA

Jump To: 86FD64D0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\System32\Drivers\dtscsi.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 86BDC0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\System32\Drivers\dtscsi.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 86BDC0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\System32\Drivers\dtscsi.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 86BDC0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\System32\Drivers\dtscsi.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 86BDC0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\System32\Drivers\dtscsi.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 86BDC0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\System32\Drivers\dtscsi.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 86BDC0E8

Hooking Module: _unknown_

 

Hooked Module: \Driver\00000045

Hooked IRP: IRP_MJ_POWER

Jump To: F7416F68

Hooking Module: C:\WINDOWS\system32\drivers\sptd.sys

 

Hooked Module: \Driver\00000045

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: F742BA70

Hooking Module: C:\WINDOWS\system32\drivers\sptd.sys

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_READ

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_WRITE

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_FLUSH_BUFFERS

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_SHUTDOWN

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\dmio.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 86FD6A40

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_READ

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_WRITE

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_FLUSH_BUFFERS

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_SHUTDOWN

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_CLEANUP

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\ftdisk.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 86FD6C78

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 86BB50E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 86BB50E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 86BB50E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 86BB50E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\netbt.sys

Hooked IRP: IRP_MJ_CLEANUP

Jump To: 86BB50E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_READ

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_WRITE

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_FLUSH_BUFFERS

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SHUTDOWN

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\cdrom.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 86D6BEB0

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\tcpip.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: AA70BC20

Hooking Module: C:\WINDOWS\System32\vsdatant.sys

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\tcpip.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: AA70BC20

Hooking Module: C:\WINDOWS\System32\vsdatant.sys

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\tcpip.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: AA70BC20

Hooking Module: C:\WINDOWS\System32\vsdatant.sys

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\tcpip.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: AA70BC20

Hooking Module: C:\WINDOWS\System32\vsdatant.sys

 

Hooked Module: C:\WINDOWS\system32\DRIVERS\tcpip.sys

Hooked IRP: IRP_MJ_CLEANUP

Jump To: AA70BC20

Hooking Module: C:\WINDOWS\System32\vsdatant.sys

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_CREATE

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_CLOSE

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_READ

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_WRITE

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_FLUSH_BUFFERS

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_DEVICE_CONTROL

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_INTERNAL_DEVICE_CONTROL

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_SHUTDOWN

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_POWER

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

Hooked Module: C:\WINDOWS\system32\drivers\disk.sys

Hooked IRP: IRP_MJ_SYSTEM_CONTROL

Jump To: 86F8B0E8

Hooking Module: _unknown_

 

********************************************************************************

**********

********************************************************************************

**********

Ports:

Local Address: 192.168.0.10:1288

Remote Address: 74.125.77.137:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1287

Remote Address: 209.85.229.113:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1286

Remote Address: 74.125.79.105:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1285

Remote Address: 74.125.79.105:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1284

Remote Address: 74.125.79.105:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1283

Remote Address: 209.85.227.101:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1281

Remote Address: 209.85.227.101:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1262

Remote Address: 209.85.229.139:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1166

Remote Address: 209.85.229.157:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1159

Remote Address: 91.103.138.65:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:KPOP

Remote Address: 209.85.227.100:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: 192.168.0.10:1083

Remote Address: 87.248.111.187:HTTP

Type: TCP

Process: [system Idle Process]

State: TIME_WAIT

 

Local Address: MS:5152

Remote Address: LOCALHOST:1282

Type: TCP

Process: E:\Logiciels\java\bin\jqs.exe

State: CLOSE_WAIT

 

Local Address: MS:5152

Remote Address: 0.0.0.0:0

Type: TCP

Process: E:\Logiciels\java\bin\jqs.exe

State: LISTENING

 

Local Address: MS:1030

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\WINDOWS\system32\alg.exe

State: LISTENING

 

Local Address: MS:MICROSOFT-DS

Remote Address: 0.0.0.0:0

Type: TCP

Process: SYSTEM

State: LISTENING

 

Local Address: MS:EPMAP

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\WINDOWS\system32\svchost.exe

State: LISTENING

 

Local Address: MS:45301

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\PnkBstrB.exe

State: NA

 

Local Address: MS:44301

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\PnkBstrA.exe

State: NA

 

Local Address: MS:1900

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: MS:1292

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: MS:1036

Remote Address: NA

Type: UDP

Process: E:\Logiciels\directprof\directprof.exe

State: NA

 

Local Address: MS:1029

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\explorer.exe

State: NA

 

Local Address: MS:123

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: MS:4500

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\lsass.exe

State: NA

 

Local Address: MS:500

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\lsass.exe

State: NA

 

Local Address: MS:MICROSOFT-DS

Remote Address: NA

Type: UDP

Process: SYSTEM

State: NA

 

********************************************************************************

**********

********************************************************************************

**********

Hidden files/folders:

Object: C:\System Volume Information\MountPointManagerRemoteDatabase

Status: Access denied

 

Object: C:\System Volume Information\tracking.log

Status: Access denied

 

Object: C:\System Volume Information\_restore{571A7D23-176F-4DAC-9BF1-23E44F7819B5}

Status: Access denied

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir kaoula ;

 

Merci pour le rapport de SysProt :P

 

Rien de méchant à l'horizon. Tu peux autoriser nssstub qui est un exécutable de ShockWave (d'Adobe), tel qu'en témoigne le rapport de RSIT :

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"NSSInstallation"=C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe [2009-06-07 181624]

Il y a une tâche planifiée associée, aussi (rien de méchant) :

C:\WINDOWS\tasks\NSSstub.job

 

===================

 

Comment se comporte la machine, globalement ?

 

@+

kaoula Member

kaoula

Posté(e)
  • Auteur
Posté(e)

OK merci,

 

la machine se porte bien, pas de plantage, pas d'affolement de l'AV , bon j'espere que la vermine a été éradiqué...

dommage que combofix plante pendant la génération du rapport

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Oké ;

 

Bagle est mort, pas de doutes là-dessus. Les plantages de ComboFix et de GMER m'ont fait soupçonner une autre infection, mais je ne trouve rien et AntiVir verrait quelque chose, probablement, tout comme ZA d'ailleurs, alors on peut présumer que la machine est propre maintenant. Pourquoi les plantages d'outils ? Je ne sais pas. Je vais poser une ou deux questions à ce sujet et te reviendrai dès que possible (ici).

 

Juste pour voir, une dernière tentative : lance ComboFix en mode Sans Échec (tapote la touche F8 au redémarrage de Windows - juste après le "bip", et choisis "Mode Sans Échec"). Utilise ton compte habituel, pas le compte nommé "Administrateur" qui apparaît dans les choix, du mode Sans Échec. Lance ComboFix par double clic comme d'habitude. S'il termine la routine, le rapport sera créé et sauvegardé automatiquement (C:\ComboFix.txt). Redémarre en mode Normal, puis colle le contenu du rapport ici s'il te plaît.

 

@ te lire :P

kaoula Member

kaoula

Posté(e)
  • Auteur
Posté(e)

je crois que j'ai un seul compte administrateur, le choix ne m'est pas proposé

en lancant combofix en mode sans échec, il détecte antivir activé et je n'arrive pas à le désactiver (il n'apparait pas dans les processus de démarrage ) donc par précaution je n'ai pas lancé le scan

comment desactiver antivir en mode sans échec ?

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Merci pour ça pear :P

 

Possible que ComboFix détecte encore la présence d'AntiVir par contre, mais tu peux ignorer car il ne sera pas actif en mode Sans Échec, donc pas de soucis.

 

@+

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...