Erreurs lancement services "Mises à jour automatiques"

[pitsensas]

Bonjour,

 

Malheureusement, ca ne fonctionne pas. Toujours pas d'accès au clé.

 

Pour info, j'ai utilisé le soft CATCHME de gmer et voici le résultat:

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-08-31 18:57:02
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\d173e42]
"ImagePath"="\SystemRoot\System32\drivers\d173e42.sys"
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"F96ZK6nPB"="YmF0dXJhbWViZWwuY29t"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\d173e42]
"ImagePath"="\SystemRoot\System32\drivers\d173e42.sys"
"Type"=dword:00000001
"Start"=dword:00000001
"ErrorControl"=dword:00000001
"F96ZK6nPB"="YmF0dXJhbWViZWwuY29t"

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

 

d173e42.sys me semble être un service douteux ?

[pitsensas]

Pas d'info sur Internet de ce fameux fichier d173e42.sys.

J'ai voulu l'envoyer en analyse sur le site VirusTotal mais une erreur survient à chaque fois (d'aileurs même lorsque je veux faire une analyse avec mon antivirus)

 

J'ai executé dans CATCHME le script:

Files:
C:\WINDOWS\system32\drivers\d173e42.sys

qui m'a créé un ctachme.zip avec le fichier incriminé. Je l'ai soumis à l'analyse du site VirusTotal et le résultat est sans appel:

Fichier catchme.zip reçu le 2009.08.31 17:10:11 (UTC)Antivirus Version Dernière mise à jour Résultat 
a-squared 4.5.0.24 2009.08.31 - 
AhnLab-V3 5.0.0.2 2009.08.31 Win-Trojan/Agent.92800.B 
AntiVir 7.9.1.7 2009.08.31 RKIT/Rustock.njn 
Antiy-AVL 2.0.3.7 2009.08.31 Trojan/Win32.Agent.gen 
Authentium 5.1.2.4 2009.08.31 W32/Trojan2.IFQZ 
Avast 4.8.1335.0 2009.08.31 Win32:RustNT 
AVG 8.5.0.406 2009.08.31 Win32/Rustock.M 
BitDefender 7.2 2009.08.31 Trojan.Generic.IS.511693 
CAT-QuickHeal 10.00 2009.08.31 Trojan.Agent.coan 
ClamAV 0.94.1 2009.08.31 Trojan.Rustock-11 
Comodo 2124 2009.08.31 UnclassifiedMalware 
DrWeb 5.0.0.12182 2009.08.31 - 
eSafe 7.0.17.0 2009.08.31 Win32.Agent.Coan 
eTrust-Vet 31.6.6712 2009.08.31 Win32/Rustock.FO 
F-Prot 4.5.1.85 2009.08.31 W32/Trojan2.IFQZ 
F-Secure 8.0.14470.0 2009.08.31 Trojan.Win32.Agent.coan 
Fortinet 3.120.0.0 2009.08.31 W32/Agent.COAN!tr 
GData 19 2009.08.31 Trojan.Generic.IS.511693 
Ikarus T3.1.1.68.0 2009.08.31 Trojan.Win32.Agent 
Jiangmin 11.0.800 2009.08.31 Trojan/Agent.cswa 
K7AntiVirus 7.10.832 2009.08.31 Trojan.Win32.Agent.coan 
Kaspersky 7.0.0.125 2009.08.31 Trojan.Win32.Agent.coan 
McAfee 5726 2009.08.31 Generic BackDoor!ec 
McAfee+Artemis 5726 2009.08.31 Generic BackDoor!ec 
McAfee-GW-Edition 6.8.5 2009.08.31 Rootkit.Rustock.njn 
Microsoft 1.5005 2009.08.31 Backdoor:WinNT/Rustock.AN 
NOD32 4384 2009.08.31 a variant of Win32/Rustock.NJN 
Norman  2009.08.31 Rustock.AAN 
nProtect 2009.1.8.0 2009.08.31 - 
Panda 10.0.2.2 2009.08.31 - 
PCTools 4.4.2.0 2009.08.31 - 
Prevx 3.0 2009.08.31 - 
Rising 21.45.04.00 2009.08.31 - 
Sophos 4.45.0 2009.08.31 Mal/RKRustok-B 
Sunbelt 3.2.1858.2 2009.08.31 - 
Symantec 1.4.4.12 2009.08.31 Trojan.Pandex 
TheHacker 6.3.4.3.393 2009.08.31 Trojan/Agent.coan 
TrendMicro 8.950.0.1094 2009.08.30 TROJ_PANDEX.AX 
VBA32 3.12.10.10 2009.08.31 Trojan.Win32.Agent.coan 
ViRobot 2009.8.31.1909 2009.08.31 Backdoor.Win32.NewRest.92800 
VirusBuster 4.6.5.0 2009.08.31 Rootkit.Agent.NIKD 

Information additionnelle 
File size: 92495 bytes 
MD5...: 39fc74e7410f3a5ff727d1bf983f4cfe 
SHA1..: ecbc9622a1e7ab0e103ded74633c5a41ad757fed 
SHA256: 7d55486743896ca6ab95b3182950be10736222863ff0e6cb2875dabd0eb5910f 
ssdeep: 1536:w1nl8hxyWn6DXxTDHWUoqUV8uDEVS2uFH2FLudnyikoZ17n3NVWqAGdEFWO<BR>Vc+:w1nShx76DBTDHA6DfuFHminywLDWVGdg<BR> 
PEiD..: - 
PEInfo: - 
RDS...: NSRL Reference Data Set<BR>- 
pdfid.: - 
trid..: ZIP compressed archive (100.0%)

 

Je serais bien tenté de tuer avec CATCHME le service et voir si je récupére la main:

Files to kill:
C:\WINDOWS\system32\drivers\d173e42.sys

 

Mais ne maîtrisant pas assez CATCHME, je préfére attendre votre avis d'expert

 

Slts

Modifié le 31 août 2009 par pitsensas

[pitsensas]

log de Gmer:

GMER 1.0.15.15077 [look.exe] - http://www.gmer.net
Rootkit scan 2009-08-31 20:24:02
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.15 ----

SSDT			836DD630																																	 ZwAssignProcessToJobObject
SSDT			\SystemRoot\System32\drivers\d173e42.sys																									 ZwCreateEvent [0xF3DA98FD]
SSDT			\SystemRoot\System32\drivers\d173e42.sys																									 ZwCreateKey [0xF3DA7905]
SSDT			\SystemRoot\System32\drivers\d173e42.sys																									 ZwOpenKey [0xF3DA79C5]
SSDT			836DCA60																																	 ZwOpenProcess
SSDT			836DCE80																																	 ZwOpenThread
SSDT			836DD460																																	 ZwSuspendProcess
SSDT			836DD280																																	 ZwSuspendThread
SSDT			836DCC90																																	 ZwTerminateProcess
SSDT			836DD0B0																																	 ZwTerminateThread

---- Kernel code sections - GMER 1.0.15 ----

?			   C:\WINDOWS\System32\drivers\d173e42.sys																									  Le fichier spécifié est introuvable.

---- User IAT/EAT - GMER 1.0.15 ----

IAT			 C:\WINDOWS\Explorer.EXE[376] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]													 [01C22F30] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\WINDOWS\Explorer.EXE[376] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]											[01C22CA0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\WINDOWS\Explorer.EXE[376] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]														  [01C22D00] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\WINDOWS\Explorer.EXE[376] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]												[01C22CD0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Logitech\QuickCam\Quickcam.exe[812] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]							 [024A2F30] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Logitech\QuickCam\Quickcam.exe[812] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]					[024A2CA0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Logitech\QuickCam\Quickcam.exe[812] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]								  [024A2D00] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Logitech\QuickCam\Quickcam.exe[812] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]						[024A2CD0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe[984] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]		   [003D2F30] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe[984] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]  [003D2CA0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe[984] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]				[003D2D00] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Program Files\Fichiers communs\Logishrd\LQCVFX\COCIManager.exe[984] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]	  [003D2CD0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Documents and Settings\Lembré\Bureau\look.exe[2616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile]						   [00802F30] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Documents and Settings\Lembré\Bureau\look.exe[2616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile]				  [00802CA0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Documents and Settings\Lembré\Bureau\look.exe[2616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose]								[00802D00] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)
IAT			 C:\Documents and Settings\Lembré\Bureau\look.exe[2616] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject]					  [00802CD0] C:\Program Files\Fichiers communs\Logishrd\LVMVFM\LVPrcInj.dll (Camera Helper Library./Logitech Inc.)

---- Devices - GMER 1.0.15 ----

Device		  \FileSystem\Ntfs \Ntfs																													   d173e42.sys

AttachedDevice  \FileSystem\Ntfs \Ntfs																													   eamon.sys (Amon monitor/ESET)
AttachedDevice  \Driver\Tcpip \Device\Ip																													 epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\Ip																													 d173e42.sys
AttachedDevice  \Driver\Tcpip \Device\Tcp																													epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\Tcp																													d173e42.sys
AttachedDevice  \Driver\Tcpip \Device\Udp																													epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\Udp																													d173e42.sys
AttachedDevice  \Driver\Tcpip \Device\RawIp																												  epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice  \Driver\Tcpip \Device\RawIp																												  d173e42.sys

Device		  \Driver\epfwtdi \Device\Epfwtdi																											  d173e42.sys

---- Threads - GMER 1.0.15 ----

Thread		  System [4:604]																															   836DB790

---- Services - GMER 1.0.15 ----

Service		 C:\WINDOWS\System32\drivers\d173e42.sys (*** hidden *** )																					[SYSTEM] d173e42																								   <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg			 HKLM\SYSTEM\CurrentControlSet\Services\d173e42@ImagePath																					 \SystemRoot\System32\drivers\d173e42.sys
Reg			 HKLM\SYSTEM\CurrentControlSet\Services\d173e42@Type																						  1
Reg			 HKLM\SYSTEM\CurrentControlSet\Services\d173e42@Start																						 1
Reg			 HKLM\SYSTEM\CurrentControlSet\Services\d173e42@ErrorControl																				  1
Reg			 HKLM\SYSTEM\CurrentControlSet\Services\d173e42@F96ZK6nPB																					 YmF0dXJhbWViZWwuY29t
Reg			 HKLM\SYSTEM\ControlSet003\Services\d173e42@ImagePath																						 \SystemRoot\System32\drivers\d173e42.sys
Reg			 HKLM\SYSTEM\ControlSet003\Services\d173e42@Type																							  1
Reg			 HKLM\SYSTEM\ControlSet003\Services\d173e42@Start																							 1
Reg			 HKLM\SYSTEM\ControlSet003\Services\d173e42@ErrorControl																					  1
Reg			 HKLM\SYSTEM\ControlSet003\Services\d173e42@F96ZK6nPB																						 YmF0dXJhbWViZWwuY29t

---- EOF - GMER 1.0.15 ----

Modifié le 31 août 2009 par pitsensas

[Falkra]

Huh, qu'est-ce que ça fait là ? Tout antirootkit détecte des fichiers légitimes et illégitimes, alors méfie-toi !

 

Ne prends pas d'initiatives, surtout que visiblement tu manipules des script sans savoir comment ils fonctionnent, c'est très dangereux puro ta machine, avec ce niveau d'outils.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

 

Surtout, pas d'initiatives avec combofix !

[pitsensas]

Bonsoir,

 

Ci-joint le rapport combofix:

ComboFix 09-08-31.04 - Lembré 01/09/2009 17:38.1.1 - NTFSx86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.447.138 [GMT 2:00]
Running from: c:\documents and settings\Lembré\Bureau\ComboFix.exe
AV: ESET Smart Security 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Pare-feu personnel d'ESET *enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\drivers\d173e42.sys

.
(((((((((((((((((((((((((((((((((((((((   Drivers/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_d173e42


(((((((((((((((((((((((((   Files Created from 2009-08-01 to 2009-09-01  )))))))))))))))))))))))))))))))
.

2009-08-31 17:44 . 2009-08-31 17:53	--------	d-----w-	c:\program files\trend micro
2009-08-31 16:56 . 2009-08-31 16:56	147456	----a-w-	c:\temp\catchme.exe
2009-08-31 16:02 . 2009-08-31 16:02	102660	----a-w-	c:\temp\SystemLook.exe
2009-08-29 21:14 . 2009-08-29 21:14	7274	----a-w-	c:\temp\repar.reg
2009-08-25 19:00 . 2009-08-25 19:00	552	----a-w-	c:\windows\system32\d3d8caps.dat
2009-08-25 18:57 . 2009-08-25 18:57	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\Malwarebytes
2009-08-25 18:56 . 2009-08-25 18:56	17144	----a-w-	c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-08-25 18:55 . 2009-08-25 18:55	--------	d-----w-	c:\documents and settings\Administrateur\Application Data\ESET
2009-08-25 18:53 . 2009-09-01 15:37	--------	d-----w-	c:\windows\system32\CatRoot2
2009-08-25 16:37 . 2009-08-25 16:50	--------	d-----w-	c:\temp\Dial-a-fix-v0.60.0.24
2009-08-24 16:54 . 2009-08-24 16:54	--------	d-----w-	c:\windows\system32\CatRoot_bak
2009-08-24 16:51 . 2009-08-24 16:52	324222504	----a-w-	c:\temp\WindowsXP-KB936929-SP3-x86-FRA.exe
2009-08-12 09:37 . 2009-08-12 09:51	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-08-12 09:37 . 2009-08-12 09:37	--------	d-----w-	c:\program files\Spybot - Search & Destroy

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-08-06 13:09 . 2008-12-27 19:35	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2009-08-05 10:13 . 2009-05-28 07:33	3942048	----a-w-	c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-08-03 11:36 . 2009-05-07 23:03	38160	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-03 11:36 . 2009-05-07 23:03	19096	----a-w-	c:\windows\system32\drivers\mbam.sys
2009-08-01 21:04 . 2008-04-13 09:54	--------	d-----w-	c:\program files\Google
2006-03-20 21:05 . 2008-03-15 13:38	45568	----a-w-	c:\program files\ATF-Cleaner.exe
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-31 86016]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-31 7634944]
"MàJ Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\Tempo Lancement MAJ.vbs" [2009-05-07 381]
"Malwarebytes' Anti-Malware"="c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-08-03 419088]
"LogitechQuickCamRibbon"="c:\program files\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2006-08-01 16049664]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-31 1622016]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program Files\\Nero\\Nero 7\\Nero Home\\NeroHome.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [14/05/2009 15:47 107256]
R2 mbamservice;mbamservice;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [08/05/2009 01:03 232720]
R3 mbamprotector;mbamprotector;c:\windows\system32\drivers\mbam.sys [08/05/2009 01:03 19096]
S4 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [14/05/2009 15:47 731840]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.fr/
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
DPF: {88764F69-3831-4EC1-B40B-FF21D8381345} - hxxps://static.impots.gouv.fr/tdir/static/adpform/AdSignerADP-1.1.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-01 17:45
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...  

scanning hidden autostart entries ... 

scanning hidden files ...  

scan completed successfully
hidden files: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(492)
c:\windows\system32\eappprxy.dll
.
------------------------ Other Running Processes ------------------------
.
c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
c:\windows\system32\nvsvc32.exe
c:\program files\Fichiers communs\logishrd\LVCOMSER\LVComSer.exe
c:\windows\system32\HPZipm12.exe
c:\program files\Fichiers communs\logishrd\LQCVFX\COCIManager.exe
.
**************************************************************************
.
Completion time: 2009-09-01 17:52 - machine was rebooted
ComboFix-quarantined-files.txt  2009-09-01 15:52

Pre-Run: 55 606 296 576 octets libres
Post-Run: 55 528 607 744 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=3 Sets=1,3
125	--- E O F ---	2009-06-10 14:57

 

J'ai enfin pu réparé tous les liens contennant "%fystemroot%" dans la base de registre et ainsi pu relancer les services de mise à jour auto et transfert intelligent en arrière plan.

 

J'attends vos prochaines instructions.

cordialement

[Falkra]

J'ai enfin pu réparé tous les liens contennant "%fystemroot%" dans la base de registre et ainsi pu relancer les services de mise à jour auto et transfert intelligent en arrière plan.

Comment ? Tu as fait quoi ? C'est difficile de suivre d'ici si tu fais 50 trucs sans prévenir...

[pitsensas]

Bonjour Falkra,

 

Désolé, je n'ai pas mis beaucoup d'éléments dans ma réponse.

Dans regedit, je suis allé sur les clés incriminées (%fystemroot%) que nous avez trouvé "SystemLook". Dans Autorisations, j'ai donné les droits à Administrateur en contrôle total. J'ai ainsi pu changé le chemin m(remplacé %fystemroot% par %systemroot%) manuellement toutes clés ci-dessous:

========== regfind ==========

Searching for "fystemroot"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS]
"ImagePath"="%fystemRoot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"ImagePath"="%fystemroot%\system32\svchost.exe -k netsvcs"

 

J'ai pris des initiatives mais je pense qu'elles étaient mesurées.

 

Donc, les 2 services re-fonctionne mais je pense que le rootkit est très mâlin car j'ai remarqué que mon antivirus (NOD32) ne se lancait plus. J'ai voulu le désinstaller pour le ré-installer proprement. Mais à la désintallation, j'ai eu des erreurs d'accès refusé sur des clés du registre et à la ré-installation, j'ai des erreurs d'accès refusé sur des fichiers du disque (donc NOD32 n'est plus installé).

 

D'avance merci

Modifié le 2 septembre 2009 par pitsensas

[Falkra]

Fais moi signe quand tu pourras reprendre les opérations.

[pitsensas]

Bonjour,

 

Je suis dispo vers 17H30 aujourd'hui. J'attends donc tes instructions.

 

A tout à l'heure.

[Falkra]

Re. Refais un rapport (identique) de Systemlook stp, et poste aussi un rapport HijackThis.