rootkit recalcitrant (resolu merci falkra)

[Falkra]

Refais le scan avec juste "processes" de coché, en ayant fermé toutes les fenêtres d'Internet Explorer stp. C'est très rapide.

Poste le rapport : si ça dit Gmer hasn't found any system modifications", dis le moi et il n'y aura rien à poster.

 

Après, rends toi sur ce lien : Virus Total

• Clique sur le bouton Parcourir...
  
• Copie colle ce chemin dans la boite de dialogue qui s'ouvre, ou parcours tes dossiers jusque à ce fichier, si tu le trouves :
  

• C:\Program Files\Internet Explorer\iexplore.exe
  

• Clique sur Envoyer le fichier, et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
• Laisse le site travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. Dans ce cas, il te faudra patienter sans réactualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté (en haut à gauche)
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  NB : Peu importe le résultat, il est important de me communiquer le résultat de toute l'analyse.
  

Il est possible que tes outils de sécurité réagissent à l'envoi du fichier, auquel cas il faudra leur faire ignorer les alertes.

 

Tu peux avoir besoin d'afficher les fichiers cachés et masqués du système, temporairement.

[narca]

bonjour

 

 

gmer m'ayant toujours trouvé ce rootkit caché j'ai poursuivi

 

 

voici ce que j'ai maintenant

 

 

Fichier iexplore.exe reçu le 2009.10.10 08:30:10 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.10.10 -

AhnLab-V3 5.0.0.2 2009.10.09 -

AntiVir 7.9.1.35 2009.10.09 -

Antiy-AVL 2.0.3.7 2009.10.10 -

Authentium 5.1.2.4 2009.10.10 -

Avast 4.8.1351.0 2009.10.09 -

AVG 8.5.0.420 2009.10.04 -

BitDefender 7.2 2009.10.10 -

CAT-QuickHeal 10.00 2009.10.10 -

ClamAV 0.94.1 2009.10.09 -

Comodo 2554 2009.10.10 -

DrWeb 5.0.0.12182 2009.10.10 -

eSafe 7.0.17.0 2009.10.08 -

eTrust-Vet 35.1.7060 2009.10.09 -

F-Prot 4.5.1.85 2009.10.10 -

F-Secure 8.0.14470.0 2009.10.10 -

Fortinet 3.120.0.0 2009.10.10 -

GData 19 2009.10.10 -

Ikarus T3.1.1.72.0 2009.10.10 -

Jiangmin 11.0.800 2009.10.08 -

K7AntiVirus 7.10.866 2009.10.09 -

Kaspersky 7.0.0.125 2009.10.10 -

McAfee 5766 2009.10.09 -

McAfee+Artemis 5766 2009.10.09 -

McAfee-GW-Edition 6.8.5 2009.10.10 -

Microsoft 1.5101 2009.10.10 -

NOD32 4494 2009.10.09 -

Norman 6.01.09 2009.10.09 -

nProtect 2009.1.8.0 2009.10.10 -

Panda 10.0.2.2 2009.10.09 -

PCTools 4.4.2.0 2009.10.09 -

Prevx 3.0 2009.10.10 -

Rising 21.50.51.00 2009.10.10 -

Sophos 4.45.0 2009.10.10 -

Sunbelt 3.2.1858.2 2009.10.10 -

Symantec 1.4.4.12 2009.10.10 -

TheHacker 6.5.0.2.035 2009.10.10 -

TrendMicro 8.950.0.1094 2009.10.10 -

VBA32 3.12.10.11 2009.10.09 -

ViRobot 2009.10.9.1978 2009.10.09 -

VirusBuster 4.6.5.0 2009.10.09 -

 

Information additionnelle

File size: 638816 bytes

MD5...: b60dddd2d63ce41cb8c487fcfbb6419e

SHA1..: eadce51c88c8261852c1903399dde742fba2061b

SHA256: b18a0d4beba606bf30f5010ba3c72abafac80d5f303a8bffb24d7f7b78b786e6

ssdeep: 12288:fX+pd167QhE0s7+jM+M6ugRfMMkIM7tX+pd167QhE0S7+oPd:fE6Ehg7mM<BR>+M6RkMkIM7tE6Ehm7Hd<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1a25<BR>timedatestamp.....: 0x49b3ad2e (Sun Mar 08 11:34:06 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x9e65 0xa000 5.82 6f4b4058b7d8a274f013151130b1fe63<BR>.data 0xb000 0x660 0x800 0.22 419d60dc6b239eaff0e14f76eacce1a5<BR>.rsrc 0xc000 0x8ee18 0x8f000 6.78 57661f31be42fec90a9312f710873968<BR>.reloc 0x9b000 0xb04 0xc00 6.23 a92eabd61b4ac11fdf667c8da4e34bf1<BR><BR>( 10 imports ) <BR>> ADVAPI32.dll: TraceEvent, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, UnregisterTraceGuids, RegisterTraceGuidsW, RegCloseKey, RegQueryValueExW, RegOpenKeyExW<BR>> KERNEL32.dll: GetCommandLineW, LocalAlloc, ExpandEnvironmentStringsW, CreateProcessW, LocalFree, lstrlenW, InitializeCriticalSection, GetCurrentProcess, GetLastError, SetLastError, CloseHandle, SetErrorMode, ReleaseMutex, GetCurrentDirectoryW, VerSetConditionMask, VerifyVersionInfoW, GetModuleHandleW, GetProcAddress, GetVersionExW, GetModuleFileNameW, HeapSetInformation, DeleteCriticalSection, TerminateProcess, GetWindowsDirectoryW, CreateFileW, SetDllDirectoryW, GetFileTime, RaiseException, LoadLibraryA, CreateMutexW, WaitForSingleObject, WaitForSingleObjectEx, CreateEventW, GetSystemDefaultLCID, GetUserDefaultLCID, InitializeCriticalSectionAndSpinCount, LeaveCriticalSection, EnterCriticalSection, LoadLibraryW, SearchPathW, FindResourceW, GetUserDefaultUILanguage, GetSystemDefaultUILanguage, UnmapViewOfFile, FreeLibrary, GetLocaleInfoW, CreateFileMappingW, MapViewOfFile, LoadLibraryExW, FindResourceExW, LoadResource, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoW, InterlockedCompareExchange, Sleep, InterlockedExchange<BR>> USER32.dll: GetThreadDesktop, GetUserObjectInformationW, MessageBoxW, LoadStringW, AllowSetForegroundWindow, CharNextW<BR>> msvcrt.dll: _wcmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, memcpy, _terminate@@YAXXZ, _controlfp, _XcptFilter, _exit, _cexit, __wgetmainargs, wcsncmp, iswspace, memset, _vsnwprintf, _unlock, __dllonexit, _lock, _onexit, __2@YAPAXI@Z, __3@YAXPAX@Z, bsearch, _wcsnicmp, _wcsicmp, exit<BR>> ntdll.dll: RtlUnwind<BR>> SHLWAPI.dll: SHGetValueW, PathQuoteSpacesW, PathAppendW, PathRemoveFileSpecW, -, PathFindFileNameW, StrStrW, SHEnumValueW, UrlApplySchemeW, UrlCreateFromPathW, -, UrlCanonicalizeW, -, PathIsURLW, -, SHSetValueW, SHRegGetValueW, PathCombineW<BR>> SHELL32.dll: CommandLineToArgvW, -<BR>> ole32.dll: CoInitialize, CoUninitialize<BR>> iertutil.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>> urlmon.dll: -, -, -<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<BR>Win32 Executable Generic (14.7%)<BR>Win32 Dynamic Link Library (generic) (13.1%)<BR>Generic Win/DOS Executable (3.4%)<BR>DOS Executable Generic (3.4%)

pdfid.: -

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b60dddd2d63ce41cb8c487fcfbb6419e''>http://www.threatexpert.com/report.aspx?md5=b60dddd2d63ce41cb8c487fcfbb6419e' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b60dddd2d63ce41cb8c487fcfbb6419e</a>'>http://www.threatexpert.com/report.aspx?md5=b60dddd2d63ce41cb8c487fcfbb6419e</a>

sigcheck:<BR>publisher....: Microsoft Corporation<BR>copyright....: © Microsoft Corporation. All rights reserved.<BR>product......: Windows_ Internet Explorer<BR>description..: Internet Explorer<BR>original name: IEXPLORE.EXE<BR>internal name: iexplore<BR>file version.: 8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)<BR>comments.....: n/a<BR>signers......: Microsoft Corporation<BR>Microsoft Code Signing PCA<BR>Microsoft Root Authority<BR>signing date.: 11:09 PM 3/8/2009<BR>verified.....: -<BR>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.10.10 -

AhnLab-V3 5.0.0.2 2009.10.09 -

AntiVir 7.9.1.35 2009.10.09 -

Antiy-AVL 2.0.3.7 2009.10.10 -

Authentium 5.1.2.4 2009.10.10 -

Avast 4.8.1351.0 2009.10.09 -

AVG 8.5.0.420 2009.10.04 -

BitDefender 7.2 2009.10.10 -

CAT-QuickHeal 10.00 2009.10.10 -

ClamAV 0.94.1 2009.10.09 -

Comodo 2554 2009.10.10 -

DrWeb 5.0.0.12182 2009.10.10 -

eSafe 7.0.17.0 2009.10.08 -

eTrust-Vet 35.1.7060 2009.10.09 -

F-Prot 4.5.1.85 2009.10.10 -

F-Secure 8.0.14470.0 2009.10.10 -

Fortinet 3.120.0.0 2009.10.10 -

GData 19 2009.10.10 -

Ikarus T3.1.1.72.0 2009.10.10 -

Jiangmin 11.0.800 2009.10.08 -

K7AntiVirus 7.10.866 2009.10.09 -

Kaspersky 7.0.0.125 2009.10.10 -

McAfee 5766 2009.10.09 -

McAfee+Artemis 5766 2009.10.09 -

McAfee-GW-Edition 6.8.5 2009.10.10 -

Microsoft 1.5101 2009.10.10 -

NOD32 4494 2009.10.09 -

Norman 6.01.09 2009.10.09 -

nProtect 2009.1.8.0 2009.10.10 -

Panda 10.0.2.2 2009.10.09 -

PCTools 4.4.2.0 2009.10.09 -

Prevx 3.0 2009.10.10 -

Rising 21.50.51.00 2009.10.10 -

Sophos 4.45.0 2009.10.10 -

Sunbelt 3.2.1858.2 2009.10.10 -

Symantec 1.4.4.12 2009.10.10 -

TheHacker 6.5.0.2.035 2009.10.10 -

TrendMicro 8.950.0.1094 2009.10.10 -

VBA32 3.12.10.11 2009.10.09 -

ViRobot 2009.10.9.1978 2009.10.09 -

VirusBuster 4.6.5.0 2009.10.09 -

 

Information additionnelle

File size: 638816 bytes

MD5...: b60dddd2d63ce41cb8c487fcfbb6419e

SHA1..: eadce51c88c8261852c1903399dde742fba2061b

SHA256: b18a0d4beba606bf30f5010ba3c72abafac80d5f303a8bffb24d7f7b78b786e6

ssdeep: 12288:fX+pd167QhE0s7+jM+M6ugRfMMkIM7tX+pd167QhE0S7+oPd:fE6Ehg7mM<BR>+M6RkMkIM7tE6Ehm7Hd<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1a25<BR>timedatestamp.....: 0x49b3ad2e (Sun Mar 08 11:34:06 2009)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x9e65 0xa000 5.82 6f4b4058b7d8a274f013151130b1fe63<BR>.data 0xb000 0x660 0x800 0.22 419d60dc6b239eaff0e14f76eacce1a5<BR>.rsrc 0xc000 0x8ee18 0x8f000 6.78 57661f31be42fec90a9312f710873968<BR>.reloc 0x9b000 0xb04 0xc00 6.23 a92eabd61b4ac11fdf667c8da4e34bf1<BR><BR>( 10 imports ) <BR>> ADVAPI32.dll: TraceEvent, GetTraceEnableFlags, GetTraceEnableLevel, GetTraceLoggerHandle, UnregisterTraceGuids, RegisterTraceGuidsW, RegCloseKey, RegQueryValueExW, RegOpenKeyExW<BR>> KERNEL32.dll: GetCommandLineW, LocalAlloc, ExpandEnvironmentStringsW, CreateProcessW, LocalFree, lstrlenW, InitializeCriticalSection, GetCurrentProcess, GetLastError, SetLastError, CloseHandle, SetErrorMode, ReleaseMutex, GetCurrentDirectoryW, VerSetConditionMask, VerifyVersionInfoW, GetModuleHandleW, GetProcAddress, GetVersionExW, GetModuleFileNameW, HeapSetInformation, DeleteCriticalSection, TerminateProcess, GetWindowsDirectoryW, CreateFileW, SetDllDirectoryW, GetFileTime, RaiseException, LoadLibraryA, CreateMutexW, WaitForSingleObject, WaitForSingleObjectEx, CreateEventW, GetSystemDefaultLCID, GetUserDefaultLCID, InitializeCriticalSectionAndSpinCount, LeaveCriticalSection, EnterCriticalSection, LoadLibraryW, SearchPathW, FindResourceW, GetUserDefaultUILanguage, GetSystemDefaultUILanguage, UnmapViewOfFile, FreeLibrary, GetLocaleInfoW, CreateFileMappingW, MapViewOfFile, LoadLibraryExW, FindResourceExW, LoadResource, UnhandledExceptionFilter, GetSystemTimeAsFileTime, GetCurrentProcessId, GetCurrentThreadId, GetTickCount, QueryPerformanceCounter, GetModuleHandleA, SetUnhandledExceptionFilter, GetStartupInfoW, InterlockedCompareExchange, Sleep, InterlockedExchange<BR>> USER32.dll: GetThreadDesktop, GetUserObjectInformationW, MessageBoxW, LoadStringW, AllowSetForegroundWindow, CharNextW<BR>> msvcrt.dll: _wcmdln, _initterm, _amsg_exit, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, __set_app_type, memcpy, _terminate@@YAXXZ, _controlfp, _XcptFilter, _exit, _cexit, __wgetmainargs, wcsncmp, iswspace, memset, _vsnwprintf, _unlock, __dllonexit, _lock, _onexit, __2@YAPAXI@Z, __3@YAXPAX@Z, bsearch, _wcsnicmp, _wcsicmp, exit<BR>> ntdll.dll: RtlUnwind<BR>> SHLWAPI.dll: SHGetValueW, PathQuoteSpacesW, PathAppendW, PathRemoveFileSpecW, -, PathFindFileNameW, StrStrW, SHEnumValueW, UrlApplySchemeW, UrlCreateFromPathW, -, UrlCanonicalizeW, -, PathIsURLW, -, SHSetValueW, SHRegGetValueW, PathCombineW<BR>> SHELL32.dll: CommandLineToArgvW, -<BR>> ole32.dll: CoInitialize, CoUninitialize<BR>> iertutil.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -<BR>> urlmon.dll: -, -, -<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

trid..: Win32 Executable MS Visual C++ (generic) (65.2%)<BR>Win32 Executable Generic (14.7%)<BR>Win32 Dynamic Link Library (generic) (13.1%)<BR>Generic Win/DOS Executable (3.4%)<BR>DOS Executable Generic (3.4%)

pdfid.: -

ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=b60dddd2d63ce41cb8c487fcfbb6419e' target='_blank'>http://www.threatexpert.com/report.aspx?md5=b60dddd2d63ce41cb8c487fcfbb6419e</a>

sigcheck:<BR>publisher....: Microsoft Corporation<BR>copyright....: © Microsoft Corporation. All rights reserved.<BR>product......: Windows_ Internet Explorer<BR>description..: Internet Explorer<BR>original name: IEXPLORE.EXE<BR>internal name: iexplore<BR>file version.: 8.00.6001.18702 (longhorn_ie8_rtm(wmbla).090308-0339)<BR>comments.....: n/a<BR>signers......: Microsoft Corporation<BR>Microsoft Code Signing PCA<BR>Microsoft Root Authority<BR>signing date.: 11:09 PM 3/8/2009<BR>verified.....: -<BR>

 

voila je pense que tout est la

 

merci

[Falkra]

Ok, on continue, impec pour le rapport. Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

• Assure toi que tous les programmes sont fermés avant de commencer.
  
• Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  
• Double-clique combofix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  
• On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  
• Le bureau disparaît, c'est normal, et il va revenir.
  
• Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).
  

[narca]

bonsoir

 

tout d'abord il ne m'a pas demander de redemarreret il y'a un programme que je n'ai pu fermer norton ghost avant de lancer l'analyse

 

sinon voici la suite

 

ComboFix 09-10-08.04 - narca 10/10/2009 18:49.1.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.511.284 [GMT 2:00]

Lancé depuis: c:\documents and settings\narca\Bureau\ComboFix.exe

AV: BitDefender Antivirus *On-access scanning disabled* (Updated) {6C4BB89C-B0ED-4F41-A29C-4373888923BB}

FW: BitDefender Pare-feu *disabled* {4055920F-2E99-48A8-A270-4243D2B8F242}

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\narca\Application Data\addons.dat

c:\windows\Installer\2b516.msi

c:\windows\Installer\31212.msi

c:\windows\system32\Ijl11.dll

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-09-10 au 2009-10-10 ))))))))))))))))))))))))))))))))))))

.

 

2009-10-08 17:49 . 2009-10-08 17:49 -------- d-----w- c:\documents and settings\narca\Application Data\Malwarebytes

2009-10-08 17:49 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-10-08 17:48 . 2009-10-08 17:48 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-10-08 17:48 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-10-08 17:48 . 2009-10-08 17:49 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-10-07 21:48 . 2009-10-07 21:48 -------- d-----w- c:\program files\trend micro

2009-10-07 21:48 . 2009-10-07 21:48 -------- d-----w- C:\rsit

2009-10-03 09:04 . 2009-10-03 09:04 0 ----a-w- c:\windows\system32\wsbl.dat

2009-10-03 09:04 . 2009-10-03 09:04 0 ----a-w- c:\windows\system32\ph_white.dat

2009-10-03 09:04 . 2009-10-03 09:04 0 ----a-w- c:\windows\system32\ph_summ.dat

2009-10-03 09:04 . 2009-10-03 09:04 0 ----a-w- c:\windows\system32\ph_black.dat

2009-10-03 09:04 . 2009-10-03 09:04 0 ----a-w- c:\windows\system32\pcwords2.dat

2009-10-03 09:04 . 2009-10-03 09:04 0 ----a-w- c:\windows\system32\pcwords.dat

2009-10-03 07:50 . 2009-10-03 07:50 4 ----a-w- c:\windows\system32\aspdict-en.dat

2009-10-03 07:50 . 2009-10-03 07:50 16 ----a-w- c:\windows\system32\asdict.dat

2009-10-02 19:16 . 2009-10-03 08:31 132 ----a-w- c:\windows\system32\rezumatenoi.dat

2009-10-02 19:03 . 2009-10-02 19:03 -------- d-----w- c:\documents and settings\narca\Application Data\BitDefender

2009-10-02 19:02 . 2009-10-02 19:06 -------- d-----w- c:\documents and settings\All Users\Application Data\BitDefender

2009-10-02 19:02 . 2009-10-02 19:03 -------- d-----w- c:\program files\BitDefender

2009-10-02 19:01 . 2009-10-02 19:03 -------- d-----w- c:\program files\Fichiers communs\BitDefender

2009-10-02 18:51 . 2009-10-02 18:53 192806 ----a-w- C:\BdUninstallTool2009.10.02-08.51.20.reg

2009-10-02 15:27 . 2009-10-02 15:27 -------- d-----w- c:\program files\FreeTime

2009-09-28 20:54 . 2009-09-28 20:54 -------- d-----w- c:\documents and settings\narca\Local Settings\Application Data\Downloaded Installations

2009-09-28 20:33 . 2003-01-29 07:29 8703 ------r- c:\windows\system32\drivers\EIO.sys

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-10-10 16:32 . 2009-07-23 12:08 -------- d--h--w- c:\program files\php moderator

2009-10-09 22:03 . 2007-06-13 15:12 -------- d-----w- c:\program files\DynDNS Updater

2009-10-09 16:54 . 2009-06-29 12:12 152328 ----a-w- c:\windows\system32\drivers\bdfm.sys

2009-10-03 09:10 . 2007-05-16 19:33 -------- d-----w- c:\program files\Java

2009-10-02 19:16 . 2009-06-29 12:12 105736 ----a-w- c:\windows\system32\drivers\bdhv.sys

2009-10-02 19:14 . 2009-08-06 14:34 110856 ----a-w- c:\windows\system32\drivers\bdfndisf.sys

2009-10-02 18:51 . 2007-12-11 20:09 81984 ----a-w- c:\windows\system32\bdod.bin

2009-10-02 15:34 . 2009-07-24 18:11 -------- d-----w- c:\documents and settings\narca\Application Data\vlc

2009-09-23 21:11 . 2009-09-07 20:16 -------- d-----w- c:\documents and settings\narca\Application Data\dvdcss

2009-09-07 21:09 . 2009-09-07 21:09 -------- d-----w- c:\program files\SIW

2009-08-21 17:36 . 2009-08-21 17:36 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab

2009-08-19 15:33 . 2007-05-15 21:06 47224 ----a-w- c:\documents and settings\narca\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-08-19 15:31 . 2009-08-19 15:31 -------- d-----w- c:\program files\Adult Online TV Player 2009

2009-08-11 15:42 . 2006-03-02 12:00 84956 ----a-w- c:\windows\system32\perfc00C.dat

2009-08-11 15:42 . 2006-03-02 12:00 509872 ----a-w- c:\windows\system32\perfh00C.dat

2009-08-06 17:24 . 2007-05-15 20:09 327896 ----a-w- c:\windows\system32\wucltui.dll

2009-08-06 17:24 . 2007-05-15 20:09 209632 ----a-w- c:\windows\system32\wuweb.dll

2009-08-06 17:24 . 2007-05-15 20:09 35552 ----a-w- c:\windows\system32\wups.dll

2009-08-06 17:24 . 2005-05-26 02:16 44768 ----a-w- c:\windows\system32\wups2.dll

2009-08-06 17:24 . 2007-05-15 20:09 53472 ----a-w- c:\windows\system32\wuauclt.exe

2009-08-06 17:24 . 2006-03-02 12:00 96480 ----a-w- c:\windows\system32\cdm.dll

2009-08-06 17:23 . 2007-05-15 20:09 575704 ----a-w- c:\windows\system32\wuapi.dll

2009-08-06 17:23 . 2007-05-15 20:09 1929952 ----a-w- c:\windows\system32\wuaueng.dll

2009-08-05 09:00 . 2006-03-02 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-25 03:23 . 2009-07-23 10:33 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-07-24 10:26 . 2009-07-24 10:26 285704 ----a-w- c:\windows\system32\drivers\bdfsfltr.sys

2009-07-23 12:18 . 2009-07-23 12:18 18944 ----a-w- C:\ZoneAlarm updater.exe

2009-07-17 19:03 . 2006-03-02 12:00 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 08:08 . 2006-03-02 12:00 286720 ----a-w- c:\windows\system32\wmpdxm.dll

2006-05-03 10:06 . 2009-08-01 18:38 163328 --sh--r- c:\windows\system32\flvDX.dll

2007-02-21 11:47 . 2009-08-01 18:38 31232 --sh--r- c:\windows\system32\msfDX.dll

2008-03-16 13:30 . 2009-08-01 18:38 216064 --sh--r- c:\windows\system32\nbDX.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DynDNS Updater"="c:\program files\DynDNS Updater\DynDNS.exe" [2006-09-17 1352704]

"SweetIM"="c:\program files\Macrogaming\SweetIM\SweetIM.exe" [2007-07-25 102512]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2007-03-09 153136]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]

"ccApp"="c:\program files\Fichiers communs\Symantec Shared\ccApp.exe" [2005-01-20 58992]

"Norton Ghost 10.0"="c:\program files\Norton Ghost\Agent\GhostTray.exe" [2005-09-09 1537648]

"SweetIM"="c:\program files\Macrogaming\SweetIM\SweetIM.exe" [2007-07-25 102512]

"eCarteBleue-LP-P1"="c:\program files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe" [2005-12-13 200704]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-05-11 49152]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"dbvstart"="c:\program files\mFaraj DB viewer4.0.0\dbvstart.bat" [2009-01-13 24576]

"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2010\IEShow.exe" [2009-10-02 71152]

"BDAgent"="c:\program files\BitDefender\BitDefender 2010\bdagent.exe" [2009-10-02 1114536]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-07-25 149280]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2006-10-22 1622016]

"NvMediaCenter"="NvMCTray.dll" - c:\windows\system32\nvmctray.dll [2006-10-22 86016]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2005-5-12 282624]

web root scanner.exe [2009-7-23 96239]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Gbox Share Control\\GboxSC.exe"=

"c:\\Program Files\\MSN Gaming Zone\\Windows\\shvlzm.exe"=

"c:\\Documents and Settings\\narca\\Bureau\\mon gbox\\webinterface\\bin\\apache\\mapache.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Documents and Settings\\narca\\Bureau\\mon gbox\\gboxx86.exe"=

"c:\\Program Files\\Pando Networks\\Pando\\pando.exe"=

"c:\\Documents and Settings\\narca\\Bureau\\gbox 1.9j avec gbox 2.25\\webinterface\\bin\\apache\\mapache.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5810:UDP"= 5810:UDP:gbox

"8000:TCP"= 8000:TCP:gbox

 

R2 BDVEDISK;BDVEDISK;c:\program files\BitDefender\BitDefender 2010\bdvedisk.sys [01/04/2009 11:25 82696]

R2 ioperm;ioperm support for Cygwin driver;c:\cygwin\bin\ioperm.sys [10/03/2008 22:19 12800]

R3 bdfm;BDFM;c:\windows\system32\drivers\bdfm.sys [29/06/2009 14:12 152328]

R3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [06/08/2009 16:34 110856]

S3 Arrakis3;BitDefender Serveur Arrakis;c:\program files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe [25/06/2009 16:04 183880]

S3 cdrmkaun;cdrmkaun;\??\c:\docume~1\narca\LOCALS~1\Temp\cdrmkaun.sys --> c:\docume~1\narca\LOCALS~1\Temp\cdrmkaun.sys [?]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Contenu du dossier 'Tâches planifiées'

 

2009-10-10 c:\windows\Tasks\User_Feed_Synchronization-{16477AC8-5A5F-41ED-889E-CDCD61E330F0}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

TCP: {4BC27F76-2905-45D6-895B-343414F12E9D} = 192.168.1.1

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKCU-Run-MsnMsgr - ~c:\program files\MSN Messenger\MsnMsgr.Exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-10-10 18:56

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

c:\program files\Internet Explorer\iexplore.exe [2172] 0x819E1020

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]

@Denied: (A 2) (Everyone)

@="IFlashBroker3"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Heure de fin: 2009-10-10 18:58

ComboFix-quarantined-files.txt 2009-10-10 16:58

 

Avant-CF: 276 491 087 872 octets libres

Après-CF: 276 722 249 728 octets libres

 

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

 

189 --- E O F --- 2009-09-14 20:06

 

 

j'ai bien compris que pour combofix ne jamais l'utilisé seul mais pour les autres?

 

malwarebytes et rsit est ce que je peut les garder?.

 

 

encore merci pour tout le temps que tu consacre a mon probleme

 

a bientot

[Falkra]

Garde tout pour le moment, on fera le ménage en fin de nettoyage. Pour combofix surtout, ne touche à rien si ce n'est pas explicitement demandé, ce programme est à dangereux à manipuler si on ne fait pas attention.

Bref garde-les pour le moment, ainsi que le suivant.

 

Télécharge OTMoveIt (OTM) par OldTimer.

• Enregistre ce fichier sur le Bureau.
  
• Fais un double clic sur OTM.exe pour lancer l'exécution de l'outil. (Note: Si tu utilises Vista, fais un clic droit sur le fichier puis choisir Exécuter en tant qu'administrateur).
  
• Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les sélectionnant toutes puis en appuyant simultanément sur les touches CTRL et C (ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):
  

  :processes
  explorer.exe
  :files
  c:\docume~1\narca\LOCALS~1\Temp\cdrmkaun.sys
  
  :services
  cdrmkaun
  
  :commands
  [zipfiles]
  [start explorer]

  
  

• Retourne dans la fenêtre de OTM, fais un clic droit dans la zone de gauche intitulée "Paste List Of Files/Folders to Move" (sous la barre jaune) puis choisir Coller.
  
• Clique sur le bouton rouge Moveit!.
  
• Ferme OTMoveIt3
  
• Poste dans ta prochaine réponse le rapport de OTMoveIt3 (contenu du fichier C:\_OTM\MovedFiles\********_******.log - les *** sont des chiffres représentant la date [moisjourannée] et l'heure)
  

Note: Si un fichier ou un dossier ne peut pas être déplacé immédiatement, un redémarrage sera peut-être nécessaire pour permettre de terminer le processus de déplacement. Si le redémarrage de la machine vous est demandé, choisir Oui/Yes.

[narca]

bonjour

 

desolé je n'etais pas chez moi dimanche

 

je suis sous xp sp3

pas de soucis pour les log j'eviterai de faire des betises

 

je poursuis tous ça ce soir

 

bonne journée

Modifié le 12 octobre 2009 par narca

[narca]

bonsoir voici la suite

 

a noter que j'ai eu un soucis avec otm

 

j'ai lancé la procedure a la fin une fenetre c'est affiché pour savoir si je voulais voir le fix.log j'ai cliqué ok

 

mais ensuite je n'avais plus d'icone sur le bureau et plus d'acces a rien menu demarrer etc....

 

j'ai fait ctrl alt sup et redemarrer l'ordi

 

voila sinon le fichier texte crée:

 

 

 

========== PROCESSES ==========

Process explorer.exe killed successfully!

========== FILES ==========

File/Folder c:\docume~1\narca\LOCALS~1\Temp\cdrmkaun.sys not found.

========== SERVICES/DRIVERS ==========

 

Service\Driver cdrmkaun deleted successfully.

========== COMMANDS ==========

 

OTM by OldTimer - Version 3.0.0.6 log created on 10122009_221504

 

 

j'espere que cette fois ci se sera bon

 

a bientot

[narca]

bonsoir

 

a priori rien n'est resolu puisque bitdefender apres analyse me retrouve le rootkit caché

 

dur dur ce rootkit

[Falkra]

Pour OTM, tu n'as pas recopié tout le code, donc il n'a pas remis en route l'explorateur, il devait manquer un bout de la dernière ligne.

 

Je ne suis pas certain qu'il y ait réellement un rootkit.

 

Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous:

 

http://ad13.geekstogo.com/RootRepeal.zip

http://rootrepeal.googlepages.com/RootRepeal.zip

http://rootrepeal.psikotick.com/RootRepeal.zip

• Enregistre le fichier sur ton Bureau.
  
• Crée un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)
  
• Décompresse l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis extraire vers C:\RootRepeal)
  
• Double-clique sur Rootrepeal(.exe) (Sous Vista, il faut faire un clic droit sur le fichier, et Exécuter en tant qu'administrateur).
  

• Clique sur l'onglet Drivers (en bas de la fenêtre) puis sur le bouton Scan.
  
• L'analyse est rapide.
  
• Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal1.txt
  
• Ouvre le menu File (en haut à gauche), clique sur Exit pour fermer le programme.
  

 

--> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepeal1.txt)

 

Fais la même chose avec l'onglet "Processes", un autre rapport stp.

[narca]

bonjour

 

desolé si j'ai fais une erreure dans le copier coller

 

pour la suite je reprens ça ce soir

 

merci et bonne journée