rootkit recalcitrant (resolu merci falkra)

narca · le 15 octobre 2009

voila le rapport de gmer

Rootkit scan 2009-10-16 00:24:59

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\narca\LOCALS~1\Temp\pgliqaow.sys

---- System - GMER 1.0.15 ----

SSDT \??\C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenProcess [0xB8F93C90]

SSDT \??\C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenThread [0xB8F93D7E]

SSDT \??\C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateProcess [0xB8F93BF4]

SSDT \??\C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateThread [0xB8F93EC4]

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs SymSnap.sys (StorageCraft Volume Snap-Shot/StorageCraft)

AttachedDevice \FileSystem\Ntfs \Ntfs trufos.sys (Trufos Kernel Module/BitDefender S.R.L.)

AttachedDevice \Driver\Tcpip \Device\Ip bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)

AttachedDevice \Driver\Tcpip \Device\Tcp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 SymSnap.sys (StorageCraft Volume Snap-Shot/StorageCraft)

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 trufos.sys (Trufos Kernel Module/BitDefender S.R.L.)

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 SymSnap.sys (StorageCraft Volume Snap-Shot/StorageCraft)

AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 trufos.sys (Trufos Kernel Module/BitDefender S.R.L.)

AttachedDevice \Driver\Tcpip \Device\Udp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)

AttachedDevice \Driver\Tcpip \Device\RawIp bdftdif.sys (BitDefender Firewall TDI Filter Driver/BitDefender LLC)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat trufos.sys (Trufos Kernel Module/BitDefender S.R.L.)

---- Processes - GMER 1.0.15 ----

Process C:\Program Files\Internet Explorer\IEXPLORE.EXE (*** hidden *** ) 2260

---- EOF - GMER 1.0.15 ----

a la fin du scan il me met warning presence d'un rootkit ou quelque chose comme ça

bon et bien bonne nuit et a demain

Falkra · le 17 octobre 2009

Pas concluant. On va tester autre chose.

Redémarre la machine, et n'ouvre aucun programme spécifique (et surtout pas IE). Si une fenêtre d'IE s'ouvre toute seule au démarrage, signale-le, et referme la.

Le premier programme que tu ouvriras toi-même une fois que windows a fini de charger, ce sera Rootrepeal, et fais un scan dans l'onglet "processes", poste le rapport. Après fais un scan gmer (System, devices, processes), c'est rapide.

Ensuite poste les rapports, et utilise ta machine normalement.

narca · le 18 octobre 2009

salut

je veux bien mais au lancement de la machine il y'a plein de programme qui ce lance au demmarage comme bitdefender ou norton ghost hp advisor etc...

est ce que je lance le truc en mode sans echec?

bonne journée

Falkra · le 18 octobre 2009

Essaie d'abord en mode normal. On vois après si on teste en MSE.

narca · le 19 octobre 2009

bonsoir

voici les nouveaux rapport

rootrepeal

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/10/19 21:08

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

Processes

-------------------

Path: System

PID: 4 Status: -

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

PID: 172 Status: -

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

PID: 276 Status: -

Path: C:\WINDOWS\system32\ctfmon.exe

PID: 288 Status: -

Path: C:\WINDOWS\system32\spoolsv.exe

PID: 396 Status: -

Path: C:\WINDOWS\system32\alg.exe

PID: 660 Status: -

Path: C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

PID: 844 Status: -

Path: C:\WINDOWS\system32\msfeedssync.exe

PID: 904 Status: -

Path: C:\WINDOWS\system32\smss.exe

PID: 964 Status: -

Path: C:\WINDOWS\system32\svchost.exe

PID: 1008 Status: -

Path: C:\WINDOWS\system32\gearsec.exe

PID: 1060 Status: -

Path: C:\WINDOWS\system32\csrss.exe

PID: 1064 Status: -

Path: C:\Program Files\Java\jre6\bin\jqs.exe

PID: 1068 Status: -

Path: C:\WINDOWS\system32\winlogon.exe

PID: 1088 Status: -

Path: C:\WINDOWS\system32\services.exe

PID: 1132 Status: -

Path: C:\WINDOWS\system32\lsass.exe

PID: 1144 Status: -

Path: C:\WINDOWS\system32\svchost.exe

PID: 1268 Status: -

Path: C:\Program Files\Norton Ghost\Agent\VProSvc.exe

PID: 1272 Status: -

Path: C:\WINDOWS\system32\svchost.exe

PID: 1312 Status: -

Path: C:\WINDOWS\system32\svchost.exe

PID: 1380 Status: -

Path: C:\Program Files\Internet Explorer\iexplore.exe

PID: 1448 Status: Hidden from the Windows API!

Path: C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

PID: 1504 Status: -

Path: C:\WINDOWS\system32\nvsvc32.exe

PID: 1536 Status: -

Path: C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

PID: 1552 Status: -

Path: C:\WINDOWS\system32\svchost.exe

PID: 1640 Status: -

Path: C:\WINDOWS\system32\wdfmgr.exe

PID: 1736 Status: -

Path: C:\WINDOWS\system32\svchost.exe

PID: 1744 Status: -

Path: C:\WINDOWS\system32\svchost.exe

PID: 2000 Status: -

Path: C:\Program Files\Java\jre6\bin\jusched.exe

PID: 2104 Status: -

Path: C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

PID: 2168 Status: -

Path: C:\Program Files\DynDNS Updater\DynDNS.exe

PID: 2300 Status: -

Path: C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

PID: 2456 Status: -

Path: C:\Program Files\HP\Digital Imaging\bin\hpqste08.exe

PID: 2968 Status: -

Path: C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

PID: 2992 Status: -

Path: C:\WINDOWS\system32\wuauclt.exe

PID: 3108 Status: -

Path: C:\WINDOWS\explorer.exe

PID: 3348 Status: -

Path: C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe

PID: 3440 Status: -

Path: C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe

PID: 3696 Status: -

Path: C:\rootrepeal\RootRepeal.exe

PID: 3804 Status: -

Path: C:\WINDOWS\system32\rundll32.exe

PID: 3848 Status: -

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

PID: 3856 Status: -

Path: C:\Program Files\Norton Ghost\Agent\GhostTray.exe

PID: 3864 Status: -

Path: C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

PID: 3872 Status: -

Path: C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe

PID: 3976 Status: -

Path: C:\Program Files\HP\HP Software Update\hpwuSchd2.exe

PID: 4024 Status: -

Path: C:\Program Files\mFaraj DB viewer4.0.0\dbvstart.bat

PID: 4068 Status: -

et ensuite gmer

GMER 1.0.15.15125 - http://www.gmer.net

Rootkit scan 2009-10-19 21:11:34

Windows 5.1.2600 Service Pack 3

Running: gmer.exe; Driver: C:\DOCUME~1\narca\LOCALS~1\Temp\pgliqaow.sys

---- System - GMER 1.0.15 ----

SSDT \??\C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwOpenThread [0xB96AAD7E]

SSDT \??\C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateProcess [0xB96AABF4]

SSDT \??\C:\Program Files\BitDefender\BitDefender 2010\bdselfpr.sys (BitDefender Self Protection Driver/BitDefender S.R.L.) ZwTerminateThread [0xB96AAEC4]