rootkit recalcitrant (resolu merci falkra)

[Falkra]

Au passage je vais te demander un autre mini rapport.

Télécharge MBR Rootkit Detector de gmer et enregistre-le sur le bureau.

 

Désactiver provisoirement les programmes de protection (antivirus, firewall,anti-spyware...)

 

Double-clique sur mbr.exe, une fenêtre d'invite de commande va s'ouvrir et se refermer,

- Un rapport sera généré : mbr.log.

 

Copie/colle le résultat de ce log dans ta réponse.

[narca]

bonjour

 

ok pour le rapport mais pas avant vendredi soir ce soir je ne suis pas chez moi

 

bonne journée

[narca]

bonsoir

 

voici le 1er rapport de mbr rootkit detector de gmer

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

 

je passe a l'etape suivante msconfig etc...

[narca]

voici la suite

 

pour gmer pas de rapport il dit qu'il n'a rien trouvé point j'avais coché files registry process et services

 

pour rootrepeal (process)voici le rapport

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/10/23 21:03

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Processes

-------------------

Path: System

PID: 4 Status: -

 

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

PID: 248 Status: -

 

Path: C:\WINDOWS\system32\spoolsv.exe

PID: 376 Status: -

 

Path: C:\WINDOWS\system32\wdfmgr.exe

PID: 424 Status: -

 

Path: C:\WINDOWS\system32\smss.exe

PID: 960 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 988 Status: -

 

Path: C:\WINDOWS\system32\gearsec.exe

PID: 1036 Status: -

 

Path: C:\Program Files\Java\jre6\bin\jqs.exe

PID: 1044 Status: -

 

Path: C:\WINDOWS\system32\csrss.exe

PID: 1060 Status: -

 

Path: C:\WINDOWS\system32\winlogon.exe

PID: 1084 Status: -

 

Path: C:\WINDOWS\system32\services.exe

PID: 1128 Status: -

 

Path: C:\WINDOWS\system32\lsass.exe

PID: 1140 Status: -

 

Path: C:\Program Files\Norton Ghost\Agent\VProSvc.exe

PID: 1196 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1300 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1376 Status: -

 

Path: C:\WINDOWS\system32\alg.exe

PID: 1480 Status: -

 

Path: C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

PID: 1488 Status: -

 

Path: C:\WINDOWS\system32\nvsvc32.exe

PID: 1500 Status: -

 

Path: C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

PID: 1516 Status: -

 

Path: C:\WINDOWS\system32\HPZipm12.exe

PID: 1560 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1608 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1720 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1880 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1920 Status: -

 

Path: C:\rootrepeal\RootRepeal.exe

PID: 1932 Status: -

 

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

PID: 2016 Status: -

 

Path: C:\WINDOWS\explorer.exe

PID: 2672 Status: -

 

Path: C:\WINDOWS\system32\wscntfy.exe

PID: 2724 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 3836 Status: -

 

de nouveau a suivre

[narca]

bonsoir falkra

 

rien de neuf pour moi?

 

les rapport ne sont pas bien fait?

 

bonne soirée

[Falkra]

Les rapports sont ok, ici dans le dernier, pas de rootkit.

J'attends une ou deux réponses à côté, pour ton sujet.

[narca]

bonjour falkra

 

ok merci

 

faudra juste m'aider a remettre un peu d'ordre car plein de log dont bitdefender ne sont plus utilisable.

 

a bientot

[Falkra]

On va les réactiver un par un.

 

Retourne dans MSConfig, et re-coche d'un coup la moitié des cases (la première ou la 2eme moitié) en notant ce que tu coches.

Valide, et redémarre proprement la machine.

 

Après redémarrage, fais le test Gmer ou rootrepeal sur processes, et poste le résultat ici.

 

Ensuite on va réactiver progressivement (un par un) les processus pour voir lequel est coupable, et là on saura. Long, mais fiable.

[narca]

bonjour falkra

 

voici la suite

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/10/31 11:02

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Processes

-------------------

Path: System

PID: 4 Status: -

 

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

PID: 248 Status: -

 

Path: C:\WINDOWS\system32\spoolsv.exe

PID: 396 Status: -

 

Path: C:\WINDOWS\system32\wuauclt.exe

PID: 448 Status: -

 

Path: C:\WINDOWS\system32\wdfmgr.exe

PID: 676 Status: -

 

Path: C:\WINDOWS\explorer.exe

PID: 744 Status: -

 

Path: C:\WINDOWS\system32\smss.exe

PID: 964 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 996 Status: -

 

Path: C:\WINDOWS\system32\gearsec.exe

PID: 1044 Status: -

 

Path: C:\WINDOWS\system32\csrss.exe

PID: 1064 Status: -

 

Path: C:\Program Files\Java\jre6\bin\jqs.exe

PID: 1068 Status: -

 

Path: C:\WINDOWS\system32\winlogon.exe

PID: 1088 Status: -

 

Path: C:\WINDOWS\system32\services.exe

PID: 1132 Status: -

 

Path: C:\WINDOWS\system32\lsass.exe

PID: 1144 Status: -

 

Path: C:\Program Files\Norton Ghost\Agent\VProSvc.exe

PID: 1192 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1312 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1384 Status: -

 

Path: C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

PID: 1492 Status: -

 

Path: C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

PID: 1540 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1588 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1676 Status: -

 

Path: C:\WINDOWS\system32\nvsvc32.exe

PID: 1724 Status: -

 

Path: C:\WINDOWS\system32\HPZipm12.exe

PID: 1880 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1904 Status: -

 

Path: C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe

PID: 1912 Status: -

 

Path: C:\Program Files\mFaraj DB viewer4.0.0\dbvstart.bat

PID: 1940 Status: -

 

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

PID: 1948 Status: -

 

Path: C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe

PID: 1964 Status: -

 

Path: C:\WINDOWS\system32\svchost.exe

PID: 1972 Status: -

 

Path: C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe

PID: 1992 Status: -

 

Path: C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

PID: 2028 Status: -

 

Path: C:\WINDOWS\system32\ctfmon.exe

PID: 2076 Status: -

 

Path: C:\Program Files\DynDNS Updater\DynDNS.exe

PID: 2088 Status: -

 

Path: C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

PID: 2200 Status: -

 

Path: C:\WINDOWS\system32\wscntfy.exe

PID: 2472 Status: -

 

Path: C:\rootrepeal\RootRepeal.exe

PID: 2608 Status: -

 

Path: C:\WINDOWS\system32\alg.exe

PID: 2680 Status: -

 

Path: C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe

PID: 3160 Status: -

 

Path: C:\WINDOWS\system32\wbem\wmiprvse.exe

PID: 3184 Status: -

 

j'ai donc cocher la moitié pour l'instant

 

par contre j'ai fait une copie d'ecran de ce que j'avais coché mais je ne vois pas le moyen d'inserer une piece jointe sur le forum

 

bonne journée

[Falkra]

Là, pas de rootkit.

 

Continue, active une par une les entrées de MSConfig.

 

Après chaque activation (coche), valide dans MSconfig, et redémarre proprement la machine, puis après redémarrage, fais le scan rootrepeal. Tu vas trouver le logiciel coupable !