rootkit recalcitrant (resolu merci falkra)

[narca]

salut

 

je viens de verifier msconfig onglet demarage tout est coché

 

donc a priori c'etait une fausse alerte

 

bonne soirée

[Falkra]

C'est curieux, mais pas alarmant.

 

Peux-tu poster un nouveau rapport HijackThis stp (simple contrôle).

[narca]

bonsoir falkra

 

ok je vais voir comment on fait j'ai vu qu'il y'avait un tuto epinglé

 

et je post ça ce soir si je peut

 

bonne soirée

[Falkra]

Si besoin, voilà un micro tuto pour HijackThis.

 

Clique sur ce lien pour télécharger HijackThis 2.0.2 :

http://www.trendsecure.com/portal/en-US/_d.../HiJackThis.exe

Cette version est sans installateur ou Zip à décompresser, choisis de l'enregistrer sur le bureau.

 

Double-clique sur l'icône HijackThis :

 

HijackThis démarre, c'est le premier bouton qui nous intéresse "Do a system scan and save a logfile" (le fichier "log" est le rapport).

Clique dessus.

 

Copie-colle le contenu du rapport qui va s'afficher dans le Bloc-notes dans ta prochaine réponse.

[narca]

re

 

j'ai trouvé le tuto mais en fait tu me le donne tout maché

 

voici le rapport

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:44:57, on 17/11/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe

C:\Program Files\mFaraj DB viewer4.0.0\dbvstart.bat

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Norton Ghost\Agent\GhostTray.exe

C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

C:\Program Files\Norton Ghost\Agent\VProSvc.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\DynDNS Updater\DynDNS.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program Files\HP\Digital Imaging\Product Assistant\bin\hprblog.exe

C:\Program Files\BitDefender\BitDefender 2010\seccenter.exe

C:\Documents and Settings\narca\Bureau\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: e-Carte Bleue Browser Helper Object - {2E03C0FD-4C48-43A7-9A54-00240C70FF16} - C:\WINDOWS\system32\BhoECart.dll

O2 - BHO: CInterceptor Object - {38D3FE60-3D53-4F37-BB0E-C7A97A26A156} - C:\Program Files\Pando Networks\Pando\PandoIEPlugin.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: BitDefender Toolbar - {381FFDE8-2394-4f90-B10D-FC6124A40F8C} - C:\Program Files\BitDefender\BitDefender 2010\IEToolbar.dll

O4 - HKLM\..\Run: [eCarteBleue-LP-P1] "C:\Program Files\e-Carte Bleue\LA BANQUE POSTALE\CVD ADESIO\ECB.exe" /dontopenmycards

O4 - HKLM\..\Run: [dbvstart] C:\Program Files\mFaraj DB viewer4.0.0\dbvstart.bat

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [bitDefender Antiphishing Helper] "C:\Program Files\BitDefender\BitDefender 2010\IEShow.exe"

O4 - HKLM\..\Run: [bDAgent] "C:\Program Files\BitDefender\BitDefender 2010\bdagent.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Fichiers communs\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [Norton Ghost 10.0] "C:\Program Files\Norton Ghost\Agent\GhostTray.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [sweetIM] C:\Program Files\Macrogaming\SweetIM\SweetIM.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DynDNS Updater] "C:\Program Files\DynDNS Updater\DynDNS.exe"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{4BC27F76-2905-45D6-895B-343414F12E9D}: NameServer = 192.168.1.1

O23 - Service: BitDefender Serveur Arrakis (Arrakis3) - BitDefender S.R.L. http://www.bitdefender.com - C:\Program Files\Fichiers communs\BitDefender\BitDefender Arrakis Server\bin\arrakis3.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe

O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - BitDefender S.R.L. - C:\Program Files\Fichiers communs\BitDefender\BitDefender Update Service\livesrv.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Program Files\Norton Ghost\Agent\VProSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - BitDefender S.R.L. - C:\Program Files\BitDefender\BitDefender 2010\vsserv.exe

 

--

End of file - 7934 bytes

 

a suivre

[Falkra]

Débarrasse toi de Sweet IM, il fait partie des douteux (problème de confidentialité).

Il n'y a rien d'anormal dans le rapport en tout cas, pas plus qu'avant, mais alors plus de rootkit détecté, du coup ?

 

La seule chose qui a changé, c'est en gros BitDefender, qui a sans doute fait quelques mises à jour ?

[narca]

bonsoir falkra

 

desolé pour mon absence

 

ok pour sweet im je le savais mais j'ai jamais fait par fleme

 

sinon et bien je crois que le probleme c'est resolu tout seul

 

en tout cas merci pour ton aide c'est vraiment apreciable d'avoir quelqu'un comme toi toujours dispo

 

une derniere chose quel sont les log que tu m'a fait installé que je doit supprimer ?

 

encore une fois merci et bonne soirée

[Falkra]

Désinstalle combofix : pour cela, entre combofix /uninstall dans la boite exécuter du menu démarrer.

=> combofix espace slasht uninstall

Après cela, efface ce dossier s'il existe encore :

C:\QooBox

 

+------------------------

 

Télécharge ToolsCleaner! de A.Rothstein pour enlever les autres programmes utilisés pendant la procédure.

http://pc-system.fr/TC/ToolsCleaner2.exe

* Enregistre ToolsCleaner2.exe sur le Bureau.

 

* Double-clique dessus, puis clique sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

* Copie-colle le contenu du rapport qui apparait dans la fenêtre blanche.

 

Lorsque la recherche est terminée ToolsCleaner affiche une liste des différents outils trouvés, choisis "Suppression" afin de les supprimer.

Ferme le programme en cliquant sur "Quitter ".

 

Poste le rapport qui se trouve ici >>> C:\TCleaner.txt

[narca]

salut

 

j'ai des soucis pour effacer combofix

 

je fais executer combofix /uninstall

 

mais au lieu de ça il se lance et fait une analyse

 

je ressaye une nouvelle fois

 

et je te tiens au courant

[narca]

salut

 

ouf c'est ok pour combofix

 

je ne desactivait pas bitdefender

 

pour le rapport le voici

 

[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]

 

--> Recherche:

 

C:\Combofix.txt: trouvé !

C:\Combofix: trouvé !

C:\_OTM: trouvé !

C:\Rsit: trouvé !

C:\Documents and Settings\narca\Bureau\OTM.exe: trouvé !

C:\Documents and Settings\narca\Bureau\HijackThis.exe: trouvé !

C:\Documents and Settings\narca\Bureau\hijackthis.log: trouvé !

C:\Documents and Settings\narca\Bureau\mbr.log: trouvé !

C:\Documents and Settings\narca\Bureau\mbr.exe: trouvé !

C:\Documents and Settings\narca\Bureau\Rsit.exe: trouvé !

C:\Documents and Settings\narca\Bureau\gmer\Gmer.exe: trouvé !

C:\Documents and Settings\narca\Bureau\gmer\Gmer.zip: trouvé !

C:\Documents and Settings\narca\Bureau\gmer\Gmer.txt: trouvé !

C:\Program Files\trend micro\HijackThis.exe: trouvé !

C:\Program Files\trend micro\hijackthis.log: trouvé !

 

---------------------------------

--> Suppression:

 

C:\Documents and Settings\narca\Bureau\OTM.exe: supprimé !

C:\Documents and Settings\narca\Bureau\HijackThis.exe: supprimé !

C:\Documents and Settings\narca\Bureau\gmer\Gmer.exe: supprimé !

C:\Documents and Settings\narca\Bureau\gmer\Gmer.zip: supprimé !

C:\Program Files\trend micro\HijackThis.exe: supprimé !

C:\Combofix.txt: supprimé !

C:\Documents and Settings\narca\Bureau\hijackthis.log: supprimé !

C:\Documents and Settings\narca\Bureau\mbr.log: supprimé !

C:\Documents and Settings\narca\Bureau\mbr.exe: supprimé !

C:\Documents and Settings\narca\Bureau\Rsit.exe: supprimé !

C:\Documents and Settings\narca\Bureau\gmer\Gmer.txt: supprimé !

C:\Program Files\trend micro\hijackthis.log: supprimé !

C:\Combofix: supprimé !

C:\_OTM: supprimé !

C:\Rsit: supprimé !

 

 

voila j'espere que tout est ok

 

merci beaucoup

 

et bonne journée ainsi qu'une bonne semaine