Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

freeze quand surcharge, etc

isalou95

Par isalou95
dans Analyses et éradication malwares

 Partager

Messages recommandés

isalou95 Member

isalou95

Posté(e)
  • Auteur
Posté(e)

voici le rapport :

 

Malwarebytes' Anti-Malware 1.41

Version de la base de données: 3029

Windows 5.1.2600 Service Pack 3

 

25/10/2009 14:27:24

mbam-log-2009-10-25 (14-27-24).txt

 

Type de recherche: Examen complet (C:\|E:\|F:\|G:\|H:\|)

Eléments examinés: 261391

Temps écoulé: 2 hour(s), 3 minute(s), 43 second(s)

 

Processus mémoire infecté(s): 1

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

C:\WINDOWS\Temp\gyvl.exe (Trojan.Downloader) -> Failed to unload process.

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\WINDOWS\Temp\gyvl.exe (Trojan.Downloader) -> Delete on reboot.

 

 

Gros plantage à la fin du scan (c'est a dire grose freeze de tout). J'ai voulu enregistrer le rapport sous, mais plante aussi, un ctrl+alt+supp a fait redémarré...

 

Isaline

pear Devil Member !

pear

Posté(e)
Posté(e)

Vous aviez donc raison:

 

Créez sur C:`\ un dossier nommé Gamer

Télécharger gmer

vers C:\gamer

Clic droit sur fichier téléchargé->Extraire ici

Déconnecter internet si possible et fermer tous les programmes.

Double-cliquez sur le fichier

 

Clic sur l'onglet "rootkit"

Ne scanner que la partition système pour gagner du temps.

Faites un clic droit dans la fenêtre vide et dans options cliquez"Only non Ms Files"

Clic sur Scan

A la fin du scan->

Les informations sur le scan s'affichent alors, les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

Copier/coller les lignes rouges dans un prochain message

isalou95 Member

isalou95

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

Si les infos sur le scan sont bien la liste qui apparait dans la fenêtre qui était vide, alors il n'y a aucune ligne rouge quand je scanne le disque C.

 

Merci,

Isaline

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Puisque 2 précautions valent mieux qu'une et parce que cet exe au nom aléatoire ne vient pas tout seul:

 

Recherche de Rootkit

Télécharger SysProtsur le bureau

Installez le et double cliquez sur "SysProt.exe"

Cliquez sur l'onglet "log" ;

Cochez toutes les cases présentes dans la fenêtre "Write to log" ;

Cochez Hidden Objects Only (au bas, à gauche)

Les "Objets cachés (Hidden)" sont en Rouge dans tous les modules

Cliquez sur Create log (au bas, à droite)

Une nouvelle fenêtre apparaîtra : cochez Scan root drive et cliquez sur Start ;

Un rapport sera sauvegardé dans le dossier SysProt.

Copiez/collez en le contenu dans votre réponse.

isalou95 Member

isalou95

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Voici le rapport :

 

SysProt AntiRootkit v1.0.1.0

by swatkat

 

********************************************************************************

**********

********************************************************************************

**********

 

No Hidden Processes found

 

********************************************************************************

**********

********************************************************************************

**********

Kernel Modules:

Module Name: \SystemRoot\System32\Drivers\dump_atapi.sys

Service Name: ---

Module Base: AA6F2000

Module End: AA70A000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_WMILIB.SYS

Service Name: ---

Module Base: F79BD000

Module End: F79BF000

Hidden: Yes

 

Module Name: \??\C:\WINDOWS\system32\drivers\hmrmqn.sys

Service Name: asc3360pr

Module Base: F79DF000

Module End: F79E1000

Hidden: Yes

 

********************************************************************************

**********

********************************************************************************

**********

SSDT:

Function Name: ZwTerminateProcess

Address: A6F4F0B0

Driver Base: A6F46000

Driver End: A6F6B000

Driver Name: \??\E:\a_DISQUE LOGICIEL\Program Files\Super anti spyware\SASKUTIL.sys

 

********************************************************************************

**********

********************************************************************************

**********

No Kernel Hooks found

 

********************************************************************************

**********

********************************************************************************

**********

No IRP Hooks found

 

********************************************************************************

**********

********************************************************************************

**********

Ports:

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3221

Remote Address: MXF1.RAMBLER.RU:SMTP

Type: TCP

Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe

State: SYN_SENT

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3219

Remote Address: 74.125.9.23:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3218

Remote Address: EY-IN-F113.1E100.NET:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3210

Remote Address: 33.100-78-194.AKAMAI.COM:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3197

Remote Address: A92-123-88-100.DEPLOY.AKAMAITECHNOLOGIES.COM:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3182

Remote Address: 24.100-78-194.AKAMAI.COM:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3178

Remote Address: 71.100-78-194.AKAMAI.COM:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3164

Remote Address: WY-IN-F154.1E100.NET:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3163

Remote Address: WW-IN-F165.1E100.NET:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3129

Remote Address: HB-IN-F113.1E100.NET:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3111

Remote Address: WW-IN-F104.1E100.NET:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3109

Remote Address: WW-IN-F104.1E100.NET:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3108

Remote Address: WW-IN-F104.1E100.NET:HTTP

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3086

Remote Address: APACHE2-ARGON.PACERS.DREAMHOST.COM:HTTP

Type: TCP

Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe

State: CLOSE_WAIT

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3081

Remote Address: S2.UCOZ.NET:HTTP

Type: TCP

Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe

State: CLOSE_WAIT

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:1101

Remote Address: 32.100-78-194.AKAMAI.COM:HTTP

Type: TCP

Process: C:\Program Files\Java\jre6\bin\jusched.exe

State: CLOSE_WAIT

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:1041

Remote Address: BY2MSG1010816.GATEWAY.EDGE.MESSENGER.LIVE.COM:1863

Type: TCP

Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:NETBIOS-SSN

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2:27015

Remote Address: LOCALHOST:1026

Type: TCP

Process: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:27015

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2:5354

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Bonjour\mDNSResponder.exe

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2:5152

Remote Address: LOCALHOST:3107

Type: TCP

Process: C:\Program Files\Java\jre6\bin\jqs.exe

State: CLOSE_WAIT

 

Local Address: EXPERIEN-E6CBC2:5152

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Java\jre6\bin\jqs.exe

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2:3106

Remote Address: LOCALHOST:3105

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:3105

Remote Address: LOCALHOST:3106

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:3104

Remote Address: LOCALHOST:3103

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:3103

Remote Address: LOCALHOST:3104

Type: TCP

Process: C:\Program Files\Mozilla Firefox\firefox.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:1056

Remote Address: LOCALHOST:1043

Type: TCP

Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:1043

Remote Address: LOCALHOST:1056

Type: TCP

Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:1043

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2:1026

Remote Address: LOCALHOST:27015

Type: TCP

Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe

State: ESTABLISHED

 

Local Address: EXPERIEN-E6CBC2:6956

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2:MICROSOFT-DS

Remote Address: 0.0.0.0:0

Type: TCP

Process: System

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2:EPMAP

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\WINDOWS\system32\svchost.exe

State: LISTENING

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:5353

Remote Address: NA

Type: UDP

Process: C:\Program Files\Bonjour\mDNSResponder.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:1900

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:138

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:NETBIOS-NS

Remote Address: NA

Type: UDP

Process: System

State: NA

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:123

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:DISCARD

Remote Address: NA

Type: UDP

Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1900

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1074

Remote Address: NA

Type: UDP

Process: C:\Program Files\Microsoft Office\Office12\OUTLOOK.EXE

State: NA

 

Local Address: EXPERIEN-E6CBC2:1064

Remote Address: NA

Type: UDP

Process: C:\Program Files\Windows Live\Contacts\wlcomm.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1038

Remote Address: NA

Type: UDP

Process: C:\Program Files\Windows Live\Messenger\msnmsgr.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:123

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:61707

Remote Address: NA

Type: UDP

Process: C:\Program Files\Bonjour\mDNSResponder.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:4530

Remote Address: NA

Type: UDP

Process: \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\a_DISQUE LOGICIEL\Program Files\iTunes\iTunesHelper.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:4500

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\lsass.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:2081

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:2080

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1266

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1238

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1121

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1029

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1028

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\svchost.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:1027

Remote Address: NA

Type: UDP

Process: C:\Program Files\Bonjour\mDNSResponder.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:500

Remote Address: NA

Type: UDP

Process: C:\WINDOWS\system32\lsass.exe

State: NA

 

Local Address: EXPERIEN-E6CBC2:MICROSOFT-DS

Remote Address: NA

Type: UDP

Process: System

State: NA

 

********************************************************************************

**********

********************************************************************************

**********

Hidden files/folders:

Object: C:\System Volume Information\MountPointManagerRemoteDatabase

Status: Access denied

 

Object: C:\System Volume Information\tracking.log

Status: Access denied

 

Object: C:\System Volume Information\_restore{D84706BD-52C0-4EDC-ADE6-899981D5D4D7}

Status: Access denied

 

Merci,

Isaline

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Pour ma gouverne, ces fichiers n'étaient pas en rouge ?

Dans Kernel:

C:\WINDOWS\system32\drivers\hmrmqn.sys

 

Dans Ports:

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3221

Remote Address: MXF1.RAMBLER.RU:SMTP

Type: TCP

Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe

State: SYN_SENT

 

Local Address: EXPERIEN-E6CBC2:6956

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe

State: LISTENING

 

Nettoyage de Rootkit

Relancer Sysprot

 

Rechercher:

Dans Kernel:

C:\WINDOWS\system32\drivers\hmrmqn.sys

 

Dans Ports:

Local Address: EXPERIEN-E6CBC2.LOCALDOMAIN:3221

Remote Address: MXF1.RAMBLER.RU:SMTP

Type: TCP

Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe

State: SYN_SENT

 

Local Address: EXPERIEN-E6CBC2:6956

Remote Address: 0.0.0.0:0

Type: TCP

Process: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winioysij.exe

State: LISTENING

 

 

Pour tuer un processus(Onglet Processes) clic droit->puis clic sur Kill ou Disable(Kernel Modules), ou Fix Hook(SSDT) ou Delete(Files Système)

 

Attention Des drivers commeDump_atapi.sys,dump_wmilib.sys,dump_iaStor.sys sont légitimes.Ils sont en rouge parce que, absents du disque , ils apparaissent en mémoire

[/color]

isalou95 Member

isalou95

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

Je préfère poser une question con que pas du tout...

Qu'est ce que kernel ?

Quand vous me demandez si les lignes étaient en rouge, dans quel rapport de quel programme ? Si sur le rapport d'hier, je ne pense pas qu'il se soit enregistré ou que ce soit, mais je suis repassée sur la liste trois fois pour vérifier... Maintenant peut être que malgré moi j'en ai raté...

 

Merci,

Isaline

pear Devil Member !

pear

Posté(e)
Posté(e)
Je préfère poser une question con que pas du tout...

Qu'est ce que kernel ?

 

Il n'y a pas de questions idiotes.

 

Kernel , c'est le noyau.

 

Dans le rappot Sysprot vous voyez l'en tête Kernel modules, et au troisième module hmrmqn.sys, pour lequel Google ne dit rien d'autre qu'inconnu.

 

Les 2 autres Rootkits apparaissent sous la rubrique Ports.

 

La raison de ma question, c'est que Sysprot montre les fichiers suspects en rouge, en principe..

isalou95 Member

isalou95

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour,

 

Merci pour les explications.

Le rapport Sysprot est un fichier .txt. Que je l'ouvre avec notepad ou avec wordpad, je ne vois pas de couleurs. Peut-être faut-il que je l'ouvre avec un autre programme pour voir si ces lignes sont en rouge ?

 

Sinon vous me demandez de relancer Sysprot, je refais tout le scan comme indiqué plus haut ? Je dois tuer des processus, mais dans quel endroit dois-je faire le clic droit : le rapport (mais c'est un fichier txt) ou bien une autre fenêtre s'ouvre-t-elle (je ne me rappelles plus) ?

 

Isaline

Modifié par isalou95
pear Devil Member !

pear

Posté(e)
Posté(e)

Dans mon message d'hier à 14.55h, je vous indique les fichiers à supprimer, la méthode pour le faire et leur emplacement dans Sysprot.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...