Packed.Win32.TDSS.z

[oGu]

Un fichier TDSS a été mis à jour : le problème c'est qu'on ne voit toujours pas où est le cœur de ce malware...On passe un nouveau script et on continue les recherches:

 

CRÉATION/EXÉCUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

• Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image :
  
   
  
• Sauvegarde ce fichier sur ton Bureau
   
  ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!!
   
  
• Désactive ton antivirus et ton antispyware
   
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
  
  
• Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
  
• Soumet le fichier en cliquant "OK"
  
• Enfin, poste le rapport suivant dans ta prochaine réponse :
   
  - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
  

 

 

 

VIRUSTOTAL

Rends-toi sur le site VirusTotal en cliquant sur cette image:

• Copie cette ligne rouge:
   
  c:\windows\system32\DRIVERS\atapi.sys
   
   
  
• Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
   
  
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
  
• Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
  et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  

 

 

 

GMER

• Déconnecte toi d'internet et ferme tous les programmes.
  
• Lance gmer.exe (tu l'avais téléchargé précédemment sur ton Bureau)
  
• Clique sur l'onglet "rootkit"
  
• Clique sur "Scan"
  
• A la fin de la recherche, clique sur "Save" et enregistre le fichier log sur ton Bureau, en le nommant Gmer_rapport
  
• Poste le rapport sur le forum
  

[carambole]

ComboFix 09-11-20.02 - Favrel 21/11/2009 9:58.3.1 - x86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.447.167 [GMT 1:00]

Lancé depuis: c:\documents and settings\Favrel\Bureau\Fomcobix.exe

Commutateurs utilisés :: c:\documents and settings\Favrel\Bureau\CFScript.txt

AV: Kaspersky Internet Security *On-access scanning disabled* (Updated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}

FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

 

FILE ::

"c:\system volume information\_restore{C386D059-78D0-4E4E-83F7-3BC412940CBC}\RP206\A0024369.dll"

"c:\system volume information\_restore{C386D059-78D0-4E4E-83F7-3BC412940CBC}\RP220\A0027193.dll"

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\pciide.sys

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-10-21 au 2009-11-21 ))))))))))))))))))))))))))))))))))))

.

 

2009-11-17 14:48 . 2009-11-17 14:49 -------- d-----w- c:\program files\trend micro

2009-11-17 14:48 . 2009-11-17 14:49 -------- d-----w- C:\rsit

2009-11-16 19:06 . 2009-11-16 19:06 -------- d--h--w- c:\windows\PIF

2009-11-16 18:03 . 2009-11-16 18:03 397328 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\oeas.dll

2009-11-16 18:03 . 2009-11-16 18:03 17936 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\kloehk.dll

2009-11-16 18:03 . 2009-11-16 18:03 109072 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\mzvkbd3.dll

2009-11-16 18:03 . 2009-11-16 18:03 315408 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav9exec\9.0.0.736\sys\i386\5.1\klif.sys

2009-11-13 08:25 . 2009-11-13 08:25 -------- d-----w- c:\program files\iPod

2009-11-13 08:25 . 2009-11-13 08:27 -------- d-----w- c:\program files\iTunes

2009-11-13 08:12 . 2009-11-13 08:12 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 9.0.2.25\SetupAdmin.exe

2009-11-09 07:55 . 2009-11-09 07:55 -------- d-----w- c:\documents and settings\Favrel\Local Settings\Application Data\eSupport.com

2009-11-03 17:18 . 2009-11-03 17:18 -------- d-----w- c:\program files\Lavalys

2009-11-03 13:01 . 2009-11-03 13:04 -------- d-----w- c:\windows\system32\NtmsData

2009-11-03 12:47 . 2009-11-03 12:47 932368 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\profiles-1-6.dll

2009-11-03 12:47 . 2009-11-03 12:47 678416 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\content_interpreter-1-1.dll

2009-11-03 12:47 . 2009-11-03 12:47 604688 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\gsg-3-9.dll

2009-11-03 12:47 . 2009-11-03 12:47 1096208 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\filtration-4-6.dll

2009-11-03 12:47 . 2009-11-03 12:47 522768 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab\AVP9\Data\KasFlt\Plugins\database-1-5.dll

2009-11-03 12:35 . 2009-11-03 12:35 108059 ----a-w- c:\windows\system32\drivers\klin.dat

2009-11-03 12:35 . 2009-11-03 12:35 95259 ----a-w- c:\windows\system32\drivers\klick.dat

2009-11-03 12:33 . 2009-11-21 09:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab

2009-11-03 12:33 . 2009-11-03 12:33 -------- d-----w- c:\program files\Kaspersky Lab

2009-11-03 12:25 . 2009-11-03 12:25 4045528 ----a-w- C:\mbam-setup.exe

2009-11-03 12:20 . 2009-11-03 12:20 -------- d-----w- c:\documents and settings\Favrel\Application Data\Malwarebytes

2009-11-03 12:20 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-11-03 12:20 . 2009-11-03 12:20 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2009-11-03 12:20 . 2009-11-03 12:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-11-03 12:20 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-11-03 12:14 . 2009-11-03 12:14 -------- d-----w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files

2009-10-30 16:39 . 2009-10-30 16:39 -------- d-----w- C:\d461a15fc61a19f629e4417915

2009-10-30 16:37 . 2009-10-30 16:37 -------- d-----w- C:\bfffca0ec868647db717fdf6256932af

2009-10-30 16:36 . 2009-10-30 16:36 -------- d-----w- C:\cbd0299607e98aceb6ae8005

2009-10-29 20:15 . 2009-10-29 20:15 10024328 ----a-w- C:\WindowsXP-WindowsMedia-KB973540-x86-FRA.exe

2009-10-29 16:30 . 2009-10-30 11:28 -------- d-----w- c:\program files\Windows Live Safety Center

2009-10-28 09:31 . 2009-10-29 11:17 829 ----a-w- c:\windows\system32\wininit.dll

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-11-19 07:52 . 2009-04-02 17:28 -------- d-----w- c:\program files\Google

2009-11-17 08:59 . 2009-03-24 16:06 -------- d-----w- c:\program files\ma-config.com

2009-11-17 08:59 . 2009-03-24 16:06 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com

2009-11-13 21:07 . 2009-03-26 19:14 -------- d-----w- c:\documents and settings\Favrel\Application Data\dvdcss

2009-11-13 08:25 . 2009-06-26 18:48 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-11-09 05:50 . 2009-06-26 18:50 -------- d-----w- c:\documents and settings\Favrel\Application Data\Apple Computer

2009-10-25 08:32 . 2004-08-05 12:00 80856 ----a-w- c:\windows\system32\perfc00C.dat

2009-10-25 08:32 . 2004-08-05 12:00 500786 ----a-w- c:\windows\system32\perfh00C.dat

2009-10-20 19:34 . 2009-10-20 19:34 219664 ----a-w- c:\windows\system32\klogon.dll

2009-10-20 17:02 . 2009-10-20 17:02 64088 ----a-w- c:\documents and settings\All Users\Application Data\Kaspersky Lab Setup Files\Kaspersky Internet Security 2010 9.0.0.736\French\setup.exe

2009-10-17 07:35 . 2009-07-19 14:56 -------- d-----w- c:\documents and settings\Favrel\Application Data\.purple

2009-10-14 20:18 . 2009-10-14 20:18 36880 ----a-w- c:\windows\system32\drivers\klbg.sys

2009-10-14 15:22 . 2009-03-25 09:31 -------- d-----w- c:\program files\Fichiers communs\Adobe

2009-10-10 14:03 . 2009-10-10 14:03 50084 ---ha-w- c:\windows\system32\mlfcache.dat

2009-10-09 08:09 . 2009-10-09 08:08 -------- d-----w- c:\documents and settings\All Users\Application Data\{755AC846-7372-4AC8-8550-C52491DAA8BD}

2009-10-09 08:06 . 2009-05-28 16:25 -------- d-----w- c:\program files\QuickTime

2009-10-09 07:38 . 2009-10-09 07:38 -------- d-----w- c:\program files\Bonjour

2009-10-02 18:39 . 2009-10-02 18:39 19472 ----a-w- c:\windows\system32\drivers\klmouflt.sys

2009-09-30 14:46 . 2009-09-30 14:46 -------- d-----w- c:\program files\Sierra On-Line

2009-09-30 14:02 . 2009-09-30 14:02 -------- d-----w- c:\program files\Core Design

2009-09-16 11:12 . 2009-04-06 07:03 68456 ----a-w- c:\documents and settings\Favrel\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-09-14 13:42 . 2009-09-14 13:42 32272 ----a-w- c:\windows\system32\drivers\klim5.sys

2009-09-11 14:18 . 2004-08-05 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll

2009-09-09 18:01 . 2009-09-09 18:01 27675 ----a-w- c:\windows\system32\drivers\klopp.dat

2009-09-04 21:04 . 2004-08-05 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll

2009-09-01 14:29 . 2009-09-01 14:29 128016 ----a-w- c:\windows\system32\drivers\kl1.sys

2009-08-29 07:56 . 2004-08-05 12:00 916480 ------w- c:\windows\system32\wininet.dll

2009-08-28 17:42 . 2009-10-09 08:04 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2009-08-28 17:42 . 2009-10-09 08:04 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll

2009-08-26 08:01 . 2004-08-05 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2009-11-18_19.58.46 )))))))))))))))))))))))))))))))))))))))))

.

+ 2004-08-05 12:00 . 2001-08-23 16:15 3328 c:\windows\system32\dllcache\pciide.sys

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"Shockwave Updater"="c:\windows\system32\Adobe\Shockwave 11\SwHelper_1150595.exe" [2009-03-19 460216]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-24 7311360]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-24 86016]

"NeroFilterCheck"="c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-09-04 417792]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" [2009-10-20 340456]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-10-28 141600]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2009-03-24 1519616]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" - c:\windows\system32\HdAShCut.exe [2005-01-07 61952]

"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.EXE [2009-03-02 17530368]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

DSLMON.lnk - c:\program files\SAGEM\SAGEM F@st 800-840\dslmon.exe [2009-3-26 1214032]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"4668:TCP"= 4668:TCP:*:Disabled:em1

"4669:UDP"= 4669:UDP:*:Disabled:em2

 

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [14/10/2009 21:18 36880]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [16/09/2009 12:05 54752]

R2 wlidsvc;Windows Live ID Sign-in Assistant;c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE [30/03/2009 15:28 1533808]

R3 e4usbaw;USB ADSL2 WAN Adapter;c:\windows\system32\drivers\e4usbaw.sys [26/03/2009 19:19 104344]

R3 klim5;Kaspersky Anti-Virus NDIS Filter;c:\windows\system32\drivers\klim5.sys [14/09/2009 14:42 32272]

R3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\drivers\klmouflt.sys [02/10/2009 19:39 19472]

S2 E4LOADER;General Purpose USB Driver (e4ldr.sys);c:\windows\system32\drivers\e4ldr.sys [26/03/2009 19:19 69656]

S3 ADM8511;Convertisseur USB vers Fast Ethernet ADMtek ADM8511/AN986;c:\windows\system32\drivers\ADM8511.SYS [24/03/2009 15:28 20160]

S3 Ambfilt;Ambfilt;c:\windows\system32\drivers\Ambfilt.sys [24/03/2009 15:39 1684736]

S3 fsssvc;Service Windows Live Contrôle parental;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 21:48 704864]

.

Contenu du dossier 'Tâches planifiées'

 

2009-11-13 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 10:34]

 

2009-11-21 c:\windows\Tasks\User_Feed_Synchronization-{90711A9C-3BAF-4410-831F-D5EB17919C51}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/webhp?sourceid=navclient&hl=fr&ie=UTF-8

mStart Page = about:blank

IE: Ajouter à l'Anti-bannière - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

TCP: {7A5E9071-F1BD-49AA-B109-29FBA7462329} = 195.146.235.100 195.146.235.101

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-21 10:18

Windows 5.1.2600 Service Pack 3 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•9~*]

"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3376)

c:\windows\system32\eappprxy.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\program files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe

c:\windows\system32\wscntfy.exe

c:\program files\iPod\bin\iPodService.exe

.

**************************************************************************

.

Heure de fin: 2009-11-21 10:25 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-11-21 09:25

ComboFix2.txt 2009-11-19 08:05

ComboFix3.txt 2009-11-18 20:02

 

Avant-CF: 127 507 341 312 octets libres

Après-CF: 127 507 660 800 octets libres

 

- - End Of File - - BF2AB3F4EA3C7312359865B485005A62

[carambole]

ouahouh ! De plus en plus sportif...mais efficace je crois, j'espère. En tous cas il a trouvé quelque-chose

 

Fichier atapi.sys reçu le 2009.11.21 09:48:38 (UTC)Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.11.21 -

AhnLab-V3 5.0.0.2 2009.11.20 -

AntiVir 7.9.1.72 2009.11.20 -

Antiy-AVL 2.0.3.7 2009.11.20 -

Authentium 5.2.0.5 2009.11.20 -

Avast 4.8.1351.0 2009.11.21 -

AVG 8.5.0.425 2009.11.20 -

BitDefender 7.2 2009.11.21 -

CAT-QuickHeal 10.00 2009.11.20 -

ClamAV 0.94.1 2009.11.21 -

Comodo 2983 2009.11.19 -

DrWeb 5.0.0.12182 2009.11.20 -

eSafe 7.0.17.0 2009.11.19 Win32.Rootkit

eTrust-Vet 35.1.7133 2009.11.20 -

F-Prot 4.5.1.85 2009.11.20 -

F-Secure 9.0.15370.0 2009.11.20 -

Fortinet 3.120.0.0 2009.11.21 -

GData 19 2009.11.21 -

Ikarus T3.1.1.74.0 2009.11.21 -

Jiangmin 11.0.800 2009.11.21 -

K7AntiVirus 7.10.901 2009.11.20 -

Kaspersky 7.0.0.125 2009.11.21 -

McAfee 5808 2009.11.20 -

McAfee+Artemis 5808 2009.11.20 -

McAfee-GW-Edition 6.8.5 2009.11.20 -

NOD32 4626 2009.11.21 -

Norman 6.03.02 2009.11.21 -

nProtect 2009.1.8.0 2009.11.21 -

Panda 10.0.2.2 2009.11.20 -

PCTools 7.0.3.5 2009.11.21 -

Prevx 3.0 2009.11.21 -

Rising 22.22.05.04 2009.11.21 -

Sophos 4.47.0 2009.11.21 -

Sunbelt 3.2.1858.2 2009.11.21 -

Symantec 1.4.4.12 2009.11.21 -

TheHacker 6.5.0.2.075 2009.11.20 -

TrendMicro 9.0.0.1003 2009.11.21 -

VBA32 3.12.12.0 2009.11.20 -

ViRobot 2009.11.20.2047 2009.11.20 -

VirusBuster 5.0.21.0 2009.11.20 -

 

Information additionnelle

File size: 96512 bytes

MD5...: 9f3a2f5aa6875c72bf062c712cfa2674

SHA1..: a719156e8ad67456556a02c34e762944234e7a44

SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9

ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb<BR>DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x159f7<BR>timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 9 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7<BR>NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29<BR>.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708<BR>.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834<BR>PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9<BR>PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863<BR>INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3<BR>.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab<BR>.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45<BR><BR>( 3 imports ) <BR>> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress<BR>> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR<BR>> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)<BR>Generic Win/DOS Executable (15.9%)<BR>DOS Executable Generic (15.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

packers (Kaspersky): PE_Patch

sigcheck:<BR>publisher....: Microsoft Corporation<BR>copyright....: © Microsoft Corporation. All rights reserved.<BR>product......: Microsoft_ Windows_ Operating System<BR>description..: IDE/ATAPI Port Driver<BR>original name: atapi.sys<BR>internal name: atapi.sys<BR>file version.: 5.1.2600.5512 (xpsp.080413-2108)<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

 

Antivirus Version Dernière mise à jour Résultat

a-squared 4.5.0.41 2009.11.21 -

AhnLab-V3 5.0.0.2 2009.11.20 -

AntiVir 7.9.1.72 2009.11.20 -

Antiy-AVL 2.0.3.7 2009.11.20 -

Authentium 5.2.0.5 2009.11.20 -

Avast 4.8.1351.0 2009.11.21 -

AVG 8.5.0.425 2009.11.20 -

BitDefender 7.2 2009.11.21 -

CAT-QuickHeal 10.00 2009.11.20 -

ClamAV 0.94.1 2009.11.21 -

Comodo 2983 2009.11.19 -

DrWeb 5.0.0.12182 2009.11.20 -

eSafe 7.0.17.0 2009.11.19 Win32.Rootkit

eTrust-Vet 35.1.7133 2009.11.20 -

F-Prot 4.5.1.85 2009.11.20 -

F-Secure 9.0.15370.0 2009.11.20 -

Fortinet 3.120.0.0 2009.11.21 -

GData 19 2009.11.21 -

Ikarus T3.1.1.74.0 2009.11.21 -

Jiangmin 11.0.800 2009.11.21 -

K7AntiVirus 7.10.901 2009.11.20 -

Kaspersky 7.0.0.125 2009.11.21 -

McAfee 5808 2009.11.20 -

McAfee+Artemis 5808 2009.11.20 -

McAfee-GW-Edition 6.8.5 2009.11.20 -

NOD32 4626 2009.11.21 -

Norman 6.03.02 2009.11.21 -

nProtect 2009.1.8.0 2009.11.21 -

Panda 10.0.2.2 2009.11.20 -

PCTools 7.0.3.5 2009.11.21 -

Prevx 3.0 2009.11.21 -

Rising 22.22.05.04 2009.11.21 -

Sophos 4.47.0 2009.11.21 -

Sunbelt 3.2.1858.2 2009.11.21 -

Symantec 1.4.4.12 2009.11.21 -

TheHacker 6.5.0.2.075 2009.11.20 -

TrendMicro 9.0.0.1003 2009.11.21 -

VBA32 3.12.12.0 2009.11.20 -

ViRobot 2009.11.20.2047 2009.11.20 -

VirusBuster 5.0.21.0 2009.11.20 -

 

Information additionnelle

File size: 96512 bytes

MD5...: 9f3a2f5aa6875c72bf062c712cfa2674

SHA1..: a719156e8ad67456556a02c34e762944234e7a44

SHA256: b4df1d2c56a593c6b54de57395e3b51d288f547842893b32b0f59228a0cf70b9

ssdeep: 1536:MwXpkfV74F1D7yNEZIHRRJMohmus27G1j/XBoDQi7oaRMJfYHFktprll1Kb<BR>DD0uu:MQ+N74vkEZIxMohjsimBoDTRMBwFktZu<BR>

PEiD..: -

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x159f7<BR>timedatestamp.....: 0x4802539d (Sun Apr 13 18:40:29 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 9 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x380 0x97ba 0x9800 6.45 0d7d81391f33c6450a81be1e3ac8c7b7<BR>NONPAGE 0x9b80 0x18e8 0x1900 6.48 c74a833abd81cc5d037de168e055ad29<BR>.rdata 0xb480 0xa64 0xa80 4.31 8523651899e28819a14bf9415af25708<BR>.data 0xbf00 0xd94 0xe00 0.45 3575b51634ae7a56f55f1ee0a6213834<BR>PAGESCAN 0xcd00 0x157f 0x1580 6.20 dc4c309c4db9576daa752fdd125fccf9<BR>PAGE 0xe280 0x61da 0x6200 6.46 40b83d4d552384e58a03517a98eb4863<BR>INIT 0x14480 0x22be 0x2300 6.47 906462abc478368424ea462d5868d2e3<BR>.rsrc 0x16780 0x3e0 0x400 3.36 8fd2d82e745b289c28bc056d3a0d62ab<BR>.reloc 0x16b80 0xd20 0xd80 6.39 ce2b0898cc0e40b618e5df9099f6be45<BR><BR>( 3 imports ) <BR>> ntoskrnl.exe: RtlInitUnicodeString, swprintf, KeSetEvent, IoCreateSymbolicLink, IoGetConfigurationInformation, IoDeleteSymbolicLink, MmFreeMappingAddress, IoFreeErrorLogEntry, IoDisconnectInterrupt, MmUnmapIoSpace, ObReferenceObjectByPointer, IofCompleteRequest, RtlCompareUnicodeString, IofCallDriver, MmAllocateMappingAddress, IoAllocateErrorLogEntry, IoConnectInterrupt, IoDetachDevice, KeWaitForSingleObject, KeInitializeEvent, KeCancelTimer, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoBuildDeviceIoControlRequest, IoQueueWorkItem, MmMapIoSpace, IoInvalidateDeviceRelations, IoReportDetectedDevice, IoReportResourceForDetection, RtlxAnsiStringToUnicodeSize, NlsMbCodePageTag, PoRequestPowerIrp, KeInsertByKeyDeviceQueue, PoRegisterDeviceForIdleDetection, sprintf, MmMapLockedPagesSpecifyCache, ObfDereferenceObject, IoGetAttachedDeviceReference, IoInvalidateDeviceState, ZwClose, ObReferenceObjectByHandle, ZwCreateDirectoryObject, IoBuildSynchronousFsdRequest, PoStartNextPowerIrp, IoCreateDevice, RtlCopyUnicodeString, IoAllocateDriverObjectExtension, RtlQueryRegistryValues, ZwOpenKey, RtlFreeUnicodeString, IoStartTimer, KeInitializeTimer, IoInitializeTimer, KeInitializeDpc, KeInitializeSpinLock, IoInitializeIrp, ZwCreateKey, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, ZwSetValueKey, KeInsertQueueDpc, KefAcquireSpinLockAtDpcLevel, IoStartPacket, KefReleaseSpinLockFromDpcLevel, IoBuildAsynchronousFsdRequest, IoFreeMdl, MmUnlockPages, IoWriteErrorLogEntry, KeRemoveByKeyDeviceQueue, MmMapLockedPagesWithReservedMapping, MmUnmapReservedMapping, KeSynchronizeExecution, IoStartNextPacket, KeBugCheckEx, KeRemoveDeviceQueue, KeSetTimer, _allmul, MmProbeAndLockPages, _except_handler3, PoSetPowerState, IoOpenDeviceRegistryKey, RtlWriteRegistryValue, RtlDeleteRegistryValue, _aulldiv, strstr, _strupr, KeQuerySystemTime, IoWMIRegistrationControl, KeTickCount, IoAttachDeviceToDeviceStack, IoDeleteDevice, ExAllocatePoolWithTag, IoAllocateWorkItem, IoAllocateIrp, IoAllocateMdl, MmBuildMdlForNonPagedPool, MmLockPagableDataSection, IoGetDriverObjectExtension, MmUnlockPagableImageSection, ExFreePoolWithTag, IoFreeIrp, IoFreeWorkItem, InitSafeBootMode, RtlCompareMemory, PoCallDriver, memmove, MmHighestUserAddress<BR>> HAL.dll: KfAcquireSpinLock, READ_PORT_UCHAR, KeGetCurrentIrql, KfRaiseIrql, KfLowerIrql, HalGetInterruptVector, HalTranslateBusAddress, KeStallExecutionProcessor, KfReleaseSpinLock, READ_PORT_BUFFER_USHORT, READ_PORT_USHORT, WRITE_PORT_BUFFER_USHORT, WRITE_PORT_UCHAR<BR>> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest<BR><BR>( 0 exports ) <BR>

RDS...: NSRL Reference Data Set<BR>-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)<BR>Generic Win/DOS Executable (15.9%)<BR>DOS Executable Generic (15.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

packers (Kaspersky): PE_Patch

sigcheck:<BR>publisher....: Microsoft Corporation<BR>copyright....: © Microsoft Corporation. All rights reserved.<BR>product......: Microsoft_ Windows_ Operating System<BR>description..: IDE/ATAPI Port Driver<BR>original name: atapi.sys<BR>internal name: atapi.sys<BR>file version.: 5.1.2600.5512 (xpsp.080413-2108)<BR>comments.....: n/a<BR>signers......: -<BR>signing date.: -<BR>verified.....: Unsigned<BR>

[carambole]

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-11-21 11:28:03

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

[oGu]

Re!

 

 

ouahouh ! De plus en plus sportif...mais efficace je crois, j'espère.

 

Sportif, c'est sûr, par contre efficace, pas vraiment...on patine pas mal, mais on avance rationnellement !

 

On continue les recherches :

 

CRÉATION/EXÉCUTION D'UN CFSCRIPT

 

Lis bien la procédure avant de te lancer. Tu peux même l'imprimer, éventuellement.

• Télécharge ce CFSCript que j'ai codé pour ta machine en cliquant sur cette image :
  
   
  
• Sauvegarde ce fichier sur ton Bureau
   
  ATTENTION: ce script a été conçu spécifiquement pour le cas de cette machine, ne pas l'utiliser sur un autre PC sous risque de plantage!!
   
  
• Désactive ton antivirus et ton antispyware
   
  
• Te référant à l'image ci-dessous, déplace CFScript.txt sur ComboFix.exe
  ComboFix sera lancé.
  
  
• Une fenêtre bleue va apparaitre: patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• ComboFix peut exiger un redémarrage pour compléter son travail. Accepte.
  
• Lorsque l'outil aura terminé, un rapport ComboFix.txt apparaîtra à l'écran.
  
• Soumet le fichier en cliquant "OK"
  
• Enfin, poste le rapport suivant dans ta prochaine réponse :
   
  - Combofix.txt (il est stocké ici: > C:\ComboFix.txt)
  

 

 

 

VIRUSTOTAL

Rends-toi sur le site VirusTotal en cliquant sur cette image:

• Copie cette ligne rouge:
   
  
  C:\Qoobox\Quarantine\C\WINDOWS\system32\drivers\pciide.sys
   
   
  
• Sur la page VirusTotal, clique dans la partie "Parcourir" comme indiqué par l'image:
   
  
   
   
  
• Une boîte de dialogue s'ouvre: dans la zone "Nom du fichier", colle la ligne préalablement copiée, comme indiqué sur l'image:
   
  
   
  
• Clique enfin sur le bouton "Ouvrir": la boîte de dialogue se ferme
   
  
• Sur la page VirusTotal, clique maintenant sur le bouton "Envoyer le fichier", et si VirusTotal dit que le fichier a déjà été analysé, clique sur le bouton Reanalyse le fichier maintenant.
  
  et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
  
• Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
  
• Lorsque l'analyse est terminée ("Situation actuelle: terminé"), clique sur Formaté
  
• Une nouvelle fenêtre de ton navigateur va apparaître
  
• Clique alors sur cette image :
   
  
• Fais un clic droit sur la page, et choisis Sélectionner tout, puis copier
  
• Enfin colle le résultat dans ta prochaine réponse.
  

 

 

 

ESET ONLINE SCANNER

 

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce logo:

• Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
  
• Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
  
• Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"
  
  
• Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
  
• Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
  
  
• Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
  
• Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
  
  
• Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
  
• Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
  

 

Nota : ce scan peut être très long et prendre plusieurs heures.

Modifié le 21 novembre 2009 par oGu

[carambole]

Bonjour ; depuis mon dernier envoi, je n'ai pas avancé et pour cause : comme les dernières opérations que tu m'indiquais pouvaient prendre plusieurs heures, j'ai laissé l'usage de l'ordinateur familial aux autres.

Apparamment, il a été arrêté normalement samedi soir. Mais impossible à redémarrer dimanche : windows indiquant que c'était par sauvegarde et que c'était peutêtre du à l'installation d'un logiciel (les derniers installés l'ayant été pour scan).

J'ai une question : lorsque je glisse le script indiqué pour démarrer Combofix, il me signale qu'une version plus récente existe. Je suis restée sur le fait de lui dire "oui" à tout...alors je lui dis que je veux bien qu'il se mette à jour. Est-ce à cause de ça ?

En attendant, je suis chez des amis pour pouvoir communiquer.

J'espère que je vais pouvoir r'ouvrir windows xp...J'attends ta réponse. Cordialement.

[oGu]

Salut!

 

C'est bien ce que je craignais, quand j'ai vu que le driver pciide avait été supprimé par ComboFix (le fichier est-il infecté?). Pour info tu es le troisième à qui ça arrive, et c'est très probablement lié au rootkit...On va tâcher de réparer ça :

 

 

 

• Redémarre (façon de parler !) ton PC et sélectionne la Console de Récupération dans le menu, grâce aux flèches de ton clavier
  
• Une fenêtre apparait, te demandant de choisir sur quel Windows démarrer : en général, c'est sur le premier (C:\Windows) : il te faut alors saisir le chiffre 1 et valider avec Entrée :
  
  
• Si tu n'as pas de mot de passe administrateur (en général, personne n'en met), n'indique rien et contente-toi de valider à nouveau avec Entrée. Autrement, saisis ce mot de passe avant de valider (ATTENTION : ce mot de passe n'a rien à voir avec ton mot de passe de session)
  
• La Console démarre : après le curseur, recopie cette ligne :
  
  • CD ERDNT
    puis valide en appuyant sur Entrée. Saisis ensuite cette ligne :
    
  • BATCH CFrecovery.bat
    puis valide en appuyant sur Entrée. Saisis ensuite cette ligne :
    
  • CD ..\System32\Drivers
    puis valide en appuyant sur Entrée. Saisis ensuite cette ligne :
    
  • COPY ..\..\..\QooBox\Quarantine\C\Windows\System32\Drivers\pciide.sys.vir pciide.sys
    puis valide en appuyant sur Entrée. Saisis ensuite cette ligne :
    
  • COPY c:\windows\ERDNT\cache\atapi.sys c:\windows\System32\Drivers\atapi.sys
    puis valide en appuyant sur Entrée. Saisis ensuite cette ligne :
    
  • EXIT
    

  et valide avec Entré. Normalement, le PC devrait rebooter correctement.

Modifié le 23 novembre 2009 par oGu

[carambole]

A partir de C..\System32\Drivers j'ai une ligne qui me dit que cette commande n'est pas reconnue et que je peux taper Help pour avoir la liste...

 

Donc, je le dis :HELP !!

[oGu]

Ce n'est pas C mais CD ! La commande CD est disponible, elle .

 

Il faut être très vigilant en recopiant les lignes, surtout pour les espaces.

 

Peux-tu réessayer?

[carambole]

je me suis trompée sur ce message mais pas sur le terrain...