Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

windows security alerts [résolu] (merci Falkra !)

patman

Par patman
dans Analyses et éradication malwares

 Partager

Messages recommandés

patman Mega Power Member

patman

Posté(e)
Posté(e) (modifié)

salut à tous ,

comme c'est écrit dans le titre , j'ai des pop up de windows security alerts ainsi qu'une croix blanche sur fond rouge dans ma barre en bas à cote de l'horloge !!!!

 

le pc se bloque au bout d'un moment , je ne sais plus quoi faire !!

 

je suis en mode sans echec , sinon impossible de faire quoique ce soit !!

mon rapport HJT :

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:12:11, on 23/12/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Internet Explorer\Iexplore.exe

C:\Program Files\Internet Explorer\Iexplore.exe

C:\Documents and Settings\lespat\Bureau\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O1 - Hosts: 66.98.148.65 auto.search.msn.com

O1 - Hosts: 66.98.148.65 auto.search.msn.es

O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - c:\program files\real\realplayer\rpbrowserrecordplugin.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - (no file)

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sPC1300] C:\WINDOWS\vspc1300.exe

O4 - HKLM\..\Run: [sGPUpdater] C:\Program Files\Search Guard PlusU\sgpUpdaters.exe

O4 - HKLM\..\Run: [FBSearch] C:\Program Files\Search Guard Plus\SearchGuardPlus.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [bigDogPath] C:\WINDOWS\VM_STI.exe Philips SPC 200NC PC Camera

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Program Files\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [richtx64.exe] C:\DOCUME~1\lespat\LOCALS~1\Temp\richtx64.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: TrayMin1300.lnk = ?

O4 - Global Startup: TrayMin300.exe.lnk = ?

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.secuser.com

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/co...ex/qtplugin.cab

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.1...toUploader5.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://ushousecall02.trendmicro.com/housec...ivex/hcImpl.cab

O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.extrafilm.fr/ImageUploader5.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.0...oUploader55.cab

O16 - DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} (CamfrogWEB Advanced Unicode Control) - http://bobtv.fr/download/cfweb_www.bobtv.f..._instmodule.exe

O18 - Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: Service Google Update (gupdate1c99081d2c011bd) (gupdate1c99081d2c011bd) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Ahead\Lib\NMIndexingService.exe

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Program Files\Raxco\PerfectDisk\PDSched.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

 

--

End of file - 9144 bytes

 

 

merci bcp à tous !!!

Modifié par patman

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Bonjour, on va s'occuper de ça. :P

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre.
  • A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. :P
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

NB : Si MBAM te demande à redémarrer, fais-le.

patman Mega Power Member

patman

Posté(e)
  • Auteur
Posté(e)
Bonjour, on va s'occuper de ça. :P

 

Télécharge Malwarebytes' Anti-Malware (MBAM)

Si ça ne se télécharge pas, que tu es redirigé, ou que MBAM ne démarre pas, signale-le moi : c'est un symptôme.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen rapide"
  • Clique sur "Rechercher"
  • L'analyse démarre.
  • A la fin de l'analyse (mais ce n'est pas fini), un message s'affiche :
     
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi. N'oublie pas la suite. :P
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

 

NB : Si MBAM te demande à redémarrer, fais-le.

 

tout d'abord merci de bien vouloir passer du temps pour m'aider :P

c'est bien ce que je craignais !! il m'est impossible d'installer MBAM !!!

désolé encore d'abuser de ton temps :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Mais pas de problème, c'était aussi un test, MBAM.

 

Ca confirme ce que je pense côté bestiole.

 

Télécharge GMER Rootkit Scanner du lien suivant :

 

http://www.gmer.net/#files

 

- Clique sur le bouton "Download EXE"

- Sauvegarde-le sur ton Bureau

- Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.

- Ferme les fenêtres de navigateur ouvertes

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) par double clic ;

- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"

- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

  • Sections
  • IAT/EAT
  • **Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)

- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;

- Nomme le fichier"Ark.txt" et sauvegarde-le sur le Bureau ;

- Copie/colle le contenu de ce rapport dans ta réponse.

patman Mega Power Member

patman

Posté(e)
  • Auteur
Posté(e)

re .....

 

c'est super long ce truc !!

 

alors voilà , à la fin j'ai une fenetre qui s'est ouverte avec écrit :

 

warning !!!

GMER has found system modification caused by ROOTKIT activity

 

et voici le résultat :

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2009-12-23 21:41:27

Windows 5.1.2600 Service Pack 2

Running: rpnwkb9l.exe; Driver: C:\DOCUME~1\lespat\LOCALS~1\Temp\uwniiaob.sys

 

 

---- System - GMER 1.0.15 ----

 

Code 89C4DBF8 ZwEnumerateKey

Code 89CE3488 ZwFlushInstructionCache

Code 89CAF8E6 IofCallDriver

Code 89DA8A0E IofCompleteRequest

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys

 

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 89E42B70

Device \Driver\atapi \Device\Ide\IdePort0 89E42B70

Device \Driver\atapi \Device\Ide\IdePort1 89E42B70

Device \Driver\atapi \Device\Ide\IdePort2 89E42B70

Device \Driver\atapi \Device\Ide\IdePort3 89E42B70

Device \Driver\atapi \Device\Ide\IdeDeviceP3T0L0-1a 89E42B70

Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-e 89E42B70

Device \Driver\atapi \Device\Ide\IdeDeviceP3T1L0-22 89E42B70

Device \Driver\Cdrom \Device\CdRom3 89E44698

Device \Driver\st3shark \Device\Scsi\st3shark1Port5Path0Target0Lun0 89D96B58

Device \Driver\st3shark \Device\Scsi\st3shark1Port5Path0Target2Lun0 89D96B58

Device \Driver\axwhisky \Device\Scsi\axwhisky1 89D832D8

Device \Driver\st3shark \Device\Scsi\st3shark1Port5Path0Target3Lun0 89D96B58

Device \Driver\st3shark \Device\Scsi\st3shark1Port5Path0Target1Lun0 89D96B58

Device \Driver\axwhisky \Device\Scsi\axwhisky1Port6Path0Target0Lun0 89D832D8

Device \Driver\st3shark \Device\Scsi\st3shark1 89D96B58

 

---- Modules - GMER 1.0.15 ----

 

Module _________ F745C000-F7474000 (98304 bytes)

Module \systemroot\system32\drivers\H8SRTdctlilwemv.sys (*** hidden *** ) BABF5000-BAC11000 (114688 bytes)

---- Processes - GMER 1.0.15 ----

 

Library \\?\globalroot\systemroot\system32\H8SRTytuaqopicm.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [420] 0x10000000

Library \\?\globalroot\systemroot\system32\H8SRTytuaqopicm.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [1212] 0x009F0000

 

---- Services - GMER 1.0.15 ----

 

Service C:\WINDOWS\system32\drivers\H8SRTdctlilwemv.sys (*** hidden *** ) [sYSTEM] H8SRTd.sys <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000@0019b7be3324 0x05 0xE7 0x3D 0x0A ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000@002109e2bcbd 0x84 0x0F 0xA1 0x2E ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000@0018af7b482d 0x21 0x36 0x9F 0x3C ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000@001baf82ce81 0xDC 0x1B 0xF6 0xC4 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000@0023b478a455 0x0F 0x7E 0x98 0x33 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001167000000@0022fd62d744 0x13 0xE0 0x01 0x1A ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTdctlilwemv.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group file system

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTdctlilwemv.sys

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTesltkpbbne.dll

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTmuwuspgdbb.dat

Reg HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTytuaqopicm.dll

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000@0019b7be3324 0x05 0xE7 0x3D 0x0A ...

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000@002109e2bcbd 0x84 0x0F 0xA1 0x2E ...

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000@0018af7b482d 0x21 0x36 0x9F 0x3C ...

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000@001baf82ce81 0xDC 0x1B 0xF6 0xC4 ...

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000@0023b478a455 0x0F 0x7E 0x98 0x33 ...

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\001167000000@0022fd62d744 0x13 0xE0 0x01 0x1A ...

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@start 1

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@type 1

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@imagepath \systemroot\system32\drivers\H8SRTdctlilwemv.sys

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys@group file system

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTd \\?\globalroot\systemroot\system32\drivers\H8SRTdctlilwemv.sys

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTc \\?\globalroot\systemroot\system32\H8SRTesltkpbbne.dll

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@H8SRTsrcr \\?\globalroot\systemroot\system32\H8SRTmuwuspgdbb.dat

Reg HKLM\SYSTEM\ControlSet002\Services\H8SRTd.sys\modules@h8srtserf \\?\globalroot\systemroot\system32\H8SRTytuaqopicm.dll

 

---- Files - GMER 1.0.15 ----

 

File C:\Documents and Settings\lespat\Local Settings\Temp\H8SRT6752.tmp 24576 bytes executable

File C:\Documents and Settings\lespat\Local Settings\Temp\H8SRT7fdc.tmp 343040 bytes executable

File C:\WINDOWS\system32\drivers\H8SRTdctlilwemv.sys 39936 bytes executable <-- ROOTKIT !!!

File C:\WINDOWS\system32\H8SRTesltkpbbne.dll 23040 bytes executable

File C:\WINDOWS\system32\H8SRTmuwuspgdbb.dat 202 bytes

File C:\WINDOWS\system32\H8SRTytuaqopicm.dll 36864 bytes executable

File C:\WINDOWS\Temp\H8SRT856c.tmp 202 bytes

File C:\WINDOWS\Temp\H8SRTe33b.tmp 206 bytes

 

---- EOF - GMER 1.0.15 ----

 

merci encore :P

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Tu as la bestiole féroce du moment.

 

1. Télécharge The Avenger par Swandog46 sur ton Bureau.

  • Décompresse le fichier
  • avenger.exe sur le bureau

 

2. Copie le contenu de la boîte code ci-dessous (CTRL+C), les deux lignes, n'oublie aucune lettre :P :

 

drivers to disable:
H8SRTd.sys

drivers to delete:
H8SRTd.sys

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lance The Avenger par clic droit, exécuter en tant qu'administrateur.

  • Sous "Input Script There", colle le code précédemment copié.
  • Clique sur Execute
  • Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système.
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, c'est normal.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie/colle le contenu du ficher c:\avenger.txt dans ta prochaine réponse.

 

----------------------

 

Ne fais ce qui suit qu'après la partie Avenger.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure ou seul : dangereux.

 

Télécharge combofix.exe de sUBs et sauvegarde le sur ton bureau (et pas ailleurs).

  • Assure toi que tous les programmes sont fermés avant de commencer.
  • Désactive l'antivirus, sinon combofix va te mettre un message (sinon, dis ok au message).
  • Double-clique combofix.exe afin de l'exécuter.
  • Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  • Si on te propose de redémarrer parc qu'un rootkit a été trouvé, fais-le.
  • On va te proposer de télécharger et installer la console de récupération, clique sur "Oui" au message, autorise le téléchargement dans ton firewall si demandé, puis accepte le message de contrat utilisateur final.
  • Le bureau disparaît, c'est normal, et il va revenir.
  • Ne ferme pas la fenêtre qui s'ouvre, tu te retrouverais avec un bureau vide.
  • Lorsque l'analyse sera terminée, un rapport apparaîtra.
  • Copie-colle ce rapport dans ta prochaine réponse.
    Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Tu peux voir ces opérations dans le guide officiel (seul autorisé) :

http://www.bleepingcomputer.com/combofix/f...iliser-combofix

patman Mega Power Member

patman

Posté(e)
  • Auteur
Posté(e)

:P

 

ouf !! j'ai déjà plus cette saloperie !!

 

j'en suis là :

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

 

Hidden driver "H8SRTd.sys" found!

ImagePath: \systemroot\system32\drivers\H8SRTdctlilwemv.sys

Start Type: 4 (Disabled)

 

Rootkit scan completed.

 

Driver "H8SRTd.sys" disabled successfully.

Driver "H8SRTd.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

la suite dans un moment ....

 

ps: pour ceux à qui ca arriverai , je ne pouvais pas utiliser avenger en mode sans echec , donc j'ai du refaire demarrer le systeme en mode "normal" mais là , ecran noir , apres plusieurs tentatives il a enfin redemarré ouf!

ensuite vient le clic droit / executer en tant qu'administrateur puis , qui dit administrateur dit mot de passe !!???????

 

comme j'ai jamais mis de mot de passe j'ai du en creer un et pour cela faire la manip suivante

Clique-droit sur Poste de travail

. Gérer

. Utilisateurs et Groupes locaux -> Utilisateurs

. Clique-droit sur Administrateur : "Définir le mot de passe..."

 

merci encore !! je continue ... :P

patman Mega Power Member

patman

Posté(e)
  • Auteur
Posté(e)

Falkra you are the best !!! :P

 

je ne sais que dire de plus que 1000 fois MERCI !!

 

voici donc le rapport de scan de combofix :

 

ComboFix 09-12-22.09 - lespat 23/12/2009 23:36:52.1.2 - x86

Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3071.2656 [GMT 1:00]

Lancé depuis: c:\documents and settings\lespat\Bureau\ComboFix.exe

AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

* Un antivirus résident est actif

 

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\lespat\Local Settings\Application Data\wwsemou.dat

c:\documents and settings\lespat\Local Settings\Application Data\wwsemou_nav.dat

c:\documents and settings\lespat\Local Settings\Application Data\wwsemou_navps.dat

c:\program files\Fast Browser Search

c:\program files\Fast Browser Search\1.bat

c:\program files\Fast Browser Search\about.html

c:\program files\Fast Browser Search\affid.dat

c:\program files\Fast Browser Search\basis.xml

c:\program files\Fast Browser Search\basis_br.xml

c:\program files\Fast Browser Search\basis_de.xml

c:\program files\Fast Browser Search\basis_en.xml

c:\program files\Fast Browser Search\basis_es.xml

c:\program files\Fast Browser Search\basis_fr.xml

c:\program files\Fast Browser Search\basis_it.xml

c:\program files\Fast Browser Search\basis_pt.xml

c:\program files\Fast Browser Search\basis_ru.xml

c:\program files\Fast Browser Search\ClearRecycleBin.exe

c:\program files\Fast Browser Search\error.html

c:\program files\Fast Browser Search\FBSPlugin.dll

c:\program files\Fast Browser Search\fbsProtection.xml

c:\program files\Fast Browser Search\FbsSearchProvider.xml

c:\program files\Fast Browser Search\FbsSearchProviderIE8.exe

c:\program files\Fast Browser Search\FBStoolbar.dll

c:\program files\Fast Browser Search\fbstoolbar.jar

c:\program files\Fast Browser Search\fbstoolbar.manifest

c:\program files\Fast Browser Search\icons.bmp

c:\program files\Fast Browser Search\IE\basis.xml

c:\program files\Fast Browser Search\IE\fbsSearchProvider.xml

c:\program files\Fast Browser Search\IE\tbs_include_script_012817.js

c:\program files\Fast Browser Search\IE\Toolbar Help.htm

c:\program files\Fast Browser Search\IE\uninstall.exe

c:\program files\Fast Browser Search\IE\uninstalSGP.exe

c:\program files\Fast Browser Search\IE\uninstalSGPU.exe

c:\program files\Fast Browser Search\IE\update.exe

c:\program files\Fast Browser Search\IE\version.txt

c:\program files\Fast Browser Search\info.txt

c:\program files\Fast Browser Search\local.xml

c:\program files\Fast Browser Search\logobg.bmp

c:\program files\Fast Browser Search\MTWBtoolbar.html

c:\program files\Fast Browser Search\search.bmp

c:\program files\Fast Browser Search\search_br.bmp

c:\program files\Fast Browser Search\search_de.bmp

c:\program files\Fast Browser Search\search_es.bmp

c:\program files\Fast Browser Search\search_fr.bmp

c:\program files\Fast Browser Search\search_it.bmp

c:\program files\Fast Browser Search\search_pt.bmp

c:\program files\Fast Browser Search\search_ru.bmp

c:\program files\Fast Browser Search\SearchGuardPlus.exe

c:\program files\Fast Browser Search\SearchGuardPlus.ico

c:\program files\Fast Browser Search\SGPU.ico

c:\program files\Fast Browser Search\sgpUpdater.exe

c:\program files\Fast Browser Search\sgpUpdater.xml

c:\program files\Fast Browser Search\SGPUpdaterS.exe

c:\program files\Fast Browser Search\tbhelper.dll

c:\program files\Fast Browser Search\tbs_include_script_003175.js

c:\program files\Fast Browser Search\tbs_include_script_005064.js

c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe

c:\program files\SGPSA

c:\windows\system32\ahtn.htm

c:\windows\system32\drivers\H8SRTdctlilwemv.sys

c:\windows\system32\H8SRTesltkpbbne.dll

c:\windows\system32\H8SRTmuwuspgdbb.dat

c:\windows\system32\H8SRTytuaqopicm.dll

c:\windows\system32\krl32mainweq.dll

c:\windows\system32\srcr.dat

c:\windows\system32\test.ttt

c:\windows\Tasks\llinepjq.job

 

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-11-23 au 2009-12-23 ))))))))))))))))))))))))))))))))))))

.

 

2009-12-23 21:03 . 2009-12-23 21:03 664 ----a-w- c:\windows\system32\d3d9caps.dat

2009-12-23 03:16 . 2009-12-23 03:16 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE

2009-12-23 03:16 . 2009-12-23 03:16 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache

2009-12-23 02:42 . 2008-03-30 18:55 1213784 ----a-w- c:\documents and settings\lespat\Application Data\HouseCall 6.6\vsapi32.dll

2009-12-23 02:42 . 2006-11-22 16:48 91744 ----a-w- c:\documents and settings\lespat\Application Data\HouseCall 6.6\BPMNT.dll

2009-12-23 02:42 . 2007-12-24 16:37 138384 ----a-w- c:\windows\system32\drivers\tmcomm.sys

2009-12-23 02:42 . 2007-12-24 16:37 138384 ----a-w- c:\documents and settings\lespat\Application Data\HouseCall 6.6\tmcomm.sys

2009-12-23 02:42 . 2006-07-07 15:29 1197584 ----a-w- c:\documents and settings\lespat\Application Data\HouseCall 6.6\ssapi32.dll

2009-12-23 02:42 . 2009-03-27 16:38 366344 ----a-w- c:\documents and settings\lespat\Application Data\HouseCall 6.6\tsc.exe

2009-12-23 02:41 . 2009-12-23 02:50 -------- d-----w- c:\documents and settings\lespat\Application Data\HouseCall 6.6

2009-12-23 02:41 . 2009-12-23 02:41 -------- d-----w- c:\windows\system32\HouseCall 6.6

2009-12-23 01:52 . 2009-12-23 01:52 -------- d-----w- c:\program files\Enigma Software Group

2009-12-19 23:26 . 2009-12-19 23:26 -------- d-----w- c:\windows\Options

2009-12-19 23:26 . 2004-06-09 14:37 40960 ----a-w- c:\windows\VM_STI.EXE

2009-12-19 23:26 . 2003-05-15 16:17 61440 ----a-w- c:\windows\system32\VM31bSTI.dll

2009-12-19 23:26 . 2005-02-26 15:25 91527 ----a-w- c:\windows\system32\drivers\usbVM31b.sys

2009-12-19 23:26 . 2004-04-26 14:48 53248 ----a-w- c:\windows\amcap.exe

2009-12-19 23:26 . 2002-08-22 16:02 53248 ----a-w- c:\windows\StillCap.exe

2009-12-14 18:49 . 2009-12-14 18:49 53580 ---ha-w- c:\windows\system32\mlfcache.dat

2009-12-14 18:44 . 2009-12-14 18:44 -------- d-----w- c:\program files\Safari

2009-12-14 18:37 . 2009-12-14 18:37 79144 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\Safari 5.31.21.10\SetupAdmin.exe

2009-12-07 21:37 . 2009-12-07 21:37 -------- d-----w- c:\documents and settings\lespat\Application Data\ESET

2009-12-07 21:36 . 2009-12-07 22:18 -------- d-----w- c:\program files\ESET

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-12-23 21:54 . 2009-02-16 21:57 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater

2009-12-23 09:18 . 2002-08-30 12:00 81626 ----a-w- c:\windows\system32\perfc00C.dat

2009-12-23 09:18 . 2002-08-30 12:00 503656 ----a-w- c:\windows\system32\perfh00C.dat

2009-12-23 03:31 . 2008-08-03 23:44 -------- d-----w- c:\program files\Anti-Trojan-55

2009-12-19 23:26 . 2008-09-13 10:12 -------- d-----w- c:\program files\Philips

2009-12-19 23:26 . 2008-08-04 00:46 -------- d--h--w- c:\program files\InstallShield Installation Information

2009-12-18 13:18 . 2008-08-12 00:27 -------- d-----w- c:\documents and settings\lespat\Application Data\CamfrogWEB

2009-12-14 18:49 . 2008-11-30 21:21 -------- d-----w- c:\documents and settings\lespat\Application Data\Apple Computer

2009-12-14 18:43 . 2008-11-30 21:19 -------- d-----w- c:\program files\Fichiers communs\Apple

2009-12-13 21:33 . 2008-12-25 21:23 -------- d-----w- c:\documents and settings\lespat\Application Data\XnView

2009-12-10 02:04 . 2008-08-11 18:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help

2009-12-08 17:43 . 2009-03-23 20:14 -------- d-----w- c:\program files\Live-Player

2009-12-07 22:34 . 2008-10-05 20:24 -------- d-----w- c:\documents and settings\lespat\Application Data\OpenOffice.org2

2009-12-07 21:36 . 2009-05-21 12:53 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET

2009-12-04 23:20 . 2008-08-03 23:38 -------- d-----w- c:\program files\Fichiers communs\Adobe

2009-11-29 01:59 . 2009-02-16 21:57 -------- d-----w- c:\program files\Google

2009-11-26 21:53 . 2008-08-03 22:51 71584 ----a-w- c:\documents and settings\lespat\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2009-11-25 02:02 . 2008-08-11 18:27 -------- d-----w- c:\program files\Microsoft Works

2009-11-23 20:40 . 2009-11-23 20:40 79488 ----a-w- c:\documents and settings\lespat\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll

2009-11-21 10:39 . 2009-11-21 10:39 -------- d-----w- c:\program files\Alcohol Soft

2009-11-20 21:16 . 2009-11-20 21:16 -------- d-----w- c:\program files\7-Zip

2009-11-01 18:02 . 2008-11-30 13:13 -------- d-----w- c:\program files\Fichiers communs\Real

2009-10-29 07:42 . 2004-08-19 14:09 916480 ----a-w- c:\windows\system32\wininet.dll

2009-10-21 06:03 . 2004-08-19 14:09 75776 ----a-w- c:\windows\system32\strmfilt.dll

2009-10-21 06:03 . 2004-08-19 14:09 25088 ----a-w- c:\windows\system32\httpapi.dll

2009-10-20 14:58 . 2004-08-03 21:00 263552 ----a-w- c:\windows\system32\drivers\http.sys

2009-10-13 10:52 . 2004-08-19 14:09 267776 ----a-w- c:\windows\system32\oakley.dll

2009-10-12 13:52 . 2004-08-19 14:09 69632 ----a-w- c:\windows\system32\raschap.dll

2009-10-12 13:52 . 2004-08-19 14:09 113152 ----a-w- c:\windows\system32\rastls.dll

2008-12-03 21:09 . 2008-12-03 21:04 24 --sh--w- c:\windows\S5A8B42D1.tmp

2006-05-03 09:06 . 2009-09-09 21:56 163328 --sh--r- c:\windows\system32\flvDX.dll

2007-02-21 10:47 . 2009-09-09 21:56 31232 --sh--r- c:\windows\system32\msfDX.dll

2008-03-16 12:30 . 2009-09-09 21:56 216064 --sh--r- c:\windows\system32\nbDX.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-02-16 39408]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe" [2008-10-02 1124352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-16 13529088]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 110592]

"SPC1300"="c:\windows\vspc1300.exe" [2007-05-31 675840]

"TkBellExe"="c:\program files\Fichiers communs\Real\Update_OB\realsched.exe" [2009-11-01 198160]

"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-20 1443072]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-01-05 413696]

"BigDogPath"="c:\windows\VM_STI.exe" [2004-06-09 40960]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

 

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

TrayMin1300.lnk - c:\program files\Philips\Philips SPC1300NC Webcam\TrayMin1300.exe [2008-9-13 245760]

TrayMin300.exe.lnk - c:\program files\Philips\SPC 300NC PC Camera\TrayMin300.exe [2009-12-20 278528]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]

"UIHost"="c:\documents and settings\All Users\Application Data\TuneUp Software\TuneUp Utilities\WinStyler\tu_logonui.exe"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^lespat^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 2.2.lnk]

path=c:\documents and settings\lespat\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 2.2.lnk

backup=c:\windows\pss\OpenOffice.org 2.2.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2009-09-04 10:08 935288 ----a-r- c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-10-03 09:45 39792 ----a-w- c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

2007-06-27 17:03 152872 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NMBgMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]

2006-09-28 19:21 57344 ----a-w- c:\program files\SlySoft\CloneCD\CloneCDTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

2003-10-02 01:20 81920 ----a-w- c:\program files\D-Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Launch Ai Booster]

2005-06-16 13:36 3627520 ----a-w- c:\program files\ASUS\Ai Booster\OverClk.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2007-03-01 13:57 153136 ----a-w- c:\program files\Fichiers communs\Ahead\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia.PCSync]

2008-06-17 15:00 1249280 ----a-w- c:\program files\Nokia\Nokia PC Suite 7\PcSync2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NVIDIA nTune]

2007-09-04 18:25 81920 ----a-w- c:\program files\NVIDIA Corporation\nTune\nTuneCmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2008-05-16 12:01 86016 ----a-w- c:\windows\system32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

2008-05-16 12:01 1630208 ----a-w- c:\windows\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]

2008-10-02 06:00 1124352 ----a-w- c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-01-05 14:18 413696 ----a-w- c:\program files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

2004-06-28 19:29 32768 ----a-w- c:\program files\CyberLink\PowerDVD\PDVDServ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-07-25 03:23 149280 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2009-02-16 21:57 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2009-11-01 18:01 198160 ----a-w- c:\program files\Fichiers communs\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Documents and Settings\\lespat\\Mes documents\\emule\\eMule.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Anti-Trojan-55\\Anti-Trojan.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program Files\\Electronic Arts\\Medal of Honor Airborne\\UnrealEngine3\\Binaries\\MOHA.exe"=

"c:\\Program Files\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Program Files\\Activision\\Call of Duty - World at War\\CoDWaWmp.exe"=

"c:\\Program Files\\TvAnts\\Tvants.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\DMV\\MaxTV4\\maxtv.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R0 axwhisky;axwhisky;c:\windows\system32\drivers\axwhisky.sys [02/07/2003 17:41 5248]

R0 axwskbus;axwskbus;c:\windows\system32\drivers\axwskbus.sys [02/07/2003 16:49 124160]

R0 pnpshark;pnpshark;c:\windows\system32\drivers\pnpshark.sys [02/10/2003 03:16 119552]

R0 st3shark;st3shark;c:\windows\system32\drivers\st3shark.sys [27/09/2003 14:37 5504]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [20/02/2008 11:11 33800]

R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [21/12/2007 08:21 468224]

R2 PDSched;PDScheduler;c:\program files\Raxco\PerfectDisk\PDSched.exe [09/02/2005 10:52 241731]

R3 phaudlwr;Philips Audio Filter;c:\windows\system32\drivers\phaudlwr.sys [13/09/2008 11:12 88320]

R3 SPC1300;USB2.0 PC Camera (SPC1300);c:\windows\system32\drivers\spc1300.sys [13/09/2008 11:12 3033728]

S2 gupdate1c99081d2c011bd;Service Google Update (gupdate1c99081d2c011bd);c:\program files\Google\Update\GoogleUpdate.exe [16/02/2009 22:59 133104]

S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [04/08/2008 01:33 223232]

S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;\??\c:\progra~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS --> c:\progra~1\Belkin\BELKIN~1.11G\DNINDIS5.SYS [?]

S3 EverestDriver;Lavalys EVEREST Kernel Driver;c:\documents and settings\lespat\Mes documents\EVEREST Ultimate Edition v.4.00.976 Final Multilenguaje_DnGnMsTr\kerneld.wnt [07/08/2008 02:15 20856]

 

--- Autres Services/Pilotes en mémoire ---

 

*Deregistered* - mchInjDrv

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uInternet Settings,ProxyOverride = *.local

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: secuser.com\www

DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - hxxp://www.bitdefender.fr/scan_fr/scan8/oscan8.cab

DPF: {DFB5BCF1-06AE-4ABB-BFA8-1E228F41C50A} - hxxp://bobtv.fr/download/cfweb_www.bobtv.fr-download_instmodule.exe

FF - ProfilePath - c:\documents and settings\lespat\Application Data\Mozilla\Firefox\Profiles\fa71i9xi.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/

FF - component: c:\documents and settings\lespat\Application Data\Mozilla\Firefox\Profiles\fa71i9xi.default\extensions\bkmrksync@nokia.com\components\BkMrkExt.dll

FF - component: c:\program files\real\realplayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll

FF - plugin: c:\program files\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll

FF - plugin: c:\program files\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

 

---- PARAMETRES FIREFOX ----

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

- - - - ORPHELINS SUPPRIMES - - - -

 

HKLM-Run-SGPUpdater - c:\program files\Search Guard PlusU\sgpUpdaters.exe

HKLM-Run-FBSearch - c:\program files\Search Guard Plus\SearchGuardPlus.exe

MSConfigStartUp-iTunesHelper - c:\program files\iTunes\iTunesHelper.exe

MSConfigStartUp-PCSuiteTrayApplication - c:\progra~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

MSConfigStartUp-TomTomHOME - c:\program files\TomTom HOME\TomTomHOME.exe

AddRemove-Live-Player - c:\program files\Live-Player\uninst.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-12-23 23:47

Windows 5.1.2600 Service Pack 2 NTFS

 

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

SGPUpdater = c:\program files\Search Guard PlusU\sgpUpdaters.exe??o??????????????????????????????????????????????

FBSearch = c:\program files\Search Guard Plus\SearchGuardPlus.exe??????????????????????????????????????????????

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: TUKERNEL.EXE CLASSPNP.SYS disk.sys >>UNKNOWN [0x89A58D68]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf763bfc3

\Driver\ACPI -> ACPI.sys @ 0xf75adcb8

\Driver\atapi -> 0x89a58d68

IoDeviceObjectType -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059ece9

ParseProcedure -> TUKERNEL.EXE @ 0x8057e98a

\Device\Harddisk0\DR0 -> DeleteProcedure -> TUKERNEL.EXE @ 0x8059ece9

ParseProcedure -> TUKERNEL.EXE @ 0x8057e98a

NDIS: Marvell Yukon 88E8001/8003/8010 PCI Gigabit Ethernet Controller -> SendCompleteHandler -> NDIS.sys @ 0xf7868ba0

PacketIndicateHandler -> NDIS.sys @ 0xf7875b21

SendHandler -> NDIS.sys @ 0xf785387b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\EverestDriver]

"ImagePath"="\??\c:\documents and settings\lespat\Mes documents\EVEREST Ultimate Edition v.4.00.976 Final Multilenguaje_DnGnMsTr\kerneld.wnt"

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\mchInjDrv]

"ImagePath"="\??\c:\windows\TEMP\mc21.tmp"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

 

- - - - - - - > 'explorer.exe'(3780)

c:\windows\system32\webcheck.dll

.

------------------------ Autres processus actifs ------------------------

.

c:\program files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

c:\program files\Google\Update\1.2.183.13\GoogleCrashHandler.exe

c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\program files\NVIDIA Corporation\nTune\nTuneService.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\PnkBstrA.exe

c:\windows\system32\PnkBstrB.exe

c:\windows\System32\TUProgSt.exe

c:\windows\system32\wdfmgr.exe

c:\program files\Canon\CAL\CALMAIN.exe

c:\windows\system32\devldr32.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclMSBTSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

.

**************************************************************************

.

Heure de fin: 2009-12-23 23:53:11 - La machine a redémarré

ComboFix-quarantined-files.txt 2009-12-23 22:53

 

Avant-CF: 60 870 287 360 octets libres

Après-CF: 61 959 471 104 octets libres

 

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect /TUTag=KKZ2TW /Kernel=TUKernel.exe

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel (TuneUp Backup)" /noexecute=optin /fastdetect /TUTag=KKZ2TW-BAK

 

- - End Of File - - 386B1797BFCF68E359F82B778A27AA90

 

 

chapeau bas falkra !!

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Il y avait au minimum 5-6 familles de bestioles là dedans, il faudra être infiniment plus prudent à l'avenir, côté contenus téléchargés et sites visités, tout ça ne s'attrappe pas n'importe tout seul.

 

On termine 2-3 restes :

 

  • Télécharge Navilog1 (par IL-MAFIOSO) sur ton bureau :
    http://perso.orange.fr/il.mafioso/Navifix/Navilog1.exe
  • Double clique sur Navilog1.exe pour lancer l'installation.
  • Une fois l'installation terminée, double-clique sur le raccourci Navilog1 présent sur le bureau.
     
  • Laisse-toi guider. Appuie sur une touche quand on te le demande.
  • Au menu principal, choisis l'option 1 et valide.
    < Ne fais pas le choix 2 >
     
  • Patiente le temps du scan. Il te sera peut-être demandé de redémarrer ton PC : laisse l'outil le faire automatiquement, sinon redémarre ton PC normalement s'il te le demande.
  • Patiente jusqu'au message "Scan terminé le......"
     
  • Appuie sur une touche comme demandé ; le bloc-notes va s'ouvrir.
  • Copie-colle l'intégralité dans ta prochaine réponse. Referme le bloc-notes.

 

PS : le rapport est, aussi, sauvegardé à la racine du disque dur C:\cleannavi.txt

 

-------------

 

 

On n'a pas terminé il reste des choses pas très nettes côté MBR et quelques clés rootkit.

 

MBAM fonctionnera, mets-le à jour et fais la recherche rapide (premiers posts), poste le rapport stp. :P

patman Mega Power Member

patman

Posté(e)
  • Auteur
Posté(e)

:P

 

bonjour !

 

ok je fais tout ca des demain soir car aujourd'hui c'est la course !!

 

merci encore et joyeux noël à tous !

 

je te post les rapports des que c'est fait .

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...