malware backdoor ? et probleme framework

[sygnud]

Voilou

 

2010-01-22 11:31:49 . 2010-01-22 11:31:49 188 ----a-w- C:\Qoobox\Quarantine\Registry_backups\HKCU-Run-Ashampoo AntiSpyWare 2 Guard.reg.dat

2010-01-22 11:18:07 . 2010-01-22 11:18:07 1,398 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Service_srv2.reg.dat

2010-01-22 11:18:07 . 2010-01-22 11:18:07 990 ----a-w- C:\Qoobox\Quarantine\Registry_backups\Legacy_SRV2.reg.dat

2010-01-22 11:17:02 . 2010-01-22 11:17:02 5,419 ----a-w- C:\Qoobox\Quarantine\Registry_backups\tcpip.reg

2010-01-22 10:28:48 . 2010-01-22 11:07:32 124 ----a-w- C:\Qoobox\Quarantine\catchme.log

2010-01-20 16:49:17 . 2010-01-20 16:48:56 393,216 ----a-w- C:\Qoobox\Quarantine\C\Users\croquis\AppData\Roaming\Microsoft\svchost.exe.vir

2007-05-11 13:59:57 . 2009-11-24 13:31:40 34,416 ----a-w- C:\Qoobox\Quarantine\C\Program Files\Mozilla Thunderbird\plc4.dll.vir

Modifié le 24 janvier 2010 par sygnud

[sygnud]

p'ti up

[Thanos]

salut

 

Désolé pour l'attente!

 

sygnud: peux tu relancer GMER comme la dernière fois stp ? poste le rapport.

[sygnud]

Pas de problème Thanos , c'est déjà bien de m'aider

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-01-26 09:46:16

Windows 6.0.6002 Service Pack 2

Running: ueiid6yp.exe; Driver: C:\Users\croquis\AppData\Local\Temp\ffldrpod.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT \??\C:\Windows\system32\DRIVERS\PavProc.sys ZwTerminateProcess [0xA2A624E8]

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs ShlDrv51.sys (PandaShield driver/Panda Security, S.L.)

 

AttachedDevice \FileSystem\Ntfs \Ntfs pavboot.sys (Panda Boot Driver/Panda Security, S.L.)

AttachedDevice \FileSystem\Ntfs \Ntfs av5flt.sys

 

Device -> \Driver\atapi \Device\Harddisk0\DR0 84C0B841

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7B 0x9E 0x4E 0x45 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x1E 0xED 0xF1 0x4D ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x66 0xD5 0x32 0x8A ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@ujdew 0x7B 0x9E 0x4E 0x45 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04@p0 C:\Program Files\Alcohol Soft\Alcohol 120\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001@ujdew 0x1E 0xED 0xF1 0x4D ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\0D79C293C1ED61418462E24595C90D04\00000001\jdgg40@ujdew 0x66 0xD5 0x32 0x8A ...

 

---- Files - GMER 1.0.15 ----

 

File C:\Windows\system32\drivers\atapi.sys suspicious modification

 

---- EOF - GMER 1.0.15 ----

[Thanos]

re!

 

sygnud, procède à une vérification des fichiers système comme ceci >> http://www.vista-xp.fr/forum/#p929

 

Je me renseigne sur un élément de ton rapport ComboFix qui me fait tiquer...

[sygnud]

c'est le bon lien ?

[Thanos]

re!

 

désolé! voici le bon lien >> http://www.vista-xp.fr/forum/topic346.html

je repasse...

[sygnud]

Je viens de faire le test tout va bien

[Thanos]

salut

 

Aucun message disant que des fichiers système sont corrompus ? Ok on va relancer ComboFix comme ceci >>

 

Rend toi sur cette page afin de télécharger le fichier CFScript > http://senduit.com/c51dc6

Patiente une seconde: le téléchargement va se lancer automatiquement.

• Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
  
  
• Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
  Ne touche à rien tant que le scan n'est pas terminé.
  
• Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  
• Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt
  

Note: Le script proposé est adapté au cas de sygnud

 

Note: Désactive temporairement l'antivirus le temps du scan

[sygnud]

salut ,

Je vais faire ça se soir.

 

Un script rien que pour moi la classe

 

Merci pour tous tes efforts