Analyse rapport Combofix

le 16 janvier 2010

j'ai enregistré gmer sur mon bureau

oui mon antivirus fonctionne normalement

j'ai un virus? qu'en pense tu?

Apollo · le 16 janvier 2010

C'est possible, mais si, par exemple, on a installé et utilisé ComboFix puis désinstallé/réinstallé, cela peut fausser tous les rapports suivants.

Si tu as bien utilisé Gmer comme recommandé, il ne montre rien de très spécial mais on va faire une vérif ou deux.

"N'est pas une application Win32 valide" est parfois le signe d'un Bagle présent ou de TDSS, mais je ne les vois ni dans le rapport ComboFix ni dans Gmer.

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Lance load_tdsskiller en double-cliquant dessus : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
Fais redémarrer ton PC

NB: Pendant la procédure, si TDSSKiller fait apparaître ce message:

Hidden service detected: H8SRTd.sys
Type "delete" (without quotes) to delete it: 14:30:08:000 0256

, tape delete et valide.

@++

le 16 janvier 2010

a la fin ca m'ouvre le bloc note mais il est vide

Apollo · le 16 janvier 2010

Mince

Tu as vu la fenêtre noire je suppose. (pas très longtemps).

Regarde toujours par le poste de travail/double clic sur C pour voir si tu trouves le rapport:

C:\tdsskiller\report.txt)

AVG est la version gratuite? Serais-tu d'accord pour en mettre un autre plus performant et aussi gratuit?

le 16 janvier 2010

j'ai été dans C:/tdsskiller mais il n'y a pas de dossier report

oui je serais ok pour un antivirus plus performant et gratuit

est-ce normal le message d'erreur win32...?

de plus mon ordinateur est très lent

Apollo · le 16 janvier 2010

Je viens de tester l'outil, il m'ouvre un texte vide aussi mais j'ai trouvé le rapport sur le C.

As-tu redémarré le pc après l'utilisation de TDSSKiller? Il faut le faire. Tu verras s'il y a ou non un rapport.

Ok pour l'antivirus, je te dis ça après.

@++

le 16 janvier 2010

j'ai redémarré l'ordinateur et il n'y a pas de rapport

Apollo · le 16 janvier 2010

Ca m'ennuie de ne pas voir ce rapport.

Désolé pour ce contretemps mais je vais te faire recommencer avec le téléchargement direct de l'outil que j'ai téléchargé moi-même chez Kaspersky et que j'ai hébergé.

Il est ultra important que tu l'enregistres sur ton bureau et nulle-part ailleurs.

Télécharge-le ici: http://senduit.com/573c50

Va dans Démarrer/exécuter (ou touches Windows et R) et copie/colle le contenu du cadre (sans le mot code) ci-dessous:

"%userprofile%\bureau\TDSSKiller.exe" -l TDSSlog.txt -v

A la fin de l'exécution, appuie sur une touche comme demandé pour fermer la fenêtre.

Un fichier TDSSlog.txt va apparaitre sur ton bureau.

Ouvre le et poste l'intégralité de son contenu dans ta prochaine réponse.

NB: si l'outil demande un reboot, accepter en tapant Y (yes). ;-

@++

le 16 janvier 2010

[voila le rapport

19:39:08:171 1512 TDSS rootkit removing tool 2.2.2 Jan 13 2010 08:42:25

19:39:08:171 1512 ================================================================================

19:39:08:171 1512 SystemInfo:

19:39:08:171 1512 OS Version: 5.1.2600 ServicePack: 2.0

19:39:08:171 1512 Product type: Workstation

19:39:08:171 1512 ComputerName: MARIE

19:39:08:171 1512 UserName: HP_Propriétaire

19:39:08:171 1512 Windows directory: C:\WINDOWS

19:39:08:171 1512 Processor architecture: Intel x86

19:39:08:171 1512 Number of processors: 1

19:39:08:171 1512 Page size: 0x1000

19:39:08:171 1512 Boot type: Normal boot

19:39:08:171 1512 ================================================================================

19:39:08:171 1512 UnloadDriverW: NtUnloadDriver error 2

19:39:08:171 1512 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

19:39:08:187 1512 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\drivers\klmd.sys) returned status 00000000

19:39:08:234 1512 UtilityInit: KLMD drop and load success

19:39:08:234 1512 KLMD_OpenDevice: Trying to open KLMD Device(KLMD201000)

19:39:08:234 1512 UtilityInit: KLMD open success

19:39:08:234 1512 UtilityInit: Initialize success

19:39:08:234 1512

19:39:08:234 1512 Scanning Services ...

19:39:08:234 1512 CreateRegParser: Registry parser init started

19:39:08:234 1512 DisableWow64Redirection: GetProcAddress(Wow64DisableWow64FsRedirection) error 127

19:39:08:234 1512 CreateRegParser: DisableWow64Redirection error

19:39:08:234 1512 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

19:39:08:234 1512 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\system) returned status C0000043

19:39:08:234 1512 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

19:39:08:234 1512 wfopen_ex: Trying to KLMD file open

19:39:08:234 1512 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\system

19:39:08:234 1512 wfopen_ex: File opened ok (Flags 2)

19:39:08:234 1512 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\system) init success: 9C4938

19:39:08:234 1512 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

19:39:08:250 1512 MyNtCreateFileW: NtCreateFile(\??\C:\WINDOWS\system32\config\software) returned status C0000043

19:39:08:250 1512 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

19:39:08:250 1512 wfopen_ex: Trying to KLMD file open

19:39:08:250 1512 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\config\software

19:39:08:250 1512 wfopen_ex: File opened ok (Flags 2)

19:39:08:250 1512 CreateRegParser: HIVE_ADAPTER(C:\WINDOWS\system32\config\software) init success: 9C49E0

19:39:08:250 1512 EnableWow64Redirection: GetProcAddress(Wow64RevertWow64FsRedirection) error 127

19:39:08:250 1512 CreateRegParser: EnableWow64Redirection error

19:39:08:250 1512 CreateRegParser: RegParser init completed

19:39:08:562 1512 GetAdvancedServicesInfo: Raw services enum returned 305 services

19:39:08:562 1512 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

19:39:08:562 1512 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

19:39:08:562 1512

19:39:08:562 1512 Scanning Kernel memory ...

19:39:08:562 1512 KLMD_GetSystemObjectAddressByNameW: Trying to get system object address by name \Driver\Disk

19:39:08:562 1512 DetectCureTDL3: \Driver\Disk PDRIVER_OBJECT: 86532A08

19:39:08:562 1512 DetectCureTDL3: KLMD_GetDeviceObjectList returned 13 DevObjects

19:39:08:562 1512

19:39:08:562 1512 DetectCureTDL3: DEVICE_OBJECT: 85E43868

19:39:08:562 1512 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85E43868

19:39:08:562 1512 KLMD_ReadMem: Trying to ReadMemory 0x85E43868[0x38]

19:39:08:562 1512 DetectCureTDL3: DRIVER_OBJECT: 86532A08

19:39:08:562 1512 KLMD_ReadMem: Trying to ReadMemory 0x86532A08[0xA8]

19:39:08:562 1512 KLMD_ReadMem: Trying to ReadMemory 0xE1023930[0x18]

19:39:08:562 1512 DetectCureTDL3: DRIVER_OBJECT name: \Driver\Disk, Driver Name: Disk

19:39:08:562 1512 DetectCureTDL3: IrpHandler (0) addr: F7676C30

19:39:08:562 1512 DetectCureTDL3: IrpHandler (1) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (2) addr: F7676C30

19:39:08:562 1512 DetectCureTDL3: IrpHandler (3) addr: F7670D9B

19:39:08:562 1512 DetectCureTDL3: IrpHandler (4) addr: F7670D9B

19:39:08:562 1512 DetectCureTDL3: IrpHandler (5) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (6) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (7) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler ( addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (9) addr: F7671366

19:39:08:562 1512 DetectCureTDL3: IrpHandler (10) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (11) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (12) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (13) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (14) addr: F767144D

19:39:08:562 1512 DetectCureTDL3: IrpHandler (15) addr: F7674FC3

19:39:08:562 1512 DetectCureTDL3: IrpHandler (16) addr: F7671366

19:39:08:562 1512 DetectCureTDL3: IrpHandler (17) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (18) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (19) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (20) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (21) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (22) addr: F7672EF3

19:39:08:562 1512 DetectCureTDL3: IrpHandler (23) addr: F7677A24

19:39:08:562 1512 DetectCureTDL3: IrpHandler (24) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (25) addr: 804F320E

19:39:08:562 1512 DetectCureTDL3: IrpHandler (26) addr: 804F320E

19:39:08:562 1512 TDL3_FileDetect: Processing driver: Disk

19:39:08:562 1512 TDL3_FileDetect: Processing driver file: C:\WINDOWS\system32\DRIVERS\disk.sys

19:39:08:562 1512 KLMD_CreateFileW: Trying to open file C:\WINDOWS\system32\DRIVERS\disk.sys

19:39:08:562 1512 TDL3_FileDetect: C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

19:39:08:562 1512

19:39:08:562 1512 DetectCureTDL3: DEVICE_OBJECT: 85E85C68

19:39:08:562 1512 KLMD_GetLowerDeviceObject: Trying to get lower device object for 85E85C68

19:39:08:562 1512 KLMD_ReadMem: Trying to ReadMemory 0x85E85C68[0x38]