Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

erreur 1068

trapier88

Par trapier88
dans Analyses et éradication malwares

 Partager

Messages recommandés

trapier88 Member

trapier88

Posté(e)
  • Auteur
Posté(e)

Voilà le rapport findykill

 

 

 

############################## | FindyKill V5.024 |

 

# User : Admin (Administrateurs) # ACER5100

# Update on 09/01/2010 by El Desaparecido

# Start at: 16:21:26 | 20/01/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# AMD Turion 64 X2 Mobile Technology TL-50

# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 8.0.6001.18702

# Windows Firewall Status : Enabled

# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

 

# C:\ # Disque fixe local # 38,09 Go (25,49 Go free) [ACER] # NTFS

# D:\ # Disque fixe local # 36,43 Go (33,72 Go free) [ACERDATA] # NTFS

# E:\ # Disque CD-ROM

# F:\ # Disque amovible # 488,6 Mo (487,47 Mo free) # FAT

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Application Updater\ApplicationUpdater.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\HP\HP Software Update\HPWuSchd2.exe

C:\Program Files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe

C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe

C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

############################## | Processus infectieux stoppés |

 

"C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe" (2172)

 

################## | C: |

 

 

################## | C:\WINDOWS |

 

 

################## | C:\WINDOWS\Prefetch |

 

Présent ! C:\WINDOWS\Prefetch\14838640.EXE-285531E8.pf

 

################## | C:\WINDOWS\system32 |

 

Présent ! C:\WINDOWS\system32\srosa2.sys

Présent ! C:\WINDOWS\system32\wfsintwq.sys

 

################## | C:\WINDOWS\system32\drivers |

 

 

################## | C:\Documents and Settings\Admin\Application Data |

 

Présent ! C:\Documents and Settings\Admin\Application Data\drivers

Présent ! C:\Documents and Settings\Admin\Application Data\drivers\downld

Présent ! C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe

 

################## | Temporary Internet Files |

 

 

################## | Registre |

 

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\ControlSet001\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]

Présent ! [HKLM\SYSTEM\CurrentControlSet\Services\srosa]

Présent ! [HKLM\SYSTEM\ControlSet001\Services\srosa]

Présent ! [HKLM\SYSTEM\ControlSet003\Services\srosa]

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]

Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SK9OU0S]

Présent ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]

Présent ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Présent ! [HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_SROSA]

Présent ! [HKCU\Software\bisoft]

Présent ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Présent ! [HKU\S-1-5-21-1644491937-1580436667-682003330-1004\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Présent ! [HKU\S-1-5-21-1644491937-1580436667-682003330-1004\Software\bisoft]

Présent ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

Présent ! [HKU\S-1-5-21-1644491937-1580436667-682003330-1004\Software\Local AppWizard-Generated Applications\winupgro]

 

################## | Etat |

 

# Affichage des fichiers cachés : OK

 

Clé manquante : HKLM\...\SafeBoot | Mode sans echec non fonctionnel !

 

# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) SharedAccess -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) wuauserv -> Start = 4 ( Good = 2 | Bad = 4 )

# (!) wscsvc -> Start = 4 ( Good = 2 | Bad = 4 )

 

 

################## | Cracks > Keygens > Serials |

 

 

################## | ! Fin du rapport # FindyKill V5.024 ! |

trapier88 Member

trapier88

Posté(e)
  • Auteur
Posté(e)

voilà le rapport apres nettoyage:

 

############################## | FindyKill V5.024 |

 

# User : Admin (Administrateurs) # ACER5100

# Update on 09/01/2010 by El Desaparecido

# Start at: 16:34:23 | 20/01/2010

# Website : http://pagesperso-orange.fr/NosTools/index.html

# Contact : FindyKill.Contact@gmail.com

 

# AMD Turion 64 X2 Mobile Technology TL-50

# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3

# Internet Explorer 8.0.6001.18702

# Windows Firewall Status : Enabled

# AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]

 

# C:\ # Disque fixe local # 38,09 Go (25,49 Go free) [ACER] # NTFS

# D:\ # Disque fixe local # 36,43 Go (33,72 Go free) [ACERDATA] # NTFS

# E:\ # Disque CD-ROM

 

############################## | Processus actifs |

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Application Updater\ApplicationUpdater.exe

C:\Program Files\IVT Corporation\BlueSoleil\BTNtService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Seagate\SeagateManager\Sync\FreeAgentService.exe

C:\WINDOWS\system32\logonui.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

################## | C: |

 

 

################## | C:\WINDOWS |

 

 

################## | C:\WINDOWS\Prefetch |

 

Supprimé ! C:\WINDOWS\Prefetch\14838640.EXE-285531E8.pf

Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-0A01C4F7.pf

Supprimé ! C:\WINDOWS\Prefetch\WINUPGRO.EXE-17681AA8.pf

 

################## | C:\WINDOWS\system32 |

 

Supprimé ! C:\WINDOWS\system32\srosa2.sys

Supprimé ! C:\WINDOWS\system32\wfsintwq.sys

 

################## | C:\WINDOWS\system32\drivers |

 

 

################## | C:\Documents and Settings\Admin\Application Data |

 

Supprimé ! C:\Documents and Settings\Admin\Application Data\drivers\downld

Supprimé ! C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe

Supprimé ! C:\Documents and Settings\Admin\Application Data\drivers

 

################## | Références de comparaison Bagle MD5 : |

 

File : C:\Documents and Settings\Admin\Application Data\drivers\winupgro.exe

-> Crc32 : 25eeea8c | Md5 : 6f45666073be0bb694c2eb6b9b541326

 

 

################## | Autres suppressions ... |

 

Supprimé ! "C:\Program Files\Auslogics\Auslogics BoostSpeed\BoostSpeed.exe"

-> Size : 845312 | Crc32 : 25eeea8c | Md5 : 6f45666073be0bb694c2eb6b9b541326

 

Supprimé ! "C:\Program Files\Windows Live\Messenger\msnmsgr.exe"

-> Size : 845312 | Crc32 : 25eeea8c | Md5 : 6f45666073be0bb694c2eb6b9b541326

 

Supprimé ! "C:\System Volume Information\_restore{85DD4728-201D-41FD-9144-3E5C896ED57C}\RP4\A0001445.sys"

-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b

 

Supprimé ! "C:\System Volume Information\_restore{85DD4728-201D-41FD-9144-3E5C896ED57C}\RP4\A0001461.sys"

-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b

 

Supprimé ! "C:\System Volume Information\_restore{85DD4728-201D-41FD-9144-3E5C896ED57C}\RP4\A0001472.sys"

-> Size : 7168 | Crc32 : f30c6949 | Md5 : 524d8d450622db4a7875b111c299a76b

 

Supprimé ! "C:\System Volume Information\_restore{85DD4728-201D-41FD-9144-3E5C896ED57C}\RP4\A0001484.exe"

-> Size : 845312 | Crc32 : 25eeea8c | Md5 : 6f45666073be0bb694c2eb6b9b541326

 

Supprimé ! "C:\System Volume Information\_restore{85DD4728-201D-41FD-9144-3E5C896ED57C}\RP4\A0001485.exe"

-> Size : 845312 | Crc32 : 25eeea8c | Md5 : 6f45666073be0bb694c2eb6b9b541326

 

Supprimé ! "C:\System Volume Information\_restore{85DD4728-201D-41FD-9144-3E5C896ED57C}\RP4\A0001486.exe"

-> Size : 845312 | Crc32 : 25eeea8c | Md5 : 6f45666073be0bb694c2eb6b9b541326

 

################## | Temporary Internet Files |

 

 

################## | Registre |

 

Supprimé ! [HKLM\SYSTEM\ControlSet003\Services\sK9Ou0s]

Supprimé ! [HKLM\SYSTEM\ControlSet003\Services\srosa]

Supprimé ! [HKLM\SYSTEM\ControlSet003\Enum\Root\LEGACY_SK9OU0S]

Supprimé ! [HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SROSA]

Supprimé ! [HKCU\Software\bisoft]

Supprimé ! [HKCU\Software\Microsoft\Windows\CurrentVersion\Run] "drvsyskit"

Supprimé ! [HKCU\Software\Local AppWizard-Generated Applications\winupgro]

 

################## | Etat |

 

# Mode sans echec restauré !

 

# Affichage des fichiers cachés : OK

 

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )

# EapHost -> Start = 2 ( Good = 2 | Bad = 4 )

# Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )

# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )

# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )

 

################## | PEH |

 

Corrompu : C:\Program Files\Avira\AntiVir Desktop\avcenter.exe

[Offset = 0000010C - Valeur = 0x0001]

 

Corrompu : C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

[Offset = 0000010C - Valeur = 0x0001]

 

Corrompu : C:\Program Files\Avira\AntiVir Desktop\avguard.exe

[Offset = 00000104 - Valeur = 0x0001]

 

Corrompu : C:\Program Files\Avira\AntiVir Desktop\sched.exe

[Offset = 0000010C - Valeur = 0x0001]

 

Corrompu : C:\Program Files\Unlocker\UnlockerAssistant.exe

[Offset = 000000E4 - Valeur = 0x0001]

 

 

################## | Cracks > Keygens > Serials |

 

 

################## | ! Fin du rapport # FindyKill V5.024 ! |

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonsoir à vous deux, et désolé pour la petite intrusion ;

 

Je remarque que la variante présente cette fois-ci n'est pas la même que lors du passage précédent de FindyKill ; bizarre... Il peut y avoir une ou deux explications pour ça, mais on ne pourra pas vérifier car l'outil n'a pas de quarantaine alors impossible d'analyser les fichiers détruits. Cette fois-ci par contre, deux réinfecteurs ont été neutralisés alors souhaitons que la bête ne revienne plus. Les nouvelles variantes se succèdent rapidement on dirait et nous n'avons pas d'échantillons... dommage. Autre point : nouvelle variante signifie que l'antivirus risque de ne pas voir si d'autres fichiers infectés existent sur la machine.

 

Dis-nous si la machine se réinfecte : on passera peut-être un autre outil pour tenter de récolter des spécimènes...

 

Dernier point : tu dois également désinstaller AntiVir, redémarrer, puis le réinstaller.

 

@+

trapier88 Member

trapier88

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

 

J'ai réinstallé Avira,il a trouvé 4 infections:3 parTR/rootkit.gen et une par TR/crypt.TPM.gen

Malwarebytes n'a rien trouvé

Je suis en train de faire un Kaspersky

Je te tiens au courant

Cordialement

trapier88 Member

trapier88

Posté(e)
  • Auteur
Posté(e)

Voilà le rapport kaspersky:

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0: scan report

Wednesday, January 20, 2010

Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

Kaspersky Online Scanner version: 7.0.26.13

Last database update: Wednesday, January 20, 2010 18:58:06

Records in database: 3350502

--------------------------------------------------------------------------------

 

Scan settings:

scan using the following database: extended

Scan archives: yes

Scan e-mail databases: yes

 

Scan area - My Computer:

C:\

D:\

E:\

 

Scan statistics:

Objects scanned: 62938

Threats found: 1

Infected objects found: 1

Suspicious objects found: 0

Scan duration: 01:07:19

 

 

File name / Threat / Threats count

C:\Program Files\eMule\Incoming\VeryPDF PDF Editor v2.0 WinALL Incl Keygen by ViRiLiTY(1).zip Infected: Trojan-Downloader.Win32.Bagle.cld 1

 

Selected area has been scanned.

 

Et maintenant que faut il faire?

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour trapier88 :P

 

Oui, il faut les supprimer. Mais avant de le faire, j'aimerais bien récupérer celui détecté par Kaspersky, pour analyse. C'est tout simple :

 

Va sur le site de Senduit :

http://www.senduit.com/

 

- Clique sur "Parcourir..." et trouve le fichier suivant :

 

C:\Program Files\eMule\Incoming\VeryPDF PDF Editor v2.0 WinALL Incl Keygen by ViRiLiTY(1).zip

 

- Double-clique dessus pour le sélectionner.

- Ne clique pas sur "Upload" tout de suite ; modifie l'option "Expire in:" (juste au dessous) à 3 days

- Clique maintenant sur "Upload" et patiente un brin ;

- Lorsque la remontée sera terminée, une adresse apparaîtra dans la boîte (en bleue) ; copie/colle cette adresse (URL) dans un fichier du Bloc notes afin de la conserver ;

- Reviens sur le forum et clique sur mon profil (à gauche) afin de m'envoyer ce lien (URL) par messagerie perso, s'il te plait.

 

Tu peux maintenant supprimer les fichiers. Merci :P

 

Si la machine ne se réinfecte pas, ça devrait aller. On fera juste un peu de nettoyage/ménage par la suite.

 

@+

 

Mark

trapier88 Member

trapier88

Posté(e)
  • Auteur
Posté(e)

Bonsoir Mark,

 

Merci de ton aide

Désolé sans réponse depuis ce matin,j'ai supprimé les deux fichiers

Depuis 14h je travaille sur le PC et je n'ai rien remarqué

J'ai refait un scan Avira:RAS

 

Cordialement

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...