TR/Hijacker.Gen - Trojan résolu

Apollo · le 4 juin 2010

Bonjour,

:arrow: Désactive ton antivirus puis télécharge GMER Rootkit Scanner (Clique sur le bouton Download EXE pour lancer le téléchargement) et enregistre le sur ton bureau.

Imprime les instructions de cette page pour les avoir sous les yeux (ou copie-colle les dans le bloc-notes): il va falloir fermer ton navigateur
Ferme toutes les fenêtres de tous les programmes en cours d'exécution y compris celles de ton navigateur
Si tu es sous Vista/Seven, Clique droit sur le fichier que tu viens de télécharger et choisis Exécuter en tant qu'administrateur.
Si tu es sous XP, Double-clique sur le fichier que tu viens de télécharger pour lancer son exécution.
Une courte analyse va se lancer. Attends qu'elle soit terminée.
:att: Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
Dans la partie droite de la fenêtre assure-toi que "Show All" est décoché et ne laisse cochée que la partition système (généralement C:)
Clique sur le bouton Scan et patiente tout le temps du scan.
A la fin de l'analyse, clique sur le bouton Save
Sauvegarde le rapport sur ton bureau et appelle le Ark.
Ouvre le fichier Ark.log qui est sur ton bureau et copie/colle tout son contenu dans ta prochaine réponse.

@++

jade-laurence · le 4 juin 2010

salut

voici le rapport:

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-06-04 17:01:41

Windows 6.0.6002 Service Pack 2

Running: 9lyfhpmz.exe; Driver: C:\Users\Jade\AppData\Local\Temp\ugldqpob.sys

---- System - GMER 1.0.15 ----

SSDT 9D35AC3C ZwCreateThread

SSDT 9D35AC28 ZwOpenProcess

SSDT 9D35AC2D ZwOpenThread

SSDT 9D35AC37 ZwTerminateProcess

---- Kernel code sections - GMER 1.0.15 ----

.text ntoskrnl.exe!KeInsertQueue + 411 828BFA08 4 Bytes [3C, AC, 35, 9D]

.text ntoskrnl.exe!KeInsertQueue + 5E1 828BFBD8 4 Bytes [28, AC, 35, 9D]

.text ntoskrnl.exe!KeInsertQueue + 5FD 828BFBF4 4 Bytes [2D, AC, 35, 9D]

.text ntoskrnl.exe!KeInsertQueue + 811 828BFE08 4 Bytes [37, AC, 35, 9D]

.rsrc C:\Windows\system32\drivers\crcdisk.sys entry point in ".rsrc" section [0x88DD3014]

.text C:\Windows\system32\DRIVERS\nvlddmkm.sys section is writeable [0x8C806340, 0x2926E7, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Windows\system32\svchost.exe[1924] ntdll.dll!NtProtectVirtualMemory 77774D34 5 Bytes JMP 0014000A

.text C:\Windows\system32\svchost.exe[1924] ntdll.dll!NtWriteVirtualMemory 77775674 5 Bytes JMP 0015000A

.text C:\Windows\system32\svchost.exe[1924] ntdll.dll!KiUserExceptionDispatcher 77775DC8 5 Bytes JMP 0012000A

.text C:\Windows\system32\svchost.exe[1924] ole32.dll!CoCreateInstance 77429EA6 5 Bytes JMP 00B1000A

.text C:\Windows\system32\svchost.exe[1924] USER32.dll!GetCursorPos 76BB0B88 5 Bytes JMP 014E000A

.text C:\Windows\Explorer.EXE[3024] ntdll.dll!NtProtectVirtualMemory 77774D34 5 Bytes JMP 0020000A

.text C:\Windows\Explorer.EXE[3024] ntdll.dll!NtWriteVirtualMemory 77775674 5 Bytes JMP 0021000A

.text C:\Windows\Explorer.EXE[3024] ntdll.dll!KiUserExceptionDispatcher 77775DC8 5 Bytes JMP 001F000A

.text C:\Windows\system32\wuauclt.exe[3632] ntdll.dll!NtProtectVirtualMemory 77774D34 5 Bytes JMP 0022000A

.text C:\Windows\system32\wuauclt.exe[3632] ntdll.dll!NtWriteVirtualMemory 77775674 5 Bytes JMP 0023000A

.text C:\Windows\system32\wuauclt.exe[3632] ntdll.dll!KiUserExceptionDispatcher 77775DC8 5 Bytes JMP 0021000A

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\Explorer.EXE[3024] @ C:\Windows\Explorer.EXE [gdiplus.dll!GdiplusShutdown] [74737817] C:\Windows\WinSxS\x86_microsoft.windows.gdiplus_6595b64144ccf1df_1.0.6002.18005_none_9e50b396