Infection par trojan

fabulous gian · le 25 avril 2010

Gof,

J'ai fait les 2 manips que tu indiques dans ton message précédent. Je ne rencontre aucun problème avec Combo fix; tu trouveras ci dessous le rapport d'analyse. Par contre, GMER fait systématiquement planter mon ordi. As tu une solution à me proposer.

Merci beaucoup pour toute l'aide que tu m'appportes.

FG

ComboFix 10-04-21.01 - Pietro et Marie 25/04/2010 17:14:43.1.1 - x86

Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.1918.827 [GMT 2:00]

Lancé depuis: c:\users\Pietro et Marie\Desktop\ComboFix.exe

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

* Un antivirus résident est actif

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\$recycle.bin\S-1-5-21-1778506392-2858034369-1054927713-500

c:\$recycle.bin\S-1-5-21-2742293751-2718790673-3082532021-500

c:\$recycle.bin\S-1-5-21-684634464-1338253073-1157745574-500

c:\users\Pietro et Marie\AppData\Roaming\Desktopicon

c:\users\Pietro et Marie\AppData\Roaming\Desktopicon\config.ini

c:\users\Pietro et Marie\AppData\Roaming\Desktopicon\eBayShortcuts.exe

Une copie infectée de c:\windows\system32\drivers\nvstor32.sys a été trouvée et désinfectée

Copie restaurée à partir de - Kitty had a snack

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-25 au 2010-04-25 ))))))))))))))))))))))))))))))))))))

.

2010-04-25 13:31 . 2010-04-25 13:31 -------- d-----w- C:\_OTM

2010-04-25 12:41 . 2010-04-25 12:41 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\Malwarebytes

2010-04-25 12:41 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-25 12:41 . 2010-04-25 12:41 -------- d-----w- c:\programdata\Malwarebytes

2010-04-25 12:41 . 2010-04-25 12:41 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-04-25 12:41 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-25 12:08 . 2010-04-25 12:09 -------- d-----w- c:\program files\trend micro

2010-04-25 12:08 . 2010-04-25 12:09 -------- d-----w- C:\rsit

2010-04-24 10:07 . 2010-04-24 10:07 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\Avira

2010-04-23 09:24 . 2010-04-23 09:15 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys

2010-04-23 09:24 . 2010-04-23 09:15 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-04-23 09:24 . 2010-04-23 09:15 97608 ----a-w- c:\windows\system32\drivers\avfwot.sys

2010-04-23 09:24 . 2010-04-23 09:15 69632 ----a-w- c:\windows\system32\drivers\avfwim.sys

2010-04-23 09:24 . 2010-04-23 09:24 -------- d-----w- c:\program files\Avira

2010-04-23 07:39 . 2010-04-23 09:28 -------- d-----w- c:\windows\system32\MpEngineStore

2010-04-22 21:20 . 2010-04-23 08:58 -------- d-----w- c:\program files\Audio Converter File

2010-04-21 16:16 . 2010-04-23 15:54 1 ----a-w- c:\users\Pietro et Marie\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-04-21 16:16 . 2010-04-21 16:16 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\OpenOffice.org

2010-04-21 15:54 . 2010-04-21 15:54 -------- d-----w- c:\program files\JRE

2010-04-21 15:53 . 2010-04-21 15:54 -------- d-----w- c:\program files\OpenOffice.org 3

2010-04-21 15:53 . 2010-04-21 15:53 -------- d-----w- c:\program files\Common Files\Java

2010-04-21 15:53 . 2010-04-21 15:52 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-04-21 15:52 . 2010-04-21 15:52 -------- d-----w- c:\program files\Java

2010-04-21 15:51 . 2010-04-21 15:51 -------- d-----w- c:\program files\Open Office

2010-04-21 13:30 . 2010-04-21 13:30 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\Template

2010-04-18 06:56 . 2010-02-12 10:48 293376 ----a-w- c:\windows\system32\browserchoice.exe

2010-04-16 22:00 . 2010-02-23 11:32 212992 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys

2010-04-16 22:00 . 2010-02-23 11:32 78848 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys

2010-04-16 22:00 . 2010-02-23 11:32 105984 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-04-16 22:00 . 2010-03-05 14:01 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-04-16 21:59 . 2010-02-18 14:49 898952 ----a-w- c:\windows\system32\drivers\tcpip.sys

2010-04-16 21:59 . 2010-02-18 14:11 190464 ----a-w- c:\windows\system32\iphlpsvc.dll

2010-04-16 21:59 . 2010-02-18 11:52 25088 ----a-w- c:\windows\system32\drivers\tunnel.sys

2010-04-16 21:58 . 2009-12-23 12:43 171520 ----a-w- c:\windows\system32\wintrust.dll

2010-04-16 21:58 . 2010-01-15 00:04 98304 ----a-w- c:\windows\system32\cabview.dll

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-25 15:19 . 2009-06-02 01:18 669328 ----a-w- c:\windows\system32\perfh00C.dat

2010-04-25 15:19 . 2009-06-02 01:18 123350 ----a-w- c:\windows\system32\perfc00C.dat

2010-04-23 20:20 . 2009-08-20 11:29 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\vlc

2010-04-23 13:19 . 2010-01-12 20:04 -------- d-----w- c:\program files\NiouzeFire

2010-04-23 09:24 . 2009-10-14 18:54 -------- d-----w- c:\programdata\Avira

2010-04-23 07:13 . 2010-01-25 18:01 680 ----a-w- c:\users\Pietro et Marie\AppData\Local\d3d9caps.dat

2010-04-22 14:42 . 2009-08-17 17:49 -------- d-----w- c:\program files\uTorrent

2010-04-22 14:42 . 2009-08-17 17:48 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\uTorrent

2010-04-22 14:41 . 2009-10-16 19:28 -------- d-----w- c:\program files\URUSoft

2010-04-21 21:43 . 2009-08-14 16:44 83016 ----a-w- c:\users\Pietro et Marie\AppData\Local\GDIPFONTCACHEV1.DAT

2010-04-21 13:30 . 2010-04-21 13:30 126 ----a-w- c:\users\Pietro et Marie\AppData\Roaming\wklnhst.dat

2010-04-20 18:17 . 2009-08-21 19:30 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\dvdcss

2010-04-18 09:36 . 2009-08-15 15:41 -------- d-----w- c:\programdata\Microsoft Help

2010-04-17 19:12 . 2010-01-10 14:03 -------- d-----w- c:\users\Pietro et Marie\AppData\Roaming\VSO

2010-04-17 07:44 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2010-03-27 17:43 . 2009-06-01 17:07 588472 ----a-w- c:\windows\system32\ezsvc7x.dll

2010-03-02 21:43 . 2010-01-21 22:19 -------- d-----w- c:\programdata\DVD Shrink

2010-02-24 08:16 . 2009-10-15 00:23 181632 ------w- c:\windows\system32\MpSigStub.exe

2010-02-23 06:39 . 2010-04-07 18:51 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-23 06:33 . 2010-04-07 18:51 71680 ----a-w- c:\windows\system32\iesetup.dll

2010-02-23 06:33 . 2010-04-07 18:51 109056 ----a-w- c:\windows\system32\iesysprep.dll

2010-02-23 04:55 . 2010-04-07 18:51 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2009-06-02 02:06 . 2009-06-02 02:04 8192 --sha-w- c:\windows\Users\Default\NTUSER.DAT

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-21 1233920]

"HPADVISOR"="c:\program files\Hewlett-Packard\HP Advisor\HPAdvisor.exe" [2009-04-04 1644088]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-21 202240]

"SoftAuto.exe"="c:\program files\Creative\Software Update 3\SoftAuto.exe" [2008-08-13 405504]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"hpsysdrv"="c:\program files\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2009-03-08 13687328]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2009-03-08 92704]

"HP Health Check Scheduler"="c:\program files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe" [2008-12-04 75016]

"UpdateP2GoShortCut"="c:\program files\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]

"UpdateLBPShortCut"="c:\program files\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]

"UpdatePDIRShortCut"="c:\program files\CyberLink\PowerDirector\MUITransfer\MUIStartMenu.exe" [2008-12-03 218408]

"UpdatePSTShortCut"="c:\program files\CyberLink\CyberLink DVD Suite Deluxe\MUITransfer\MUIStartMenu.exe" [2009-02-02 210216]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-04-23 209153]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-03-29 1086856]

c:\users\Pietro et Marie\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OneNote 2007 - Capture d'‚cran et lancement.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

OpenOffice.org 3.2.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-12-15 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

WDDMStatus.lnk - c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe [2009-11-13 2057536]

WDSmartWare.lnk - c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe [2009-11-13 9117504]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

"HideFastUserSwitching"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

R2 peapytwq;Bluetooth Serial Communications Helper;c:\windows\System32\svchost.exe [2008-01-21 21504]

R3 CTUPnPSv;Creative Centrale Media Server;c:\program files\Creative\Creative Centrale\CTUPnPSv.exe [2008-05-21 64000]

R3 PCDSRVC{4F253FFC-7957E8FC-06000000}_0;PCDSRVC{4F253FFC-7957E8FC-06000000}_0 - PCDR Kernel Mode Service Helper Driver;c:\program files\pc-doctor for windows\pcdsrvc.pkms [2009-02-02 20848]

R3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\DRIVERS\wdcsam.sys [2009-02-13 11520]

S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2010-04-23 97608]

S2 AntiVirFirewallService;Avira Pare-feu;c:\program files\Avira\AntiVir Desktop\avfwsvc.exe [2010-04-23 388865]

S2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2010-04-23 194817]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-04-23 108289]

S2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2010-04-23 434945]

S2 ezSharedSvc;Easybits Shared Services for Windows;c:\windows\system32\svchost.exe [2008-01-21 21504]

S2 WDDMService;WD SmartWare Drive Manager;c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [2009-11-13 110592]

S2 WDSmartWareBackgroundService;WD SmartWare Background Service;c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [2009-06-16 20480]

S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2010-04-23 69632]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceNoNetwork REG_MULTI_SZ PLA DPS BFE mpssvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

peapytwq

ezSharedSvc

.

Contenu du dossier 'Tâches planifiées'

2010-04-19 c:\windows\Tasks\PCDRScheduledMaintenance.job

- c:\program files\PC-Doctor for Windows\pcdr5cuiw32.exe [2009-02-02 19:00]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.com/

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=93&bd=Presario&pf=cndt

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

TCP: {84DD8846-44BB-41FB-B923-A90BD35275E5} = 208.67.222.222 208.67.220.220

DPF: {04CB5B64-5915-4629-B869-8945CEBADD21} - hxxps://static.impots.gouv.fr/abos/static/securite/certdgi1.cab

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-25 17:24

Windows 6.0.6001 Service Pack 1 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCDSRVC{4F253FFC-7957E8FC-06000000}_0]

"ImagePath"="\??\c:\program files\pc-doctor for windows\pcdsrvc.pkms"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-684634464-1338253073-1157745574-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.*N*o*R*a*r*s*"!\OpenWithList]

@Class="Shell"

.

Heure de fin: 2010-04-25 17:27:52

ComboFix-quarantined-files.txt 2010-04-25 15:27

Avant-CF: 182 420 410 368 octets libres

Après-CF: 189 178 859 520 octets libres

- - End Of File - - 26C46DD4CE6B2081875C03B083B7C6DB

Gof · le 25 avril 2010

Ok

Exécute ceci je te prie. Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous:

http://ad13.geekstogo.com/RootRepeal.zip

http://rootrepeal.googlepages.com/RootRepeal.zip

http://rootrepeal.psikotick.com/RootRepeal.zip

Enregistre le fichier sur ton Bureau.
Crée un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)
Décompresse l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis extraire vers C:\RootRepeal)
Double-clique sur Rootrepeal(.exe) (Sous Vista, il faut faire un clic droit sur le fichier, et Exécuter en tant qu'administrateur).

/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils. /!\.(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

Clique sur l'onglet Report (en bas de la fenêtre) puis sur le bouton Scan.
Dans la nouvelle fenêtre Select Scan, coche:

+ Drivers
+ Files

+ Processes

+ Stealth Objects

+ Hidden Services

Clique sur le bouton OK
Dans la nouvelle fenêtre Select Drives, coche le lecteur système (généralement C:\)
Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.
Lorsque l'analyse est terminée, un rapport va s'ouvrir, ferme le.
Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal n1.txt
Ouvre le menu File (en haut à gauche), clique sur Exit pour fermer le programme.

/!\ Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

--> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepeal n1.txt)

Note : Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

fabulous gian · le 25 avril 2010

Gof,

Impossible de lancer RootRepeal. L'application fait planter mon pc à chaque fois.

Que faire?

FG

Gof · le 25 avril 2010

On poursuit. Ne t'inquiète pas, on nettoiera/désinstallera ensuite tous ces outils ensemble.

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau en cliquant sur ce lien :

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

Encore une fois, il vaut mieux désactiver l'antivirus et les outils de sécurité
Lance load_tdsskiller en l'exécutant en tant qu'Administrateur : l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller, puis va lancer le scan
A la fin du scan, appuie sur une touche pour continuer, comme l'indique le message dans la fenêtre noire d'invite de commande
Le rapport s'affichera automatiquement : copie-colle son contenu dans ta prochaine réponse (le fichier est également présent ici : C:\tdsskiller\report.txt)
Fais redémarrer ton PC

fabulous gian · le 25 avril 2010

Gof,

J'ai fait la manip et TDSSKiller me dit la chose suivante :

TDSS rootkit removing tool, Kaspersky Lab, 2010

version 2.2.8.1 Mar 22 2010 10:43:04

Scanning Services ...

Scanning Kernel memory ...

Completed

Results:

Memory objects infected / cured / cured on reboot: 0 / 0 / 0

Registry objects infected / cured / cured on reboot: 0 / 0 / 0

File objects infected / cured / cured on reboot: 0 / 0 / 0

Appuyez sur une touche pour continuer...

En appuyant sur une touche, le rapport dans le bloc note est vide.

Je n'y comprends rien!!

fabulous gian · le 26 avril 2010

Ok

Exécute ceci je te prie. Télécharge RootRepeal via un clic droit sur l'un des liens ci-dessous:

http://ad13.geekstogo.com/RootRepeal.zip

http://rootrepeal.googlepages.com/RootRepeal.zip

http://rootrepeal.psikotick.com/RootRepeal.zip

Enregistre le fichier sur ton Bureau.

Crée un nouveau dossier nommé RootRepeal à la racine du disque système (généralement C:\)

Décompresse l'archive téléchargée dans ce nouveau dossier RootRepeal (Fais un clic droit sur l'archive et choisis extraire vers C:\RootRepeal)

Double-clique sur Rootrepeal(.exe) (Sous Vista, il faut faire un clic droit sur le fichier, et Exécuter en tant qu'administrateur).

/!\ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils. /!\.(aide si besoin : http://forum.pcastuces.com/desactiver_les_...entes-f31s4.htm Merci Morgane )

Clique sur l'onglet Report (en bas de la fenêtre) puis sur le bouton Scan.

Dans la nouvelle fenêtre Select Scan, coche:

Clique sur le bouton OK

Dans la nouvelle fenêtre Select Drives, coche le lecteur système (généralement C:\)

Note: Cette analyse prend un certain temps. NE PAS LANCER d'autres programmes tant qu'elle est active.

Lorsque l'analyse est terminée, un rapport va s'ouvrir, ferme le.

Clique sur le bouton "Save report" et enregistre le fichier rapport dans le dossier RootRepeal sous le nom RootRepeal n1.txt

Ouvre le menu File (en haut à gauche), clique sur Exit pour fermer le programme.

/!\ Ré-active la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à Internet. /!\

--> Poste en réponse le rapport de RootRepeal (contenu du fichier RootRepeal n1.txt)

Note : Ce rapport peut être très long. Bien vérifier qu'il est complet dans le message envoyé. Si nécessaire, le découper en plusieurs messages.

Bonjour Gof,

J'ai retenté de lancer l'appli RootRepeal mais plantage si je sélectionne :

Citation

+ Drivers

+ Files

+ Processes

+ Stealth Objects

+ Hidden Services

En ne cochant que Drivers, Files et Stealth Objects, l'application a tourné. En voici le rapport (détection de 3 stealth objects). J'espère que ça t' (nous) aidera à avancer.

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/04/26 10:13

Program Version: Version 1.3.5.0

Windows Version: Windows Vista SP1

==================================================

Drivers

-------------------

Name: dump_diskdump.sys

Image Path: C:\Windows\System32\Drivers\dump_diskdump.sys

Address: 0x8BD1B000 Size: 40960 File Visible: No Signed: -

Status: -

Name: dump_nvstor32.sys

Image Path: C:\Windows\System32\Drivers\dump_nvstor32.sys

Address: 0x8BD25000 Size: 155648 File Visible: No Signed: -

Status: -

Name: rootrepeal.sys

Image Path: C:\Windows\system32\drivers\rootrepeal.sys

Address: 0x99F14000 Size: 49152 File Visible: No Signed: -

Status: -

Processes

-------------------

Path: System

PID: 4 Status: Locked to the Windows API!

Path: C:\Windows\System32\audiodg.exe

PID: 1196 Status: Locked to the Windows API!

Stealth Objects

-------------------

Object: Hidden Module [Name: msgsres.dll]

Process: msnmsgr.exe (PID: 1344) Address: 0x6b5b0000 Size: 11403264

Object: Hidden Module [Name: msgslang.14.0.8089.0726.dll]

Process: msnmsgr.exe (PID: 1344) Address: 0x6eee0000 Size: 364544

Object: Hidden Module [Name: msgrvsta.thm]

Process: msnmsgr.exe (PID: 1344) Address: 0x74210000 Size: 20480

==EOF==

FG

Gof · le 26 avril 2010

Bonsoir fabulous gian

Je ne t'oublie pas, ne t'inquiète pas, mais c'est un peu plus délicat pour moi en semaine niveau disponibilité. Bien vu pour RootRepeal. Je souhaiterais que tu en fasses autant avec GMER, en recommençant.

- Lance le fichier téléchargé (le nom comporte 8 chiffres/lettres aléatoires) en faisant toujours un clic droit
- Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
- Dans la section de droite de la fenêtre de l'outil, décoche les options suivantes :

- IAT/EAT
- Devices
- **Assure-toi que "Show All" est décoché**

- Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
- Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
- Nomme le fichier"fab.txt" et sauvegarde-le sur le Bureau ;
- Copie/colle le contenu de ce rapport dans ta réponse.

Il est possible que cela plante encore ; si c'est le cas, peux-tu faire quelques essais supplémentaires en prenant soin de décocher une entrée supplémentaire (à chaque fois que précédemment) et en m'indiquant lesquelles auront été finalement sélectionnées lors de la génération du rapport ?

Le rapport devrait m'être utile. Je ne serais là que sans doute tardivement en soirée. A bientôt.

fabulous gian · le 27 avril 2010

Gof,

apres avoir démarré mon ordi en mode sans échec, j ai pu faire tourner GMER. Voici le rapport de fin d'analyse.

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-04-27 14:31:52

Windows 6.0.6001 Service Pack 1

Running: rjy5e8pl.exe; Driver: C:\Users\PIETRO~1\AppData\Local\Temp\afqcakob.sys

---- Registry - GMER 1.0.15 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Counter 5096

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Perflib@Last Help 5097

---- EOF - GMER 1.0.15 ----

J'espère que c'est ce que tu attendais.

FG

Gof · le 28 avril 2010

Bonjour fabulous gian

En coup de vent avant de partir au taf. Le rapport GMER en sans échec ne m'a pas aidé, il ne révèle rien. Ou le souci est quasi réglé, ou GMER n'a rien vu. On va regarder cela.

Télécharge le fichier suivant sur ton Bureau : flor.bat.

Exécute le.
Une fenêtre noire va s'ouvrir rapidement, et le Bloc-notes va s'ouvrir
Poste le contenu du bloc-notes dans ta prochaine réponse (si rien ne s'affiche, précise le moi).

Supprime le fichier ComboFix.exe présent sur ton Bureau, et remplace le par une version plus récente, en le retéléchargeant à partir de ce lien : combofix.exe (tu l'enregistres également sur ton Bureau).

Télécharge CFScript.txt et enregistre le sur ton bureau.

Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
Une fenêtre bleue va apparaître, valide.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.

Avec le rapport posté, je souhaiterais que tu m'indiques comment va le PC ; si tu constates des disfonctionnements, des redirections, des alertes de l'antivirus,etc.

Bonne journée

fabulous gian · le 28 avril 2010

Salut Gof,

Je vois qu'on se lève à peu près à la même heure; toi pour aller au taf et moi pour filer le bib à mon fils..... ^^

J'ai fait tourner combofix ainsi que l'autre application. En voici le rapport :

ComboFix 10-04-26.05 - Pietro et Marie 28/04/2010 7:22.3.1 - x86

Microsoft® Windows Vista™ Édition Familiale Basique 6.0.6001.1.1252.33.1036.18.1918.979 [GMT 2:00]

Lancé depuis: c:\users\Pietro et Marie\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\Pietro et Marie\Desktop\CFScript.txt

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

FILE ::

"c:\windows\system32\puqvucd.dll"

"c:\windows\System32\tbdpjfgk.dll"

"c:\windows\Temp\cbs7835.tmp"

"c:\windows\TEMP\eyed.tmp\svchost.exe"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_peapytwq

((((((((((((((((((((((((((((( Fichiers créés du 2010-03-28 au 2010-04-28 ))))))))))))))))))))))))))))))))))))

.

2010-04-28 05:30 . 2010-04-28 05:30 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-04-28 05:30 . 2010-04-28 05:30 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-04-26 07:38 . 2010-04-26 07:38 36488 ----a-w- c:\windows\system32\drivers\klmd.sys

2010-04-25 21:33 . 2010-04-26 07:38 -------- d-----w- C:\tdsskiller

2010-04-25 19:42 . 2010-04-25 19:44 -------- d-----w- C:\RootRepeal

2010-04-25 15:27 . 2010-04-28 05:33 -------- d-----w- c:\users\Pietro et Marie\AppData\Local\temp