Besoin d'aide pour un Trojan ou Rootkit

[marion23]

Oui j'ai modifié le nom.

Je suis connectée par ma connexion ethernet mais Orange est fermé.

Je me déco complètement ?

Sinon, j'ai eu une fenetre erreur de scripte en téléchargant ComboFix depuis ton lien.

[Thanos]

ce que tu vas faire:

 

- Supprime les dossiers suivant si tu trouves =>

 

ComboFix et Qoobox dans le disque C:\

 

- Désactive ton antivirus le temps du scan.

 

- télécharge ComboFix de nouveau de la même manière (modifie le nom du fichier avant de télécharger le fichier sur le Bureau).

 

- déconnecte le pc du réseau.

 

- lance ComboFix puis reconnecte le pc une fois celui ci redémarré: poste le rapport

[marion23]

J'ai tout fait ca ne marche toujours pas.

ComboFix m'affiche une barre verte comme s'il s'ouvrait normalement et puis rien.

Si je le relance, c'est la qu'il m'affiche, certains fichiers n'ont pas pu etre créés, fermez les applications, reboot et réessayer.

[Thanos]

ok on va procéder autrement car l'infection empêche ComboFix de fonctionner correctement.

Je te prépare une procédure...

[Thanos]

Rend toi sur cette page afin de télécharger le fichier kill.bat sur ton Bureau => http://senduit.com/c9c1ca

Patiente une seconde: le téléchargement va se lancer automatiquement.

 

Double-clique sur le fichier pour lancer le script.

Le pc devrait redémarrer pour que GMER puisse supprimer l'infection.

Au redémarrage, relance GMER comme fait plus tôt et poste le rapport stp.

[marion23]

Salut !

Je crois pas que ca ait marché...

L'ordi n'a pas redémarré tout seul après le lancement de killbat.

Je l'ai redémarré et j'ai lancé Gmer comme tu m'avais dit.

Voila le rapport :

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-04-29 19:08:13

Windows 5.1.2600 Service Pack 3

Running: 0q15csbi.exe; Driver: C:\DOCUME~1\Marion\LOCALS~1\Temp\uwxoqpob.sys

 

 

---- Kernel code sections - GMER 1.0.15 ----

 

.pak2 C:\WINDOWS\system32\drivers\neljhoac.sys entry point in ".pak2" section [0xF733713D]

? C:\WINDOWS\system32\drivers\neljhoac.sys Un périphérique attaché au système ne fonctionne pas correctement.

PAGE Ntfs.sys F7161E55 4 Bytes CALL 8436B919

 

---- User code sections - GMER 1.0.15 ----

 

? C:\WINDOWS\System32\svchost.exe[3828] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: imagehlp.dll

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\WINDOWS\Explorer.EXE[716] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\Explorer.EXE[716] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\Explorer.EXE[716] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\Explorer.EXE[716] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\eHome\ehmsas.exe[752] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\eHome\ehmsas.exe[752] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\eHome\ehmsas.exe[752] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\eHome\ehmsas.exe[752] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\Documents and Settings\Marion\Bureau\0q15csbi.exe[3816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [10002DF0] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\Documents and Settings\Marion\Bureau\0q15csbi.exe[3816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [10002C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\Documents and Settings\Marion\Bureau\0q15csbi.exe[3816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [10002C10] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\Documents and Settings\Marion\Bureau\0q15csbi.exe[3816] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [10002C60] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 81EC8B55

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 000814EC

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] 6A575300

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] FF335B04

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 6A575757

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 7D895701

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] F045C7F8

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] 00004E20

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!OpenThreadToken] FFFC5D89

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] 40208015

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] F4458900

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 840FC73B

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 00000132

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] 94358B56

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 458D53D6

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrlenW] 066A50F0

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalFree] FFF475FF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 458D53D6

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThread] 056A50F0

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcAddress] FFF475FF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] 0C5D8BD6

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LCMapStringW] EC858D00

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 68FFFFF7

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcpyW] 00000800

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] AC15FF50

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 83004020

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!ExitProcess] 07EB10C4

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] F7EC85C6

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InitializeCriticalSection] 5700FFFF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 0C320068

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 8DFF6A8C

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] FFF7EC85

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 75FF50FF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] F475FF08

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 209015FF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] F08B0040

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetTickCount] 3BF87589

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] A9840FF7

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 39000000

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 1F75087B

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!TerminateProcess] FC458D57

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] EC458D50

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 00056850

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!lstrcmpW] FF562000

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] 40208C15

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtQuerySecurityObject] EC458B06

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 8D084389

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtOpenKey] 6850FC45

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscat] 00000800

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcscpy] F7EC858D

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 5650FFFF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCompareUnicodeString] 208815FF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitUnicodeString] 4EEB0040

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 74FC7D39

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 04438B5E

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 8BFC4503

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!NtClose] FF565033

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] 4020A815

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetDaclSecurityDescriptor] 89595900

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlQueryInformationAcl] 74C73B03

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlGetAce] 047B8B37

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 03FC4D8B

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!wcslen] ECB58DF8

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] F3FFFFF7

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [ntdll.dll!RtlCopySid] FC458BA4

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 6850FC45

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 00000800

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] F7EC858D

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] FF50FFFF

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 15FFF875

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] [00402088] C:\WINDOWS\System32\svchost.exe (Generic Host Process for Win32 Services/Microsoft Corporation)

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] C085FF33

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] 0FEBAE75

IAT C:\WINDOWS\System32\svchost.exe[3828] @ C:\WINDOWS\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 0874F73B

IAT C:\PROGRA~1\Wanadoo\Watch.exe[4088] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtCreateFile] [003A2DF0] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\PROGRA~1\Wanadoo\Watch.exe[4088] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [003A2C50] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\PROGRA~1\Wanadoo\Watch.exe[4088] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtClose] [003A2C10] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

IAT C:\PROGRA~1\Wanadoo\Watch.exe[4088] @ C:\WINDOWS\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [003A2C60] C:\Program Files\Fichiers communs\Logitech\LVMVFM\LVPrcInj.dll (Logitech Helper Library./Logitech Inc.)

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 843679D8

 

AttachedDevice \FileSystem\Ntfs \Ntfs psdfilter.sys (PSD Filter Driver/HiTRUST)

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

---- Services - GMER 1.0.15 ----

 

Service (*** hidden *** ) [bOOT] neljhoac <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\ControlSet001\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet001\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet001\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet001\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet002\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet002\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet003\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet003\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet003\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet003\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet004\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet004\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet004\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet004\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet005\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet005\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet005\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet005\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet006\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet006\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet006\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet006\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet007\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet007\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet007\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet007\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet008\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet008\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet008\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet008\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet009\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet009\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet009\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet009\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet010\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet010\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet010\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet010\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet011\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet011\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet011\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet011\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet012\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet012\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet012\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet012\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet013\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet013\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet013\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet013\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet014\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet014\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet014\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet014\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet015\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet015\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet015\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet015\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet016\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet016\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet016\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet016\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet017\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet017\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet017\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet017\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet018\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet018\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet018\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet018\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet019\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet019\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet019\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet019\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet020\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet020\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet020\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet020\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet021\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet021\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet021\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet021\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\CurrentControlSet\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet023\Services\neljhoac@Type 1

Reg HKLM\SYSTEM\ControlSet023\Services\neljhoac@Start 0

Reg HKLM\SYSTEM\ControlSet023\Services\neljhoac@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet023\Services\neljhoac@Group Boot Bus Extender

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@LoadAppInit_DLLs 1

 

---- EOF - GMER 1.0.15 ----

[Thanos]

salut

 

Ca a fonctionné...en partie! un driver infecté sur 2 a été supprimé.

J'aimerais que tu retentes de lancer ComboFix stp. Pour cela, supprime les même dossiers cités plus haut, puis télécharge le programme de nouveau (renomme le fichier avant).

Si ca ne fonctionne pas, on va utiliser un autre programme =>

 

• Rend toi sur cette page afin de télécharger le fichier remove.txt => http://senduit.com/615d08
  
• Patiente une seconde: le téléchargement va se lancer automatiquement.
  
• Enregistre fichier remove.txt dans le répertoire C:\
  
• Télécharge et dézippe Swandog46's Avenger sur ton Bureau.
  
• Fais un double-clique sur l'icône de avenger.exe pour lancer le programme puis clique sur le bouton OK
  
• Clique sur le bouton qui représente un dossier 'Load Script from File' (1 sur la capture d'écran )
  
• Navigue via l'exporateur dans le répertoire C:\ et double-clique sur le fichier remove.txt pour le sélectionner: son contenu doit s'afficher dans la fenêtre du programme sous 'Input script here'
  

• Coche les cases 'Scan for Rootkits' et 'Automatically disable any rootkits found' (2 sur la capture d'écran )
  
• Clique sur le bouton 'Execute' (3 sur la capture d'écran ): Confirme l'exécution. (clique sur le bouton OUI)
  
• The Avenger va se préparer à exécuter le script au prochain redémarrage du pc et t'affichera restart immediately.
  
• Une fois le pc redémarré, un rapport va apparaitre: poste le. Si tu ne le vois pas, le fichier se trouve dans le répertoire C:\ et se nomme avenger.txt.
  

NOTE: le présent script a été spécifiquement créé pour le pc de marion23. N'utilisez pas ce script sur votre propre pc sous peine d'endommager votre système.

[marion23]

L'ouverture de ComboFix était toujours bloquée. Voila le rapport Avenger, j'espère que ca a marché !

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Registry key "HKLM\SYSTEM\CurrentControlSet\Services\neljhoac" deleted successfully.

 

Error: registry key "HKLM\SYSTEM\ControlSet001\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet001\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet002\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet002\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet003\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet003\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet004\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet004\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet005\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet005\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet006\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet006\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet007\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet007\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet008\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet008\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet009\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet009\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet010\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet010\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet011\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet011\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet012\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet012\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet013\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet013\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet014\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet014\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet015\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet015\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet016\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet016\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet017\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet017\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet018\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet018\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet019\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet019\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

 

Error: registry key "HKLM\SYSTEM\ControlSet020\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet020\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

Registry key "HKLM\SYSTEM\ControlSet021\Services\neljhoac" deleted successfully.

 

Error: registry key "HKLM\SYSTEM\ControlSet022\Services\neljhoac" not found!

Deletion of registry key "HKLM\SYSTEM\ControlSet022\Services\neljhoac" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

 

Registry key "HKLM\SYSTEM\ControlSet023\Services\neljhoac" deleted successfully.

File "C:\WINDOWS\system32\drivers\neljhoac.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

Modifié le 30 avril 2010 par marion23

[Thanos]

salut

 

Très bien: Avenger a fait le boulot

 

J'aurais besoin d'un dernier scan avec Gmer (ca doit aller beaucoup plus vite) pour m'assurer que c'est bon.

[marion23]

Merci beaucoup Thanos !

Ce genre de virus peut-il venir d'un lien veetle ou sopcast (Ca retransmet une chaine de tv anglaise, pour regarder le foot sur l'ordi ) ?

Voici le rapport gmer. Merci encore !!

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit quick scan 2010-04-30 20:01:03

Windows 5.1.2600 Service Pack 3

Running: lzz5nh8w.exe; Driver: C:\DOCUME~1\Marion\LOCALS~1\Temp\uwxoqpob.sys

 

 

---- Devices - GMER 1.0.15 ----

 

AttachedDevice \FileSystem\Ntfs \Ntfs psdfilter.sys (PSD Filter Driver/HiTRUST)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

 

---- EOF - GMER 1.0.15 ----