[Jamais répondu] Combofix : demande de soutien par Helper

[nanotek]

Bonjour,

 

Dans un autre topic, j'avais signalé des anomalies concernant un compte bancaire à la Poste, ce qui me faisait craindre une tentative de phishing ou d'installation de keylogger.

 

Pour être sûr de ne pas être infecté, je souhaite qu'un Helper me tienne la main pour un scan RSIT/HijackThis et Combofix pour déceler un éventuel Rootkit et l'éradiquer si nécessaire.

Surtout, je ne fais rien tout seul.

 

Merci pour votre aide.

Modifié le 1 juin 2010 par nanotek

[pear]

Bonjour,

Si malware il y a , il est invisble puisqie kaspersky et Mbam ne voient rien.

 

 

Télécharger gmer

 

- Cliquer sur le bouton "Download EXE"

- Sauvegardez sur le Bureau.

- Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les, car il faudra fermer le navigateur.

Avant toute utilisation de GMER, veuillez désactiver votre antivirus, antispyware sous peine de crash.

 

- Fermez les fenêtres de navigateur ouvertes.

- Lancez le fichier téléchargé par double clic(le nom comporte 8 chiffres/lettres aléatoires) ;

- Si l'outil lance un warning d'activité de rootkit et demande de faire un scan ; cliquez "NO"

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées les options suivantes :

Show All

Cochez juste " Sections" et "Files

- Cliquez sur le bouton "Scan" et patientez (cela peut prendre 10 minutes ou +)

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

 

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.

Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.

Modifié le 21 mai 2010 par pear

[nanotek]

Bonjour pear,

Merci d'avoir répondu.

 

Combofix ne décèle pas les MBR-rootkit ?

 

J'attendrai votre confirmation avant d'effectuer la manoeuvre avec Gmer comme conseillé.

 

Je désactiverai bien sûr, KIS 2010 (son Pare feu sera aussi désactivé par cette action, je suppose ?)

MBAM n'a rien de résident : je ne fais donc rien le concernant.

Dois-je aussi "éteindre" tout ce qui est en bas à droite de l'écran, près de l'horloge ?

Modifié le 21 mai 2010 par nanotek

[Mark]

Bonjour nanotek

 

Je vais répondre à ta question de façon très vague : parfois oui, parfois non. Je ne peux en dire plus, pour toutes sortes de raisons.

 

Cela dit, suis les instructions de pear et il pourra dépister des anomalies, si présentes.

 

As-tu le lien de l'autre sujet s.t.p ? Merci

 

Bonne continuation à vous deux.

 

Mark

[nanotek]

Bonjour Mark,

 

Voici le lien qui n'a pas reçu de réponse, le problème de départ paraissant résolu (c'est ma faute)

 

http://forum.zebulon.fr/index.php?s=&s...t&p=1488329

 

Merci d'être intervenu, mais le "p'tet ben qu'oui, p'tet ben qu'non" pour Combofix est très intrigant...

Modifié le 21 mai 2010 par nanotek

[nanotek]

Bonsoir,

 

Je viens d'effectuer le scan gmer, et vous adresse le rapport ci-dessous :

 

********************************************************************************

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-05-21 23:12:06

Windows 5.1.2600 Service Pack 3

Running: 4uc3ytv3.exe; Driver: C:\DOCUME~1\pc\LOCALS~1\Temp\uftdqpow.sys

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP B4A544DC \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)

.text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP B4A548B6 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter [fre_wnet_x86]/Kaspersky Lab)

.text ntkrnlpa.exe!ZwCallbackReturn + 2C98 80504534 16 Bytes [4E, F3, A5, B4, C6, 0F, A6, ...]

.text ntkrnlpa.exe!ZwCallbackReturn + 2CCC 80504568 4 Bytes JMP C9A4FA12

.text ntkrnlpa.exe!ZwCallbackReturn + 2D54 805045F0 12 Bytes [8C, 26, A6, B4, 12, E4, A5, ...]

.text ntkrnlpa.exe!ZwCallbackReturn + 2E94 80504730 4 Bytes CALL 0C6AFBDA

.text ntkrnlpa.exe!ZwCallbackReturn + 2ED0 8050476C 16 Bytes [0E, EB, A5, B4, B0, E2, A5, ...]

.text ...

? spfm.sys Le fichier spécifié est introuvable. !

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB72F3380, 0x550AF5, 0xE8000020]

.text USBPORT.SYS!DllUnload B72838AC 5 Bytes JMP 8AE461D8

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\WINDOWS\Explorer.EXE[1188] kernel32.dll!CreateProcessW 7C802336 5 Bytes JMP 51981CE2 E:\Program Files\DVD Region+CSS Free\DVDShell.dll (DVD Region-Free Shell Module/Fengtao Software Inc.)

 

---- EOF - GMER 1.0.15 ----

********************************************************************************

 

Je n'ai jamais vu un rapport aussi court...

Merci de bien vouloir me donner votre diagnostic, et de m'éclairer si possible sur ce fichier spfm.sys introuvable ?

bien cordialement

Modifié le 23 mai 2010 par nanotek