Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Rootkit.Gen [Résolu]

christelsina
 Partager

Messages recommandés

christelsina Member

christelsina

Posté(e)
  • Auteur
Posté(e)

Voilà le rapport OTL. Sinon si je lance une analyse du dossier avec antivir, il m'indique toujours que le rootkit est présent et qu'il ne peut pas le supprimer.

 

 

All processes killed

========== FILES ==========

File move failed. C:\Windows\System32\drivers\dufyvjd.sys scheduled to be moved on reboot.

========== SERVICES/DRIVERS ==========

Error: No service named dufyvjd was found to stop!

Service\Driver key dufyvjd not found.

========== REGISTRY ==========

Registry key HKEY_LOCAL_MACHINE\system\ControlSet001\Services\dufyvjd\ not found.

========== COMMANDS ==========

 

[EMPTYTEMP]

 

User: All Users

 

User: christelle

->Temp folder emptied: 28672406 bytes

->Temporary Internet Files folder emptied: 79690480 bytes

->Java cache emptied: 0 bytes

->Google Chrome cache emptied: 0 bytes

->Flash cache emptied: 2279 bytes

 

User: Default

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

 

User: matthieu

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 0 bytes

->Java cache emptied: 0 bytes

->Flash cache emptied: 0 bytes

 

User: Public

->Temp folder emptied: 0 bytes

 

%systemdrive% .tmp files removed: 0 bytes

%systemroot% .tmp files removed: 0 bytes

%systemroot%\System32 .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 2147761 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 105,00 mb

 

 

[EMPTYFLASH]

 

User: All Users

 

User: christelle

->Flash cache emptied: 0 bytes

 

User: Default

 

User: Default User

 

User: matthieu

->Flash cache emptied: 0 bytes

 

User: Public

 

Total Flash Files Cleaned = 0,00 mb

 

 

C:\Windows\System32\drivers\etc\Hosts moved successfully.

HOSTS file reset successfully

 

OTL by OldTimer - Version 3.2.7.0 log created on 06302010_160224

no.ppp Extrem Member

no.ppp

Posté(e)
Posté(e)

Re,

 

Comme tu peux le voir, le rootkit fait de la résistance :x

 

080821120923886402.png Télécharge TDSS Remover sur ton Bureau


  •  
  • Décompresse le fichier tdss_remover_latest.rar
  • Désactive la protection résidente de ton antivirus.
  • Clique sur remover.exe
  • Le scan va se lancer.
  • Une fois terminé, dans le dossier tu vas trouver un fichier last_scan.log
  • Copie-colle son contenu dans ta réponse.

Note : Si ce message apparaît, clique sur YES, redémarre et relance remover.exe

The system global flag FLG_MAINTAIN_OBJECT_TYPELIST is not set, but it is necessary for the TDSS Remover to work properly.

 

Click 'YES' to set the FLG_MAINTAIN_OBJECT_TYPELIST and reboot, or 'NO' to run the program without hidden drivers detection

 

 

080821120923886402.png Supprime ComboFix.exe

Retélécharge-le sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Relance-le comme décrit précédemment.

christelsina Member

christelsina

Posté(e)
  • Auteur
Posté(e)

Bonsoir, décidément le sort s'acharne ! Impossible d'aller au bout de la démarche que tu m'as donnnée : quand je lance le scan, j'ai un écran bleu qui s'affiche. Je n'ai pas le temps de lire mais en gros, il semble que windows s'éteint pour ne pas causer de dommages à l'ordi. J'ai fait deux tentatives avec le même résultat : arrêt et redémarrage de la machine. Voilà ce que j'ai pu récupérer mais je ne sais pas si cela te sera utile. Dois-je poursuivre la manip avec combofix ? Du coup, je me suis arrêtée là.

 

Ce rapport s'est mis sur le bureau sous le nom de rk_remover_debug_log.txt :

 

.\main.cpp(4298) : Debug log started at 01.07.2010 - 18:04:44

.\main.cpp(4299) : Program Version: 1.7.5.1

.\main.cpp(4303) : OS Version: Microsoft Windows Vista Home Premium Edition Service Pack 2 (build 6002), 32-bit

.\main.cpp(4311) : ---------------------------------------

.\service.cpp(90) : Creating service...

.\service.cpp(109) : Allready exists

.\service.cpp(128) : Starting service...

.\service.cpp(131) : OK

.\service.cpp(22) : Opening '\\.\Global\tdrmvr'...

.\driver.cpp(2384) : SDT.NtResumeThread : 0x011a

.\driver.cpp(2390) : SDT.NtSuspendThread : 0x014b

.\driver.cpp(2396) : SDT.NtShutdownSystem : 0x0146

.\driver.cpp(2402) : SDT.NtOpenFile : 0x00ba

.\driver.cpp(2408) : SDT.NtCreateFile : 0x003c

.\driver.cpp(1676) : SetUpDiskHooks(): '\Driver\PartMgr' at 0x84f7d770

.\driver.cpp(1677) : SetUpDiskHooks(): Hooking IRP_MJ_DEVICE_CONTROL: 0x807c01b0 -> 0x815d0c90

.\loader.cpp(536) : LoadSystemImage(): Loading '\Device\HarddiskVolume1\Windows\System32\ntkrnlpa.exe'

.\loader.cpp(541) : 3600776 bytes of image readed

.\loader.cpp(546) : Image loaded at 0x88753000 (size: 0x003b9000)

.\loader.cpp(740) : UnhookModuleIat() 0x82086654 => 0x8879c654 ZwQueryValueKey

.\loader.cpp(740) : UnhookModuleIat() 0x820857a4 => 0x8879b7a4 ZwCreateKey

.\loader.cpp(740) : UnhookModuleIat() 0x82082548 => 0x88798548 RtlInitUnicodeString

.\loader.cpp(740) : UnhookModuleIat() 0x8208667c => 0x8879c67c ZwQueryVolumeInformationFile

.\loader.cpp(740) : UnhookModuleIat() 0x82081d7b => 0x88797d7b ObfDereferenceObject

.\loader.cpp(740) : UnhookModuleIat() 0x820866cc => 0x8879c6cc ZwReadFile

.\loader.cpp(740) : UnhookModuleIat() 0x82086a28 => 0x8879ca28 ZwSetInformationFile

.\loader.cpp(740) : UnhookModuleIat() 0x82085e5c => 0x8879be5c ZwFsControlFile

.\loader.cpp(740) : UnhookModuleIat() 0x82085c90 => 0x8879bc90 ZwDeviceIoControlFile

.\loader.cpp(740) : UnhookModuleIat() 0x82253df0 => 0x88969df0 ObOpenObjectByPointer

.\loader.cpp(740) : UnhookModuleIat() 0x82084a96 => 0x8879aa96 KeWaitForMutexObject

.\loader.cpp(740) : UnhookModuleIat() 0x82081962 => 0x88797962 IofCallDriver

.\loader.cpp(740) : UnhookModuleIat() 0x8221149e => 0x8892749e IoBuildSynchronousFsdRequest

.\loader.cpp(740) : UnhookModuleIat() 0x820ef5c6 => 0x888055c6 KeInitializeEvent

.\loader.cpp(740) : UnhookModuleIat() 0x8226aa35 => 0x88980a35 ObReferenceObjectByHandle

.\loader.cpp(740) : UnhookModuleIat() 0x82086438 => 0x8879c438 ZwQueryInformationFile

.\loader.cpp(740) : UnhookModuleIat() 0x8208612c => 0x8879c12c ZwOpenFile

.\loader.cpp(740) : UnhookModuleIat() 0x820829c0 => 0x887989c0 _allmul

.\loader.cpp(740) : UnhookModuleIat() 0x82081d4f => 0x88797d4f ObfReferenceObject

.\loader.cpp(740) : UnhookModuleIat() 0x8221280d => 0x8892880d IoBuildDeviceIoControlRequest

.\loader.cpp(740) : UnhookModuleIat() 0x82082820 => 0x88798820 _alldiv

.\loader.cpp(740) : UnhookModuleIat() 0x82082a00 => 0x88798a00 _allrem

.\loader.cpp(740) : UnhookModuleIat() 0x82203ee9 => 0x88919ee9 IoGetDeviceObjectPointer

.\loader.cpp(740) : UnhookModuleIat() 0x820581ec => 0x8876e1ec ExInitializePushLock

.\loader.cpp(740) : UnhookModuleIat() 0x8226b841 => 0x88981841 RtlEqualUnicodeString

.\loader.cpp(740) : UnhookModuleIat() 0x82253262 => 0x88969262 RtlFreeAnsiString

.\loader.cpp(740) : UnhookModuleIat() 0x82083640 => 0x88799640 strncpy

.\loader.cpp(740) : UnhookModuleIat() 0x82253262 => 0x88969262 RtlFreeAnsiString

.\loader.cpp(740) : UnhookModuleIat() 0x822867dd => 0x8899c7dd RtlUnicodeStringToAnsiString

.\loader.cpp(740) : UnhookModuleIat() 0x8207aa78 => 0x88790a78 RtlAppendUnicodeToString

.\loader.cpp(740) : UnhookModuleIat() 0x820f5033 => 0x8880b033 RtlCopyUnicodeString

.\loader.cpp(740) : UnhookModuleIat() 0x82085d08 => 0x8879bd08 ZwEnumerateKey

.\loader.cpp(740) : UnhookModuleIat() 0x82086168 => 0x8879c168 ZwOpenKey

.\loader.cpp(740) : UnhookModuleIat() 0x820580f4 => 0x8876e0f4 wcsncmp

.\loader.cpp(740) : UnhookModuleIat() 0x820863ac => 0x8879c3ac ZwQueryDirectoryFile

.\loader.cpp(740) : UnhookModuleIat() 0x82277a26 => 0x8898da26 ObOpenObjectByName

.\loader.cpp(740) : UnhookModuleIat() 0x820bb597 => 0x887d1597 MmIsAddressValid

.\loader.cpp(740) : UnhookModuleIat() 0x82126662 => 0x8883c662 wcslen

.\loader.cpp(740) : UnhookModuleIat() 0x82085c40 => 0x8879bc40 ZwDeleteKey

.\loader.cpp(740) : UnhookModuleIat() 0x82085754 => 0x8879b754 ZwCreateFile

.\loader.cpp(740) : UnhookModuleIat() 0x820e3e98 => 0x887f9e98 _except_handler3

.\loader.cpp(740) : UnhookModuleIat() 0x8212ab41 => 0x88840b41 ExAllocatePoolWithTag

.\loader.cpp(740) : UnhookModuleIat() 0x82225b69 => 0x8893bb69 ObReferenceObjectByName

.\loader.cpp(740) : UnhookModuleIat() 0x82174b68 => 0x8888ab68 IoDriverObjectType

.\loader.cpp(740) : UnhookModuleIat() 0x820819cf => 0x887979cf IofCompleteRequest

.\loader.cpp(740) : UnhookModuleIat() 0x8207ba4d => 0x88791a4d KeReleaseMutex

.\loader.cpp(740) : UnhookModuleIat() 0x8225aa1d => 0x88970a1d RtlAnsiStringToUnicodeString

.\loader.cpp(740) : UnhookModuleIat() 0x82082510 => 0x88798510 RtlInitAnsiString

.\loader.cpp(740) : UnhookModuleIat() 0x8205014b => 0x8876614b IoDeleteDevice

.\loader.cpp(740) : UnhookModuleIat() 0x821a1025 => 0x888b7025 IoCreateSymbolicLink

.\loader.cpp(740) : UnhookModuleIat() 0x821ccbda => 0x888e2bda IoCreateDevice

.\loader.cpp(740) : UnhookModuleIat() 0x8205606e => 0x8876c06e KeInitializeMutex

.\loader.cpp(740) : UnhookModuleIat() 0x820df344 => 0x887f5344 NtBuildNumber

.\loader.cpp(740) : UnhookModuleIat() 0x820eb465 => 0x88801465 PsGetCurrentProcessId

.\loader.cpp(740) : UnhookModuleIat() 0x820eed2b => 0x88804d2b KeUnstackDetachProcess

.\loader.cpp(740) : UnhookModuleIat() 0x820eeec9 => 0x88804ec9 KeStackAttachProcess

.\loader.cpp(740) : UnhookModuleIat() 0x8225d22b => 0x8897322b PsLookupProcessByProcessId

.\loader.cpp(740) : UnhookModuleIat() 0x8205fd7a => 0x88775d7a RtlEqualString

.\loader.cpp(740) : UnhookModuleIat() 0x82174864 => 0x8888a864 MmHighestUserAddress

.\loader.cpp(740) : UnhookModuleIat() 0x821992a4 => 0x888af2a4 IoRegisterFsRegistrationChange

.\loader.cpp(740) : UnhookModuleIat() 0x82081956 => 0x88797956 KeGetCurrentThread

.\loader.cpp(740) : UnhookModuleIat() 0x82086b2c => 0x8879cb2c ZwSetSecurityObject

.\loader.cpp(740) : UnhookModuleIat() 0x82232d00 => 0x88948d00 RtlSetDaclSecurityDescriptor

.\loader.cpp(740) : UnhookModuleIat() 0x822d43de => 0x889ea3de RtlSelfRelativeToAbsoluteSD2

.\loader.cpp(740) : UnhookModuleIat() 0x82232e5a => 0x88948e5a RtlAddAccessAllowedAce

.\loader.cpp(740) : UnhookModuleIat() 0x82065a06 => 0x8877ba06 RtlLengthSid

.\loader.cpp(740) : UnhookModuleIat() 0x82253d97 => 0x88969d97 RtlValidSid

.\loader.cpp(740) : UnhookModuleIat() 0x82048f27 => 0x8875ef27 RtlGetDaclSecurityDescriptor

.\loader.cpp(740) : UnhookModuleIat() 0x820865a0 => 0x8879c5a0 ZwQuerySecurityObject

.\loader.cpp(740) : UnhookModuleIat() 0x8222b14e => 0x8894114e ObQueryNameString

.\loader.cpp(740) : UnhookModuleIat() 0x82083500 => 0x88799500 strncat

.\loader.cpp(740) : UnhookModuleIat() 0x82062860 => 0x88778860 strncmp

.\loader.cpp(740) : UnhookModuleIat() 0x82086604 => 0x8879c604 ZwQuerySystemInformation

.\loader.cpp(740) : UnhookModuleIat() 0x820fae02 => 0x88810e02 DbgPrint

.\loader.cpp(740) : UnhookModuleIat() 0x82086e60 => 0x8879ce60 ZwWriteFile

.\loader.cpp(740) : UnhookModuleIat() 0x82069430 => 0x8877f430 KeSetSystemAffinityThread

.\loader.cpp(740) : UnhookModuleIat() 0x82212c9e => 0x88928c9e PsCreateSystemThread

.\loader.cpp(740) : UnhookModuleIat() 0x8204b9fa => 0x887619fa KeQueryActiveProcessors

.\loader.cpp(740) : UnhookModuleIat() 0x8212632f => 0x8883c32f sprintf

.\loader.cpp(740) : UnhookModuleIat() 0x8212658c => 0x8883c58c vsprintf

.\loader.cpp(740) : UnhookModuleIat() 0x82086bf4 => 0x8879cbf4 ZwSetValueKey

.\loader.cpp(740) : UnhookModuleIat() 0x82085664 => 0x8879b664 ZwClose

.\loader.cpp(740) : UnhookModuleIat() 0x820868c0 => 0x8879c8c0 ZwSaveKey

.\loader.cpp(740) : UnhookModuleIat() 0x8212a005 => 0x88840005 ExFreePoolWithTag

.\loader.cpp(536) : LoadSystemImage(): Loading '\Device\HarddiskVolume1\Windows\System32\hal.dll'

.\loader.cpp(541) : 177128 bytes of image readed

.\loader.cpp(546) : Image loaded at 0x8561d000 (size: 0x00033000)

.\loader.cpp(740) : UnhookModuleIat() 0x8200dec0 => 0x85620ec0 KfAcquireSpinLock

.\loader.cpp(740) : UnhookModuleIat() 0x8200df60 => 0x85620f60 KfReleaseSpinLock

.\loader.cpp(740) : UnhookModuleIat() 0x8201126c => 0x8562426c KeGetCurrentIrql

.\driver.cpp(2423) : Unhooked kernel image loaded at 0x88753000

.\diskio.cpp(667) : nt!IofCallDriver(): 0x82081962

.\main.cpp(4517) : 1 0x8203d000 \Device\HarddiskVolume1\Windows\System32\ntkrnlpa.exe

.\main.cpp(4517) : 2 0x8200a000 \Device\HarddiskVolume1\Windows\System32\hal.dll

.\main.cpp(4517) : 3 0x80409000 \Device\HarddiskVolume1\Windows\System32\kdcom.dll

.\main.cpp(4517) : 4 0x80410000 \Device\HarddiskVolume1\Windows\System32\PSHED.DLL

.\main.cpp(4517) : 5 0x80421000 \Device\HarddiskVolume1\Windows\System32\BOOTVID.DLL

.\main.cpp(4517) : 6 0x80429000 \Device\HarddiskVolume1\Windows\System32\clfs.sys

.\main.cpp(4517) : 7 0x8046a000 \Device\HarddiskVolume1\Windows\System32\ci.dll

.\main.cpp(4517) : 8 0x8054a000 \Device\HarddiskVolume1\Windows\System32\drivers\Wdf01000.sys

.\main.cpp(4517) : 9 0x805c6000 \Device\HarddiskVolume1\Windows\System32\drivers\WdfLdr.sys

.\main.cpp(4517) : 10 0x8060a000 \Device\HarddiskVolume1\Windows\System32\drivers\acpi.sys

.\main.cpp(4517) : 11 0x80650000 \Device\HarddiskVolume1\Windows\System32\drivers\wmilib.sys

.\main.cpp(4517) : 12 0x80659000 \Device\HarddiskVolume1\Windows\System32\drivers\msisadrv.sys

.\main.cpp(4517) : 13 0x80661000 \Device\HarddiskVolume1\Windows\System32\drivers\pci.sys

.\main.cpp(4517) : 14 0x80688000 \SystemRoot\System32\Drivers\dufyvjd.sys

.\main.cpp(4517) : 15 0x807bf000 \Device\HarddiskVolume1\Windows\System32\drivers\partmgr.sys

.\main.cpp(4517) : 16 0x807ce000 \Device\HarddiskVolume1\Windows\System32\drivers\volmgr.sys

.\main.cpp(4517) : 17 0x82606000 \Device\HarddiskVolume1\Windows\System32\drivers\volmgrx.sys

.\main.cpp(4517) : 18 0x82650000 \Device\HarddiskVolume1\Windows\System32\drivers\pciide.sys

.\main.cpp(4517) : 19 0x82657000 \Device\HarddiskVolume1\Windows\System32\drivers\pciidex.sys

.\main.cpp(4517) : 20 0x82665000 \Device\HarddiskVolume1\Windows\System32\drivers\mountmgr.sys

.\main.cpp(4517) : 21 0x82675000 \Device\HarddiskVolume1\Windows\System32\drivers\atapi.sys

.\main.cpp(4517) : 22 0x8267d000 \Device\HarddiskVolume1\Windows\System32\drivers\ataport.sys

.\main.cpp(4517) : 23 0x8269b000 \Device\HarddiskVolume1\Windows\System32\drivers\fltMgr.sys

.\main.cpp(4517) : 24 0x826cd000 \Device\HarddiskVolume1\Windows\System32\drivers\fileinfo.sys

.\main.cpp(4517) : 25 0x826dd000 \Device\HarddiskVolume1\Windows\System32\drivers\ksecdd.sys

.\main.cpp(4517) : 26 0x82c05000 \Device\HarddiskVolume1\Windows\System32\drivers\ndis.sys

.\main.cpp(4517) : 27 0x82d10000 \Device\HarddiskVolume1\Windows\System32\drivers\msrpc.sys

.\main.cpp(4517) : 28 0x82d3b000 \Device\HarddiskVolume1\Windows\System32\drivers\netio.sys

.\main.cpp(4517) : 29 0x82e08000 \Device\HarddiskVolume1\Windows\System32\drivers\tcpip.sys

.\main.cpp(4517) : 30 0x82ef2000 \Device\HarddiskVolume1\Windows\System32\drivers\FWPKCLNT.SYS

.\main.cpp(4517) : 31 0x8a60b000 \Device\HarddiskVolume1\Windows\System32\drivers\ntfs.sys

.\main.cpp(4517) : 32 0x8a71b000 \Device\HarddiskVolume1\Windows\System32\drivers\volsnap.sys

.\main.cpp(4517) : 33 0x8a754000 \Device\HarddiskVolume1\Windows\System32\drivers\spldr.sys

.\main.cpp(4517) : 34 0x8a75c000 \Device\HarddiskVolume1\Windows\System32\drivers\mup.sys

.\main.cpp(4517) : 35 0x8a76b000 \Device\HarddiskVolume1\Windows\System32\drivers\ecache.sys

.\main.cpp(4517) : 36 0x8a792000 \Device\HarddiskVolume1\Windows\System32\drivers\disk.sys

.\main.cpp(4517) : 37 0x8a7a3000 \Device\HarddiskVolume1\Windows\System32\drivers\Classpnp.sys

.\main.cpp(4517) : 38 0x8a7c4000 \Device\HarddiskVolume1\Windows\System32\drivers\crcdisk.sys

.\main.cpp(4517) : 39 0x8a7ed000 \Device\HarddiskVolume1\Windows\System32\drivers\tunnel.sys

.\main.cpp(4517) : 40 0x8a600000 \Device\HarddiskVolume1\Windows\System32\drivers\TUNMP.SYS

.\main.cpp(4517) : 41 0x82f0d000 \Device\HarddiskVolume1\Windows\System32\drivers\amdk8.sys

.\main.cpp(4517) : 42 0x82f1d000 \Device\HarddiskVolume1\Windows\System32\drivers\parport.sys

.\main.cpp(4517) : 43 0x8a7f8000 \Device\HarddiskVolume1\Windows\System32\drivers\ASACPI.sys

.\main.cpp(4517) : 44 0x82f35000 \Device\HarddiskVolume1\Windows\System32\drivers\i8042prt.sys

.\main.cpp(4517) : 45 0x82f48000 \Device\HarddiskVolume1\Windows\System32\drivers\kbdclass.sys

.\main.cpp(4517) : 46 0x82f53000 \Device\HarddiskVolume1\Windows\System32\drivers\serial.sys

.\main.cpp(4517) : 47 0x82f6d000 \Device\HarddiskVolume1\Windows\System32\drivers\serenum.sys

.\main.cpp(4517) : 48 0x82f77000 \Device\HarddiskVolume1\Windows\System32\drivers\usbohci.sys

.\main.cpp(4517) : 49 0x82f81000 \Device\HarddiskVolume1\Windows\System32\drivers\usbport.sys

.\main.cpp(4517) : 50 0x82fbf000 \Device\HarddiskVolume1\Windows\System32\drivers\usbehci.sys

.\main.cpp(4517) : 51 0x8274e000 \Device\HarddiskVolume1\Windows\System32\drivers\hdaudbus.sys

.\main.cpp(4517) : 52 0x82fce000 \Device\HarddiskVolume1\Windows\System32\drivers\cdrom.sys

.\main.cpp(4517) : 53 0x8e401000 \Device\HarddiskVolume1\Windows\System32\drivers\nvmfdx32.sys

.\main.cpp(4517) : 54 0x8e605000 \Device\HarddiskVolume1\Windows\System32\drivers\nvlddmkm.sys

.\main.cpp(4517) : 55 0x8f10d000 \Device\HarddiskVolume1\Windows\System32\drivers\nvBridge.kmd

.\main.cpp(4517) : 56 0x8f10f000 \Device\HarddiskVolume1\Windows\System32\drivers\dxgkrnl.sys

.\main.cpp(4517) : 57 0x8f1b0000 \Device\HarddiskVolume1\Windows\System32\drivers\watchdog.sys

.\main.cpp(4517) : 58 0x8f1bc000 \Device\HarddiskVolume1\Windows\System32\drivers\msiscsi.sys

.\main.cpp(4517) : 59 0x8e500000 \Device\HarddiskVolume1\Windows\System32\drivers\Storport.sys

.\main.cpp(4517) : 60 0x8f1eb000 \Device\HarddiskVolume1\Windows\System32\drivers\tdi.sys

.\main.cpp(4517) : 61 0x8e541000 \Device\HarddiskVolume1\Windows\System32\drivers\rasl2tp.sys

.\main.cpp(4517) : 62 0x8e558000 \Device\HarddiskVolume1\Windows\System32\drivers\ndistapi.sys

.\main.cpp(4517) : 63 0x8e563000 \Device\HarddiskVolume1\Windows\System32\drivers\ndiswan.sys

.\main.cpp(4517) : 64 0x8e586000 \Device\HarddiskVolume1\Windows\System32\drivers\raspppoe.sys

.\main.cpp(4517) : 65 0x8e595000 \Device\HarddiskVolume1\Windows\System32\drivers\raspptp.sys

.\main.cpp(4517) : 66 0x8e5a9000 \Device\HarddiskVolume1\Windows\System32\drivers\rassstp.sys

.\main.cpp(4517) : 67 0x8f1f6000 \Device\HarddiskVolume1\Windows\System32\drivers\wanatw4.sys

.\main.cpp(4517) : 68 0x8e5be000 \Device\HarddiskVolume1\Windows\System32\drivers\termdd.sys

.\main.cpp(4517) : 69 0x8e5ce000 \Device\HarddiskVolume1\Windows\System32\drivers\mouclass.sys

.\main.cpp(4517) : 70 0x8f1fc000 \Device\HarddiskVolume1\Windows\System32\drivers\swenum.sys

.\main.cpp(4517) : 71 0x82d76000 \Device\HarddiskVolume1\Windows\System32\drivers\ks.sys

.\main.cpp(4517) : 72 0x8e5d9000 \Device\HarddiskVolume1\Windows\System32\drivers\mssmbios.sys

.\main.cpp(4517) : 73 0x8e5e3000 \Device\HarddiskVolume1\Windows\System32\drivers\umbus.sys

.\main.cpp(4517) : 74 0x82da0000 \Device\HarddiskVolume1\Windows\System32\drivers\usbhub.sys

.\main.cpp(4517) : 75 0x82fe6000 \Device\HarddiskVolume1\Windows\System32\drivers\ndproxy.sys

.\main.cpp(4517) : 76 0x8f404000 \Device\HarddiskVolume1\Windows\System32\drivers\viahduaa.sys

.\main.cpp(4517) : 77 0x8f4e1000 \Device\HarddiskVolume1\Windows\System32\drivers\portcls.sys

.\main.cpp(4517) : 78 0x8f50e000 \Device\HarddiskVolume1\Windows\System32\drivers\drmk.sys

.\main.cpp(4517) : 79 0x8f533000 \Device\HarddiskVolume1\Windows\System32\drivers\fs_rec.sys

.\main.cpp(4517) : 80 0x8f53c000 \Device\HarddiskVolume1\Windows\System32\drivers\null.sys

.\main.cpp(4517) : 81 0x8f543000 \Device\HarddiskVolume1\Windows\System32\drivers\beep.sys

.\main.cpp(4517) : 82 0x8f54a000 \Device\HarddiskVolume1\Windows\System32\drivers\vga.sys

.\main.cpp(4517) : 83 0x8f556000 \Device\HarddiskVolume1\Windows\System32\drivers\videoprt.sys

.\main.cpp(4517) : 84 0x8f577000 \Device\HarddiskVolume1\Windows\System32\drivers\RDPCDD.sys

.\main.cpp(4517) : 85 0x8f57f000 \Device\HarddiskVolume1\Windows\System32\drivers\RDPENCDD.sys

.\main.cpp(4517) : 86 0x8f587000 \Device\HarddiskVolume1\Windows\System32\drivers\msfs.sys

.\main.cpp(4517) : 87 0x8f592000 \Device\HarddiskVolume1\Windows\System32\drivers\npfs.sys

.\main.cpp(4517) : 88 0x8f5a0000 \Device\HarddiskVolume1\Windows\System32\drivers\rasacd.sys

.\main.cpp(4517) : 89 0x8f5a9000 \Device\HarddiskVolume1\Windows\System32\drivers\tdx.sys

.\main.cpp(4517) : 90 0x8f5bf000 \Device\HarddiskVolume1\Windows\System32\drivers\smb.sys

.\main.cpp(4517) : 91 0x8f600000 \Device\HarddiskVolume1\Windows\System32\drivers\afd.sys

.\main.cpp(4517) : 92 0x8f648000 \Device\HarddiskVolume1\Windows\System32\drivers\netbt.sys

.\main.cpp(4517) : 93 0x8f67a000 \Device\HarddiskVolume1\Windows\System32\drivers\ws2ifsl.sys

.\main.cpp(4517) : 94 0x8f683000 \Device\HarddiskVolume1\Windows\System32\drivers\pacer.sys

.\main.cpp(4517) : 95 0x8f699000 \Device\HarddiskVolume1\Windows\System32\drivers\netbios.sys

.\main.cpp(4517) : 96 0x8f6a7000 \Device\HarddiskVolume1\Windows\System32\drivers\wanarp.sys

.\main.cpp(4517) : 97 0x8f6ba000 \Device\HarddiskVolume1\Windows\System32\drivers\ssmdrv.sys

.\main.cpp(4517) : 98 0x8f6c0000 \Device\HarddiskVolume1\Windows\System32\drivers\rdbss.sys

.\main.cpp(4517) : 99 0x8f6fc000 \Device\HarddiskVolume1\Windows\System32\drivers\nsiproxy.sys

.\main.cpp(4517) : 100 0x8f706000 \Device\HarddiskVolume1\Windows\System32\drivers\dfsc.sys

.\main.cpp(4517) : 101 0x8f71d000 \Device\HarddiskVolume1\Windows\System32\drivers\avipbb.sys

.\main.cpp(4517) : 102 0x8f739000 \Device\HarddiskVolume1\Program Files\Avira\AntiVir Desktop\avgio.sys

.\main.cpp(4517) : 103 0x8f73b000 \Device\HarddiskVolume1\Windows\System32\drivers\hidusb.sys

.\main.cpp(4517) : 104 0x8f744000 \Device\HarddiskVolume1\Windows\System32\drivers\hidclass.sys

.\main.cpp(4517) : 105 0x8f754000 \Device\HarddiskVolume1\Windows\System32\drivers\hidparse.sys

.\main.cpp(4517) : 106 0x8f75b000 \Device\HarddiskVolume1\Windows\System32\drivers\usbd.sys

.\main.cpp(4517) : 107 0x8f75d000 \Device\HarddiskVolume1\Windows\System32\drivers\mouhid.sys

.\main.cpp(4517) : 108 0x8f765000 \Device\HarddiskVolume1\Windows\System32\drivers\crashdmp.sys

.\main.cpp(4517) : 109 0x8f772000 \SystemRoot\System32\Drivers\dump_dumpata.sys

.\main.cpp(4517) : 110 0x8f77d000 \SystemRoot\System32\Drivers\dump_atapi.sys

.\main.cpp(4517) : 111 0x97450000 \Device\HarddiskVolume1\Windows\System32\win32k.sys

.\main.cpp(4517) : 112 0x8f785000 \Device\HarddiskVolume1\Windows\System32\drivers\dxapi.sys

.\main.cpp(4517) : 113 0x8f78f000 \Device\HarddiskVolume1\Windows\System32\drivers\monitor.sys

.\main.cpp(4517) : 114 0x97670000 \Device\HarddiskVolume1\Windows\System32\tsddd.dll

.\main.cpp(4517) : 115 0x97690000 \Device\HarddiskVolume1\Windows\System32\cdd.dll

.\main.cpp(4517) : 116 0x8f79e000 \Device\HarddiskVolume1\Windows\System32\drivers\luafv.sys

.\main.cpp(4517) : 117 0x8f7b9000 \Device\HarddiskVolume1\Windows\System32\drivers\avgntflt.sys

.\main.cpp(4517) : 118 0x81402000 \Device\HarddiskVolume1\Windows\System32\drivers\spsys.sys

.\main.cpp(4517) : 119 0x814b2000 \Device\HarddiskVolume1\Windows\System32\drivers\lltdio.sys

.\main.cpp(4517) : 120 0x814c2000 \Device\HarddiskVolume1\Windows\System32\drivers\rspndr.sys

.\main.cpp(4517) : 121 0x814d5000 \Device\HarddiskVolume1\Windows\System32\drivers\http.sys

.\main.cpp(4517) : 122 0x81542000 \Device\HarddiskVolume1\Windows\System32\drivers\srvnet.sys

.\main.cpp(4517) : 123 0x8155f000 \Device\HarddiskVolume1\Windows\System32\drivers\bowser.sys

.\main.cpp(4517) : 124 0x81578000 \Device\HarddiskVolume1\Windows\System32\drivers\mpsdrv.sys

.\main.cpp(4517) : 125 0x8158d000 \Device\HarddiskVolume1\Windows\System32\drivers\mrxdav.sys

.\main.cpp(4517) : 126 0x815ae000 \Device\HarddiskVolume1\Windows\System32\drivers\mrxsmb.sys

.\main.cpp(4517) : 127 0x9d00c000 \Device\HarddiskVolume1\Windows\System32\drivers\mrxsmb10.sys

.\main.cpp(4517) : 128 0x9d045000 \Device\HarddiskVolume1\Windows\System32\drivers\mrxsmb20.sys

.\main.cpp(4517) : 129 0x9d05d000 \Device\HarddiskVolume1\Windows\System32\drivers\srv2.sys

.\main.cpp(4517) : 130 0x9d084000 \Device\HarddiskVolume1\Windows\System32\drivers\srv.sys

.\main.cpp(4517) : 131 0x9d0d2000 \Device\HarddiskVolume1\Windows\System32\drivers\asyncmac.sys

.\main.cpp(4517) : 132 0x9d0db000 \Device\HarddiskVolume1\Windows\System32\drivers\parvdm.sys

.\main.cpp(4517) : 133 0x9d0e2000 \Device\HarddiskVolume1\Windows\System32\drivers\PEAuth.sys

.\main.cpp(4517) : 134 0x9d1c0000 \Device\HarddiskVolume1\Windows\System32\drivers\secdrv.sys

.\main.cpp(4517) : 135 0x9d1ca000 \Device\HarddiskVolume1\Windows\System32\drivers\tcpipreg.sys

.\main.cpp(4517) : 136 0x9d1d6000 \Device\HarddiskVolume1\Windows\System32\drivers\cdfs.sys

.\main.cpp(4517) : 137 0x9d1ec000 \Device\HarddiskVolume1\Windows\System32\drivers\atwpkt2.sys

.\main.cpp(4517) : 138 0x815cd000 \Device\HarddiskVolume1\Windows\System32\drivers\rk_remover.sys

.\main.cpp(1202) : Scanning '\Registry\Machine\SYSTEM\ControlSet001\Services'...

.\driver.cpp(406) : ZwOpenKey() fails, status: 0xc0000001

.\driver.cpp(458) : ScanRegistryKey(): 1664 objects found

.\main.cpp(1137) : RegOpenKey() fails, error: 0x0000001f

.\main.cpp(1138) : Can't open key 'SYSTEM\ControlSet001\Services\dufyvjd'

.\main.cpp(1106) : CheckForHiddenRegistryKeys() Blocked key: '\Registry\Machine\SYSTEM\ControlSet001\Services\dufyvjd'

.\main.cpp(1261) : ScanObjectsDirectory(): AlertType=2, ObjectType=2, Path='\Registry\Machine\SYSTEM\ControlSet001\Services\dufyvjd'

.\main.cpp(1202) : Scanning '\Registry\Machine\SYSTEM\ControlSet002\Services'...

.\driver.cpp(406) : ZwOpenKey() fails, status: 0xc0000001

.\driver.cpp(458) : ScanRegistryKey(): 1341 objects found

.\main.cpp(1137) : RegOpenKey() fails, error: 0x0000001f

.\main.cpp(1138) : Can't open key 'SYSTEM\ControlSet002\Services\dufyvjd'

.\main.cpp(1106) : CheckForHiddenRegistryKeys() Blocked key: '\Registry\Machine\SYSTEM\ControlSet002\Services\dufyvjd'

.\main.cpp(1261) : ScanObjectsDirectory(): AlertType=2, ObjectType=2, Path='\Registry\Machine\SYSTEM\ControlSet002\Services\dufyvjd'

.\main.cpp(1202) : Scanning '\Device\HarddiskVolume1\Windows\system32'...

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x82081962 => 0x88797962)

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x820819cf => 0x887979cf)

.\unhook.cpp(606) : UnhookIrpFunc(): 'IofCompleteRequest' 0x820e40dc => 0x887fa0dc

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x88797962 => 0x82081962)

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x887979cf => 0x820819cf)

.\unhook.cpp(675) : RevertUnhookedIrpFunc(): 'IofCompleteRequest' 0x887fa0dc => 0x820e40dc

.\driver.cpp(715) : ScanDirectory(): 2624 objects found

.\main.cpp(1024) : CheckForHiddenFiles() Blocked file: 'C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0'

.\main.cpp(1024) : CheckForHiddenFiles() Blocked file: 'C:\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0'

.\main.cpp(1261) : ScanObjectsDirectory(): AlertType=2, ObjectType=1, Path='\Device\HarddiskVolume1\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0'

.\main.cpp(1261) : ScanObjectsDirectory(): AlertType=2, ObjectType=1, Path='\Device\HarddiskVolume1\Windows\system32\7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0'

.\main.cpp(1202) : Scanning '\Device\HarddiskVolume1\Windows\system32\drivers'...

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x82081962 => 0x88797962)

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x820819cf => 0x887979cf)

.\unhook.cpp(606) : UnhookIrpFunc(): 'IofCompleteRequest' 0x820e40dc => 0x887fa0dc

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x88797962 => 0x82081962)

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x887979cf => 0x820819cf)

.\unhook.cpp(675) : RevertUnhookedIrpFunc(): 'IofCompleteRequest' 0x887fa0dc => 0x820e40dc

.\driver.cpp(715) : ScanDirectory(): 281 objects found

.\main.cpp(1024) : CheckForHiddenFiles() Blocked file: 'C:\Windows\system32\drivers\dufyvjd.sys'

.\main.cpp(1261) : ScanObjectsDirectory(): AlertType=2, ObjectType=1, Path='\Device\HarddiskVolume1\Windows\system32\drivers\dufyvjd.sys'

.\main.cpp(1197) : Scanning for hidden drivers...

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x82081962 => 0x88797962)

.\unhook.cpp(120) : ProcessFunctionIat(): IAT of 5 modules processed (0x820819cf => 0x887979cf)

.\unhook.cpp(606) : UnhookIrpFunc(): 'IofCompleteRequest' 0x820e40dc => 0x887fa0dc

no.ppp Extrem Member

no.ppp

Posté(e)
Posté(e) (modifié)

Salut,

 

On passe à plus puissant pour supprimer le fichier.

 

080821120923886402.png Désactive tes protections résidentes (Antivirus, pare-feu etc..)

  • Ouvre le Bloc-notes (Vérifie que dans le menu format, le retour automatique à la ligne est désactivé).
  • Copie-colle ceci dedans :
    http://forum.zebulon.fr/rootkitgen-t177640.html&pid=1496673
    Collect::
    C:\Windows\System32\drivers\dufyvjd.sys
  • Sauvegarde cela comme fichier texte nommé CFScript, sur le Bureau.
  • Fais un glisser-déposer de ce fichier CFScript sur ComboFix.exe comme sur la capture
    img-191202xzrpd.gif
  • Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises : c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
  • Quand CF finit de s'exécuter, il affiche cette boîte de message:
    autosubmitfrdt7.png
  • Cliquer sur OK va faire débuter l'envoi automatique du fichier archivé (zip).
    cfuploadsuccessfulfrwn3.gif
  • Une fois le scan achevé, le PC va certainement redémarrer : un rapport va s'afficher, copie-colle son contenu dans ton prochain message.
  • Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt

Note1: Le script proposé est adapté à cet utilisateur : Vous ne devez en aucun cas l'utiliser sur votre PC !

 

Note2: un fichier qui se trouve sur le pc va être expédié au créateur de ComboFix pour analyse.

Dans le cas où le site de téléchargement se trouve hors ligne, tu verras le message ci-dessous :

cfuploadfailedfrrf5.gif

Il te suffira seulement de faire un double clic sur le fichier CF-Submit.htm qui se trouve dans le répertoire C:\ pour envoyer le fichier.

Le rapport de ComboFix ne s'affichera qu'après la fin de la fonction d'envoi.

Modifié par no.ppp
christelsina Member

christelsina

Posté(e)
  • Auteur
Posté(e) (modifié)

Manip impossible à réaliser, dès que je glisse le fichier dans combofix, le programme s'arrête et un message m'indique qu'il y a un problème et que Windows va fermer ce programme !

 

Ah une autre nouveauté, je viens de réactiver l'antivirus en attendant la réponse et voilà qu'il me détecte un "virus" dans combofix ! :

 

"Dans le fichier 'C:\Users\christelle\Desktop\ComboFix.exe'

un virus ou un programme indésirable 'TR/Crypt.ULPM.Gen' [trojan] a été détecté.

Action exécutée : Refuser l'accès"

 

C'est un vrai gag !

Modifié par christelsina
no.ppp Extrem Member

no.ppp

Posté(e)
Posté(e)

Salut,

 

Effectivement, il y a un problème avec CF. :outch: Le lien de Bleeping Computer bug.

 

Ouvre le menu démarrer, tape ComboFix /uninstall

Supprime si présent : C:\Qoobox

 

Télécharge ComboFix : Un guide et un tutoriel sur l'utilisation de ComboFix en choisissant le lien ForoSpyware.com et exécute la manip donnée juste au-dessus http://forum.zebulon.fr/rootkitgen-t177640.html&p=1496784?do=findComment&comment=1496784

christelsina Member

christelsina

Posté(e)
  • Auteur
Posté(e)

Ok tout a réussi. Voilà le rapport :

 

ComboFix 10-07-01.02 - christelle 02/07/2010 18:37:38.2.2 - x86

Microsoft® Windows Vista Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3070.2003 [GMT 2:00]

Lancé depuis: c:\users\christelle\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\christelle\Desktop\CFScript.txt

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

 

file zipped: c:\windows\System32\drivers\dufyvjd.sys

.

 

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\%appdata%

c:\windows\System32\drivers\dufyvjd.sys . . . . impossible à supprimer

 

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_dufyvjd

-------\Service_dufyvjd

 

 

((((((((((((((((((((((((((((( Fichiers créés du 2010-06-02 au 2010-07-02 ))))))))))))))))))))))))))))))))))))

.

 

2010-06-26 21:01 . 2010-06-26 21:01 -------- d-----w- c:\program files\Microsoft

2010-06-26 21:01 . 2010-06-26 21:01 -------- d-----w- c:\program files\Windows Live SkyDrive

2010-06-26 21:01 . 2010-06-26 21:01 -------- d-----w- c:\program files\Windows Live

2010-06-26 12:36 . 2010-06-26 12:36 -------- d-----w- C:\_OTL

2010-06-23 01:00 . 2009-11-08 08:55 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll

2010-06-23 01:00 . 2009-11-08 08:55 49472 ----a-w- c:\windows\system32\netfxperf.dll

2010-06-23 01:00 . 2009-11-08 08:55 297808 ----a-w- c:\windows\system32\mscoree.dll

2010-06-23 01:00 . 2009-11-08 08:55 295264 ----a-w- c:\windows\system32\PresentationHost.exe

2010-06-23 01:00 . 2009-11-08 08:55 1130824 ----a-w- c:\windows\system32\dfshim.dll

2010-06-22 18:21 . 2010-04-16 16:43 28672 ----a-w- c:\windows\system32\Apphlpdm.dll

2010-06-22 18:21 . 2010-04-16 14:39 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll

2010-06-22 12:57 . 2010-06-22 12:57 -------- d-----w- c:\programdata\F-Secure

2010-06-21 12:04 . 2010-06-21 12:04 -------- d-----w- c:\users\matthieu\AppData\Roaming\Malwarebytes

2010-06-10 06:02 . 2010-04-05 17:01 67072 ----a-w- c:\windows\system32\asycfilt.dll

2010-06-10 06:02 . 2010-05-26 17:06 34304 ----a-w- c:\windows\system32\atmlib.dll

2010-06-10 06:02 . 2010-05-26 14:47 289792 ----a-w- c:\windows\system32\atmfd.dll

2010-06-09 08:28 . 2010-06-09 08:31 -------- d-----w- c:\users\christelle\AppData\Roaming\ArchiFacile

2010-06-05 19:13 . 2010-06-05 19:13 -------- d-----w- c:\users\matthieu\AppData\Roaming\Media Player Classic

 

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-02 16:09 . 2009-12-28 18:40 -------- d-----w- c:\users\christelle\AppData\Roaming\BitTorrent

2010-07-01 20:30 . 2009-05-07 21:05 -------- d-----w- c:\programdata\Google Updater

2010-07-01 18:04 . 2010-07-01 17:57 52736 ----a-w- c:\windows\system32\drivers\rk_remover.sys

2010-06-29 21:02 . 2010-06-29 21:02 -------- d-----w- c:\program files\ESET

2010-06-28 15:14 . 2010-02-26 22:03 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-06-28 15:13 . 2010-02-26 22:03 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2010-06-27 21:31 . 2009-05-09 00:06 -------- d-----w- c:\program files\trend micro

2010-06-27 19:10 . 2009-03-07 15:50 -------- d-----w- c:\program files\Common Files\aol

2010-06-27 19:06 . 2009-09-21 15:31 -------- d-----w- c:\program files\AOL 9.0 VR

2010-06-26 11:39 . 2010-05-28 18:02 -------- d-----w- c:\users\matthieu\AppData\Roaming\BitTorrent

2010-06-26 11:03 . 2008-01-21 08:40 678804 ----a-w- c:\windows\system32\perfh00C.dat

2010-06-26 11:03 . 2008-01-21 08:40 126420 ----a-w- c:\windows\system32\perfc00C.dat

2010-06-25 21:02 . 2009-03-07 17:35 -------- d-----w- c:\program files\Microsoft.NET

2010-06-23 17:36 . 2010-05-26 19:59 -------- d-----w- c:\program files\Common Files\Steam

2010-06-10 18:30 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2010-06-10 18:15 . 2009-03-07 17:33 -------- d-----w- c:\programdata\Microsoft Help

2010-06-09 08:06 . 2010-06-09 08:06 976832 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\4288\AdobeARM.exe

2010-06-09 08:06 . 2010-06-09 08:06 70584 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\4288\AdobeExtractFiles.dll

2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\4288\ReaderUpdater.exe

2010-06-09 08:06 . 2010-06-09 08:06 331176 ----a-w- c:\programdata\Adobe\Reader\9.3\ARM\4288\AcrobatUpdater.exe

2010-06-05 19:13 . 2010-04-10 13:20 -------- d-----w- c:\users\matthieu\AppData\Roaming\DivX

2010-06-05 07:32 . 2009-03-07 16:56 -------- d-----w- c:\program files\Microsoft Silverlight

2010-05-28 20:09 . 2010-05-26 15:02 53365 ----a-w- c:\programdata\nvModes.dat

2010-05-28 20:00 . 2009-03-05 17:22 -------- d-----w- c:\programdata\NVIDIA

2010-05-26 17:24 . 2010-05-26 17:24 -------- d-----w- c:\program files\Lexmark 2200 Series

2010-05-26 15:00 . 2010-05-26 14:58 -------- d-----w- c:\program files\NVIDIA Corporation

2010-05-26 14:05 . 2010-05-26 14:05 -------- d-----w- c:\program files\SystemRequirementsLab

2010-05-25 20:18 . 2010-05-25 20:18 -------- d-----w- c:\users\christelle\AppData\Roaming\Malwarebytes

2010-05-25 20:17 . 2010-05-25 20:17 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-25 20:17 . 2010-05-25 20:17 -------- d-----w- c:\programdata\Malwarebytes

2010-05-24 22:47 . 2009-12-28 18:40 -------- d-----w- c:\program files\BitTorrent

2010-05-24 22:41 . 2009-05-07 21:05 -------- d-----w- c:\program files\Google

2010-05-21 12:14 . 2009-10-02 16:24 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-18 20:36 . 2010-05-18 20:31 -------- d-----w- c:\program files\WalterShop.com

2010-05-16 13:25 . 2010-05-16 13:25 -------- d-----w- c:\users\christelle\AppData\Roaming\Blender Foundation

2010-05-09 18:18 . 2009-03-25 21:53 106304 ----a-w- c:\users\matthieu\AppData\Local\GDIPFONTCACHEV1.DAT

2010-05-09 15:22 . 2009-03-05 16:21 106304 ----a-w- c:\users\christelle\AppData\Local\GDIPFONTCACHEV1.DAT

2010-05-09 15:01 . 2009-03-08 01:29 -------- d-----w- c:\program files\7-Zip

2010-05-09 15:00 . 2009-07-06 17:05 -------- d-----w- c:\users\christelle\AppData\Roaming\uTorrent

2010-05-09 08:59 . 2010-05-09 08:59 -------- d-----w- c:\programdata\DivX

2010-05-04 05:59 . 2010-06-10 06:01 916480 ----a-w- c:\windows\system32\wininet.dll

2010-05-04 05:55 . 2010-06-10 06:01 71680 ----a-w- c:\windows\system32\iesetup.dll

2010-05-04 05:55 . 2010-06-10 06:01 109056 ----a-w- c:\windows\system32\iesysprep.dll

2010-05-04 04:31 . 2010-06-10 06:01 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2010-05-01 14:13 . 2010-06-10 06:01 2037248 ----a-w- c:\windows\system32\win32k.sys

2010-04-29 13:39 . 2010-05-25 20:17 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-29 13:39 . 2010-05-25 20:17 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-27 15:39 . 2010-04-27 15:35 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

2010-04-23 14:13 . 2010-05-25 23:41 2048 ----a-w- c:\windows\system32\tzres.dll

2010-04-16 20:12 . 2010-04-16 20:12 48464 ----a-w- c:\windows\system32\sirenacm.dll

2010-04-16 16:43 . 2010-06-22 18:21 173056 ----a-w- c:\windows\AppPatch\AcXtrnal.dll

2010-04-16 16:43 . 2010-06-22 18:21 458752 ----a-w- c:\windows\AppPatch\AcSpecfc.dll

2010-04-16 16:43 . 2010-06-22 18:21 542720 ----a-w- c:\windows\AppPatch\AcLayers.dll

2010-04-16 16:43 . 2010-06-22 18:21 2159616 ----a-w- c:\windows\AppPatch\AcGenral.dll

.

 

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{9ec204df-0e48-4c32-816e-2e928a4fd9c2}"= "mscoree.dll" [2009-11-08 297808]

 

[HKEY_CLASSES_ROOT\clsid\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}]

[HKEY_CLASSES_ROOT\IEToolbar.Toolbar]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"AOL Fast Start"="c:\program files\AOL 9.0 VR\AOL.EXE" [2007-06-21 50480]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Rappels du Calendrier Microsoft Works.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\Rappels du Calendrier Microsoft Works.lnk

backup=c:\windows\pss\Rappels du Calendrier Microsoft Works.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKLM\~\startupfolder\C:^Users^christelle^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Lanceur.lnk]

path=c:\users\christelle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Lanceur.lnk

backup=c:\windows\pss\Lanceur.lnk.Startup

backupExtension=.Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe ARM]

2010-06-09 08:06 976832 ----a-w- c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2010-06-20 02:04 35760 ----a-w- c:\program files\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AOL Fast Start]

2007-06-21 11:44 50480 ----a-w- c:\program files\AOL 9.0 VR\aol.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HDAudDeck]

2008-08-26 03:18 16986112 ----a-r- c:\program files\VIA\VIAudioi\VDeck\VDeck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HostManager]

2006-09-26 00:52 50736 ----a-w- c:\program files\Common Files\aol\1253547102\ee\aolsoftware.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Monitor]

2006-11-03 10:01 319488 ----a-w- c:\windows\PixArt\Pac207\Monitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

2010-04-03 16:27 110696 ----a-w- c:\windows\System32\nvmctray.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2009-11-10 22:08 417792 ----a-w- c:\program files\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

2010-05-26 20:00 1238352 ----a-w- d:\program files\steam\Steam.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-05-04 16:09 148888 ----a-w- c:\program files\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

2009-05-07 21:05 39408 ----a-w- c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]

2008-01-21 02:23 1008184 ----a-w- c:\program files\Windows Defender\MSASCui.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WPCUMI]

2006-11-02 12:35 176128 ----a-w- c:\windows\System32\wpcumi.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(b):28,1f,5b,23,a9,3c,ca,01

 

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-04-09 135664]

R3 PAC207;SoC PC-Camera;c:\windows\system32\DRIVERS\PFC027.SYS [2006-12-05 507136]

R3 rk_remover-boot;rk_remover-boot;c:\windows\system32\drivers\rk_remover.sys [2010-07-01 52736]

R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

R4 lxbv_device;lxbv_device;c:\windows\system32\lxbvcoms.exe [2007-04-25 537520]

R4 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-04-03 240232]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2010-04-27 108289]

S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [2008-07-25 870400]

 

 

--- Autres Services/Pilotes en mémoire ---

 

*NewlyCreated* - DUFYVJD

*Deregistered* - dufyvjd

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

.

Contenu du dossier 'Tâches planifiées'

 

2010-07-02 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-07 21:05]

 

2010-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-09 15:38]

 

2010-07-02 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-04-09 15:38]

.

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.google.fr/

uDefault_Search_URL = hxxp://www.durable.com/recherche

uSearchMigratedDefaultURL = hxxp://www.durable.com/result?cx=partner-pub-7902900401080901%3Azbljezwsgul&cof=FORID%3A10&ie=UTF-8&q={searchTerms}

mStart Page = hxxp://www.durable.com/recherche

uSearchAssistant = hxxp://www.durable.com/recherche

uSearchURL,(Default) = hxxp://www.durable.com/recherche

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

LSP: c:\windows\system32\wpclsp.dll

TCP: {02924309-208B-4A6F-91CF-664DF11306EC} = 84.103.237.140 86.64.145.140

.

 

**************************************************************************

Recherche de processus cachés ...

 

Recherche d'éléments en démarrage automatique cachés ...

 

Recherche de fichiers cachés ...

 

Scan terminé avec succès

Fichiers cachés:

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\dufyvjd]

 

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\system32\AUDIODG.EXE

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Common Files\AOL\ACS\AOLAcsd.exe

c:\program files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

c:\windows\system32\conime.exe

c:\program files\AOL 9.0 VR\waol.exe

c:\program files\Windows Media Player\wmpnscfg.exe

c:\windows\system32\wbem\unsecapp.exe

c:\program files\Windows Media Player\wmpnetwk.exe

c:\program files\AOL 9.0 VR\shellmon.exe

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2010-07-02 18:47:47 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-07-02 16:47

 

Avant-CF: 41 192 067 072 octets libres

Après-CF: 40 907 784 192 octets libres

 

Current=1 Default=1 Failed=0 LastKnownGood=8 Sets=1,2,3,4,5,6,7,8

- - End Of File - - 61820F2992DF116F190F6E88FC2C1D5E

L'envoi a r‚ussi

no.ppp Extrem Member

no.ppp

Posté(e)
Posté(e)

Re,

 

Pouahh..il est balaise ce fichier .. :enerve:

 

080821120923886402.png 1.Télécharge The Avenger par Swandog46 sur ton Bureau.

  • Décompresse le fichier
  • avenger.exe apparait sur ton Bureau

 

2. Copie le contenu de la citation code ci-dessous (CTRL+C), toutes les lignes, n'oublie aucune lettre :P :

 

Begin copying here:
Drivers to disable:
dufyvjd
drivers to delete:
dufyvjd
Files to Delete:
c:\windows\System32\drivers\dufyvjd.sys

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

Si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lance The Avenger en double cliquant dessus, sauf pour Vista et 7 : là par clic droit, exécuter en tant qu'administrateur.

  • Une fenêtre s'affiche, accepte par "OK"
  • Sous "Input Script There", colle le code précédemment copié.
  • Clique sur Execute
  • Réponds "Yes" quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va redémarrer le système.
  • Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de Windows noire sur le Bureau, c'est normal.
  • Après le redémarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt

5. Pour finir copie-colle le contenu du fichier C:\avenger.txt dans ta prochaine réponse.

christelsina Member

christelsina

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

voilà le rapport. On dirait que tu as réussi à le désactiver car j'ai analysé le fichier drivers avec Malewarebyte's et antivir et tous deux ne trouvent plus rien !

 

 

 

Logfile of The Avenger Version 2.0, © by Swandog46

Swandog46's Public Anti-Malware Tools

 

Platform: Windows Vista

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

Driver "dufyvjd" disabled successfully.

Driver "dufyvjd" deleted successfully.

File "c:\windows\System32\drivers\dufyvjd.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

no.ppp Extrem Member

no.ppp

Posté(e)
Posté(e)

Salut,

 

On voit bien la puissance de l'outil là..

 

Redémarre et analyse le dossier avec Antivir, dis moi si ça couine.

 

Comment va la machine sinon ?

 

080821120923886402.pngNous allons rechercher les restes à l'aide d'un scan en ligne :

 

*Clique avec le bouton droit de ta souris sur ce lien et ouvre-le dans une nouvelle fenêtre : ESET OnlineScan

~ Cette manipulation doit se faire avec Internet Explorer !

 

  • Clique ensuite sur ce bouton pour lancer l'analyse : esetOnline.png
  • Choisis YES pour accepter les termes de la license.
  • Clique alors sur le bouton esetStart.png
    => Clique dans la barre jaune qui risque d'apparaître et autorise le programme (il est évidemment sans risque)
  • Coche la case "Scan Archives"
  • Appuie alors sur "Start"
    => L'outil se met à jour, installe les nouvelles bases de données et commencer l'analyse, cela va prendre beaucoup de temps; sois patient !
  • Lorsqu'il a terminé, clique sur le bouton "List of found threats"
  • Clique alors "Export to text file..." et enregistre le fichier sur ton bureau.
  • Poste son contenu dans ta prochaine réponse.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...