[Résolu] Rootkit Agent : impossible de m'en débarasser !

[tia55]

Bonjour,

j'ai le virus cité ci-dessus sur mon ordi et je n'arrive pas à m'en débarasser.

malware l'efface, mais il se charge à chaque démarrage du pc

j'ai désactivé la restauration du système

j'ai lancé anti vir, avast, spybot, cleaner etc...

rien à faire, le virus revient à chaque fois

je voudrais essayer combofix, mais je ne sais pas comment

est-ce que quelqu'un pourrait m'aider svp ?

 

merci

 

vista service pack 32

Modifié le 27 septembre 2010 par tia55

[nardino]

Bonsoir,

 

Serait-il possible de voir un rapport Malwarebytes sur lequel il y a cette détection ?

 

@+

[tia55]

Bonjour,

voici le report de GMER, je vais aussi refaire un avec malware.

 

 

GMER 1.0.15.15281 - GMER - Rootkit Detector and Remover

Rootkit scan 2010-09-24 19:29:03

Windows 6.0.6002 Service Pack 2

Running: m4pgi6vn.exe; Driver: C:\Users\Kurgan\AppData\Local\Temp\fwliakog.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT 8CBDDD64 ZwCreateThread

SSDT 8CBDDD50 ZwOpenProcess

SSDT 8CBDDD55 ZwOpenThread

SSDT 8CBDDD5F ZwTerminateProcess

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!KeSetEvent + 221 824E0984 4 Bytes [64, DD, BD, 8C]

.text ntkrnlpa.exe!KeSetEvent + 3F1 824E0B54 4 Bytes [50, DD, BD, 8C]

.text ntkrnlpa.exe!KeSetEvent + 40D 824E0B70 4 Bytes [55, DD, BD, 8C]

.text ntkrnlpa.exe!KeSetEvent + 621 824E0D84 4 Bytes [5F, DD, BD, 8C]

? System32\Drivers\xrstksy.sys Un périphérique attaché au système ne fonctionne pas correctement. !

 

---- User code sections - GMER 1.0.15 ----

 

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!FindResourceExA 775B2575 7 Bytes JMP 28001D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!FindResourceA 775B2653 5 Bytes JMP 28001CF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!CreateEventA 775D44C0 5 Bytes JMP 28001840 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!LockResource 775D68DF 5 Bytes JMP 28001F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!FindResourceExW 775D69FD 7 Bytes JMP 28001C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!LoadResource 775D6ADB 7 Bytes JMP 28001E20 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!FindResourceW 775D7FA1 5 Bytes JMP 28001BE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] kernel32.dll!SizeofResource 775D7FBF 7 Bytes JMP 28001EE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] ADVAPI32.dll!CryptDeriveKey 7696FCAE 7 Bytes JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] ADVAPI32.dll!CryptDecrypt 7696FE91 7 Bytes JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!CreateDialogParamW 77B572A2 5 Bytes JMP 28006000 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!SetWindowPlacement 77B57963 5 Bytes JMP 28005D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!SetWindowRgn 77B5A221 7 Bytes JMP 28005EC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!LoadImageW 77B5C9E5 5 Bytes JMP 28006650 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!LoadIconW 77B5DA9F 5 Bytes JMP 28006840 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!CreateWindowExW 77B61305 5 Bytes JMP 28003C70 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!GetWindowLongW 77B6F8BF 7 Bytes JMP 280069E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!PeekMessageW 77B7045A 5 Bytes JMP 280045B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!TrackPopupMenuEx 77B80CE7 5 Bytes JMP 28004E90 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] USER32.dll!MessageBoxIndirectW 77BAD5D3 5 Bytes JMP 280061F0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WS2_32.dll!closesocket 7666330C 5 Bytes JMP 2800B5E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WS2_32.dll!recv 7666343A 5 Bytes JMP 2800AE00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WS2_32.dll!WSASend 76664496 5 Bytes JMP 2800B3A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WS2_32.dll!send 7666659B 5 Bytes JMP 2800B1C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WS2_32.dll!WSARecv 76668400 5 Bytes JMP 2800AFA0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] SHELL32.dll!Shell_NotifyIconW 76A88642 5 Bytes JMP 280033D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] ole32.dll!CoRegisterClassObject 766A7DB6 5 Bytes JMP 28002360 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] ole32.dll!CoCreateInstance 766E9EA6 5 Bytes JMP 28002600 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] ole32.dll!CoInitializeEx 766EAD63 5 Bytes JMP 28002260 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WININET.dll!InternetReadFile 7772654B 5 Bytes JMP 28009E50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WININET.dll!InternetCloseHandle 77729088 5 Bytes JMP 2800A000 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WININET.dll!HttpOpenRequestA 7772D508 5 Bytes JMP 28009CC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] WININET.dll!HttpSendRequestA 7773EE89 5 Bytes JMP 28009F30 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)

? C:\Windows\System32\svchost.exe[4476] image checksum mismatch; number of sections mismatch; time/date stamp mismatch; unknown module: OLEAUT32.dll

 

---- User IAT/EAT - GMER 1.0.15 ----

 

IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[336] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [001F2F20] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[336] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [001F2CF0] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[336] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [001F2C90] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe[336] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [001F2CC0] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [01C02F20] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [01C02CF0] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [01C02C90] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Windows Live\Messenger\msnmsgr.exe[548] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [01C02CC0] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Windows\system32\services.exe[576] @ C:\Windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00060002

IAT C:\Windows\system32\services.exe[576] @ C:\Windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 00060000

IAT C:\Program Files\Windows Sidebar\sidebar.exe[2360] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtCreateFile] [000C2F20] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Windows Sidebar\sidebar.exe[2360] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtClose] [000C2CF0] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Windows Sidebar\sidebar.exe[2360] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDeviceIoControlFile] [000C2C90] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Program Files\Windows Sidebar\sidebar.exe[2360] @ C:\Windows\system32\kernel32.dll [ntdll.dll!NtDuplicateObject] [000C2CC0] C:\Windows\TEMP\logishrd\LVPrcInj01.dll (Camera Helper Library./Logitech Inc.)

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapSetInformation] 01A6B6E9

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExpandEnvironmentStringsW] 5409E800

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CreateActCtxW] 68500000

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ReleaseActCtx] 0F6DEAD8

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LCMapStringW] 00113EE8

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrlenW] F8BD8D00

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DelayLoadFailureHook] E81394A3

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedExchange] 00000C58

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!RegisterWaitForSingleObject] 59756668

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetUnhandledExceptionFilter] 04C76661

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetModuleHandleA] 838FFE24

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!QueryPerformanceCounter] 66F9FFC6

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetTickCount] 0CE1BA0F

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCurrentThreadId] 85C330F5

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCurrentProcessId] 12CEE9FE

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetSystemTimeAsFileTime] 60F90000

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!TerminateProcess] F902ED83

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCurrentProcess] 000634E9

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!UnhandledExceptionFilter] 24648D00

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetCommandLineW] 8F8E0F28

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ExitProcess] 9C00005E

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetProcessAffinityUpdateMode] 2474FF60

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcessHeap] 042444C6

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!SetErrorMode] 8D9C9C92

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!HeapFree] 000053DA

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!WideCharToMultiByte] 005BE7E9

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalFree] 514EE900

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!CloseHandle] 35E90000

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LocalAlloc] 9C0001AD

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryA] 892434FF

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!InterlockedCompareExchange] 6604247C

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!FreeLibrary] 0C89CF0F

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!Sleep] A0B98D24

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetProcAddress] F7B8C753

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!DeactivateActCtx] 24BC8DD7

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!LoadLibraryExW] BA86FAAB

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!GetLastError] BA0F669C

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!ActivateActCtx] 879C0AFF

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpW] 0F66F8B6

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [KERNEL32.dll!lstrcmpiW] 01F7BA0F

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__commode] 5F73E52C

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_adjust_fdiv] CFD3E1F2

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__setusermatherr] FF896652

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_amsg_exit] 35FF6056

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_initterm] [004011C5] C:\Windows\System32\svchost.exe (Processus hôte pour les services Windows/Microsoft Corporation)

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!exit] 1C24448F

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__p__fmode] 005638E9

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_exit] F6F5F800

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!memcpy] C4F766D2

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!memset] ED831B48

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__set_app_type] FCEC8302

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!?terminate@@YAXXZ] 54A0800F

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_except_handler4_common] D0200000

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_controlfp] 04C69C60

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_cexit] 81E85024

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!__wgetmainargs] 9C00000D

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [msvcrt.dll!_XcptFilter] 2824448F

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!GetTokenInformation] 00458F2C

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!InitializeSecurityDescriptor] 2489669C

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorOwner] 648D5124

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorGroup] 37E93824

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!SetEntriesInAclW] E8000053

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!SetSecurityDescriptorDacl] 0000510A

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!StartServiceCtrlDispatcherW] C450E9D5

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!RegDisablePredefinedCacheEx] 74FF0001

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!RegQueryValueExW] 5318E934

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!RegOpenKeyExW] 8B660000

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!RegCloseKey] 56B1E900

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!RegisterServiceCtrlHandlerW] 7E270000

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!SetServiceStatus] C421E9B1

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ADVAPI32.dll!OpenProcessToken] C3300001

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthoritySid] 16F4E900

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlFreeHeap] 33E90000

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlCopySid] 9C000056

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSubAuthorityCountSid] E9986054

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlLengthRequiredSid] 00000FD4

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlAllocateHeap] 24048954

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeSid] 24648D60

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlImageNtHeader] 578F0F20

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlSetProcessIsCritical] 60000010

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlUnhandledExceptionFilter] 1C247C89

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [ntdll.dll!RtlInitializeCriticalSection] 59E96056

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerListen] 000002A7

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIf] 66CE0F9C

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtWaitServerListen] 66CCA30F

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtSetServerStackSize] D6F7C5D3

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcMgmtStopServerListening] 00090AE8

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUnregisterIfEx] 242C8700

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerRegisterIf] EAB60F66

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!RpcServerUseProtseqEpW] 4AE8F960

IAT C:\Windows\System32\svchost.exe[4476] @ C:\Windows\System32\svchost.exe [RPCRT4.dll!I_RpcMapWin32Status] D0000014

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 86AEDB08

 

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

 

Device \Driver\BTHUSB \Device\00000071 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

Device \Driver\BTHUSB \Device\00000071 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

Device \Driver\BTHUSB \Device\00000073 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

Device \Driver\BTHUSB \Device\00000073 bthport.sys (Pilote de bus Bluetooth/Microsoft Corporation)

 

AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/AVAST Software)

AttachedDevice \FileSystem\fastfat \Fat fltmgr.sys (Gestionnaire de filtres de système de fichiers Microsoft/Microsoft Corporation)

 

---- Services - GMER 1.0.15 ----

 

Service (*** hidden *** ) [bOOT] xrstksy <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\001fe2da5cdb

Reg HKLM\SYSTEM\CurrentControlSet\Services\xrstksy@Type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\xrstksy@Start 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\xrstksy@ErrorControl 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\xrstksy@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet002\Services\xrstksy@Type 1

Reg HKLM\SYSTEM\ControlSet002\Services\xrstksy@Start 0

Reg HKLM\SYSTEM\ControlSet002\Services\xrstksy@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet002\Services\xrstksy@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet003\Services\xrstksy@Type 1

Reg HKLM\SYSTEM\ControlSet003\Services\xrstksy@Start 0

Reg HKLM\SYSTEM\ControlSet003\Services\xrstksy@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet003\Services\xrstksy@Group Boot Bus Extender

Reg HKLM\SYSTEM\ControlSet004\Services\BTHPORT\Parameters\Keys\001fe2da5cdb (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet004\Services\xrstksy@Type 1

Reg HKLM\SYSTEM\ControlSet004\Services\xrstksy@Start 0

Reg HKLM\SYSTEM\ControlSet004\Services\xrstksy@ErrorControl 0

Reg HKLM\SYSTEM\ControlSet004\Services\xrstksy@Group Boot Bus Extender

 

---- EOF - GMER 1.0.15 ----

[nardino]

Bonjour

 

Dans Gmer, tu supprimes les lignes en rouge s'il y en a.

 

http://www2.gmer.net/gmer.jpg

 

Tu cliques droit sur la ligne et tu sélectionnes l'action appropriée : Delete File ou Delete the service selon le type de la colonne de gauche.

 

http://www2.gmer.net/rustock.jpg

Ici tu supprimes

Service (*** hidden *** ) [bOOT] xrstksy <-- ROOTKIT !!!

 

Tu redémarres et tu tu refais un scan Gmer.

@+

[tia55]

Et ici le rapport Malware :

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Version de la base de données: 4684

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18943

 

25/09/2010 13:21:00

mbam-log-2010-09-25 (13-21-00).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 146117

Temps écoulé: 5 minute(s), 36 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 1

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

(Aucun élément nuisible détecté)

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

C:\Windows\system32\Drivers\xrstksy.sys (Rootkit.Agent) -> No action taken.

[tia55]

Tu es sur que je peux supprimer la ligne rouge dans Gmer ? Ca ne plantera pas mon système ?

[nardino]

Bonjour

Pourquoi veux-tu que je te fasse prendre des risques ?

Tu demandes une aide, je t'en apporte une, maintenant tu fais ce que tu veux mais s'il n'y a pas un minimum de confiance il faut arrêter de suite.

@+

[tia55]

Dis-donc, t'as l'air un peu susceptible ...

Désolée de t'avoir offensé, mais je ne connais pas grande chose et je voulais juste être sûre ...

J'apprécie ton aide,mais reste zen, okay ?

[nardino]

Bonsoir,

Excuse- moi mais pour quelqu'un qui n'y connait rien, utiliser Gmer sans préconisation et demander un recours à Combofix, j'ai un minimum de doute.

Au lieu de monter sur tes grands chevaux, car je suis zen, as-tu fait ce que je t'avais demandé ?

Quels sont les résultats sur le comportement de ton pc ?

As-tu encore des soucis ?

@+

[tia55]

Salut, on fait la paix, okay ?

 

Oui, je t'ai fait confiance et j'ai essayé "delete service", mais j'ai un message d'erreur :

 

file"" couldn't be deleted, error 0x00000007B !: syntaxe du nom de fichier, de répertoire ou du volume incorrecte.

 

Je fais quoi maintenant ? Si tu as encore une idée, je suis preneur.

Merci par avance !