[Résolu] Rootkit Agent : impossible de m'en débarasser !

nardino · le 25 septembre 2010

Bonsoir,

Très bien nous allons passer Combofix.

IMPORTANT. Enregistre ComboFix.exe sur le Bureau.

Désactive les applications antivirus et anti-malware résidentes, en général via un clic droit sur l'icône de la Zone de notification, sinon elles risquent d'interférer avec l'outil.

Fais un double clic sur l'icône et suis les invites.

Lorsque l'outil aura terminé, il affichera un rapport.

Surtout ne lance aucune application pendant le scan et après le redémarrage parfois nécessaire et provoqué.

Attends l'affichage du rapport

Copie le contenu dans ta prochaine réponse.

Il sera enregistré sous C:\Combofix.txt

@+

Modifié le 25 septembre 2010 par nardino

tia55 · le 25 septembre 2010

Voilà le rapport de Combofix :

Tu peux avancer avec ça ?

ComboFix 10-09-25.01 - Kurgan 25/09/2010 19:56:52.1.2 - x86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3061.1566 [GMT 2:00]

Lancé depuis: c:\users\Kurgan\Desktop\ComboFix.exe

SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\TEMP\logishrd\LVPrcInj01.dll

.

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-25 au 2010-09-25 ))))))))))))))))))))))))))))))))))))

.

2010-09-25 18:03 . 2010-09-25 18:41 -------- d-----w- c:\users\Kurgan\AppData\Local\temp

2010-09-25 11:25 . 2010-09-25 11:26 -------- d-----w- C:\rsit

2010-09-25 11:25 . 2010-09-25 11:25 -------- d-----w- c:\program files\trend micro

2010-09-25 02:28 . 2010-09-25 02:28 -------- d-----w- c:\program files\Windows Portable Devices

2010-09-25 01:04 . 2009-09-10 02:00 92672 ----a-w- c:\windows\system32\UIAnimation.dll

2010-09-25 01:04 . 2009-09-10 02:01 3023360 ----a-w- c:\windows\system32\UIRibbon.dll

2010-09-25 01:04 . 2009-09-10 02:00 1164800 ----a-w- c:\windows\system32\UIRibbonRes.dll

2010-09-25 01:01 . 2009-10-08 21:08 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll

2010-09-25 01:01 . 2009-10-08 21:08 234496 ----a-w- c:\windows\system32\oleacc.dll

2010-09-25 01:01 . 2009-10-08 21:07 4096 ----a-w- c:\windows\system32\oleaccrc.dll

2010-09-24 16:52 . 2009-06-18 10:55 18816 ------w- c:\windows\system32\SAVRKBootTasks.sys

2010-09-24 16:16 . 2010-09-24 17:40 1 ----a-w- c:\users\Kurgan\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-09-24 16:16 . 2010-09-24 16:16 -------- d-----w- c:\users\Kurgan\AppData\Roaming\OpenOffice.org

2010-09-24 15:40 . 2010-09-24 15:40 -------- d-----w- c:\program files\Sophos

2010-09-24 15:28 . 2010-09-24 15:28 -------- d-----w- c:\users\Kurgan\AppData\Roaming\Malwarebytes

2010-09-24 15:21 . 2010-09-07 14:52 165584 ----a-w- c:\windows\system32\drivers\aswSP.sys

2010-09-24 15:21 . 2010-09-07 14:47 17744 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2010-09-24 15:21 . 2010-09-07 14:47 23376 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2010-09-24 15:21 . 2010-09-07 14:52 46672 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2010-09-24 15:21 . 2010-09-07 14:47 50768 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2010-09-24 15:21 . 2010-09-07 15:12 38848 ----a-w- c:\windows\avastSS.scr

2010-09-24 15:21 . 2010-09-07 15:11 167592 ----a-w- c:\windows\system32\aswBoot.exe

2010-09-24 15:21 . 2010-09-24 15:21 -------- d-----w- c:\programdata\Alwil Software

2010-09-24 15:21 . 2010-09-24 15:21 -------- d-----w- c:\program files\Alwil Software

2010-09-24 12:53 . 2010-09-24 12:53 -------- d-----w- c:\windows\system32\ca-ES

2010-09-24 12:53 . 2010-09-24 12:53 -------- d-----w- c:\windows\system32\eu-ES

2010-09-24 12:53 . 2010-09-24 12:53 -------- d-----w- c:\windows\system32\vi-VN

2010-09-24 12:30 . 2010-09-24 12:30 -------- d-----w- c:\windows\system32\EventProviders

2010-09-24 05:30 . 2010-09-24 05:30 -------- d-sh--w- c:\windows\system32\%APPDATA%

2010-09-23 17:13 . 2010-09-23 17:13 -------- d-----w- c:\program files\CCleaner

2010-09-23 15:34 . 2010-09-23 15:34 -------- d-----w- c:\users\Utilisateur\AppData\Roaming\Malwarebytes

2010-09-23 15:34 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-23 15:34 . 2010-09-23 15:34 -------- d-----w- c:\programdata\Malwarebytes

2010-09-23 15:34 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-09-23 15:34 . 2010-09-23 15:34 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-09-22 16:38 . 2010-09-22 19:23 -------- d-----w- c:\users\Utilisateur\AppData\Roaming\B2805F367F4843B300F417152390293A

2010-09-15 05:14 . 2010-08-17 14:11 128000 ----a-w- c:\windows\system32\spoolsv.exe

2010-09-15 05:14 . 2010-04-16 16:46 502272 ----a-w- c:\windows\system32\usp10.dll

2010-09-15 05:14 . 2010-04-05 17:02 317952 ----a-w- c:\windows\system32\MP4SDECD.DLL

2010-09-15 05:14 . 2010-05-27 20:08 739328 ----a-w- c:\windows\system32\inetcomm.dll

2010-09-01 02:37 . 2010-08-17 18:10 372736 ------w- c:\programdata\Dell\DSL\DSLCheck.exe

2010-08-27 10:48 . 2010-06-18 15:04 302080 ----a-w- c:\windows\system32\drivers\srv.sys

2010-08-27 10:48 . 2010-06-18 15:04 144896 ----a-w- c:\windows\system32\drivers\srv2.sys

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-25 18:14 . 2009-05-27 18:39 679042 ----a-w- c:\windows\system32\perfh00C.dat

2010-09-25 18:14 . 2009-05-27 18:39 126626 ----a-w- c:\windows\system32\perfc00C.dat

2010-09-25 18:03 . 2009-05-27 08:46 12 ----a-w- c:\windows\bthservsdp.dat

2010-09-25 16:26 . 2009-10-21 15:56 -------- d-----w- c:\programdata\Google Updater

2010-09-25 02:28 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat

2010-09-25 02:28 . 2010-09-25 02:28 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_07_00.Wdf

2010-09-25 02:27 . 2010-09-25 02:27 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf

2010-09-24 19:12 . 2009-08-24 16:55 4318 ----a-w- c:\users\Utilisateur\AppData\Roaming\wklnhst.dat

2010-09-24 15:13 . 2010-04-11 07:51 -------- d-----w- c:\programdata\Spybot - Search & Destroy

2010-09-24 12:54 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar

2010-09-24 12:54 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2010-09-24 12:54 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Sidebar

2010-09-24 12:54 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Journal

2010-09-24 12:54 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Collaboration

2010-09-24 12:54 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Photo Gallery

2010-09-24 12:54 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Defender

2010-09-24 12:29 . 2009-06-27 14:42 72784 ----a-w- c:\users\Kurgan\AppData\Local\GDIPFONTCACHEV1.DAT

2010-09-24 05:13 . 2009-05-27 08:50 680 ----a-w- c:\users\Utilisateur\AppData\Local\d3d9caps.dat

2010-09-23 18:13 . 2009-06-07 12:15 1 ----a-w- c:\users\Utilisateur\AppData\Roaming\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-09-23 17:32 . 2010-04-11 07:51 -------- d-----w- c:\program files\Spybot - Search & Destroy

2010-09-23 07:00 . 2009-06-16 22:02 -------- d-----w- c:\users\Utilisateur\AppData\Roaming\dvdcss

2010-09-16 06:13 . 2009-12-12 14:52 -------- d-----w- c:\programdata\Microsoft Help

2010-09-10 05:05 . 2009-11-20 22:49 -------- d-----w- c:\program files\Microsoft Silverlight

2010-09-04 15:11 . 2009-06-08 16:21 -------- d-----w- c:\programdata\Dell

2010-08-28 06:37 . 2009-06-08 16:29 -------- d-----w- c:\program files\Microsoft Works

2009-06-12 09:50 . 2009-06-12 09:50 74 --sh--r- c:\windows\CT4CET.bin

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2008-03-11 202544]

"msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-05-28 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-21 1008184]

"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-12-08 3444736]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-12-13 137752]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-12-13 154136]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-12-13 133656]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"OEM02Mon.exe"="c:\windows\OEM02Mon.exe" [2007-05-09 36864]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-31 148888]

"Apoint"="c:\program files\DellTPad\Apoint.exe" [2007-10-25 167936]

"dscactivate"="c:\program files\Dell Support Center\gs_agent\custom\dsca.exe" [2008-03-11 16384]

"DellSupportCenter"="c:\program files\Dell Support Center\bin\sprtcmd.exe" [2008-03-11 202544]

"DELL Webcam Manager"="c:\program files\Dell\Dell Webcam Manager\DellWMgr.exe" [2007-07-27 118784]

"LogitechQuickCamRibbon"="c:\program files\Logitech\Logitech WebCam Software\LWS.exe" [2009-05-08 2780432]

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\users\Utilisateur\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\users\Kurgan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

OpenOffice.org 3.1.lnk - c:\program files\OpenOffice.org 3\program\quickstart.exe [2009-4-16 384000]

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

QuickSet.lnk - c:\program files\Dell\QuickSet\quickset.exe [2008-2-22 1193240]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

R2 aswFsBlk;aswFsBlk;aswFsBlk.sys [x]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2009-10-21 133104]

R3 MEMSWEEP2;MEMSWEEP2;c:\windows\system32\6096.tmp [x]

R3 WPFFontCache_v0400;Cache de police de Windows Presentation Foundation 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504]

S1 aswSP;aswSP; [x]

S1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [2009-06-18 18816]

S2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [2009-08-29 108289]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2010-09-07 50768]

S2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2009-01-26 1153368]

S3 IntcHdmiAddService;Intel® High Definition Audio HDMI Service;c:\windows\system32\drivers\IntcHdmi.sys [2007-03-26 111104]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - xrstksy

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bthsvcs REG_MULTI_SZ BthServ

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

.

Contenu du dossier 'Tâches planifiées'

2010-09-25 c:\windows\Tasks\Google Software Updater.job

- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-05-28 15:56]

2010-09-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-21 15:56]

2010-09-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-10-21 15:56]

2010-09-25 c:\windows\Tasks\User_Feed_Synchronization-{B21C6BAA-1577-4BDF-8A25-DCCA89B8B771}.job

- c:\windows\system32\msfeedssync.exe [2010-08-27 04:24]

.

------- Examen supplémentaire -------

.

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

.

- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-soft2PC - (no file)

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2010-09-25 20:39

Windows 6.0.6002 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

c:\users\Kurgan\AppData\Local\Temp\Cab1AE0.tmp 32042 bytes

c:\users\Kurgan\AppData\Local\Temp\Tar1AE1.tmp 83498 bytes

c:\windows\TEMP\TMP0000003D4C51EAD1D64C49A5 524288 bytes

Scan terminé avec succès

Fichiers cachés: 3

**************************************************************************

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MEMSWEEP2]

"ImagePath"="\??\c:\windows\system32\6096.tmp"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xrstksy]

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]

@Denied: (A) (Users)

@Denied: (A) (Everyone)

@Allowed: (B 1 2 3 4 5) (S-1-5-20)

"BlindDial"=dword:00000000

.

------------------------ Autres processus actifs ------------------------

.

c:\windows\System32\WLTRYSVC.EXE

c:\windows\system32\WLANExt.exe

c:\windows\System32\bcmwltry.exe

c:\program files\Avira\AntiVir Desktop\avguard.exe

c:\program files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe

c:\program files\Dell Support Center\bin\sprtsvc.exe

c:\windows\system32\conime.exe

c:\windows\system32\igfxsrvc.exe

c:\program files\OpenOffice.org 3\program\soffice.exe

c:\program files\OpenOffice.org 3\program\soffice.bin

c:\program files\Common Files\Logishrd\LQCVFX\COCIManager.exe

c:\windows\servicing\TrustedInstaller.exe

.

**************************************************************************

.

Heure de fin: 2010-09-25 20:44:27 - La machine a redémarré

ComboFix-quarantined-files.txt 2010-09-25 18:44

Avant-CF: 161 271 844 864 octets libres

Après-CF: 161 262 403 584 octets libres

Current=1 Default=1 Failed=0 LastKnownGood=6 Sets=1,2,3,4,5,6

- - End Of File - - 4ECC4A1D659F9D1FBC53030094458935

nardino · le 25 septembre 2010

Bonsoir,

**Création d'un Script Combofix**

ATTENTION : Cette procédure a été rédigée pour le cas présent, toute copie sur sur un autre système peut entrainer des dysfonctionnements graves.

Ouvre le bloc-notes : Tous les programmes-Accessoire-Bloc-notes

Colles-y les lignes écrites ci-dessous en citation :

Veille à ce que Retour à la ligne ne soit pas coché dans Format.

KillAll::

Driver::

xrstksy

File::

c:\users\Kurgan\AppData\Local\Temp\Cab1AE0.tmp

c:\users\Kurgan\AppData\Local\Temp\Tar1AE1.tmp

c:\windows\TEMP\TMP0000003D4C51EAD1D64C49A

Registry:::

[-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xrstksy]

Enregistre-le sous CFScript.txt, sur le bureau

Comme sur l'image présentée ici, fais glisser CFScript.txt sur Combofix.exe

http://i75.servimg.com/u/f75/11/05/93/83/cf110.gif

Combofix va se lancer et faire redémarrer l'ordinateur.

Poste le rapport C:\Combofix.

Donne des infos sur l'évolution de tes problèmes.

@+

tia55 · le 26 septembre 2010

Bonjour,

j'ai suivi tes instructions, voici le rapport de combofix :

ComboFix 10-09-25.02 - Kurgan 25/09/2010 22:24:40.2.2 - x86

Microsoft® Windows Vista™ Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3061.1715 [GMT 2:00]

Lancé depuis: c:\users\Kurgan\Desktop\ComboFix.exe

Commutateurs utilisés :: c:\users\Kurgan\Desktop\CFScript.txt

SP: Spybot - Search and Destroy *disabled* (Updated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

* Un nouveau point de restauration a été créé

FILE ::

"c:\users\Kurgan\AppData\Local\Temp\Cab1AE0.tmp"

"c:\users\Kurgan\AppData\Local\Temp\Tar1AE1.tmp"

"c:\windows\TEMP\TMP0000003D4C51EAD1D64C49A"

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_XRSTKSY

-------\Service_xrstksy

((((((((((((((((((((((((((((( Fichiers créés du 2010-08-25 au 2010-09-25 ))))))))))))))))))))))))))))))))))))

.

2010-09-25 20:29 . 2010-09-25 20:35 -------- d-----w- c:\users\Kurgan\AppData\Local\temp

2010-09-25 20:29 . 2010-09-25 20:29 -------- d-----w- c:\users\Utilisateur\AppData\Local\temp

2010-09-25 20:29 . 2010-09-25 20:29 -------- d-----w- c:\users\Public\AppData\Local\temp