[Terminé-non résolu] Ouvertures intempestives de n'importe quoi

[nafnaf06]

Merci pour vos directives, je vais essayer de faire ce que vous me dites, et vous tiens au courant.

 

J'ai bien remarqué que nous étions à Noël, du reste je vous ai souhaité un Bon Noël pour vous et les vôtres dans mon message.

 

Mais, il reste même à Noël, pour celui qui comme moi à un problème de fonctionnement de plus en plus crucial, car les choses ne s'arrangent pas, un soupçon d'impatience, et une montagne d'impuissance, que vous comprenez sûrement.

 

C'est bientôt le nouvel an. Je vais donc essayer d'être moins pressant.

Encore merci pour votre réponse.

 

Cordialement.

[nafnaf06]

Bonjour, Voici ce que donne la manipulation.

Tout d'abord lors de l'analyse une erreur, dont voici la fenêtre.

 

 

 

Malgré cette erreur, voici le rapport.

Il y a 4 lignes rouges que j'ai trouvé sous Kernel Modules:

 

 

SysProt AntiRootkit v1.0.1.0

by swatkat

 

******************************************************************************************

******************************************************************************************

 

No Hidden Processes found

 

******************************************************************************************

******************************************************************************************

Kernel Modules:

Module Name: \SystemRoot\System32\Drivers\spfm.sys

Service Name: ---

Module Base: 8B6A9000

Module End: 8B79C000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\agaswsod.SYS

Service Name: ---

Module Base: 926CD000

Module End: 92706000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_iaStor.sys

Service Name: ---

Module Base: 91226000

Module End: 912F4000

Hidden: Yes

 

Module Name: \SystemRoot\System32\Drivers\dump_dumpfve.sys

Service Name: ---

Module Base: 9318B000

Module End: 9319C000

Hidden: Yes

 

******************************************************************************************

******************************************************************************************

No SSDT Hooks found

 

******************************************************************************************

******************************************************************************************

No Kernel Hooks found

 

******************************************************************************************

******************************************************************************************

No IRP Hooks found

 

******************************************************************************************

******************************************************************************************

Ports:

Local Address: PC-DE-MSI-WLAD:58324

Remote Address: TAR13-1-88-172-247-195.FBX.PROXAD.NET:36232

Type: TCP

Process: 3052 (PID)

State: ESTABLISHED

 

Local Address: PC-DE-MSI-WLAD:57773

Remote Address: 212.161.8.6:12350

Type: TCP

Process: 3052 (PID)

State: ESTABLISHED

 

Local Address: PC-DE-MSI-WLAD:57298

Remote Address: 213.146.188.6:HTTPS

Type: TCP

Process: 3052 (PID)

State: ESTABLISHED

 

Local Address: PC-DE-MSI-WLAD:57286

Remote Address: 95.101.170.161:HTTPS

Type: TCP

Process: 3052 (PID)

State: CLOSE_WAIT

 

Local Address: PC-DE-MSI-WLAD:NETBIOS-SSN

Remote Address: 0.0.0.0:0

Type: TCP

Process: 4 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:57592

Remote Address: LOCALHOST:57591

Type: TCP

Process: 2420 (PID)

State: ESTABLISHED

 

Local Address: PC-DE-MSI-WLAD:57591

Remote Address: LOCALHOST:57592

Type: TCP

Process: 2420 (PID)

State: ESTABLISHED

 

Local Address: PC-DE-MSI-WLAD:57590

Remote Address: LOCALHOST:57589

Type: TCP

Process: 2420 (PID)

State: ESTABLISHED

 

Local Address: PC-DE-MSI-WLAD:57589

Remote Address: LOCALHOST:57590

Type: TCP

Process: 2420 (PID)

State: ESTABLISHED

 

Local Address: PC-DE-MSI-WLAD:27015

Remote Address: 0.0.0.0:0

Type: TCP

Process: 1832 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:61732

Remote Address: 0.0.0.0:0

Type: TCP

Process: 3052 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:49157

Remote Address: 0.0.0.0:0

Type: TCP

Process: 736 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:49156

Remote Address: 0.0.0.0:0

Type: TCP

Process: 752 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:49155

Remote Address: 0.0.0.0:0

Type: TCP

Process: 1648 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:49154

Remote Address: 0.0.0.0:0

Type: TCP

Process: 1200 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:49153

Remote Address: 0.0.0.0:0

Type: TCP

Process: 1120 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:49152

Remote Address: 0.0.0.0:0

Type: TCP

Process: 688 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:44110

Remote Address: 0.0.0.0:0

Type: TCP

Process: 2956 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:44080

Remote Address: 0.0.0.0:0

Type: TCP

Process: 3008 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:10243

Remote Address: 0.0.0.0:0

Type: TCP

Process: 4 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:WSD

Remote Address: 0.0.0.0:0

Type: TCP

Process: 4 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:ICSLAP

Remote Address: 0.0.0.0:0

Type: TCP

Process: 4 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:RTSP

Remote Address: 0.0.0.0:0

Type: TCP

Process: 2808 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:MICROSOFT-DS

Remote Address: 0.0.0.0:0

Type: TCP

Process: 4 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:HTTPS

Remote Address: 0.0.0.0:0

Type: TCP

Process: 3052 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:EPMAP

Remote Address: 0.0.0.0:0

Type: TCP

Process: 984 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:HTTP

Remote Address: 0.0.0.0:0

Type: TCP

Process: 3052 (PID)

State: LISTENING

 

Local Address: PC-DE-MSI-WLAD:60103

Remote Address: NA

Type: UDP

Process: 4036 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:SSDP

Remote Address: NA

Type: UDP

Process: 4036 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:138

Remote Address: NA

Type: UDP

Process: 4 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:NETBIOS-NS

Remote Address: NA

Type: UDP

Process: 4 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:60104

Remote Address: NA

Type: UDP

Process: 4036 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:54914

Remote Address: NA

Type: UDP

Process: 3052 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:54082

Remote Address: NA

Type: UDP

Process: 2420 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:49155

Remote Address: NA

Type: UDP

Process: 3052 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:49154

Remote Address: NA

Type: UDP

Process: 2664 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:49153

Remote Address: NA

Type: UDP

Process: 1832 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:49152

Remote Address: NA

Type: UDP

Process: 1832 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:SSDP

Remote Address: NA

Type: UDP

Process: 4036 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:62982

Remote Address: NA

Type: UDP

Process: 4036 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:61732

Remote Address: NA

Type: UDP

Process: 3052 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:LLMNR

Remote Address: NA

Type: UDP

Process: 1464 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:5005

Remote Address: NA

Type: UDP

Process: 2808 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:5004

Remote Address: NA

Type: UDP

Process: 2808 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:IPSEC-MSFT

Remote Address: NA

Type: UDP

Process: 1200 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:WS-DISCOVERY

Remote Address: NA

Type: UDP

Process: 4036 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:WS-DISCOVERY

Remote Address: NA

Type: UDP

Process: 4036 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:500

Remote Address: NA

Type: UDP

Process: 1200 (PID)

State: NA

 

Local Address: PC-DE-MSI-WLAD:HTTPS

Remote Address: NA

Type: UDP

Process: 3052 (PID)

State: NA

 

******************************************************************************************

******************************************************************************************

Hidden files/folders:

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl

Status: Access denied

 

Object: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl

Status: Access denied

 

Merci pour votre intervention. Voyons la suite, mais ce Malware à l'air très récalcitrant à se dévoiler.

Bonne soirée.

Modifié le 29 décembre 2010 par nafnaf06

[pear]

Bonsoir,

 

Nettoyage de Rootkit

Relancer Sysprot

 

Rechercher:

Module Name: \SystemRoot\System32\Drivers\agaswsod.SYS

Service Name: ---

Module Base: 926CD000

Module End: 92706000

Hidden: Yes

 

Pour tuer un processus(Onglet Processes) clic droit->puis clic Disable(Kernel Modules)

 

Attention Des drivers commeDump_atapi.sys,dump_wmilib.sys,dump_iaStor.sys sont légitimes.

Ils sont en rouge parce que, absents du disque , ils apparaissent en mémoire

[/color]

[nafnaf06]

Bonjour,

Merci pour cette réponse.

J'ai quelques difficulté à faire la manipulation que vous décrivez.

Je pense ne pas avoir bien compris.

 

Je relance SysProt, je vais dans l'onglet KernelModule. La recherche se lance automatiquement.

Une fois terminée, je coche en bas à gauche "Hidden objects only".

 

Je sélectionne la ligne agaswsod.SYS. Je cliques en bas à droite sur "Disable".

 

Voici la réponse.

Si je vais dans l'onglet Processes, les lignes sont vides.

 

 

Je n'ai pas du faire ce qu'il fallait.

Pouvez-vous SVP me ré-expliquer. Merci

[nafnaf06]

Bonsoir,

 

J'ai repris toutes vos réponses concernant SysPro, depuis le début, et j'ai recommencé les manipulations.

 

Certaines choses ont changées.

Notamment dans le tableau des Kernels Modules. Voici les nouvelles lignes qui apparaissent :

 

 

Malheureusement les manifestations intempestives se produisent toujours.

 

En y repensant, je ne crois pas vous avoir dit que la flèche de ma souris bougeait toute seule.

J'ai, bien sûr, changé de souris pour éliminer un problème de hard.

 

Bonne soirée.

Modifié le 30 décembre 2010 par nafnaf06

[pear]

Bonsoir,

 

Nettoyage de Rootkit

Relancer Sysprot

 

Rechercher et tuer:

\SystemRoot\System32\Drivers\a5d8vsat.sys

\??\C:\Users\MSI-WLAD\Appdata\Local\Temp\pgtyyuog.sys.SYS

 

 

Pour tuer un processus(Onglet Processes) clic droit->puis clic sur Kill ou Disable(Kernel Modules), ou Fix Hook(SSDT) ou Delete(Files Système)

[nafnaf06]

Bonsoir,

En premier, je vous souhaite une Bonne Année 2011, pour vous et votre famille.

J'espère que vous la commencerez bien.

 

Je voulais vous donner quelques infos.

Le driver signalé ci-dessus a5d8vsat.SYS n'existe plus.

A chaque analyse, un autre driver apparait à sa place, je suppose.

Actuellement il s'appelle : atkne0t8.SYS.

 

Malheureusement, la réponse est immuable, et identique aux essais précédents, lorsque j'essaye de le supprimer.

 

"Failed to disable driver/service."

 

 

 

Il y avait aussi : \??\C:\Users\MSI-WLAD\Appdata\Local\Temp\pgtyyuog.sys

 

Là, bonne nouvelle, j'ai réussi par la même manoeuvre (sélection ligne + "Disable"), à le supprimer.

 

Malheureusement, cela n'a pas résolu mon problème.

 

Si je vais dans l'onglet "Process", il y a ça :

 

Si je coche "Hidden Objects Only" le fenêtre se vide.

 

Bref, je ne sais pas comment supprimer la ligne : atkne0t8.SYS.

 

 

Vous devez sûrement avoir une idée.

 

Cordialement.

Modifié le 31 décembre 2010 par nafnaf06

[pear]

Bonjour,

 

essayez ceci:

Recherche de rootkit

Télécharger The Avenger par Swandog46 sur le Bureau.

 

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

The Avenger sait rechercher des rootkits cachés(par définition) .

Pour pour activer cette fonction:

Vérifiez que la case "Scan for rootkits" est bien cochée.( Elle l'est par défaut).

 

 

 

Ne pas autoriser The Avenger à désactiver automatiquement tous les rootkits qu'il trouve.

 

Cliquez sur Exécute.

la recherche de rootkits se fera au redémarrage , avant l'installation de Windows.

Un fichier log s'ouvrira que vous pourrez retrouver ici : C:\avenger.txt

Copiez /collez le résultat dans votre réponse.

[nafnaf06]

Bonsoir,

Mauvaise nouvelle, mon ordi après un écran bleu a refusé de redémarrer.

J'ai tout essayé, en compagnie du technicien de la boite informatique qui me l'a vendu, l'année dernière.

 

Bonne nouvelle, ne pouvant plus redémarrer (problème de soft Windows), le technicien ma conseillé de démarrer sur le CD Windows, et de réinstaller le système Windows 7.

 

Heureusement, j'ai des sauvegardes de mes fichiers, de ce fait, je n'ai rien perdu.

 

Hé voilà, le combat cesse faute de combattants.

 

J'ai gagné un système tout neuf, et j'ai perdu tous les virus et malwares qui trainaient par là.

 

Merci pour votre aide, qui m'a été précieuse. Je vais tenter d'être vigilant, et j'espère ne plus choper de mauvaises "bestioles".

 

Cordialement