Rootkit zeroaccess

[Koku]

Bonjour,

 

Alors voilà mon assez gros problème, j'ai chopé un virus assez méchant à en voir la façon dont mes logiciels de sécurité se comportent. En effet depuis l'utilisation d'un petit fichier, tous mes logiciels de protection sont incapables de se lancer, juste le résident peut être actif. J'ai donc tenté des solutions en ligne reparant toutes des infections sauf qu'à chaque re-scan de nouveaux fichiers sont infectés par des infections différentes. Après avoir un peu visité des forums, j'ai vu qu'il était possible d'utiliser un utilitaire assez puissant nommé "ComboFix", je l'ai donc lancé ainsi que TDSSKIller. Pour ComboFix, il me dit que mon infection est assez vicieuse et que sont doux nom est le suivant : ROOTKIT ZEROACCESS. TDSSKILLER quant à lui ne trouve que des fichiers suspicieux mais pas d'infections à proprement parlé.

Ce rootkit fonctionne apparemment de la manière suivant, il sert de passerelle pour le téléchargement de tous les malwares qu'il peut chopé sur le net et installé sur votre bécane.

 

Voici ci-après mon rapport ComboFix

 

Je remercie d'avance tout ceux qui seront en mesure de m'aider dans ce moment assez agaçant.

 

Cordialement

 

Koku

 

Rapport :

ComboFix 11-07-17.03 - Bureau 19/07/2011 11:45:15.2.2 - x86

Microsoft Windows 7 Professionnel N 6.1.7600.0.1252.33.1036.18.3327.2386 [GMT 11:00]

Lancé depuis: c:\users\Bureau\Desktop\ComboFix.exe

AV: AntiVir Desktop *Disabled/Updated* {090F9C29-64CE-6C6F-379C-5901B49A85B7}

FW: Avira FireWall *Disabled* {31341D0C-2EA1-6D37-1CC3-F0344A49C2CC}

SP: AntiVir Desktop *Disabled/Updated* {B26E7DCD-42F4-63E1-0D2C-6273CF1DCF0A}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

c:\windows\assembly\GAC_MSIL\desktop.ini

.

.

((((((((((((((((((((((((((((( Fichiers créés du 2011-06-19 au 2011-07-19 ))))))))))))))))))))))))))))))))))))

.

.

2011-07-19 00:49 . 2011-07-19 00:50 -------- d-----w- c:\users\Bureau\AppData\Local\temp

2011-07-19 00:49 . 2011-07-19 00:49 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-07-17 19:05 . 2011-07-17 02:16 133208 ----a-w- c:\windows\system32\drivers\66596831.sys

2011-07-17 16:31 . 2011-07-17 16:31 258352 ----a-w- c:\windows\system32\unicows.dll

2011-07-17 10:49 . 2011-06-19 21:57 7074640 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{83A8D252-F54A-4356-91A2-C7F3139E21B1}\mpengine.dll

2011-07-17 10:49 . 2011-05-24 08:14 222080 ------w- c:\windows\system32\MpSigStub.exe

2011-07-17 10:31 . 2011-07-17 10:31 -------- d-----w- c:\programdata\Kaspersky Lab

2011-07-17 09:51 . 2011-07-17 09:51 388096 ----a-r- c:\users\Bureau\AppData\Roaming\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

2011-07-17 09:51 . 2011-07-17 09:51 -------- d-----w- c:\program files\Trend Micro

2011-07-17 09:22 . 2011-07-17 11:28 -------- d-----w- c:\windows\avxoscan

2011-07-17 09:04 . 2011-07-17 09:04 -------- d--h--w- c:\windows\PIF

2011-07-17 08:39 . 2009-06-29 23:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys

2011-07-17 08:39 . 2011-07-17 08:39 -------- d-----w- c:\program files\Panda Security

2011-07-17 08:23 . 2011-07-17 09:46 -------- d-----w- c:\windows\BDOSCAN8

2011-07-17 01:40 . 2011-07-18 07:33 -------- d-----w- c:\users\Bureau\AppData\Roaming\GetRightToGo

2011-07-09 02:23 . 2011-07-09 02:23 -------- d-----w- c:\program files\Flash Movie Player

2011-07-09 02:22 . 2011-07-09 02:23 -------- d-----w- c:\users\Bureau\AppData\Roaming\OpenWith.org Downloaded Setups

2011-07-09 02:12 . 2011-07-09 02:12 -------- d-----w- c:\program files\tamasoftware

2011-07-08 05:44 . 2011-07-08 05:44 -------- d-----w- c:\program files\Apple Software Update

2011-07-04 06:35 . 2011-07-13 14:41 -------- d-----w- c:\users\UpdatusUser

2011-07-03 08:17 . 2011-07-03 08:17 -------- d-----w- c:\users\Bureau\AppData\Local\Cooliris

2011-07-01 13:55 . 2011-07-14 23:14 -------- d-----w- C:\Mes Sites Web

2011-06-29 13:05 . 2011-06-29 13:05 -------- d-----w- c:\program files\MSI

2011-06-28 23:07 . 2011-05-24 10:35 294912 ----a-w- c:\windows\system32\umpnpmgr.dll

2011-06-26 11:03 . 2011-07-09 02:22 -------- d-----w- c:\users\Bureau\AppData\Roaming\OpenWith.org Cache

2011-06-26 11:02 . 2011-06-26 11:02 -------- d-----w- c:\program files\OpenWith.org Desktop Tool

2011-06-22 05:17 . 2011-06-22 05:17 2106216 ----a-w- c:\program files\Mozilla Firefox\D3DCompiler_43.dll

2011-06-22 05:17 . 2011-06-22 05:17 1998168 ----a-w- c:\program files\Mozilla Firefox\d3dx9_43.dll

2011-06-19 13:00 . 2011-06-19 13:00 -------- d-----w- c:\programdata\Boole & Partners

.

.

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-06-24 23:48 . 2011-05-21 23:12 404640 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl

2011-06-07 23:53 . 2011-06-13 20:30 10915840 ----a-w- c:\windows\system32\libmfxhw32.dll

2011-06-07 23:53 . 2011-06-13 20:30 10833920 ----a-w- c:\windows\system32\libmfxsw32.dll

2011-06-07 06:20 . 2011-06-13 20:29 1700352 ----a-w- c:\windows\system32\GdiPlus.dll

2011-06-07 06:20 . 2011-06-13 20:29 974848 ----a-w- c:\windows\system32\mfc70.dll

2011-06-07 06:20 . 2011-06-13 20:29 487424 ----a-w- c:\windows\system32\msvcp70.dll

2011-06-07 06:20 . 2011-06-13 20:29 344064 ----a-w- c:\windows\system32\msvcr70.dll

2011-06-07 06:20 . 2011-06-13 20:29 24576 ----a-w- c:\windows\system32\msxml3a.dll

2011-05-20 19:01 . 2011-05-20 19:01 899688 ----a-w- c:\windows\system32\nvdispco3220150.dll

2011-05-20 19:01 . 2011-05-20 19:01 865896 ----a-w- c:\windows\system32\nvgenco322090.dll

2011-05-20 19:01 . 2011-05-20 19:01 57960 ----a-w- c:\windows\system32\OpenCL.dll

2011-05-20 19:01 . 2011-05-20 19:01 5301352 ----a-w- c:\windows\system32\nvcuda.dll

2011-05-20 19:01 . 2011-05-20 19:01 2804328 ----a-w- c:\windows\system32\nvcuvid.dll

2011-05-20 19:01 . 2011-05-20 19:01 2082408 ----a-w- c:\windows\system32\nvcuvenc.dll

2011-05-20 19:01 . 2011-05-20 19:01 16456296 ----a-w- c:\windows\system32\nvoglv32.dll

2011-05-20 19:01 . 2011-05-20 19:01 13011560 ----a-w- c:\windows\system32\nvcompiler.dll

2011-05-20 19:01 . 2011-05-20 19:01 12392 ----a-w- c:\windows\system32\drivers\nvBridge.kmd

2011-05-20 19:01 . 2011-05-20 19:01 10589800 ----a-w- c:\windows\system32\drivers\nvlddmkm.sys

2011-05-20 19:01 . 2011-02-02 07:37 11992680 ----a-w- c:\windows\system32\nvd3dum.dll

2011-05-20 19:01 . 2011-01-07 10:06 543336 ----a-w- c:\windows\system32\easyUpdatusAPIU.dll

2011-05-20 19:01 . 2011-01-07 10:06 3693672 ----a-w- c:\windows\system32\nvcpl.dll

2011-05-20 19:01 . 2011-01-07 10:06 2557544 ----a-w- c:\windows\system32\nvsvc.dll

2011-05-20 19:01 . 2011-01-07 10:06 2560616 ----a-w- c:\windows\system32\nvsvcr.dll

2011-05-20 19:01 . 2011-01-07 10:06 111208 ----a-w- c:\windows\system32\nvmctray.dll

2011-05-20 19:01 . 2010-07-09 18:37 2335848 ----a-w- c:\windows\system32\nvapi.dll

2011-05-20 19:01 . 2010-07-09 05:37 66664 ----a-w- c:\windows\system32\nvshext.dll

2011-05-20 19:01 . 2009-07-13 22:09 6555240 ----a-w- c:\windows\system32\nvwgf2um.dll

2011-05-09 21:06 . 2011-05-09 21:06 4517664 ----a-w- c:\windows\system32\usbaaplrc.dll

2011-05-09 21:06 . 2011-05-09 21:06 42496 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2011-05-04 02:43 . 2011-06-18 23:51 222720 ----a-w- c:\windows\system32\drivers\mrxsmb10.sys

2011-05-04 02:43 . 2011-06-18 23:51 96256 ----a-w- c:\windows\system32\drivers\mrxsmb20.sys

2011-05-04 02:43 . 2011-06-18 23:51 123392 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2011-05-03 17:52 . 2011-02-01 12:47 472808 ----a-w- c:\windows\system32\deployJava1.dll

2011-05-03 04:50 . 2011-06-18 23:51 740864 ----a-w- c:\windows\system32\inetcomm.dll

2011-04-29 02:57 . 2011-06-18 23:51 311296 ----a-w- c:\windows\system32\drivers\srv.sys

2011-04-29 02:57 . 2011-06-18 23:51 309760 ----a-w- c:\windows\system32\drivers\srv2.sys

2011-04-29 02:57 . 2011-06-18 23:51 114176 ----a-w- c:\windows\system32\drivers\srvnet.sys

2011-04-27 02:33 . 2011-06-18 23:51 78336 ----a-w- c:\windows\system32\drivers\dfsc.sys

2011-04-25 04:56 . 2011-06-18 23:51 1286016 ----a-w- c:\windows\system32\drivers\tcpip.sys

2011-04-25 02:35 . 2011-06-18 23:51 338944 ----a-w- c:\windows\system32\drivers\afd.sys

2011-04-22 23:35 . 2011-06-19 00:01 1797632 ----a-w- c:\windows\system32\jscript9.dll

2011-04-22 23:25 . 2011-06-19 00:01 2382848 ----a-w- c:\windows\system32\mshtml.tlb

2003-03-21 02:45 . 2011-02-03 04:24 250544 ----a-w- c:\program files\Common Files\keyhelp.ocx

2011-06-22 05:17 . 2011-03-24 05:12 142296 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll

.

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"SandboxieControl"="c:\program files\Sandboxie\SbieCtrl.exe" [2010-10-17 404200]

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2010-12-05 281768]

"EvtMgr6"="c:\program files\Logitech\SetPointP\SetPoint.exe" [2010-10-28 1352272]

"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2010-09-07 43608]

"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2009-06-05 1310720]

"MaxMenuMgr"="c:\program files\Seagate\SeagateManager\FreeAgent Status\StxMenuMgr.exe" [2009-05-01 185640]

"PDFHook"="c:\program files\Nuance\PDF Create 5\pdfcreate5hook.exe" [2009-04-09 1277952]

"PDF5 Registry Controller"="c:\program files\Nuance\PDF Create 5\RegistryController.exe" [2008-12-12 58656]

"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" [2011-06-13 273544]

.

c:\users\Bureau\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

_uninst_66596831.lnk - c:\users\Bureau\AppData\Local\Temp\_uninst_66596831.bat [N/A]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

Secunia PSI Tray.lnk - c:\program files\Secunia\PSI\psi_tray.exe [2011-1-11 291896]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"ConsentPromptBehaviorAdmin"= 0 (0x0)

"ConsentPromptBehaviorUser"= 0 (0x0)

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

.

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2010-10-28 10:13 64592 ----a-w- c:\program files\Common Files\LogiShrd\Bluetooth\LBTWLgn.dll

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"aux"=wdmaud.drv

.

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"ISUSPM"=c:\programdata\FLEXnet\Connect\11\ISUSPM.exe -scheduler

"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\DTLite.exe" -autorun

"SuperCopier2.exe"=c:\program files\SuperCopier2\SuperCopier2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"Adobe Acrobat Speed Launcher"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe"

"agentantidote.exe"="c:\program files\Druide\Antidote 7\Programmes32\agentantidote.exe" /LancementSession

"BrMfcWnd"=c:\program files\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN

"ControlCenter3"=c:\program files\Brother\ControlCenter3\brctrcen.exe /autorun

"Acrobat Assistant 8.0"="c:\program files\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe"

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe"

"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" /DelayServices

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

"TkBellExe"="c:\program files\Real\RealPlayer\update\realsched.exe" -osboot

"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe"

"DNS7reminder"="c:\program files\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "c:\programdata\Nuance\NaturallySpeaking11\Ereg.ini

"Nuance OmniPage 17-reminder"="c:\program files\Nuance\OmniPage17\Ereg\Ereg.exe" -r "c:\programdata\ScanSoft\OmniPage 17\Ereg\Ereg.ini"

.

R2 AntiVirFirewallService;Avira FireWall;c:\program files\Avira\AntiVir Desktop\avfwsvc.exe [2011-07-17 539304]

R2 AntiVirMailService;Avira AntiVir MailGuard;c:\program files\Avira\AntiVir Desktop\avmailc.exe [2011-07-17 339624]

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [x]

R2 AntiVirWebService;Avira AntiVir WebGuard;c:\program files\Avira\AntiVir Desktop\AVWEBGRD.EXE [2011-07-17 421032]

R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384]

R2 DragonSvc;Dragon Service;c:\program files\Common Files\Nuance\dgnsvc.exe [x]

R2 FreeAgentGoNext Service;Seagate Service;c:\program files\Seagate\SeagateManager\Sync\FreeAgentService.exe [x]

R2 SBSDWSCService;SBSD Security Center Service;c:\program files\Spybot - Search & Destroy\SDWinSec.exe [2011-07-18 1154048]

R2 SCPDFReadSpool;SolidConverterPDFReadSpool;c:\windows\Installer\MSI4F7D.tmp [x]

R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [x]

R3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [2011-01-24 310640]

R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2010-03-24 30969208]

R3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-09 4640000]

R3 PSI;PSI;c:\windows\system32\DRIVERS\psi_mf.sys [2010-09-01 15544]

R3 RTL8187;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\rtl8187.sys [2010-01-06 375808]

S0 66596831;66596831;c:\windows\system32\DRIVERS\66596831.sys [2011-07-17 133208]

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-06-29 28552]

S0 sptd;sptd;c:\windows\\SystemRoot\System32\Drivers\sptd.sys [x]

S1 avfwot;avfwot;c:\windows\system32\DRIVERS\avfwot.sys [2010-12-05 102856]

S1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\DRIVERS\vwififlt.sys [2009-07-13 48128]

S2 nvUpdatusService;NVIDIA Update Service Daemon;c:\program files\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe [2011-05-20 2214504]

S2 Secunia PSI Agent;Secunia PSI Agent;c:\program files\Secunia\PSI\PSIA.exe [2011-07-18 989184]

S2 Secunia Update Agent;Secunia Update Agent;c:\program files\Secunia\PSI\sua.exe [2011-07-18 394752]

S2 TuneUp.UtilitiesSvc;TuneUp Utilities Service;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesService32.exe [2011-07-18 1513984]

S3 avfwim;AvFw Packet Filter Miniport;c:\windows\system32\DRIVERS\avfwim.sys [2010-06-17 79432]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [2011-03-21 362600]

S3 TuneUpUtilitiesDrv;TuneUpUtilitiesDrv;c:\program files\TuneUp Utilities 2011\TuneUpUtilitiesDriver32.sys [2010-10-07 10064]

S3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\DRIVERS\yk62x86.sys [2010-09-23 316192]

.

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ SSDPSRV upnphost SCardSvr TBS FontCache fdrespub AppIDSvc QWAVE wcncsvc SensrSvc

.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

.

------- Examen supplémentaire -------

.

uStart Page = my.daemon-search.com

uInternet Settings,ProxyOverride = *.local

IE: &Envoyer à OneNote - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105

IE: Ajouter au fichier PDF existant - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML

IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Ajouter le contenu des liens sélectionnés à un fichier PDF existant - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIEAppendSelLinks.HTML

IE: Ajouter le contenu du lien à un fichier PDF existant - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIEAppend.HTML

IE: Ajouter à un fichier PDF existant - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convertir au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Créer des fichiers PDF à partir des liens sélectionnés - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIECaptureSelLinks.HTML

IE: Créer fichier PDF - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIECapture.HTML

IE: Créer un fichier PDF depuis le contenu du lien - c:\program files\Nuance\PDF Create 5\Bin\ZeonIEFavClient.dll/ZeonIECapture.HTML

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000

IE: Tout télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dlall.htm

IE: Télécharger avec Free Download Manager - file://c:\program files\Free Download Manager\dllink.htm

IE: Télécharger la sélection avec Free Download Manager - file://c:\program files\Free Download Manager\dlselected.htm

IE: Télécharger la vidéo avec Free Download Manager - file://c:\program files\Free Download Manager\dlfvideo.htm

LSP: c:\program files\Avira\AntiVir Desktop\avsda.dll

TCP: DhcpNameServer = 192.168.1.1

FF - ProfilePath - c:\users\Bureau\AppData\Roaming\Mozilla\Firefox\Profiles\jek50ihv.default\

FF - prefs.js: browser.startup.homepage - hxxp://google.fr

FF - prefs.js: network.proxy.type - 0

FF - user.js: network.http.max-persistent-connections-per-server - 4

FF - user.js: nglayout.initialpaint.delay - 600

FF - user.js: content.notify.interval - 600000

FF - user.js: content.max.tokenizing.time - 1800000

FF - user.js: content.switch.threshold - 600000

.

.

------- Associations de fichier -------

.

.scr=AutoCADScriptFile

.

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\SCPDFReadSpool]

"ImagePath"="c:\windows\Installer\MSI4F7D.tmp"

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

@Denied: (Full) (Everyone)

.

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\*PNP37b1\0000]

@DACL=(02 0000)

"Service"="1296598278"

"ClassGUID"="{4D36E97D-E325-11CE-BFC1-08002BE10318}"

"Class"="System"

"DeviceDesc"="PCI bus"

"Mfg"="Technologies Inc"

"LocationInformation"="on Microsoft ACPI-Compliant System"

"ConfigFlags"=dword:00000000

"Capabilities"=dword:00000000

"ContainerID"="{00000000-0000-0000-FFFF-FFFFFFFFFFFF}"

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'lsass.exe'(532)

c:\windows\system32\mswsock.dll

mswsock.DLL 75580000 245760 \\?\globalroot\systemroot\system32\mswsock.DLL

.

Heure de fin: 2011-07-19 11:51:43

ComboFix-quarantined-files.txt 2011-07-19 00:51

ComboFix2.txt 2011-07-19 00:30

.

Avant-CF: 83 379 417 088 octets libres

Après-CF: 83 293 626 368 octets libres

.

- - End Of File - - 19DF008898D8F5E99C374869142C0987

[pear]

Bonjour,

 

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

Désinstaller Spybot

 

 

Recherche Win32kDiag

Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil

Vous devez désactiver vos protections et ne savez pas comment faire

 

Sur PCA,En Français

Cela est absolument nécessaire au succès de la procédure.

Bien évidemment, vous les rétablirez ensuite.

 

Vers le bureau ,

Télécharger (Win32kDiag.exe)

Double-cliquez sur Win32kDiag.exe et patientez

Quand apparait "Finished! Press any key to exit...", appuyez sur une clé quelconque

Double-cliquez sur Win32kDiag.txt sur le bureau et postez en le contenu par copier/coller dans votre prochain message

[Koku]

Bonjour,

 

Tout d'abord merci de prendre le temps de me répondre.

Je précise que depuis mes problèmes j'ai coupé internet sur le PC concerné et j'ai désinstallé SpyBot et Avira. Cela m'évite de choper encore de méchants virus et je poste d'un autre PC.

Je viens de lancer le petit programme Win32kDiag.exe et voici le résultat obtenu :

 

Running from: C:\Users\Bureau\Desktop\Win32kDiag.exe

 

Log file at : C:\Users\Bureau\Desktop\Win32kDiag.txt

 

WARNING: Could not get backup privileges!

 

Searching 'C:\Windows'...

 

 

 

Found symbolic link : C:\Windows\$NtUninstallKB40387$

 

Found symlink destination : \Device\null\setup

 

Cannot access: C:\Windows\CSC\v2.0.6\pq

 

[1] 2011-02-02 09:25:19 64 C:\Windows\CSC\v2.0.6\pq ()

 

 

 

Cannot access: C:\Windows\CSC\v2.0.6\temp\ea-{0af968cf-2e52-11e0-bf2e-fc197a61c20c}

 

[1] 2011-02-02 09:25:19 0 C:\Windows\CSC\v2.0.6\temp\ea-{0af968cf-2e52-11e0-bf2e-fc197a61c20c} ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl

 

[1] 2011-07-19 22:17:00 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTDiagLog.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl

 

[1] 2011-07-19 22:16:54 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-Application.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl

 

[1] 2011-07-19 22:16:54 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventlog-Security.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl

 

[1] 2011-07-19 22:16:54 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTEventLog-System.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl

 

[1] 2011-07-19 22:17:15 0 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTMsMpPsSession7.etl ()

 

 

 

Cannot access: C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl

 

[1] 2011-07-19 22:17:18 72 C:\Windows\System32\LogFiles\WMI\RtBackup\EtwRTUBPM.etl ()

 

 

 

Cannot access: C:\Windows\System32\MRT.exe

 

[1] 2011-07-14 11:03:46 49089992 C:\Windows\System32\MRT.exe ()

 

 

 

Cannot access: C:\Windows\System32\sppcomapi.dll

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\System32\sppcomapi.dll ()

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\winsxs\x86_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7600.16385_none_5b97f4df0025c6e9\sppcomapi.dll ()

 

 

 

Cannot access: C:\Windows\winsxs\x86_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7600.16385_none_5b97f4df0025c6e9\sppcomapi.dll

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\System32\sppcomapi.dll ()

 

[1] 2009-07-14 12:16:15 193024 C:\Windows\winsxs\x86_microsoft-windows-security-spp-ux_31bf3856ad364e35_6.1.7600.16385_none_5b97f4df0025c6e9\sppcomapi.dll ()

 

 

 

 

 

Finished!

 

 

Je vous écoute pour la suite des festivités :=)

MErci encore

[pear]

Ce n'est pas ce qu'on pouvait craindre:

 

2-Corriger les permissions

Démarrer->Exécuter

Copier/coller

"%userprofile%\desktop\win32kdiag.exe" -f -r

et validez

Patientez

Un nouveau fichier Win32kDiag.txt apparait sur votre bureau.

Double-cliquez dessus et postez en le contenu par copier/coller dans votre prochain message

 

Avant d'aller plus loin, faites cette vérification, svp:

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connu "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

Rendez vous à cette adresse:

Cliquez sur parcourir pour trouver ces fichiers

c:\windows\system32\drivers\66596831.sys

et cliquez sur "envoyer le fichier"

Copiez /collez la réponse dans votre prochain message.

Note: il peut arriver que le fichier ait déjà été analysé. Si c'est le cas, cliquez sur le bouton Reanalyse file now

 

 

 

Si Virustotal n'est pas disponible, faites analyser par Jotti:

Analyser_un_fichier_sur_jotti

 

Tuto Jottiq

Jottiq

 

Pour ComboFix, il me dit que mon infection est assez vicieuse et que sont doux nom est le suivant : ROOTKIT ZEROACCESS.

 

Il n'y a pas trace de cela dans votre rapport.

Vous pouvez poster le précédent ?

Modifié le 19 juillet 2011 par pear

[Koku]

Bonjour,

 

Pour ce qui est de la première commande à faire, j'ai fait une mauvaise manip' et je l'ai lancé à 2 reprises. Dans le premier fichier txt, il y avait toujours marqué cannot access à toutes les lignes pour le second rapport, voici le résultat :

Running from: C:\Users\Bureau\Desktop\win32kdiag.exe

 

Log file at : C:\Users\Bureau\Desktop\Win32kDiag.txt

 

Removing all found mount points.

 

Attempting to reset file permissions.

 

WARNING: Could not get backup privileges!

 

Searching 'C:\Windows'...

 

 

 

Found symbolic link : C:\Windows\$NtUninstallKB40387$

 

Found symlink destination : \Device\null\setup

 

Removing symbolic link : C:\Windows\$NtUninstallKB40387$

 

 

 

Finished!

 

Pour ce qui est du fichier en question, Jotti et virus total le trouve clean.

 

Pour le nom du rootkit, je l'ai su en lançant ComboFix, il y a une fenêtre qui s'ouvre, la voici :

 

Petit problème supplémentairement, depuis que j'ai lancé de nouveau ComboFix pour avoir cette image, il a voulu supprimer un fichier qui était apparement impossible de supprimer pour lui car par les droits suffisants, donc j'ai mis annuler ou ignorer et là ComboFix bloque sur la fenêtre bleu en disant" Compte rendu en cours de préparation - Ne lancez aucun programme tant que ComboFix n'est pas fini" mais bon ça fait déjà plus d'un 1/4 d'heure.

 

Merci de persévérer avec moi.

 

Que faire après et surtout dois-je faire un reset de ma machine ou pas ?!?!?!?

 

EDIT : je précise que mon bureau n'est plus accessible et que seul l'écran bleu et mon fond d'écran sont visibles.

 

EDIT 1 : j'ai fait un reset car rien n'était possible et ouf apparemment mon système démarre correctement

Modifié le 20 juillet 2011 par Koku

[pear]

Bonjour,

 

Où en êtes vous de vos problèmes?

 

Le pc fonctionne normalement ?

La connexion internet aussi ?

[Koku]

Eh bien quoi que je fasse mon infection est toujours présente, peu importe le nombre de fois où je lance des tests online ou offline. Que puis-je faire de plus avant d'envisager un formatage préjudiciable ?

 

Cordialement

 

EDIT : si je branche ma ligne, oui j'accède aux sites malgré plusieurs rafraichissements des pages net nécessaires pour les afficher. Pour le PC comme je n'ai pas retenté de réinstaller spybot ou avira, je ne sais s'ils seront fonctionnels.

Je vais faire le test au plus vite.

Modifié le 20 juillet 2011 par Koku

[pear]

Ne réinstallez pas spybot, il est obsolète.

 

*Pour réinitialiser Winsock :

Sous Xp:

Démarrer-Exécuter ->Cmd /k Netsh int ip reset resetlog.txt

Démarrer-Exécuter ->Cmd /k Netsh winsock reset catalog

Sous Vista:auparavant:

Cliquez sur "Démarrer" puis "Panneau de configuration" et enfin "Comptes d'utilisateurs.

Cliquez sur désactiver le contrôle des comptes d'utilisateurs.

Cochez l'option Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger votre ordinateur et à l'invitation de Vista redémarrez votre ordinateur.

 

 

Télécharger Maxlook vers le Bureau.

 

- Double-cliquer sur maxlook.exe.

Autoriser son exécution.

*Note importante : Cet outil ne doit être lancé qu'une seule fois

Après la recherche, l'outil demandera de redémarrer l'ordi en mode de réparation

 

Sous Vista/7

 

Accéder à la console WinRE par lesOptions de démarrage avancées :

Au démarrage , tapoter les touches F8 (F5 pour certaines marques de PC) ou ALT + F10 ou ALT GR + F10

Dans la fenêtre des Options de démarrage avancées

Sélectionner Réparer l’ordinateur et valider

Avant de redémarrer, insérer le DVD de Vista et choisir "Réparer l'ordinateur" (au bas de la fenêtre d'installation)

 

Ensuite ,choisir la partition du système, puis à la fenêtre suivante "Invite de commandes" (au bas)

 

 

Taper batch look.bat

(il y a un espace après "batch")

Valider

 

 

Quelques fichiers copiés défilent rapidement , dans la fenêtre.

Lorsque terminé, taper Exit puis valider

Redémarrer en mode Normal.

Relancer l'outil maxlook -sig

(il y a un espace après "maxlook")

 

Un rapport texte apparaîtra à l'écran, nommé looklog.txt.

En coller le contenu dans la réponse.

[Koku]

Bonjour,

 

Alors quoi que je fasse, tout plante après un redémarrage, mon antivirus et MalwareBytes ont des fichiers corrompus après chaque reboot. J'ai donc décidé, à grands regrets, de lancer le formatage de mon PC.

Demain, je pense passer à l'acte, ceci après le transfert d'un certain nombre de fichiers importants qui vont être passés à la loupe par Antivir et MalwareBytes dans la nuit sur mon DDE.

Je vous tiens au courant si tout ce passe bien et ce sujet pourra être clos.

 

Je remercie encore sincèrement pear qui a pris le temps d'étudier mon cas !

 

Cordialement

 

 

[Koku]

Bon pb réglé avec un bon formatage en règle. Merci du temps passé à m'aider.

Le sujet peut être clos.

 

Cordialement