Aller au contenu
Zebulon
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Probable infection unruy.h et/ou sefbov.e ?


Hervé49

Messages recommandés

Bonjour à toutes et tous,

 

Tout d'abord, bonne année et bonne santé pour 2012.

 

Courant décembre (et depuis ce temps là), j'ai eu une fenêtre du débogueur juste-à-temps de Visual studio, indiquant une erreur dans ping.exe . En effet, dans process explorer (très pratique) ping.exe était apparu dans un svchost.exe. J'ai 'killé' tout ça dans un premier temps, mais c'est revenu.

 

J'ai lancé un scan microsoft security essentials qui a détecté les 2 intrus cités en sujet. J'ai cliqué pour supprimer.

Mais le problème du ping est resté. (il y avait un autre exe qui se lançait en changeant de nom, mais lui a disparu)

 

J'ai visité quelques forums et bidouillé un peu...mais sans grand résultat.

 

J'ai besoin de votre aide, car outre le fait que ce ping plombe ma connexion, ça ne me plait pas des masses.

Voici les dernières manips effectuées :

 

En mode sans échec :

- Désactivation du hibernfile.sys et pagefile.sys (et suppression)

- ccleaner pour supprimer les temporary et cookies internet, nettoyage base de registre et fichiers temp

- Re scan avec microsoft SE : ne trouve plus rien...

- Scan avec TDSkiller : rien

- Scan avec Stinger : rien

- ZHP diag, donc le log est donné ci-dessous (je n'ai pas pu le mettre sur cjoint.com ce matin)

Google Documents

 

Voilà.

Merci de me donner la marche à suivre pour corriger cela.

 

Hervé

Lien vers le commentaire
Partager sur d’autres sites

Vous pourrez revenir ,avec un nouveau rapport Zhpdiag,lorque vous aurez nettoyé ceci:

 

C:\Tempo\tempo\all\job\camtasia\keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Lightroom 2.1\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\Crack.WinRAR.v3.50.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\WinRAR.v3.50.Final.FR.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\ra_WZ8keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\WINZIP80.EXE => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\job\camtasia\keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Lightroom 2.1\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\Crack.WinRAR.v3.50.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\WinRAR.v3.50.Final.FR.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\ra_WZ8keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\WINZIP80.EXE => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Activation\! crack pour Windows Seven Ultimate serial keygen fr (french) activation.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Adobe.Photoshop.Lightroom.v3.0.Incl.Keymaker-EMBRACE\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82\Grapher_v8.2.460_setup.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82\Keygen\Grapher8x_keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82.rar => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80\Crack\Grapher8_keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80\Grapher8_setup.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80.rar => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\My Completed Downloads\ACDSee.Pro.v4.0.198.Incl.Keymaker-CORE\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\temp_verbat\WinRAR Password Recovery Key v6.3 + serial\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\temp_verbat\WinRAR Password Recovery Key v6.3 + serial\Winmpg Video Converter 5.6 + Keygen.Rareste Programa Te Permite Pasar De Avi A Mpeg1, Mpeg2,Vcd,Dvd,O Todo A Divx O A Avi.rar => Crack, KeyGen, Keymaker - Possible Malware

Lien vers le commentaire
Partager sur d’autres sites

Vous pourrez revenir ,avec un nouveau rapport Zhpdiag,lorque vous aurez nettoyé ceci:

 

C:\Tempo\tempo\all\job\camtasia\keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Lightroom 2.1\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\Crack.WinRAR.v3.50.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\WinRAR.v3.50.Final.FR.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\ra_WZ8keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\WINZIP80.EXE => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\job\camtasia\keygen\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Lightroom 2.1\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\Crack.WinRAR.v3.50.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\Winrar v3.50 Final Fr-Cracked By Emule-Paradise\WinRAR.v3.50.Final.FR.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\ra_WZ8keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

C:\Tempo\tempo\all\Soft\WinZip_8.0_Keygen_by_RAC\WINZIP80.EXE => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Activation\! crack pour Windows Seven Ultimate serial keygen fr (french) activation.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Adobe.Photoshop.Lightroom.v3.0.Incl.Keymaker-EMBRACE\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82\Grapher_v8.2.460_setup.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82\Keygen\Grapher8x_keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\Golden.Software.Grapher.v8.2.460.Incl.Keygen-EAT\eatgg82a\eatgsg82.rar => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80\Crack\Grapher8_keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80\Grapher8_setup.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\Mes Téléchargements\Goldensw\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\Golden.Software.Grapher.v8.0.278.Incl.Keygen-EAT\eatgsg8a\eatgsg80.rar => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\My Completed Downloads\ACDSee.Pro.v4.0.198.Incl.Keymaker-CORE\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\temp_verbat\WinRAR Password Recovery Key v6.3 + serial\keygen.exe => Crack, KeyGen, Keymaker - Possible Malware

E:\X\Mes documents\temp_verbat\WinRAR Password Recovery Key v6.3 + serial\Winmpg Video Converter 5.6 + Keygen.Rareste Programa Te Permite Pasar De Avi A Mpeg1, Mpeg2,Vcd,Dvd,O Todo A Divx O A Avi.rar => Crack, KeyGen, Keymaker - Possible Malware

Bonjour,

 

Mmoui, pas très glorieux.

Voici le nouveau rapport (cjoint.com ne veut toujours pas)

Google Documents

 

Merci

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

110906042614938066.jpg

 

Nettoyage

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

Télécharger Rogue Killer par Tigzy sur le bureau

Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur

Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..

Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le

110331105357302855.jpg

Quand on vous le demande, tapez 1 et valider

Un rapport (RKreport.txt) apparait sur le bureau

montrant les processus infectieux

Copier/Coller le contenu dans la réponse

Lien vers le commentaire
Partager sur d’autres sites

Voici les résultats :

 

adwcleaner[R1]

Google Documents

 

adwcleaner[s1] : il n'a pas été généré. Le soft demande de redémarrer pour avoir le rapport : or j'ai eu 4 reboot avant d'arriver sur le bureau (petite frayeur ...)

 

RKreport 1: (sans ping.exe en memoire)

RogueKiller V6.2.2 [31/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/42)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: Administrateur [Droits d'admin]

Mode: Recherche -- Date : 04/01/2012 23:00:06

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] StartupMonitor.exe -- C:\WINDOWS\StartupMonitor.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390)

SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46)

SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8)

SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74)

SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0)

SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388)

SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00)

SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0)

SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8)

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 0d8ba1c5110d7997ede9d189274f6a38

[bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo

1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: +++++

--- User ---

[MBR] 13893e6f736a2055d64a6d4b0152a995

[bSP] 3cbff429ae39ce5a6dfaf4f2b6fdccce : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 63 | Size: 66 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

RKreport 2: (avec ping.exe en memoire)

RogueKiller V6.2.2 [31/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/42)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: X [Droits d'admin]

Mode: Recherche -- Date : 04/01/2012 23:01:52

 

¤¤¤ Processus malicieux: 0 ¤¤¤

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390)

SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46)

SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8)

SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74)

SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0)

SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388)

SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00)

SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0)

SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8)

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 0d8ba1c5110d7997ede9d189274f6a38

[bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo

1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: +++++

--- User ---

[MBR] 13893e6f736a2055d64a6d4b0152a995

[bSP] 3cbff429ae39ce5a6dfaf4f2b6fdccce : Windows XP MBR Code

Partition table:

0 - [ACTIVE] FAT32 [VISIBLE] Offset (sectors): 63 | Size: 66 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

 

2 remarques :

1 - startup monitor n'est pas malicieux. il évite toute modif ds msconfig/demarrage

 

2 - pour info, le disque dur a des secteurs cachés (tatouage), peut-être est-ce la cause de l'alerte du MBR ?

 

Merci

Lien vers le commentaire
Partager sur d’autres sites

Vous voulez dire : choix 2 - suppression ?

 

voici le rapport

RogueKiller V6.2.2 [31/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/42)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: X [Droits d'admin]

Mode: Suppression -- Date : 05/01/2012 16:29:28

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] StartupMonitor.exe -- C:\WINDOWS\StartupMonitor.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390)

SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46)

SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8)

SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74)

SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0)

SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388)

SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00)

SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0)

SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8)

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 0d8ba1c5110d7997ede9d189274f6a38

[bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo

1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Lien vers le commentaire
Partager sur d’autres sites

Vous voulez dire : choix 2 - suppression ?

 

voici le rapport

RogueKiller V6.2.2 [31/12/2011] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/42)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: X [Droits d'admin]

Mode: Suppression -- Date : 05/01/2012 16:29:28

 

¤¤¤ Processus malicieux: 1 ¤¤¤

[sUSP PATH] StartupMonitor.exe -- C:\WINDOWS\StartupMonitor.exe -> KILLED [TermProc]

 

¤¤¤ Entrees de registre: 1 ¤¤¤

[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver: [LOADED] ¤¤¤

SSDT[241] : NtSetSystemPowerState @ 0x8066848B -> HOOKED (a347bus.sys @ 0xF7388390)

SSDT[177] : NtQueryValueKey @ 0x8056A419 -> HOOKED (a347bus.sys @ 0xF7388B46)

SSDT[160] : NtQueryKey @ 0x80573B86 -> HOOKED (a347bus.sys @ 0xF737D3A8)

SSDT[119] : NtOpenKey @ 0x80568F68 -> HOOKED (a347bus.sys @ 0xF7388A74)

SSDT[73] : NtEnumerateValueKey @ 0x8057FB2B -> HOOKED (a347bus.sys @ 0xF7388BF0)

SSDT[71] : NtEnumerateKey @ 0x80573E7D -> HOOKED (a347bus.sys @ 0xF737D388)

SSDT[45] : NtCreatePagingFile @ 0x805C45FB -> HOOKED (a347bus.sys @ 0xF737CB00)

SSDT[41] : NtCreateKey @ 0x8057376F -> HOOKED (a347bus.sys @ 0xF7388AB0)

SSDT[25] : NtClose @ 0x80567AED -> HOOKED (a347bus.sys @ 0xF7388AF8)

 

¤¤¤ Infection : ZeroAccess ¤¤¤

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

 

¤¤¤ Fichier HOSTS: ¤¤¤

127.0.0.1 localhost

127.0.0.1 www.007guard.com

127.0.0.1 007guard.com

127.0.0.1 008i.com

127.0.0.1 www.008k.com

127.0.0.1 008k.com

127.0.0.1 www.00hq.com

127.0.0.1 00hq.com

127.0.0.1 010402.com

127.0.0.1 www.032439.com

127.0.0.1 032439.com

127.0.0.1 www.0scan.com

127.0.0.1 0scan.com

127.0.0.1 www.1000gratisproben.com

127.0.0.1 1000gratisproben.com

127.0.0.1 www.1001namen.com

127.0.0.1 1001namen.com

127.0.0.1 100888290cs.com

127.0.0.1 www.100888290cs.com

127.0.0.1 100sexlinks.com

[...]

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 0d8ba1c5110d7997ede9d189274f6a38

[bSP] 207620030fd2b5a0aa084f37fafb4feb : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 63 | Size: 92279 Mo

1 - [XXXXXX] FAT32 [VISIBLE] Offset (sectors): 180233235 | Size: 67759 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3].txt >>

RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Bonsoir,

 

En fait, ça été résolu un peu à l'insu de mon plein gré. :minus:

Je testais divers utilitaires, et je suis tombé sur Combofix, que j'ai lancé.

Mais j'ai pensé que ça me sortirait un log. Et non, il a scanné le PC et corrigé les problèmes trouvés.

Au reboot, plus de ping.exe qui se lance tout seul.

Mais, il a fait le ménage. Du coup, plus d'accès réseau.

Impossible de lancer les services IPSEC, DHCP, DNS, Pare-feu...erreur 1068 etc... :o

Au gré d'infos trouvées sur les forums, je commençait à faire des copies de BDR et fichiers SYS à partir d'un autre Pc.

Et puis, j'ai lu l'info (que j'avais oubliée) : sfc /scannow, avec le cd qui va bien.

Il m'a remis tous les fichiers au propre, et tout marche bien maintenant.

 

Merci à Pear pour avoir commencé à faire le ménage dans le PC.

 

PS: combofix semble puissant, à utiliser avec précaution ... :-)

Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...