[Résolu] Suspicion de Rootkit

rolandro · le 23 mars 2012

Et voici (j'espère!) le rapport ComboFix tant attendu :

ComboFix 12-03-22.01 - Administrateur 23/03/2012 20:04:23.2.2 - FAT32x86 MINIMAL

Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1023.669 [GMT 1:00]

Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\WindowsXP-KB\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

AV: avast! Antivirus *Enabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\TEMP

c:\documents and settings\All Users\Application Data\TEMP\DFC5A2B2.TMP

c:\documents and settings\roland bussone\WINDOWS

c:\program files\Install_PRNclient_FR2100004.exe

c:\program files\mbam--setup-1.60.1.1000.exe

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\key_index.dat

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\known.met

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\known2_64.met

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\load_index.dat

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\policies

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-00.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-01.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-02.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-03.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-04.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-05.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-06.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\queries-07.cache

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\server.met

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\server_met.old

c:\windows\system32\config\systemprofile\Local Settings\Application Data\Application Policy Service\src_index.dat

c:\windows\system32\drivers\etc\hosts.ics

I:\autorun.inf

.

((((((((((((((((((((((((((((( Fichiers créés du 2012-02-23 au 2012-03-23 ))))))))))))))))))))))))))))))))))))

.

2012-03-23 12:27 . 2012-03-23 12:27 -------- d-sh--w- c:\documents and settings\Administrateur\PrivacIE

2012-03-23 09:21 . 2012-03-23 09:21 -------- d-sh--w- c:\documents and settings\Administrateur\IETldCache

2012-03-19 17:45 . 2012-03-19 17:45 -------- d-----w- c:\documents and settings\All Users\Application Data\HP Product Assistant

2012-03-19 17:38 . 2012-03-19 17:38 -------- d-----w- c:\windows\Hewlett-Packard

2012-03-17 11:39 . 2011-12-10 14:24 20464 ----a-w- c:\windows\system32\drivers\mbam.sys

2012-03-17 11:39 . 2012-03-17 11:39 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2012-03-17 08:55 . 2012-03-17 08:55 -------- d-----w- C:\ZHP

2012-03-17 08:54 . 2012-03-17 08:54 -------- d-----w- c:\program files\ZHPDiag

2012-03-13 21:16 . 2012-03-13 21:16 -------- d-s---w- c:\documents and settings\All Users\Application Data\{32364CEA-7855-4A3C-B674-53D8E9B97936}

2012-03-13 21:04 . 2012-03-13 21:04 -------- d-----w- C:\avast! sandbox

2012-03-12 15:48 . 2012-03-12 15:48 15917152 ----a-w- c:\program files\Firefox Setup 10.0.2.exe

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2012-03-07 00:15 . 2010-06-30 15:51 41184 ----a-w- c:\windows\avastSS.scr

2012-03-07 00:15 . 2006-12-05 19:06 201352 ----a-w- c:\windows\system32\aswBoot.exe

2012-03-07 00:03 . 2011-06-08 20:13 612184 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2012-03-07 00:03 . 2008-04-04 18:10 337880 ----a-w- c:\windows\system32\drivers\aswSP.sys

2012-03-07 00:02 . 2006-12-05 19:06 35672 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2012-03-07 00:01 . 2006-12-05 19:06 53848 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2012-03-07 00:01 . 2006-12-05 19:06 95704 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2012-03-07 00:01 . 2006-12-05 19:06 89048 ----a-w- c:\windows\system32\drivers\aswmon.sys

2012-03-07 00:01 . 2008-04-04 18:10 20696 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2012-03-06 23:58 . 2006-12-05 19:06 24920 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2012-02-12 13:58 . 2012-02-12 13:58 3587688 ----a-w- c:\program files\ccsetup315.exe

2012-02-03 09:58 . 2005-05-16 15:15 1860224 ----a-w- c:\windows\system32\win32k.sys

2012-01-11 19:06 . 2012-02-15 19:26 3072 ------w- c:\windows\system32\iacenc.dll

2012-01-09 16:20 . 2006-07-17 11:34 139784 ----a-w- c:\windows\system32\drivers\rdpwd.sys

2009-09-28 08:01 . 2009-09-28 08:01 152012024 ------w- c:\program files\OOo_3.1.1_Win32Intel_install_wJRE_fr.exe

2009-03-09 13:42 . 2009-03-09 13:42 6655032 ------w- c:\program files\PandoSetup.exe

2006-09-20 14:40 . 2006-09-20 14:22 278528 ------w- c:\program files\Fichiers communs\FDEUnInstaller.exe

.

------- Sigcheck -------

Note: Unsigned files aren't necessarily malware.

.

[-] 2004-08-10 13:00 . B751CE6043B33A2EFEABB2D6BA83EC67 . 25600 . . [10.0.3790.3646] . . c:\windows\system32\mspmsnsv.dll

.

c:\windows\System32\drivers\beep.sys ... manque !!

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2012-03-07 00:15 123536 ----a-w- c:\program files\Alwil Software\Avast5\ashShell.dll

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2006-01-02 49152]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2005-10-21 761945]

"RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768]

"IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2005-12-05 667718]

"IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2005-11-28 602182]

"EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2005-11-28 569413]

"ArcSoft Connection Service"="c:\program files\Fichiers communs\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-10-11 31232]

"APSDaemon"="c:\program files\Fichiers communs\Apple\Apple Application Support\APSDaemon.exe" [2011-11-01 59240]

"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2011-05-10 49208]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Exif Launcher 2.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Exif Launcher 2.lnk

backup=c:\windows\pss\Exif Launcher 2.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

.

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^PHOTOfunSTUDIO -viewer-.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\PHOTOfunSTUDIO -viewer-.lnk

backup=c:\windows\pss\PHOTOfunSTUDIO -viewer-.lnkCommon Startup

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ABLKSR]

2006-01-02 20:14 61440 ------w- c:\windows\ABLKSR\ABLKSR.EXE

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICCC]

2006-01-02 17:41 45056 ------w- c:\program files\ATI Technologies\ATI.ACE\CLI.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast5]

2012-03-07 00:15 4241512 ----a-w- c:\program files\Alwil Software\Avast5\AvastUI.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 03:34 15360 ----a-w- c:\windows\system32\ctfmon.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray]

2004-08-10 03:04 59392 ----a-w- c:\windows\ehome\ehtray.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HControl]

2006-04-17 16:24 110592 ------w- c:\windows\ATK0100\HControl.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

2011-05-10 01:41 49208 ----a-w- c:\program files\HP\HP Software Update\hpwuschd2.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2011-12-08 00:36 421736 ------w- c:\program files\iTunes\iTunesHelper.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 10:50 155648 ------w- c:\windows\system32\NeroCheck.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2010-03-17 20:53 421888 ------w- c:\program files\QuickTime\QTTask.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2005-12-09 07:49 15691264 ------r- c:\windows\RTHDCPL.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Wireless Console 2]

2005-10-17 16:09 987136 ------w- c:\program files\Wireless Console 2\wcourier.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WOOWATCH]

2004-08-23 13:49 20480 ------w- c:\progra~1\Wanadoo\Watch.exe

.

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Wlancfg"=2 (0x2)

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications]

"<NO NAME>"=

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\eMule\\emule.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqSTE08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\IncrediMail\\BIN\\IncMail.exe"=

"c:\\Program Files\\eMule\\eMule0.49c\\emule.exe"=

"c:\\Program Files\\Fichiers communs\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

.

R3 ITECIR;ITE CIR Driver;c:\windows\system32\drivers\ITECIR.sys [17/07/2006 13:18 7366]

S1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [08/06/2011 21:13 612184]

S1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [04/04/2008 19:10 337880]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [04/04/2008 19:10 20696]

S2 Seagate Sync Service;Seagate Sync Service;"c:\program files\Seagate\Sync\SeaSyncServices.exe" --> c:\program files\Seagate\Sync\SeaSyncServices.exe [?]

S2 WDDMService;WD SmartWare Drive Manager;c:\program files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [13/11/2009 11:28 110592]

S2 WDSmartWareBackgroundService;WD SmartWare Background Service;c:\program files\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [16/06/2009 08:58 20480]

S3 AVerM115;AVerM115 service;c:\windows\system32\drivers\AVerM115.sys [17/07/2006 13:00 692992]

S3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [20/06/2005 11:12 215040]

S3 SynMini;USB2.0 1.3M Web Cam;c:\windows\system32\drivers\SynMini.sys [17/07/2006 13:12 702326]

S3 SynScan;USB2.0 1.3M Web Cam Still Image;c:\windows\system32\drivers\SynScan.sys [17/07/2006 13:12 4790]

S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [29/04/2010 23:20 11520]

.

Contenu du dossier 'Tâches planifiées'

.

2012-03-20 c:\windows\Tasks\User_Feed_Synchronization-{73425407-1C50-4EF1-AC1E-264F69C5C9DB}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 03:31]

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.asus.com

IE: { - c:\program files\Messenger\msmsgs.exe

DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - hxxp://www.canalblog.com/sharedDocs/misc/uploader/ImageUploader5.cab

.

- - - - ORPHELINS SUPPRIMES - - - -

.

Toolbar-Locked - (no file)

MSConfigStartUp-ImInstaller_IncrediMail - c:\docume~1\ROLAND~1\LOCALS~1\Temp\ImInstaller\IncrediMail\incredimail_install.exe

MSConfigStartUp-Magentic - c:\progra~1\MAGENTIC\bin\Magentic.exe

MSConfigStartUp-Pando - c:\program files\Pando Networks\Pando\Pando.exe

MSConfigStartUp-REGSHAVE - c:\program files\REGSHAVE\REGSHAVE.EXE

MSConfigStartUp-Skype - c:\program files\Skype\Phone\Skype.exe

MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre1.5.0_11\bin\jusched.exe

MSConfigStartUp-updateMgr - c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

MSConfigStartUp-Windows Registry Repair Pro - c:\program files\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe

AddRemove-AVS4YOU Video Converter 7_is1 - g:\avsvideoconverter\unins000.exe

AddRemove-IncrediMail - c:\program files\IncrediMail\Bin\ImSetup.exe

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover

Rootkit scan 2012-03-23 20:09

Windows 5.1.2600 Service Pack 3 FAT NTAPI

.

Recherche de processus cachés ...

.

Recherche d'éléments en démarrage automatique cachés ...

.

Recherche de fichiers cachés ...

.

Scan terminé avec succès

Fichiers cachés: 0

.

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

.

[HKEY_USERS\S-1-5-21-3883674202-3111098774-2624097924-500\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (Administrator)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,16,21,d2,47,ee,bb,64,47,8a,d3,f1,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,16,21,d2,47,ee,bb,64,47,8a,d3,f1,\

.

--------------------- DLLs chargées dans les processus actifs ---------------------

.

- - - - - - - > 'winlogon.exe'(268)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2012-03-23 20:11:21

ComboFix-quarantined-files.txt 2012-03-23 19:11

.

Avant-CF: 4 722 622 464 octets libres

Après-CF: 5 140 316 160 octets libres

.

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect /safeboot:minimal

.

- - End Of File - - 2A213103A95EFF3ED32EDAC2954667B9

pear · le 23 mars 2012

Télécharger WinReplace de Loup Blanc

Fermez tous les programmes et double-cliquez sur l'icône WinFileReplace

Dans le menu qui apparaît , choisissez la langue du programme. soit F puis Entrée pour mettre le programme en Français.

Le programme se lance et vérifie votre version de Windows.

Le bloc-note s'ouvre et vous devez indiquer le ou les fichiers à restaurer,sous forme de liste..

c:\windows\system32\mspmsnsv.dll

c:\windows\System32\drivers\beep.sys

Fermez le bloc-note et enregistrez les changements.

Le service pack correspondant à votre système va être alors téléchargé.

Ceci peut prendre plusieurs minutes selon la vitesse de connexion (le % d'avancement du téléchargement apparaît en haut de la fenêtre).

Vous devez ensuite accepter le contrat d'utilisateur de Microsoft

Confirmez la restauration du fichier en appuyant sur la touche O et Entrée

Une fois le remplacement effectué, vous devrezRedémarrer l'ordinateur en appuyant sur la touche O puis Entrée.

Au redémarrage, un rapport s'ouvre qui vérifie et vous indique si la restauration a réussi.

copier/coller ce rapport.

rolandro · le 24 mars 2012

On me répond que la commande ECHO est désactivée,

qu'il est impossible de trouver

C:\WinFIleReplace\eula.txt

que l'accord ou le refus de la licence sont introuvables

Modifié le 24 mars 2012 par rolandro

pear · le 24 mars 2012

On peut essayer par la console si vous avez-le cd de Xp.

Modifié le 24 mars 2012 par pear

rolandro · le 24 mars 2012

Hélas je ne l'ai point. Par contre il me sembe bien avoir fait plusieurs fois des sauvegardes sur des disques externes (back-up?). Il n'est pas impossible que j'ai sauvegardé le système assez récemment , je crois cependant que c'est avant que la suspicion de rootkit me soit signalée. Evidemment je ne souhaiterais pas que mes documents postérieurs à cette sauvegarde soient effacés si possible.

Modifié le 24 mars 2012 par rolandro

pear · le 24 mars 2012

ok.

Recherchez alors dans vos sauvegardes mspmsnsv.dll

sinon Allez la rechercher sur le site "Tous les drivers"

1)créer un fichier .bat

Clic droit de souris sur le bureau > Nouveau > Document Texte, et y copier/coller les lignes suivantes en vert.

@echo

cd c:\

cd windows

cd system32

del /f /s /q C:\windows\system32\mspmsnsv.dll

allez ensuite à C:\windows\system32

et copiez y votre nouvelle dll.

Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.

Choisir le bureau comme lieu d'enregistrement, puis dans:

Type -> choisir "tous les fichiers"

Nom du fichier -> taper Serv.bat.

Clic sur enregistrer.

- Double clic sur le fichier pour le lancer.

2)Pour Beep.sys:

Vous devez créer un fichier .reg:

Clic droit sur un espace vide du bureau->Nouveau->Document texte

Copier/coller ce qui suit en vert

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Beep]

"ErrorControl"=dword:00000001

"Group"="Base"

"Start"=dword:00000001

"Tag"=dword:00000002

"Type"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Beep\Enum]

"0"="Root\\LEGACY_BEEP\\0000"

"Count"=dword:00000001

"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BEEP]

"NextInstance"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BEEP\0000]

"Service"="Beep"

"Legacy"=dword:00000001

"ConfigFlags"=dword:00000020

"Class"="LegacyDriver"

"ClassGUID"="{8ECC055D-047F-11D1-A537-0000F8753ED1}"

"DeviceDesc"="Beep"

"Capabilities"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BEEP\0000\LogConf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_BEEP\0000\Control]

"ActiveService"="Beep"

sans ligne blanche au début.mais une à la fin

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans [bType de fichier][/b]->Tous les fichiers

Dans Nom->regis.reg.

Allez sur le bureau

Votre ficher ressemble à ceci

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre:

Si vous ne pouvez pas fusionner ou que vous avez un message du genre "n'est pas un fichier de régistre valide",

C'est parce que vous avez fait une erreur.

Les plus courantes:

Il faut une ligne blanche après Windows Registry Editor mais pas avant

Le fichier doit s'appeler regis.reg et non regis.reg.txt

Il faut une ligne blanche après le texte en vert

Dans la case Type vous devez choisir "Tous les Fichiers

rolandro · le 24 mars 2012

Essayant d'ouvrir ma sauvegarde, je lis :

L'utilitaire de sauvegarde n'a pas pu se connecter au service de stockage amovible. ...

Quittez et démarrez le service de stockage amovible en utilisant la fonction Services système de la console de gestion.

Après quoi j'arrive sur un Assistant Sauvegarde ou Restauration. On m'indique que je peux passer en mode avancé pour peu que je sois un utilisateur avancé (mais suis-je un utilisateur avancé? je crains de ne pas l'être vraiment).

Au-dessous il est coché "Toujours démarrer en mode Assistant".

Et l'on me propose d'aller voir à Suivant

Modifié le 24 mars 2012 par rolandro

pear · le 24 mars 2012

Pourquoi ne tentez vous pas les autres options avant de poster ?

Allez sur tous les drivers

rolandro · le 24 mars 2012

Je ne suis pas allé sur les autres options parce que je ne sais pas à ce stade là si c'est bon et possible de poursuivre celle qui a été initiée. :-?

Je vais donc aller tenter les autres.

J'atteins System 32 par Tableau de bord puis disque C. J'ouvre system 32 et j'y vois une grande quantité de dossiers et de fichiers.

J'y ai collé cette dll sous forme de fichier "note" .

Pour le "beep", cela paraît s'être bien passé (pas de message d'erreur)

Modifié le 25 mars 2012 par rolandro

pear · le 25 mars 2012

J'y ai collé cette dll sous forme de fichier "note" .

Que voulez vous dire par là ?

Voici ce que vous devez avoir:

C:\windows\system32\mspmsnsv.dll

Connexion

Pas encore inscrit ?

[Résolu] Suspicion de Rootkit

Messages recommandés

rolandro

pear

rolandro

pear

rolandro

pear

rolandro

pear

rolandro

pear

Rejoindre la conversation

En ligne récemment 0 membre est en ligne

Zebulon

Outils en ligne

Naviguer