Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Infection TR/Crypt.ZPACK.Gen2, TR/Offend.2.6008


 Share

Messages recommandés

Bonjour,

 

Je remercie d'avance les personnes qui voudront bien m'aider pour ce petit souci d'infection.

 

On m'a demandé d'examiner un poste de travail sous Windows XP Ed. Familiale SP2 (avec IE6) tournant sous Pentium 4 (256Mo de RAM), carte Medion 3500 Ver 1, bref pas un modèle récent :-) .

 

Cette instal doit donc a priori rester sous XP (c'est mieux ainsi).

 

Problèmes rencontrés sur ce poste :

 

Au départ ce poste de travail n'était plus de toute fraicheur, entre autres

 

Pas d'antivirus

Env. 60 mises à jour XP manquantes, mais a priori pas de mise à jour proposée par Windows Update.

Acrobat 5 (si si)

 

J'ai réussi à installer Avira Antivir, à qui j'ai fait faire un scan complet.

 

Ce scan a révélé la présence des indésirables TR/Crypt.ZPACK.Gen2 et TR/Offend.2.6008, avec en prime 2 avertissements et 11 objets cachés (rapport sur demande)

 

Pour les fichiers concernés, au lieu de mettre en quarantaine j'ai choisi l'option "supprimer".

 

Au redémarrage/scan suivant, nickel, il ne trouve plus les trojans susmentionnés. Rien n'a bougé pour le reste évidemment (avertissements, objets cachés).

 

Sur ce je veux lancer le rescueCD de Antivir pour ces objets cachés mais j'ai apparement pas assez de RAM (256 Mo).

 

En redémarrant pour refaire un scan, Antivir me cause des soucis pour installer une mise à jour. Je me dis que c'est le moment d'installer HiJackThis (préalablement téléchargé depuis un autre lieu), et pendant l'installation une nouvelle pop-up d'Antivir signale ceci : "Dans le fichier C:/Documents and Settings/[utilisateur]/ApplicationData/Microsoft/Installer/{une clé}/HiJackThis.exe, un virus/prog. indésirable TR/Crypt.ULPM.Gen a été détecté. Action effectuée : refuser l'accès"

 

Je renonce donc (provisoirement) à l'installation de HiJackThis.

 

En voulant faire une recherche sur ce message, je me rends compte qu'Explorer ne fonctionne pas bien (page blanche au démarrage avec sablier, après ouverture du logiciel).

 

Allez je me dis qu'il faut tenter un upgrade vers SP3 sur CD, et cela fonctionne. Enchainement parfait, les mises à jour de XP se "débloquent", j'installe seulement ce qui concerne SP3 et Explorer.

 

Dès lors Explorer semble fonctionner. J'en profite pour installer Adobe Reader X, cela fonctionne, j'essaie de virer Acrobat 5, ça fonctionne pas trop mal à part quelques fichiers qu'il n'arrive pas à effacer (liste des fichiers/dossiers sur demande).

 

Puis j'installe toutes les autres mises à jour de sécurité proposées (juste une que j'ai décochée par erreur, "WGA" un truc comme ça ;-) )

 

Sur le prochain redémarrage, Antivir se met à jour correctement, c'est une excellente nouvelle !

 

Internet Explorer en revanche est toujours à la peine, car il "freeze" de temps en temps.

 

Finalement avec une "copie fraiche" de HiJackThis, je réussis à installer ce logiciel.

 

Enfin je monte la RAM à 512 Mo.

 

Je pense que ce PC est encore infecté mais j'assure au moins le "minimum vital" (XP mis à jour, antivirus à jour, IE8). Pour le moment je ne m'occupe pas de mettre à jour Java (mauvaise idée ?), j'ai pas encore regardé si c'est nécessaire.

 

Donc comme le veut la tradition voici mon rapport HiJackThis :

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:26:00, on 30.08.2012

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Avira\AntiVir Desktop\sched.exe

C:\Program Files\Avira\AntiVir Desktop\avguard.exe

C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Avira\AntiVir Desktop\avgnt.exe

C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\QuickTime\qttask.exe

C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE

C:\PROGRA~1\HotKeys\Ikeymain.exe

C:\Program Files\Frisbee\FrisbeeLauncher.exe

C:\Program Files\D-Link\AirPlus G\AirGCFG.exe

C:\WINDOWS\Mixer.exe

C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Documents and Settings\S******\Application Data\MyKey\MyKey.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program Files\Etiam\DICOM PRI\DcmPri.exe

C:\Program Files\Avira\AntiVir Desktop\avshadow.exe

C:\Program Files\Trend Micro\HiJackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.medion.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN Hotmail.fr, Messenger, Skype, Actualité, Sport, People, Femmes - MSN France

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN Hotmail.fr, Messenger, Skype, Actualité, Sport, People, Femmes - MSN France

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.7529.1424\swg.dll

O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [ulead AutoDetector] C:\Program Files\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe

O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [MoneyStartUp10.0] "C:\Program Files\Microsoft Money\System\Activation.exe"

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Program Files\Microsoft Works\WksSb.exe /AllUsers

O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver\LVCOMS.EXE

O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe

O4 - HKLM\..\Run: [FrisbeeLauncher] C:\Program Files\Frisbee\FrisbeeLauncher.exe

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Program Files\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [MyKey] C:\Documents and Settings\S******\Application Data\MyKey\MyKey.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MoneyAgent] "C:\Program Files\Microsoft Money\System\Money Express.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICE RÉSEAU')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Startup: Copie de DICOM PRI.lnk = C:\Program Files\Etiam\DICOM PRI\DcmPri.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Avvio veloce di Microsoft Office OneNote 2003.lnk = C:\Program Files\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program Files\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: MoneySide - {E023F504-0C5A-4750-A1E7-A9046DEA8A21} - C:\Program Files\Microsoft Money\System\mnyviewer.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http:\\www.mediamarkt.de

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1268131335343

O17 - HKLM\System\CCS\Services\Tcpip\..\{CE1C2D64-A6F9-4DDB-8CC7-FDD8E0EE1F30}: NameServer = 192.168.1.1

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Service Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

--

End of file - 8246 bytes

 

 

 

* * * *

 

Ah on dirait que WGA est tjs dans le démarrage :grin6:

 

Encore une fois, merci de votre attention et j'espère que je pourrai suivre correctement vos conseils !

 

A bientôt

Modifié par zeDadas
Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Apollo Et Compagnie :: Mémoire virtuelle personnalisée.

 

Java: il est urgentissime d'installer la dernière version et de désinstaller les précédentes: Téléchargement gratuit du logiciel Java

 

StartUpLite - Désactiver les applications inutiles qui se lancent au démarrage | Windows 8 - Windows 7 - Windows VISTA

 

--------------

 

ZHPDiag :

 

  • Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
     
  • Double-clique sur ZHPDiag.exe pour lancer l'installation
    • Important:
      Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis tournevis.jpg et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe loupe-334dd63.png pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

 

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir Apollo

 

Tout d'abord merci pour le temps que tu consacres à mon souci.

 

Voici le lien vers le rapport ZHPDiag.

 

Au plaisir de lire tes bons conseils

 

A+

Modifié par zeDadas
Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Si tu mets des astériques à la place du nom d'utilisateur, il serait vain que je fasse des scripts pour ZHPFix.

 

1) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU!

 

Si l'antivirus chicane, Désactive-le provisoirement le temps de l'analyse par SFT..

Si tu ne sais pas comment faire, reporte-toi à cet article.

 

  • Double clique (xp) sur SFT.exe.
    Clic droit sur le fichier et choisir Exécuter en tant quadministrateur. (sous Vista/7).
    Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
     
    vi2oib.jpg
     
    Un rapport va s'ouvrir à la fin.
     
    Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

----------------------

2) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

|MG| Malwarebytes Anti-Malware 1.62.0.1300 Download

 

Malwarebytes : Malwarebytes Anti-Malware removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

sshot-1-371c28a.jpg

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

  • Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  • Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  • Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  • Sélectionne "Exécuter un examen complet"
  • Clique sur "Rechercher"
  • L'analyse démarre, le scan est relativement long, c'est normal.
  • A la fin de l'analyse, un message s'affiche :
    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  • Ferme tes navigateurs.
  • Si des malwares ont été détectés, clique sur Afficher les résultats.
    Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  • MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Bonjour,

 

Si besoin je peux te remettre un rapport ZHPFix avec le nom utilisateur/ordi complet, ou faire un "rechercher/remplacer" dans les scripts que tu m'enverras.

 

Voici le rapport SFT.

 

Concernant Malware, il a planté pendant l'analyse complète. Je referai une tentative d'analyse plus tard, lorsque j'aurai rapatrié le PC chez moi.

 

Merci infiniment de ton aide Apollo

 

A bientôt

Modifié par zeDadas
Lien vers le commentaire
Partager sur d’autres sites

Après un nouvel essai d'analyse avec MBAM, celui-ci plante définitivement après 1h15 de scan, jusqu'ici sans avoir détecté d'éléments suspects.

 

Et donc je n'ai pas de rapport à poster...

 

C'est un plantage "classique" d'application dans Windows : "...MBAM a rencontré un problème et doit fermer...".

 

Pour le moment j'ai laissé le message d'erreur ouvert, pour consultation éventuelle.

 

A+

Lien vers le commentaire
Partager sur d’autres sites

Bonsoir,

 

Tu réessayeras plus tard mais en mode sans échec.

 

-----------------

Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

RogueKiller

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

 

Clique ensuite sur Suppression et poste le rapport.

 

@++

Lien vers le commentaire
Partager sur d’autres sites

Voici le rapport de scan :

 

---

 

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Stefano [Droits d'admin]

Mode : Recherche -- Date : 01/09/2012 21:38:00

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] MyKey.exe -- C:\Documents and Settings\Stefano\Application Data\MyKey\MyKey.exe -> TUÉ [TermProc]

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[RUN][sUSP PATH] HKCU\[...]\Run : MyKey (C:\Documents and Settings\Stefano\Application Data\MyKey\MyKey.exe) -> TROUVÉ

[RUN][sUSP PATH] HKUS\S-1-5-21-677485609-2968050226-3907707769-1006[...]\Run : MyKey (C:\Documents and Settings\Stefano\Application Data\MyKey\MyKey.exe) -> TROUVÉ

[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[Faked.Drv][FILE] nwlnknb.sys : C:\WINDOWS\system32\drivers\nwlnknb.sys --> IMPOSSIBLE DE REPARER

[Faked.Drv][FILE] prohlp02.sys : C:\WINDOWS\system32\drivers\prohlp02.sys --> IMPOSSIBLE DE REPARER

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xF8EC1FBC)

SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xF8EC1F76)

SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xF8EC1FC6)

SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF8EC1F6C)

SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xF8EC1F7B)

SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xF8EC1F85)

SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xF8EC1FB7)

SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xF8EC1F8A)

SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xF8EC1F58)

SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xF8EC1F5D)

SSDT[177] : NtQueryValueKey @ 0x8056A499 -> HOOKED (Unknown @ 0xF8EC1FDF)

SSDT[193] : NtReplaceKey @ 0x8064FE38 -> HOOKED (Unknown @ 0xF8EC1F94)

SSDT[200] : NtRequestWaitReplyPort @ 0x8056DD06 -> HOOKED (Unknown @ 0xF8EC1FD0)

SSDT[204] : NtRestoreKey @ 0x8064F9CD -> HOOKED (Unknown @ 0xF8EC1F8F)

SSDT[213] : NtSetContextThread @ 0x8062E773 -> HOOKED (Unknown @ 0xF8EC1FCB)

SSDT[237] : NtSetSecurityObject @ 0x8059818E -> HOOKED (Unknown @ 0xF8EC1FD5)

SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xF8EC1F80)

SSDT[255] : NtSystemDebugControl @ 0x8064AA0F -> HOOKED (Unknown @ 0xF8EC1FDA)

SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xF8EC1F67)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF8EC1FEE)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF8EC1FF3)

IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] prosync1.sys @ 0xF8D7D661)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST380021A +++++

--- User ---

[MBR] da33532eba3f9f6931fc3eac878cf08b

[bSP] 14dd7f9b0e4bef26173a8bf8fba3822c : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38154 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 78140160 | Size: 38162 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1].txt >>

RKreport[1].txt

 

---

 

Merci et à +

Lien vers le commentaire
Partager sur d’autres sites

... et le rapport de suppression :

 

---

 

RogueKiller V8.0.2 [31/08/2012] par Tigzy

mail: tigzyRK<at>gmail<dot>com

Remontees: [RogueKiller] Remontées (1/59)

Blog: tigzy-RK

 

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur : Stefano [Droits d'admin]

Mode : Suppression -- Date : 01/09/2012 21:42:12

 

¤¤¤ Processus malicieux : 1 ¤¤¤

[sUSP PATH] MyKey.exe -- C:\Documents and Settings\Stefano\Application Data\MyKey\MyKey.exe -> TUÉ [TermProc]

 

¤¤¤ Entrees de registre : 3 ¤¤¤

[RUN][sUSP PATH] HKCU\[...]\Run : MyKey (C:\Documents and Settings\Stefano\Application Data\MyKey\MyKey.exe) -> SUPPRIMÉ

[HJ] HKLM\[...]\SystemRestore : DisableSR (1) -> REMPLACÉ (0)

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[Faked.Drv][FILE] nwlnknb.sys : C:\WINDOWS\system32\drivers\nwlnknb.sys --> IMPOSSIBLE DE REPARER

[Faked.Drv][FILE] prohlp02.sys : C:\WINDOWS\system32\drivers\prohlp02.sys --> IMPOSSIBLE DE REPARER

 

¤¤¤ Driver : [CHARGE] ¤¤¤

SSDT[25] : NtClose @ 0x80567B6D -> HOOKED (Unknown @ 0xF8EC1FBC)

SSDT[41] : NtCreateKey @ 0x805737EF -> HOOKED (Unknown @ 0xF8EC1F76)

SSDT[50] : NtCreateSection @ 0x805653B3 -> HOOKED (Unknown @ 0xF8EC1FC6)

SSDT[53] : NtCreateThread @ 0x8057888D -> HOOKED (Unknown @ 0xF8EC1F6C)

SSDT[63] : NtDeleteKey @ 0x80595A22 -> HOOKED (Unknown @ 0xF8EC1F7B)

SSDT[65] : NtDeleteValueKey @ 0x80593642 -> HOOKED (Unknown @ 0xF8EC1F85)

SSDT[68] : NtDuplicateObject @ 0x80574942 -> HOOKED (Unknown @ 0xF8EC1FB7)

SSDT[98] : NtLoadKey @ 0x805ADC0B -> HOOKED (Unknown @ 0xF8EC1F8A)

SSDT[122] : NtOpenProcess @ 0x80574B29 -> HOOKED (Unknown @ 0xF8EC1F58)

SSDT[128] : NtOpenThread @ 0x80590C64 -> HOOKED (Unknown @ 0xF8EC1F5D)

SSDT[177] : NtQueryValueKey @ 0x8056A499 -> HOOKED (Unknown @ 0xF8EC1FDF)

SSDT[193] : NtReplaceKey @ 0x8064FE38 -> HOOKED (Unknown @ 0xF8EC1F94)

SSDT[200] : NtRequestWaitReplyPort @ 0x8056DD06 -> HOOKED (Unknown @ 0xF8EC1FD0)

SSDT[204] : NtRestoreKey @ 0x8064F9CD -> HOOKED (Unknown @ 0xF8EC1F8F)

SSDT[213] : NtSetContextThread @ 0x8062E773 -> HOOKED (Unknown @ 0xF8EC1FCB)

SSDT[237] : NtSetSecurityObject @ 0x8059818E -> HOOKED (Unknown @ 0xF8EC1FD5)

SSDT[247] : NtSetValueKey @ 0x8057DA5B -> HOOKED (Unknown @ 0xF8EC1F80)

SSDT[255] : NtSystemDebugControl @ 0x8064AA0F -> HOOKED (Unknown @ 0xF8EC1FDA)

SSDT[257] : NtTerminateProcess @ 0x805857B9 -> HOOKED (Unknown @ 0xF8EC1F67)

S_SSDT[549] : Unknown -> HOOKED (Unknown @ 0xF8EC1FEE)

S_SSDT[552] : Unknown -> HOOKED (Unknown @ 0xF8EC1FF3)

IRP[iRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] prosync1.sys @ 0xF8D7D661)

 

¤¤¤ Infection : ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: ST380021A +++++

--- User ---

[MBR] da33532eba3f9f6931fc3eac878cf08b

[bSP] 14dd7f9b0e4bef26173a8bf8fba3822c : Windows XP MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 38154 Mo

1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 78140160 | Size: 38162 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

+++++ PhysicalDrive1: Kingston DT 101 G2 USB Device +++++

--- User ---

[MBR] 642b2491ee854cd06063cce4ddfc05a1

[bSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code

Partition table:

0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 7562 Mo

User = LL1 ... OK!

Error reading LL2 MBR!

 

Termine : << RKreport[2].txt >>

RKreport[1].txt ; RKreport[2].txt

 

---

 

A++

Lien vers le commentaire
Partager sur d’autres sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

 Share

  • En ligne récemment   0 membre est en ligne

    Aucun utilisateur enregistré regarde cette page.

×
×
  • Créer...