[Résolu] Infection ReimagePlus.com

[Apollo]

Arf, non.

 

Je l'ai hébergé provisoirement Voir le Fichier : RogueKiller.exe

 

Enregistre-le sur le bureau.

 

Ton XP est un 32 Bits, j'imagine? (les 64 sont plutôt rares.)

[sharleen*]

Un 32 Bits autant que je me souvienne... désolée, je ne me souviens plus où vérfier..

 

Merci pour le fichier.

[Apollo]

Presse les touches Windows et Pause et tu verras si c'est 32 ou 64

[sharleen*]

Au moment où RogueKiller a stoppé un fichier suspect "catchme", est apparu une fenêtre de licence pour Adlice, à accepter, ou refuser.

j'ai lu.. j'ai accepté, une fenêtre de FF s'est ouverte sur un site pour Adlice, avec un téléchargement possible de RogueKiller..

J'ai fermé et le scan a continué.

J'espère que c'est ok, en tous cas, que si ça n'est pas normal ça n'a pas causé davantage de dommage.

 

Voici le rapport du scan. :

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Recherche -- Date : 05/30/2014 19:05:58

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> TROUVÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> TROUVÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> TROUVÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> TROUVÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> TROUVÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )

Re.

 

maintenant, je vais dans chaque onglet de RogueKiller, je supprime et poste chaque rapport : ?

[Apollo]

Oui dans l'ordre que j'ai indiqué stp.

[sharleen*]

Rapport processus (je vais tâcher de suivre l'ordre pour la suite) :

 

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Suppression -- Date : 05/30/2014 19:15:00

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_05302014_190558.log

[sharleen*]

Rapport Host.

Je n'ai plus à supprimer ? Excuse la question mais je peux accéder à présent uniquement à la tâche "rapport, j'espère que c'est normal.

 

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Suppression -- Date : 05/30/2014 19:15:00

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_05302014_190558.log

[sharleen*]

Je regrette si l'ordre n'est pas suivi : il n'y a pas indiqué "proxy,etc", alors je suis finalement l'ordre des onglets.

 

Rapport Registre

 

 

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Suppression -- Date : 05/30/2014 19:15:00

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_05302014_190558.log

Rapport tâches (il n'y a rien) :

 

 

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Suppression -- Date : 05/30/2014 19:15:00

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_05302014_190558.log

Rapport Antirootkits :

 

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Suppression -- Date : 05/30/2014 19:15:00

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_05302014_190558.log

[sharleen*]

Pour "fichiers" et "MBR", il n'y avait rien, je ne mets pas les rapports pour ne pas charger. Sauf si tu le souhaite.

 

Rapport Navigateurs

 

 

RogueKiller V9.0.0.0 [May 29 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Démarrage : Mode normal
Utilisateur : YORK [Droits d'admin]
Mode : Suppression -- Date : 05/30/2014 19:15:00

¤¤¤ Processus malicieux : 1 ¤¤¤
[suspicious.Path] (SVC) catchme -- \??\C:\DOCUME~1\YORK\LOCALS~1\Temp\catchme.sys[x] -> STOPPÉ

¤¤¤ Entrées de registre : 9 ¤¤¤
[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ
[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ
[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[C:\WINDOWS\System32\drivers\etc\hosts] 127.0.0.1 localhost

¤¤¤ Antirootkit : 26 ¤¤¤
[sSDT:Addr] NtClose[25] : Unknown @ 0xf2167fb4
[sSDT:Addr] NtCreateKey[41] : Unknown @ 0xf2167f6e
[sSDT:Addr] NtCreateSection[50] : Unknown @ 0xf2167fbe
[sSDT:Addr] NtCreateSymbolicLinkObject[52] : Unknown @ 0xf2167f96
[sSDT:Addr] NtCreateThread[53] : Unknown @ 0xf2167f64
[sSDT:Addr] NtDeleteKey[63] : Unknown @ 0xf2167f73
[sSDT:Addr] NtDeleteValueKey[65] : Unknown @ 0xf2167f7d
[sSDT:Addr] NtDuplicateObject[68] : Unknown @ 0xf2167faf
[sSDT:Addr] NtLoadDriver[97] : Unknown @ 0xf2167f9b
[sSDT:Addr] NtLoadKey[98] : Unknown @ 0xf2167f82
[sSDT:Addr] NtOpenProcess[122] : Unknown @ 0xf2167f50
[sSDT:Addr] NtOpenSection[125] : Unknown @ 0xf2167f91
[sSDT:Addr] NtOpenThread[128] : Unknown @ 0xf2167f55
[sSDT:Addr] NtQueryValueKey[177] : Unknown @ 0xf2167fd7
[sSDT:Addr] NtReplaceKey[193] : Unknown @ 0xf2167f8c
[sSDT:Addr] NtRequestWaitReplyPort[200] : Unknown @ 0xf2167fc8
[sSDT:Addr] NtRestoreKey[204] : Unknown @ 0xf2167f87
[sSDT:Addr] NtSetContextThread[213] : Unknown @ 0xf2167fc3
[sSDT:Addr] NtSetSecurityObject[237] : Unknown @ 0xf2167fcd
[sSDT:Addr] NtSetSystemInformation[240] : Unknown @ 0xf2167fa0
[sSDT:Addr] NtSetValueKey[247] : Unknown @ 0xf2167f78
[sSDT:Addr] NtSystemDebugControl[255] : Unknown @ 0xf2167fd2
[sSDT:Addr] NtTerminateProcess[257] : Unknown @ 0xf2167f5f
[sSDT:Addr] NtWriteVirtualMemory[277] : Unknown @ 0xf2167f5a
[shwSSDT:Addr] NtUserSetWindowsHookEx[549] : Unknown @ 0xf2167fe6
[shwSSDT:Addr] NtUserSetWinEventHook[552] : Unknown @ 0xf2167feb

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: TOSHIBA RAID LD0 SCSI Disk Device +++++
--- User ---
[MBR] 135cd55e761913a22b95468f51943da9
[bSP] 7e2ce92b3df08737a99e9a5e86e9cf47 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 95346 MB
1 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 195270075 | Size: 23 MB
User = LL1 ... OK
Error reading LL2 MBR! ([1] Fonction incorrecte. )


============================================
RKreport_SCN_05302014_190558.log

[Apollo]

¤¤¤ Entrées de registre : 9 ¤¤¤

[suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> NON SELECTIONNÉ

[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> NON SELECTIONNÉ

[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> NON SELECTIONNÉ

[suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet003\Services\catchme -> NON SELECTIONNÉ

[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ

[PUM.Policies] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableTaskMgr : 0 -> NON SELECTIONNÉ

[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0 -> NON SELECTIONNÉ

[PUM.Desktop] HKEY_USERS\S-1-5-21-544044165-1649040337-268803306-1006\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop | NoChangingWallpaper : 0 -> NON SELECTIONNÉ

[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1 -> NON SELECTIONNÉ

 

 

 

 

 

Tu dois sélectionner ces entrées sous l'onglet registre avant de faire la suppression.

 

Refais:

 

1) Scan

2) sélectionner toutes les cases sous l'onglet registre puis cliquer sur le bouton suppression. Puis prends le rapport

 

 

Il y a Rootkit, on utilisera le canon après ça.

 

@++