Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Messages recommandés

Posté(e)

salut, j'ai installé rootkit revealer il ma trouvé un rootkit dans

 

hklm\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Prefetcher\TracesProcessed je sais pas du tout

 

comment faire. pouvez-vous m'aider parce que j'en ai vraiment besoin là merci

Posté(e) (modifié)

Bonjour Sma,

 

Ton rootkit apparaît il dans cette liste ?

  • 01, lrk3, lrk4, lrk5, lrk6 (et variantes);
    02. Rootkit de Solaris;
    03. Rootkit de FreeBSD;
  • 04, t0rn (et variantes);
    05. Rootkit Ambiant (ARCHE);
    06. Ver De Ramen;
  • 07, rh[67]-shaper;
    08. RSHA;
    09. Rootkit roumain;
  • 10. RK17;
    11. Ver De Lion;
    12. Adorez Le Ver;
  • 13. Ver de LPD;
    14. kenny-rk;
    15. Adorez LKM;
  • 16. Ver De ShitC;
    17. Ver D'Omega;
    18. Ver De Wormkit;
  • 19. Fou-RK;
    20. dsc-rootkit;
    21. Rootkit de Ducoci;
  • ver de 22, x.c;
    23. RST.b Trojan;
    24 duarawkz;
  • 25, knark LKM;
    26. Monkit;
    27. Hidrootkit;
  • 28. Bobkit;
    29. Pizdakit;
    30, t0rn v8.0;
  • 31. Showtee;
    32. Optickit;
    33. T.r.k;
  • 34. Rootkit De MithRa;
    35. George;
    36. SucKIT;
  • 37. Scalper;
    38. Slapper A, B, C et D;
    39. Rk v1 d'OpenBSD;
  • 40. Rootkit d'Illogic;
    41. Rootkit de SK.
    42, sebek LKM;
  • 43. Rootkit roumain;
    44. Rootkit de LOC;
    45. rootkit shv4;
  • 46. Rootkit d'Aquatica;
    47. Rootkit de ZK;
    48. ver 55808.A;
  • 49. Ver TC2;
    50. Rootkit de Volc;
    51. Rootkit Gold2;
  • 52. Rootkit d'Anonoying;
    53. Rootkit de Shkit;
    54. Rootkit d'AjaKit;
  • rootkit de 55, zaRwT;
    56. Rootkit de Madalin;
    57. Rootkit de Fu;
  • 58. Rootkit Kenga3;
    59. Rootkit d'cEsrk;
    60. rootkit du rootedoor;

Modifié par Lord Vamp
Posté(e)

comment savoir si il rentre dans une de ces catégories? je voudrais juste preciser qu'apres suppression de

 

cette ligne rootkitrevealer ne sait plus ou donner de la tete. Je fais un scan une nouvelle ligne apparait, je refais

 

un autre scan ya plus rien :P:P:-P mdr ce rootkit revealer

Posté(e)

bon Lord Vamp cette procédure est franchement tres bien je l'ai suivi mais apparemment y'a plus rien j'ai refait

 

plusieurs scan antivir puis mon antivirus + antispyware + rootkitrevealer et tout le tralala et ya vraiment plus

 

rien merci Lord Vamp

Posté(e) (modifié)

ok charles ingalls :P je vais poster mon rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 18:47:01, on 20/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\fswsclds.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\xpr2610\Mes documents\logiciels\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.233.21.166:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125953888796

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{07021BBB-D221-4618-AA31-430138BEF685}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS2\Services\Tcpip\..\{07021BBB-D221-4618-AA31-430138BEF685}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AFTDISI - Sysinternals - www.sysinternals.com - C:\DOCUME~1\xpr2610\LOCALS~1\Temp\AFTDISI.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

J'attends vos réponses avec impatience

Modifié par Sma
Posté(e)

salut Sma

 

On t'a pas oublié :P mais on est pas toujours dispo.Bon, quelques remarques:

 

- Cette ligne qui me pose problème:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.233.21.166:8080

 

Apres recherche, on trouve ceci:

inetnum: 211.232.0.0 - 211.255.255.255

netname: KRNIC-KR

descr: KRNIC

descr: Korea Network Information Center

country: KR

admin-c: HM127-AP

tech-c: HM127-AP

remarks: ******************************************

remarks: KRNIC is the National Internet Registry

remarks: in Korea under APNIC. If you would like to

remarks: find assignment information in detail

remarks: please refer to the KRNIC Whois DB

remarks: http://whois.nic.or.kr/english/index.html

remarks: ******************************************

Tu utilise un proxy pour surfer anonymement?

 

- Est ce que tu as installé ce programme:AFTDISI? Il n'y a aucune info à son sujet, et même chez Sysinternals je n'ai rien trouvé!

 

Va faire analyser le fichier C:\DOCUME~1\xpr2610\LOCALS~1\Temp\AFTDISI.exesi tu ne le connais

 

pas, chez jotti ;et poste le rapport:

 

http://virusscan.jotti.org/

 

Fais un scan en ligne ici et poste le rapport:

 

-Panda:

http://www.pandasoftware.com/products/acti...CACHEHINT=Guest

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...