rootkit

[Sma]

salut, j'ai installé rootkit revealer il ma trouvé un rootkit dans

 

hklm\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Prefetcher\TracesProcessed je sais pas du tout

 

comment faire. pouvez-vous m'aider parce que j'en ai vraiment besoin là merci

[Lord Vamp]

Bonjour Sma,

 

Ton rootkit apparaît il dans cette liste ?

• 01, lrk3, lrk4, lrk5, lrk6 (et variantes);
  02. Rootkit de Solaris;
  03. Rootkit de FreeBSD;
  
• 04, t0rn (et variantes);
  05. Rootkit Ambiant (ARCHE);
  06. Ver De Ramen;
  
• 07, rh[67]-shaper;
  08. RSHA;
  09. Rootkit roumain;
  
• 10. RK17;
  11. Ver De Lion;
  12. Adorez Le Ver;
  
• 13. Ver de LPD;
  14. kenny-rk;
  15. Adorez LKM;
  
• 16. Ver De ShitC;
  17. Ver D'Omega;
  18. Ver De Wormkit;
  
• 19. Fou-RK;
  20. dsc-rootkit;
  21. Rootkit de Ducoci;
  
• ver de 22, x.c;
  23. RST.b Trojan;
  24 duarawkz;
  
• 25, knark LKM;
  26. Monkit;
  27. Hidrootkit;
  
• 28. Bobkit;
  29. Pizdakit;
  30, t0rn v8.0;
  
• 31. Showtee;
  32. Optickit;
  33. T.r.k;
  
• 34. Rootkit De MithRa;
  35. George;
  36. SucKIT;
  
• 37. Scalper;
  38. Slapper A, B, C et D;
  39. Rk v1 d'OpenBSD;
  
• 40. Rootkit d'Illogic;
  41. Rootkit de SK.
  42, sebek LKM;
  
• 43. Rootkit roumain;
  44. Rootkit de LOC;
  45. rootkit shv4;
  
• 46. Rootkit d'Aquatica;
  47. Rootkit de ZK;
  48. ver 55808.A;
  
• 49. Ver TC2;
  50. Rootkit de Volc;
  51. Rootkit Gold2;
  
• 52. Rootkit d'Anonoying;
  53. Rootkit de Shkit;
  54. Rootkit d'AjaKit;
  
• rootkit de 55, zaRwT;
  56. Rootkit de Madalin;
  57. Rootkit de Fu;
  
• 58. Rootkit Kenga3;
  59. Rootkit d'cEsrk;
  60. rootkit du rootedoor;
  

Modifié le 18 novembre 2005 par Lord Vamp

[Sma]

comment savoir si il rentre dans une de ces catégories? je voudrais juste preciser qu'apres suppression de

 

cette ligne rootkitrevealer ne sait plus ou donner de la tete. Je fais un scan une nouvelle ligne apparait, je refais

 

un autre scan ya plus rien mdr ce rootkit revealer

[Lord Vamp]

Bonjour Sma,

 

Suis cette procédure et poste ton rapport.

[Sma]

bon Lord Vamp cette procédure est franchement tres bien je l'ai suivi mais apparemment y'a plus rien j'ai refait

 

plusieurs scan antivir puis mon antivirus + antispyware + rootkitrevealer et tout le tralala et ya vraiment plus

 

rien merci Lord Vamp

[Thanos]

salut sma,Lord

 

Tu peux poster ton rapport si tu veux qu'on y jette un oeil.

[Sma]

ok charles ingalls je vais poster mon rapport

 

Logfile of HijackThis v1.99.1

Scan saved at 18:47:01, on 20/11/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE

C:\WINDOWS\System32\dllhost.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\FSGK32.EXE

C:\Program Files\Securitoo\av_fw\fswsclds.exe

C:\Program Files\Securitoo\av_fw\Anti-Virus\fssm32.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

C:\Program Files\Securitoo\av_fw\Common\FSMB32.EXE

C:\Program Files\Securitoo\av_fw\Common\FCH32.EXE

C:\Program Files\Securitoo\av_fw\Common\FAMEH32.EXE

C:\Program Files\Securitoo\av_fw\Anti-Virus\fsav32.exe

C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE

C:\Program Files\Securitoo\av_fw\backweb\1044199\Program\BackWeb-1044199.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Documents and Settings\xpr2610\Mes documents\logiciels\hijackthis_hijackthis_1.99.1_anglais_17891.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.wanadoo.fr

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wanadoo.fr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.233.21.166:8080

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Securitoo\av_fw\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Securitoo\av_fw\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1125953888796

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{07021BBB-D221-4618-AA31-430138BEF685}: NameServer = 80.10.246.1 80.10.246.132

O17 - HKLM\System\CS2\Services\Tcpip\..\{07021BBB-D221-4618-AA31-430138BEF685}: NameServer = 80.10.246.1 80.10.246.132

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: AFTDISI - Sysinternals - www.sysinternals.com - C:\DOCUME~1\xpr2610\LOCALS~1\Temp\AFTDISI.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Securitoo AntiVirus Firewall (BackWeb Client - 1044199) - Unknown owner - C:\PROGRA~1\SECURI~1\av_fw\backweb\1044199\Program\SERVIC~1.EXE

O23 - Service: Boonty Games - BOONTY - C:\Program Files\Fichiers communs\BOONTY Shared\Service\Boonty.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Authentication Agent (FSAA) - Unknown owner - C:\Program Files\Securitoo\av_fw\Common\FSAA.EXE (file missing)

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program Files\Securitoo\av_fw\backweb\1044199\program\fsbwsys.exe

O23 - Service: F-Secure Distributed Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\DFW\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program Files\Securitoo\av_fw\fswsclds.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe

 

J'attends vos réponses avec impatience

Modifié le 20 novembre 2005 par Sma

[Sma]

quelqu'un peut-il analyser mon log hijack this s'il vous plait?

[Sma]

allez aidez-moi s'il vous plait est ce que le rapport est clean?

[Thanos]

salut Sma

 

On t'a pas oublié mais on est pas toujours dispo.Bon, quelques remarques:

 

- Cette ligne qui me pose problème:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 211.233.21.166:8080

 

Apres recherche, on trouve ceci:

inetnum: 211.232.0.0 - 211.255.255.255

netname: KRNIC-KR

descr: KRNIC

descr: Korea Network Information Center

country: KR

admin-c: HM127-AP

tech-c: HM127-AP

remarks: ******************************************

remarks: KRNIC is the National Internet Registry

remarks: in Korea under APNIC. If you would like to

remarks: find assignment information in detail

remarks: please refer to the KRNIC Whois DB

remarks: http://whois.nic.or.kr/english/index.html

remarks: ******************************************

Tu utilise un proxy pour surfer anonymement?

 

- Est ce que tu as installé ce programme:AFTDISI? Il n'y a aucune info à son sujet, et même chez Sysinternals je n'ai rien trouvé!

 

Va faire analyser le fichier C:\DOCUME~1\xpr2610\LOCALS~1\Temp\AFTDISI.exesi tu ne le connais

 

pas, chez jotti ;et poste le rapport:

 

http://virusscan.jotti.org/

 

Fais un scan en ligne ici et poste le rapport:

 

-Panda:

http://www.pandasoftware.com/products/acti...CACHEHINT=Guest