cherche rootkit desespérement !

[Bazalee]

Bonjour !

 

un petit rapport hijackthis qui réclame votre aide !!

Logfile of HijackThis v1.99.1

Scan saved at 11:23:05, on 06/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\Program Files\ewido anti-malware\ewidoguard.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Jetico Personal Firewall\fwsrv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\*****\Mes documents\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bazalee.googlepages.com/home

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings

O4 - HKLM\..\Run: [beClean Start-Up Clean] C:\Program Files\BeClean\BeClean.exe /s

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [beClean Agent] C:\Program Files\BeClean\bca.exe

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico Personal Firewall\fwsrv.exe"

O4 - HKLM\..\Run: [startupDelayer] "C:\Program Files\r2 studios\Startup Delayer\Startup Launcher.exe"

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{94467039-A3B0-4288-97DB-833283EC158C}: NameServer =

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

 

An unexpected error has occurred at procedure: modMain_FixOther23Item(sItem=O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing))

Error #5 - Invalid procedure call or argument

 

Please email me at [email protected], reporting the following:

* What you were trying to fix when the error occurred, if applicable

* How you can reproduce the error

* A complete HijackThis scan log, if possible

 

Windows version: Windows NT 5.01.2600

MSIE version: 6.0.2900.2180

HijackThis version: 1.99.1

mm alerte pour : ashMaiSv.exe

 

 

This message has been copied to your clipboard.

Click OK to continue the rest of the scan. ...

 

j'ai fixé les lignes messenger et les scan en ligne... je cherche depuis un moment !!

 

jetico me signale que "system" a une fenêtre caché et demande à sortir seulement je ne vois aucun "system" juste System dans mon gestionnaire de tâches et les services avast sont tous comme actifs.

 

Je pense qu'il ya rootkit quelquepart qui a détourné avast (mis à jour depuis la faille du 3 juin) mais où ?

 

mon pc : p2 400 xp home edit à jour !

Merci pour votre aide par avance !

bazalee

PS :J'ai déjà désinstaller nettoyer et réinstaller avast mais ça recommence ! et rootkitrevealer ne voit rien

Modifié le 6 juin 2006 par Bazalee

[regis56]

Bonjour Bazalee et et bienvenue sur le forum zeb-sécu!

 

Suit la procédure de pré-nettoyage de Mégataupe STP moi ou quelqu'un d'autre s'occupera de toi après;)

 

 

Bonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.

 

Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz , il vous est donc proposé une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).

 

Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :

 

Phase 1 : mode normal : téléchargement des outils (antivirus et logiciel HijackThis)

 

Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)

 

Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, désinstallation d'Antivir, redémarrage en mode normal, installation et utilisation d'HijackThis

 

Phase 4 : envoi des rapport HijackThis et antivir pour analyse

 

----------

 

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com Une fois passé en mode sans echec, installer et paramétrer Antivir. Il est impératif de le configurer correctement afin de faire le meilleur scan possible --> voir la procédure ici (imprimez la) :

http://speedweb1.free.fr/frames2.php?page=tuto5

nb: le choix d'Antivir comme antivirus a utiliser dans le cadre de cette procédure, a reposé sur les critères suivants : --- failles de votre antivirus qui a laissé passer des malwares --- Antivir peut-être installé et désinstallé facilement --- Antivir est reconnu pour son efficacité en mode sans échec --- le tutorial de tesgaz permet de le paramétrer sans problème

 

- télécharger la dernière version d'HijackThis (

http://www.merijn.org/files/hijackthis.zip

ou

http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec " Comment démarrer l'ordinateur en mode sans échec " (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

Sauvegarder le rapport !

 

- désinstallation d'Antivir

 

-- terminer les processus suivants dans le gestionnaire des tâches (faire Ctrl+Alt+Suppr pour ouvrir la fenêtre puis cliquer sur l'onglet Processus) : AVGUARD.EXE - AVSCHED.EXE - AVWUPSRV.EXE et AVGNT.EXE puis, désinstaller Antivir dans ajout/suppression de programmes (vous pourrez le réinstaller ensuite si vous souhaitez le conserver en lieu et place de votre antivirus résident qu'il conviendra dans ce cas de désinstaller proprement, surtout s'il s'agit de Norton).

 

- Redémarrer le PC en mode normal

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis); dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller (Ctrl-V) dans un nouveau post (mais dans ce sujet ) que vous créez sur le forum Analyse rapports HijackThis, Eradication malwares de manière à ce que nous vous disions ce qu'il faut faire. Puis faire de même avec le rapport antivir.

- attendre l'analyse et la réponse.

 

Bon courage et tiens nous au courant à plus !

[Bazalee]

Bonjour Bazalee et et bienvenue sur le forum zeb-sécu!

 

Suit la procédure de pré-nettoyage de Mégataupe STP moi ou quelqu'un d'autre s'occupera de toi après;)

Bon courage et tiens nous au courant à plus !

Merci pour ta réponse

J'ai suivi toute la procédure antivir le fichier de scan fait 2 mo (impossible de le coller), je vous colle les partie ou system apparait. Si vous voulez d'autres parties dites moi :

 

End of the scan: mardi 6 juin 2006 13:52

Used time: 42:03 min

 

The scan has been done completely.

 

1512 Scanning directories

40996 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

364 Archives were scanned

23 Warnings

28 Notes

 

dans system32 :

system.drv

 

 

C:\WINDOWS\system32\config\

Antiviru.evt

Antivirus.evt

AppEvent.evt

default

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

default.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

default.sav

SAM

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

SAM.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

SecEvent.evt

SECURITY

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

SECURITY.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

software

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

software.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

software.sav

SysEvent.evt

system

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

system.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

system.sav

TempKey.log

userdiff

userdiff.log

C:\WINDOWS\system32\config\systemprofile\

ntuser.dat

ntuser.dat.log

C:\WINDOWS\system32\config\systemprofile\Application Data\

desktop.ini

C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\Content\

E6024EAC88E6B6165D49FE3C95ADD735

C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\CryptnetUrlCache\MetaData\

E6024EAC88E6B6165D49FE3C95ADD735

C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\HTML Help\

hh.dat

C:\WINDOWS\system32\config\systemprofile\Application Data\Microsoft\Internet Explorer\ brndlog.txt

.....

 

C:\WINDOWS\system32\GroupPolicy\Adm\

admfiles.ini

conf.adm

conf.adm:Zone.Identifier

inetres.adm

inetres.adm:Zone.Identifier

system.adm

system.adm:Zone.Identifier

wuau.adm

C:\WINDOWS\system32\GroupPolicy\Machine\

Registry.pol

C:\WINDOWS\system32\GroupPolicy\User\

Registry.pol

C:\WINDOWS\system32\ias\

dnary.mdb

ias.mdb

C:\WINDOWS\system32\icsxml\

cmnicfg.xml

ipcfg.xml

osinfo.xml

potscfg.xml

pppcfg.xml

...

hijackthis :

Logfile of HijackThis v1.99.1

Scan saved at 14:05:35, on 06/06/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Program Files\ewido anti-malware\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Jetico Personal Firewall\fwsrv.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://bazalee.googlepages.com/home

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens

O4 - HKLM\..\Run: [Voodoo2] rundll32.exe 3dfxv2ps.dll,UpdateRegSettings

O4 - HKLM\..\Run: [beClean Start-Up Clean] C:\Program Files\BeClean\BeClean.exe /s

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [beClean Agent] C:\Program Files\BeClean\bca.exe

O4 - HKLM\..\Run: [JeticoPFStartup] "C:\Program Files\Jetico Personal Firewall\fwsrv.exe"

O4 - HKLM\..\Run: [startupDelayer] "C:\Program Files\r2 studios\Startup Delayer\Startup Launcher.exe"

O17 - HKLM\System\CCS\Services\Tcpip\..\{94467039-A3B0-4288-97DB-833283EC158C}: NameServer = 192.168.1.1

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe

 

j'espère que vous trouverez cette vilaine bête !!

 

voilà !

bazalee

[regis56]

Re

 

On va continuer ainsi

 

Télécharge la version d'essai d'Ewido Anti-Malware ici :

http://www.ewido.net/fr/

 

..et installe le (Important: pendant l'installation, sur la page "Additional Options" décoche les deux options "Install background guard" et "Install scan via context menu").

 

Démarre Ewido avec l'icône qui se trouve sur ton Bureau. Clique sur mise à jour, attendre la fin de cette mise à jour puis, ferme le programme.

 

Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur.

 

Du mode Sans Échec, relance Ewido et clique sur Scanner puis sur Scan complet du système.

 

Si des fichiers infectés sont trouvés, garde l'option par défaut Supprimer (avec la ligne "Créer des copies de sauvegarde cryptées dans la quarantaine" cochée), et coche "Effectuer cette action avec toutes les infections".

 

A la fin du scan, sauvegarde le rapport (Fichier/Enregistrer sous...) sur le Bureau.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Redémarre en mode Normal. Je te fais passer un autre outil :

 

Télécharge Blacklight (de F-Secure) et sauvegarde le sur ton Bureau.

 

Double-clique blbeta.exe et accepte la licence; laisse [X]scan through Windows Explorer activé; clique Scan puis Next

 

Tu verras une liste de fichiers détectés apparaître. Tu verras également un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).

 

Copie et colle le contenu de ce rapport dans ta prochaine réponse. NE PAS choisir l'option "Rename" de suite : nous devons analyser le rapport, car des fichiers légitimes peuvent être présents, tel wbemtest.exe

~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Prière de poster les rapports suivant dans ta prochaine réponse :

 

1) Ewido

2) BlackLight

3) Nouveau rapport HijackThis!

 

Bon courage, et @+

[Bazalee]

re!

 

Alors Ewido il est déjà installé

Rien dans le rapport en normal ou sans échec

 

idem pour blacklight ...rien !

06/06/06 17:28:49 [info]: BlackLight Engine 1.0.37 initialized

06/06/06 17:28:49 [info]: OS: 5.1 build 2600 (Service Pack 2)

06/06/06 17:28:49 [Note]: 7019 4

06/06/06 17:28:49 [Note]: 7005 0

06/06/06 17:29:01 [Note]: 7006 0

06/06/06 17:29:01 [Note]: 7011 1352

06/06/06 17:29:09 [Note]: 7026 0

06/06/06 17:29:09 [Note]: 7026 0

06/06/06 17:29:22 [Note]: FSRAW library version 1.7.1015

06/06/06 17:30:51 [Note]: 7007 0

 

Pour le forcer à se montrer j'ai désinstallé avast et réinstaller antivir que j'ai mis à jour et ai refait un scan en mode sans échec :

AntiVir PersonalEdition Classic

Report file date: mardi 6 juin 2006 17:00

 

 

Jobname: 'Local Drives'

 

Scanning for 403608 virus strains and unwanted programs.

 

Licensed to: AntiVir PersonalEdition Classic

Serial number: 0000149996-WURGE-0001

Platform: Windows XP

Windows version: (Service Pack 2) [5.1.2600]

Username: *****

Computer name: *****

 

Version informations:

AVSCAN.EXE : 7.0.0.35 540712 21/04/2006 12:47:04

AVSCAN.DLL : 7.0.0.34 41000 05/04/2006 11:03:57

LUKE.DLL : 7.0.0.34 114728 05/04/2006 11:03:58

LUKERES.DLL : 7.0.0.34 25640 05/04/2006 11:03:58

ANTIVIR0.VDF : 6.32.0.60 4323840 02/05/2006 08:29:08

ANTIVIR1.VDF : 6.34.1.87 2215424 06/06/2006 14:45:35

ANTIVIR2.VDF : 6.34.1.197 299008 06/06/2006 14:45:35

ANTIVIR3.VDF : 6.34.1.198 3072 06/06/2006 14:45:35

AVEWIN32.DLL : 7.0.0.17 1229312 06/06/2006 14:45:36

AVPREF.DLL : 6.34.0.0 38440 18/01/2006 12:06:00

AVREP.DLL : 6.34.1.166 643112 06/06/2006 14:45:36

AVPACK32.DLL : 7.0.0.4 335912 29/03/2006 09:44:25

AVREG.DLL : 6.31.0.90 27688 28/07/2005 10:06:36

NETNT.DLL : 6.32.0.0 6696 27/09/2005 07:56:49

NETNW.DLL : 6.32.0.0 9768 27/09/2005 07:56:49

 

 

Start of the scan: mardi 6 juin 2006 17:00

 

 

Start scanning boot sectors:

 

Boot sector 'C:'

[NOTE] No virus was found!

Boot sector 'A:'

[NOTE] In the drive 'A:' no data medium is inserted!

 

Starting to scan the registry.

 

The registry was scanned ( 14 files ).

 

 

Starting the file scan:

 

C:\pagefile.sys

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\*****\NTUSER.DAT

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\*****\ntuser.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\******\NTUSER.DAT

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\*****\ntuser.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\*****\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Documents and Settings\*****\Mes documents\desktop.ini

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\Program Files\Common Files\GTK\2.0\lib\locale\am\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\am\LC_MESSAGES\glib20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\as\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\az_IR\LC_MESSAGES\gtk20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\bn\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\en@IPA\LC_MESSAGES\gtk20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\eo\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\et\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\fa\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\ga\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\ga\LC_MESSAGES\glib20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\he\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\ia\LC_MESSAGES\gtk20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\id\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\is\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\kn\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\li\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\lv\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\ml\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\ml\LC_MESSAGES\glib20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\mr\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\rw\LC_MESSAGES\glib20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\rw\LC_MESSAGES\gtk20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\sl\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\sp\LC_MESSAGES\gtk20.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\vi\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\wa\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Common Files\GTK\2.0\lib\locale\yi\LC_MESSAGES\atk10.mo

[0] Archive type: MIME

[iNFO] Error no files to extract

C:\Program Files\Lavasoft\Ad-Aware SE Personal\Skins\Ad-Aware SE default.ask

[0] Archive type: ZIP

[WARNING] The archive is encrypted

C:\WINDOWS\system32\net.exe bloqué par moi

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\net1.exebloqué par moi

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\netsh.exebloqué par moi

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\ntsd.exebloqué par moi

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\default

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\default.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SAM

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SAM.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SECURITY

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\SECURITY.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\software

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\software.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\system

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

C:\WINDOWS\system32\config\system.LOG

[WARNING] The file could not be opened!

[WARNING] Error code: 0x000D

[WARNING] Access error/file locked!

 

 

End of the scan: mardi 6 juin 2006 17:19

Used time: 18:42 min

 

The scan has been done completely.

 

1479 Scanning directories

40050 Files were scanned

0 viruses and/or unwanted programs was found

0 files were deleted

0 files were repaired

0 files were moved to quarantine

0 files were renamed

362 Archives were scanned

23 Warnings

28 Notes

 

J'ai eu une demande de sortie par le dernier exe utilisé : blacklight blbeta.exe alors que j'avais supprimé définivement le logiciel avant .....hi hi ! depuis c ewidoguard.exe qui demande de sortir sans cesse il est bloqué !

 

J'ai de "nouveaux" services en écoute qui sont réapparus qui n'apparaissaient pas dans jetico avant la désinstallation d'avast :

ctfmon.exe,WinMgmt.exe,spoolsv;3 services.exe alors qu'avant j'en voyais qu'1, 5svchost alors qu'avant j'en voyais que 2;alg (le service est pourtant désactivé ),un inetinfo.exe dans c:\windows\system32\ inetsrv qui n'a pas de HASH et internat.exe sans Hash .....

J'édit pour rajouter que viens de voir que rien n'apparait dans inetsrv,le dossier est "vide" !

 

que dois-je faire maintenant ?

Merci

Bazalee

Modifié le 6 juin 2006 par Bazalee

[Bazalee]

 

toutes applications ouverte est aussitot solicité par ***** (pas encore de nom) !!

Modifié le 6 juin 2006 par Bazalee

[regis56]

Bon on va reprendre depuis le début car je ne te suit pas bien là !

 

Quels sont les dysfonctionnements exacte du Pc ?

 

Depuis quand apparraissent t'ils !

 

Tu pense avoir un rootkit qu'est ce qui te permet de le dire ?

 

Jetico à l'air de faire des alertes pour des processus connu donc configure comme il faut ton firewall dans un premier temps.

Tuto:

http://www.open-files.com/forum/index.php?showtopic=29277

 

Tu peut tenter un scan en ligne chez kaspersky qui est souvent à jour avant les autres au niveau rootkit

http://www.kaspersky.com/virusscanner

 

Tu peut tenter celui ci aussi

http://www.trendmicro.com/spyware-scan/

 

Allez bon courage mais ne cours pas après quelque chose que tu n'as peut étre pas !

[Bazalee]

Bon on va reprendre depuis le début car je ne te suit pas bien là !

 

Quels sont les dysfonctionnements exacte du Pc ?

 

Depuis quand apparraissent t'ils !

 

Tu pense avoir un rootkit qu'est ce qui te permet de le dire ?

 

Jetico à l'air de faire des alertes pour des processus connu donc configure comme il faut ton firewall dans un premier temps.

Tuto:

http://www.open-files.com/forum/index.php?showtopic=29277

 

Tu peut tenter un scan en ligne chez kaspersky qui est souvent à jour avant les autres au niveau rootkit

http://www.kaspersky.com/virusscanner

 

Tu peut tenter celui ci aussi

http://www.trendmicro.com/spyware-scan/

 

Allez bon courage mais ne cours pas après quelque chose que tu n'as peut étre pas !

 

 

RE Regis56 !

 

J'aimerai bien aussi ne rien avoir, j'irai faire autre chose mais là tu vois ça fait suffisamment longtemps que ce ***** m'ennuie !

Sur l'image au dessus tu peux voir qu'il n'y a pas de nom dans Application et je n'ai posté que pour explorer mais tout ce que j'ouvre et referme est aussitôt solliciter de cette façon ! Seul IE ne l'est jamais.

 

Jetico est bien reglé g déjà lu le tuto d'openfiles !

Je vais retenter un scan en ligne chez kaspersky

et pourquoi jetico voit un inetinfo.exe que je ne vois pas dans le dossier ?

 

merci mais je n'ai pas pour habitude de poster si je n'ai pas de probs !

 

Bonne soirée !

Bazalee

[regis56]

Re

 

Ce que je peut te dire c'est que C:\windows.explorer.exe est légitime laisse le passer avec Jético =>régle permanente

 

Pour c:\windows\system32\inetinfo.exe

Voici ce que je trouve :

http://www.spywaredata.com/spyware/search/...p.php?id=343044

=>légitime

laisse le passer avec Jético =>régle permanente

 

Si tu as un doute sur le nom des processus fait une recherche sur google la plupart du temps on trouve à quoi il corespond

 

Je n'ai en aucune manière l'intention de remettre en cause ton poste !

Tu as l'air bien embété et on est là pour t'aider si on peut !

 

Bonne soirée !

[horus agressor]

Bonjour,

 

Je me permets de me glisser dans la procédure pour signaler une rubrique d'Assiste consacrée aux rootkit :

 

RootKit

http://assiste.forum.free.fr/viewforum.php?f=102

 

Amicalement.

Modifié le 7 juin 2006 par horus agressor