Sujet Précédent Sujet Suivant

Rootkit besoin d'aide

kasanjar -  
Destrio5 Messages postés 99820 Statut Modérateur -
Bonjour,voila j'ai un PC IBM ,et je crois que il y a un rootkit q que part,au démarrage j'ai une petite fenêtre qui s'ouvre dans laquel il y a y un message qui dit :"hi administrateur,don't worry,i'm a freind have a good day",le problème même avec combofix j'arrive pas a l'enlever,déjà il bloque combofix.besoin d'aide très urgent merci d'avance.
A voir également:

5 réponses

Réponse 1 / 5
BeFaX Messages postés 16334 Statut Contributeur 3 825
 
Lol le petit message sympa :)

Télécharge Hijackthis, fais un scan, et post le résultat ici stp :)
0
kasanjar
 
BONSOIR ET MERCI POUR TA REPONSE ?J'AI LE RAPPORT DE COMBOFIX QUE JE VIENS D4AVOIR A L'INSTANT,je peut le poster?
0
kasanjar > kasanjar
 
au fait voila:ComboFix 08-12-21.04 - Administrateur 2008-12-24 3:07:20.11 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.758.491 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\killer.exe.exe
Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ntos.exe

.
((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))
.

2008-12-24 03:00 . 2008-12-24 03:00 <REP> d-------- c:\program files\Unlocker
2008-12-24 03:00 . 2008-12-24 03:00 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Desktopicon
2008-12-23 23:25 . 2008-12-23 23:25 <REP> d-------- c:\program files\GeCAD
2008-12-23 22:15 . 2008-12-23 23:20 <REP> d-------- c:\program files\Eazel-FR
2008-12-23 22:15 . 2008-12-23 22:15 <REP> d-------- c:\program files\Conduit
2008-12-23 00:11 . 2008-12-23 00:25 <REP> dr-h----- C:\$VAULT$.AVG
2008-12-22 22:14 . 2008-12-22 22:14 <REP> d-------- c:\documents and settings\NetworkService\Application Data\AVG7
2008-12-22 22:10 . 2008-12-24 02:41 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AVG7
2008-12-22 22:09 . 2008-12-22 22:09 <REP> d-------- c:\documents and settings\LocalService\Application Data\AVG7
2008-12-22 22:09 . 2008-12-22 22:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
2008-12-22 21:48 . 2008-12-22 21:48 <REP> d-------- c:\program files\FRISK Software
2008-12-22 21:48 . 2008-12-22 21:48 <REP> d-------- c:\documents and settings\All Users\Application Data\FRISK Software
2008-12-22 20:04 . 2008-12-22 23:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Avg7
2008-12-22 19:57 . 2008-12-22 21:53 <REP> d-------- c:\program files\ESET
2008-12-22 12:38 . 2008-12-22 12:38 <REP> d-------- c:\program files\WinClamAVShield
2008-12-22 12:16 . 2008-12-23 22:14 <REP> d-------- c:\program files\Spyware Terminator
2008-12-22 12:16 . 2008-12-22 12:17 <REP> d-------- c:\program files\Crawler
2008-12-22 12:16 . 2008-12-22 15:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2008-12-22 12:16 . 2008-12-23 00:43 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
2008-12-22 12:16 . 2008-12-22 12:16 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-24 01:42 --------- d-----w c:\program files\ZZZZZZZZZZZZ
2008-12-23 22:24 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-22 18:09 --------- d-----w c:\program files\Kaspersky Lab
2008-12-22 18:09 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
2008-12-22 11:15 --------- d-----w c:\program files\TuneUp Utilities 2004
2008-11-30 18:09 --------- d-----w c:\program files\Google
2008-11-04 09:49 28,672 ----a-w c:\windows\system32\ncmd.exe
2008-10-26 17:30 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
2008-10-24 18:08 --------- d-----w c:\documents and settings\All Users\Application Data\Bluetooth
2008-10-24 15:13 --------- d-----w c:\program files\IVT Corporation
2008-04-16 15:51 24,192 ----a-w c:\documents and settings\Administrateur\usbsermptxp.sys
2008-04-16 15:51 22,768 ----a-w c:\documents and settings\Administrateur\usbsermpt.sys
.
0
Réponse 2 / 5
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Salut,

- Télécharge HijackThis v2.0.2 sur ton Bureau.

- Double-clique sur HJTInstall afin de lancer l'installation.

- Clique sur Install ensuite sur I Accept.

- Clique sur Do a system scan and save a logfile.

- Le bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.
0
kasanjar
 
voila et encore merci
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:54:04, on 24/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msdtc.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\pctspk.exe
C:\WINDOWS\System32\snmp.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\System32\alg.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Program Files\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2095689
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR\tbEaze.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR\tbEaze.dll
O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O3 - Toolbar: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR\tbEaze.dll
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Barsaka] explorer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{027B7C1B-AC09-4C24-8396-1993B72E7859}: NameServer = 193.95.93.77,193.95.66.10
O17 - HKLM\System\CS1\Services\Tcpip\..\{027B7C1B-AC09-4C24-8396-1993B72E7859}: NameServer = 193.95.93.77,193.95.66.10
O17 - HKLM\System\CS2\Services\Tcpip\..\{027B7C1B-AC09-4C24-8396-1993B72E7859}: NameServer = 193.95.93.77,193.95.66.10
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
0
Réponse 3 / 5
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
---> Sélectionne Exécuter un examen rapide.
---> Clique sur Rechercher. L'analyse démarre.

A la fin de l'analyse, un message s'affiche :

L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
---> Ferme tes navigateurs.
Si des malwares ont été détectés, clique sur Afficher les résultats.
---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
0
kasanjar
 
merci beaucoup,je vais faire ça tout de suite,et je met le rapport juste apres
0
kasanjar
 
voila c'est fais mais j'ais toujours le meme probleme "le message" au demmarage en plus du plantage
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1538
Windows 5.1.2600 Service Pack 2

24/12/2008 05:05:25
mbam-log-2008-12-24 (05-05-25).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 75981
Temps écoulé: 20 minute(s), 11 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Documents and Settings\Administrateur\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
0
Réponse 4 / 5
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
- Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

- Double-clique sur RSIT.exe afin de lancer le programme.

- Clique sur Continue à l'écran Disclaimer.

- Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

- Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
0
kasanjar
 
ok ca marche,merci encore
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 5
Destrio5 Messages postés 99820 Statut Modérateur 10 305
 
Ce n'est pas fini.
0

Discussions similaires

Rootkit sur pc windows 10
mic42 -
bazfile -

1 réponse
Rootkit : chacun son tour !!! HELP ! Help !
Reciff -
verni29 -

23 réponses
WIN32 KAMSO PUIS DETECTION D'UN ROOTKIT
BACARA -
BACARA -

61 réponses