Rootkit besoin d'aide

kasanjar -  
Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   -
Bonjour,voila j'ai un PC IBM ,et je crois que il y a un rootkit q que part,au démarrage j'ai une petite fenêtre qui s'ouvre dans laquel il y a y un message qui dit :"hi administrateur,don't worry,i'm a freind have a good day",le problème même avec combofix j'arrive pas a l'enlever,déjà il bloque combofix.besoin d'aide très urgent merci d'avance.
Configuration: Windows XP
Firefox 3.0.5

5 réponses

  1. BeFaX Messages postés 16334 Statut Contributeur 3 863
     
    Lol le petit message sympa :)

    Télécharge Hijackthis, fais un scan, et post le résultat ici stp :)
    0
    1. kasanjar
       
      BONSOIR ET MERCI POUR TA REPONSE ?J'AI LE RAPPORT DE COMBOFIX QUE JE VIENS D4AVOIR A L'INSTANT,je peut le poster?
      0
      1. kasanjar > kasanjar
         
        au fait voila:ComboFix 08-12-21.04 - Administrateur 2008-12-24 3:07:20.11 - NTFSx86
        Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.758.491 [GMT 1:00]
        Lancé depuis: c:\documents and settings\Administrateur\Bureau\killer.exe.exe
        Commutateurs utilisés :: c:\documents and settings\Administrateur\Bureau\WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
        * Un nouveau point de restauration a été créé
        .

        (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
        .

        c:\windows\system32\ntos.exe

        .
        ((((((((((((((((((((((((((((( Fichiers créés du 2008-11-24 au 2008-12-24 ))))))))))))))))))))))))))))))))))))
        .

        2008-12-24 03:00 . 2008-12-24 03:00 <REP> d-------- c:\program files\Unlocker
        2008-12-24 03:00 . 2008-12-24 03:00 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Desktopicon
        2008-12-23 23:25 . 2008-12-23 23:25 <REP> d-------- c:\program files\GeCAD
        2008-12-23 22:15 . 2008-12-23 23:20 <REP> d-------- c:\program files\Eazel-FR
        2008-12-23 22:15 . 2008-12-23 22:15 <REP> d-------- c:\program files\Conduit
        2008-12-23 00:11 . 2008-12-23 00:25 <REP> dr-h----- C:\$VAULT$.AVG
        2008-12-22 22:14 . 2008-12-22 22:14 <REP> d-------- c:\documents and settings\NetworkService\Application Data\AVG7
        2008-12-22 22:10 . 2008-12-24 02:41 <REP> d-------- c:\documents and settings\Administrateur\Application Data\AVG7
        2008-12-22 22:09 . 2008-12-22 22:09 <REP> d-------- c:\documents and settings\LocalService\Application Data\AVG7
        2008-12-22 22:09 . 2008-12-22 22:09 <REP> d-------- c:\documents and settings\All Users\Application Data\Grisoft
        2008-12-22 21:48 . 2008-12-22 21:48 <REP> d-------- c:\program files\FRISK Software
        2008-12-22 21:48 . 2008-12-22 21:48 <REP> d-------- c:\documents and settings\All Users\Application Data\FRISK Software
        2008-12-22 20:04 . 2008-12-22 23:58 <REP> d-------- c:\documents and settings\All Users\Application Data\Avg7
        2008-12-22 19:57 . 2008-12-22 21:53 <REP> d-------- c:\program files\ESET
        2008-12-22 12:38 . 2008-12-22 12:38 <REP> d-------- c:\program files\WinClamAVShield
        2008-12-22 12:16 . 2008-12-23 22:14 <REP> d-------- c:\program files\Spyware Terminator
        2008-12-22 12:16 . 2008-12-22 12:17 <REP> d-------- c:\program files\Crawler
        2008-12-22 12:16 . 2008-12-22 15:08 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
        2008-12-22 12:16 . 2008-12-23 00:43 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
        2008-12-22 12:16 . 2008-12-22 12:16 141,312 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys

        .
        (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
        .
        2008-12-24 01:42 --------- d-----w c:\program files\ZZZZZZZZZZZZ
        2008-12-23 22:24 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
        2008-12-22 18:09 --------- d-----w c:\program files\Kaspersky Lab
        2008-12-22 18:09 --------- d-----w c:\documents and settings\All Users\Application Data\Kaspersky Lab
        2008-12-22 11:15 --------- d-----w c:\program files\TuneUp Utilities 2004
        2008-11-30 18:09 --------- d-----w c:\program files\Google
        2008-11-04 09:49 28,672 ----a-w c:\windows\system32\ncmd.exe
        2008-10-26 17:30 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP
        2008-10-24 18:08 --------- d-----w c:\documents and settings\All Users\Application Data\Bluetooth
        2008-10-24 15:13 --------- d-----w c:\program files\IVT Corporation
        2008-04-16 15:51 24,192 ----a-w c:\documents and settings\Administrateur\usbsermptxp.sys
        2008-04-16 15:51 22,768 ----a-w c:\documents and settings\Administrateur\usbsermpt.sys
        .
        0
  2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Salut,

    - Télécharge HijackThis v2.0.2 sur ton Bureau.

    - Double-clique sur HJTInstall afin de lancer l'installation.

    - Clique sur Install ensuite sur I Accept.

    - Clique sur Do a system scan and save a logfile.

    - Le bloc-notes s'ouvrira, fais un copier/coller de tout son contenu ici dans ton prochain message.
    0
    1. kasanjar
       
      voila et encore merci
      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 03:54:04, on 24/12/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Unable to get Internet Explorer version!
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\msdtc.exe
      C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      C:\WINDOWS\system32\inetsrv\inetinfo.exe
      C:\WINDOWS\system32\pctspk.exe
      C:\WINDOWS\System32\snmp.exe
      C:\Program Files\Spyware Terminator\sp_rsser.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\wdfmgr.exe
      C:\WINDOWS\system32\mqsvc.exe
      C:\WINDOWS\system32\mqtgsvc.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
      C:\Program Files\DAEMON Tools\daemon.exe
      C:\WINDOWS\system32\hkcmd.exe
      C:\WINDOWS\system32\igfxpers.exe
      C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
      C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
      C:\Program Files\Unlocker\UnlockerAssistant.exe
      C:\WINDOWS\system32\wscntfy.exe
      C:\WINDOWS\explorer.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2095689
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      R3 - URLSearchHook: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR\tbEaze.dll
      O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
      O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
      O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
      O2 - BHO: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR\tbEaze.dll
      O3 - Toolbar: Barre d'outils &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
      O3 - Toolbar: Eazel-FR Toolbar - {a8f9752d-e2b8-4e7a-86b5-499f4330e2fe} - C:\Program Files\Eazel-FR\tbEaze.dll
      O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
      O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
      O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
      O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
      O4 - HKLM\..\Run: [Barsaka] explorer.exe
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
      O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
      O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
      O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
      O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
      O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
      O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
      O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Program Files\Unlocker\UnlockerAssistant.exe"
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
      O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
      O8 - Extra context menu item: Crawler Search - tbr:iemenu
      O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
      O12 - Plugin for .spop: C:\Program Files\Internet Explorer\Plugins\NPDocBox.dll
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/...
      O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/...
      O17 - HKLM\System\CCS\Services\Tcpip\..\{027B7C1B-AC09-4C24-8396-1993B72E7859}: NameServer = 193.95.93.77,193.95.66.10
      O17 - HKLM\System\CS1\Services\Tcpip\..\{027B7C1B-AC09-4C24-8396-1993B72E7859}: NameServer = 193.95.93.77,193.95.66.10
      O17 - HKLM\System\CS2\Services\Tcpip\..\{027B7C1B-AC09-4C24-8396-1993B72E7859}: NameServer = 193.95.93.77,193.95.66.10
      O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\Toolbar\ctbr.dll
      O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
      O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
      O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
      O23 - Service: PCTEL Speaker Phone (Pctspk) - PCtel, Inc. - C:\WINDOWS\system32\pctspk.exe
      O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe
      O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2004\WinStylerThemeSvc.exe
      0
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    ---> Télécharge Malwarebytes' Anti-Malware (MBAM) sur ton Bureau.
    ---> Double-clique sur le fichier téléchargé pour lancer le processus d'installation.
    ---> Dans l'onglet Mise à jour, clique sur le bouton Recherche de mise à jour : si le pare-feu demande l'autorisation à MBAM de se connecter à Internet, accepte.
    ---> Une fois la mise à jour terminée, rends-toi dans l'onglet Recherche.
    ---> Sélectionne Exécuter un examen rapide.
    ---> Clique sur Rechercher. L'analyse démarre.

    A la fin de l'analyse, un message s'affiche :

    L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.

    ---> Clique sur OK pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
    ---> Ferme tes navigateurs.
    Si des malwares ont été détectés, clique sur Afficher les résultats.
    ---> Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre infectés et en mettre une copie dans la quarantaine.
    ---> MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport dans ta prochaine réponse.
    0
    1. kasanjar
       
      merci beaucoup,je vais faire ça tout de suite,et je met le rapport juste apres
      0
    2. kasanjar
       
      voila c'est fais mais j'ais toujours le meme probleme "le message" au demmarage en plus du plantage
      Malwarebytes' Anti-Malware 1.31
      Version de la base de données: 1538
      Windows 5.1.2600 Service Pack 2

      24/12/2008 05:05:25
      mbam-log-2008-12-24 (05-05-25).txt

      Type de recherche: Examen complet (C:\|D:\|)
      Eléments examinés: 75981
      Temps écoulé: 20 minute(s), 11 second(s)

      Processus mémoire infecté(s): 0
      Module(s) mémoire infecté(s): 0
      Clé(s) du Registre infectée(s): 0
      Valeur(s) du Registre infectée(s): 0
      Elément(s) de données du Registre infecté(s): 0
      Dossier(s) infecté(s): 0
      Fichier(s) infecté(s): 1

      Processus mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Module(s) mémoire infecté(s):
      (Aucun élément nuisible détecté)

      Clé(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Valeur(s) du Registre infectée(s):
      (Aucun élément nuisible détecté)

      Elément(s) de données du Registre infecté(s):
      (Aucun élément nuisible détecté)

      Dossier(s) infecté(s):
      (Aucun élément nuisible détecté)

      Fichier(s) infecté(s):
      C:\Documents and Settings\Administrateur\Application Data\Desktopicon\eBayShortcuts.exe (Trojan.Agent) -> Quarantined and deleted successfully.
      0
  4. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    - Télécharge Random's System Information Tool (RSIT) (par random/random) sur ton Bureau.

    - Double-clique sur RSIT.exe afin de lancer le programme.

    - Clique sur Continue à l'écran Disclaimer.

    - Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.

    - Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. Poste le contenu de log.txt (c'est celui qui apparaît à l'écran) ainsi que de info.txt (que tu verras dans la barre des tâches).

    Note : Les rapports sont sauvegardés dans le dossier C:\rsit.
    0
    1. kasanjar
       
      ok ca marche,merci encore
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ce n'est pas fini.
    0