Sujet Précédent Sujet Suivant

Rootkit tenace

bibi_fricotin Messages postés 201 Statut Membre -  
sKe69 Messages postés 21955 Statut Contributeur sécurité -
Bonjour, et bonnes fêtes à tous !!!
J'ai un rootkit détecté par le logiciel Malwarebytes qui est tenace et que je n'ai pas réussi à enlever.
Il se loge dans la base de registre :
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati7fjxx (Rootkit.Agent) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati7fjxx (Rootkit.Agent) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati7fjxx (Rootkit.Agent)

et 2 fichiers sont infectés :
C:\WINDOWS\system32\drivers\de093aba.sys (Rootkit.Agent)
C:\WINDOWS\system32\Drivers\ati7fjxx.sys (Rootkit.Agent)

(il n'y avait qu'un fichier au départ)

Malwarebytes a beau mettre qu'il le supprime après un reboot, il revient à chaque fois.

Il n'est pas détecté par McAfee Rootkit et Blacklight (d'ailleurs ni par Adware version free et Zone Alarm pro).

Auriez-vous une solution ?

Merci.

Ma config : XP Pro SP2 et Mozilla (dernière version)
A voir également:

30 réponses

  • 1
  • 2
Réponse 1 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

On va s'en occuper .... ^^

commence par ceci :

1- Télécharge et installe le logiciel HijackThis :

ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-->Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg se lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne lance pas ce prg pour l'instant et fais la suite ... )

2- Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur ton Bureau.

-> http://images.malwareremoval.com/random/RSIT.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double-clique sur " RSIT.exe " pour le lancer .

-> Une première fenêtre s'ouvre avec en titre : " Disclaimer of warranty " .

* Devant l'option "List files/folders created ..." , tu choisis : 2 months

* clique ensuite sur " Continue " pour lancer l'analyse ...

-> laisse faire le scan et ne touche pas au PC ...

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-note).

Poste le contenu de " log.txt " (c'est celui qui apparait à l'écran), ainsi que de " info.txt " (que tu verras dans la barre des tâches), pour analyse et attends la suite ...

Important : poste un rapport, puis l'autre dans la réponse suivante ...
Si tu essaies de poster les deux en même temps, cela risque d'être trop long pour le forum ...
Et si "log.txt" seul, ne passe pas non plus , fais le en 2 fois ... merci ...

( Note : les rapports seront en outre sauvegardés dans ce dossier -> C:\rsit )

0
Réponse 2 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
merci pour ta réponse : ci après la 1ère partie de log.txt :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-26 20:59:50
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (31%) free of 7 GB
Total RAM: 511 MB (57% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:25, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wuauclt.exe
K:\RSIT.exe
D:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O3 - Toolbar: (no name) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - (no file)
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
0
Réponse 3 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
2ième moitié de log.txt :

======List of files/folders created in the last 2 months======

2008-12-26 20:59:20 ----A---- C:\log ss echec.txt
2008-12-26 20:59:20 ----A---- C:\info ss echec.txt
2008-12-26 20:51:53 ----D---- C:\rsit
2008-12-26 05:14:19 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-12-26 05:13:33 ----D---- C:\WINDOWS\LastGood
2008-12-26 05:06:06 ----D---- C:\WINDOWS\report
2008-12-26 05:05:19 ----D---- C:\WINDOWS\AU_Backup
2008-12-26 05:05:19 ----A---- C:\WINDOWS\tsc.ini
2008-12-26 05:05:18 ----A---- C:\WINDOWS\vsapi32.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\tsc.exe
2008-12-26 05:05:18 ----A---- C:\WINDOWS\hcextoutput.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\BPMNT.dll
2008-12-26 05:03:42 ----A---- C:\WINDOWS\GetServer.ini
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Temp
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Log
2008-12-26 05:03:37 ----A---- C:\xscan.txt
2008-12-26 05:03:33 ----A---- C:\WINDOWS\TMUPDATE.DLL
2008-12-26 05:03:32 ----A---- C:\WINDOWS\UNZIP.DLL
2008-12-26 05:03:31 ----A---- C:\WINDOWS\PATCH.EXE
2008-12-25 23:10:15 ----A---- C:\spyware terminator.txt
2008-12-25 23:02:22 ----D---- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02:07 ----D---- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-12-25 20:35:12 ----A---- C:\RootkitReveal.txt
2008-12-24 15:53:43 ----D---- C:\f-vmonde
2008-12-24 00:53:18 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:52:56 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52:55 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2008-12-23 21:19:42 ----D---- C:\Program Files\Microsoft IntelliPoint
2008-12-22 22:12:22 ----D---- C:\Documents and Settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28:03 ----A---- C:\WINDOWS\system32\XceedZip.dll
2008-12-22 20:32:12 ----SH---- C:\WINDOWS\system32\sjktoncf.ini
2008-12-22 20:31:29 ----A---- C:\WINDOWS\system32\a76dec3b-.txt
2008-12-19 23:31:05 ----D---- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-19 23:29:07 ----A---- C:\Report everest.txt
2008-12-18 02:40:34 ----A---- C:\DMACHECK.EXE
2008-12-17 22:08:30 ----A---- C:\WINDOWS\system32\IDEproperty.dll
2008-12-16 21:46:29 ----A---- C:\WINDOWS\system32\ativvaxx.dll
2008-12-16 21:46:25 ----A---- C:\WINDOWS\system32\ati3duag.dll
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs\3DO Shared
2008-12-16 21:12:22 ----D---- C:\Program Files\3DO
2008-12-06 10:10:28 ----D---- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-11-28 22:06:40 ----D---- C:\OpenCandy
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaws.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaw.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\java.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2008-11-23 20:12:46 ----D---- C:\Program Files\Java
2008-11-23 10:42:53 ----D---- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-11-22 16:58:32 ----D---- C:\Program Files\SFR
2008-11-19 21:15:09 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-11-11 21:52:41 ----A---- C:\WINDOWS\system32\Audio3D.dll
2008-11-11 21:52:40 ----N---- C:\WINDOWS\system32\FirstReboot.exe
2008-11-11 21:45:04 ----N---- C:\WINDOWS\system32\DeleteCPL.exe
2008-11-11 21:26:11 ----N---- C:\WINDOWS\system32\EndInstall.exe
2008-11-11 20:09:42 ----A---- C:\WINDOWS\NeroDigital.ini
2008-11-09 13:09:55 ----D---- C:\Program Files\TechCity Solutions
2008-11-02 19:29:11 ----D---- C:\Program Files\RegCleaner
2008-11-01 21:07:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-11-01 21:03:46 ----D---- C:\Program Files\Fichiers communs\Ahead
2008-11-01 18:55:46 ----D---- C:\Program Files\AskTBar

======List of files/folders modified in the last 2 months======

2008-12-26 20:58:16 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-12-26 20:58:16 ----D---- C:\WINDOWS
2008-12-26 20:58:04 ----D---- C:\WINDOWS\system32
2008-12-26 20:58:03 ----D---- C:\WINDOWS\system32\CatRoot2
2008-12-26 20:57:50 ----D---- C:\WINDOWS\Registration
2008-12-26 20:55:54 ----ASH---- C:\boot.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\win.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\system.ini
2008-12-26 20:39:29 ----D---- C:\WINDOWS\system32\drivers
2008-12-26 05:19:47 ----D---- C:\Program Files\Mozilla Firefox
2008-12-26 05:14:34 ----D---- C:\WINDOWS\SoftwareDistribution
2008-12-26 05:14:33 ----D---- C:\WINDOWS\Temp
2008-12-26 05:14:28 ----HD---- C:\WINDOWS\inf
2008-12-26 05:14:28 ----D---- C:\WINDOWS\Help
2008-12-26 05:13:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-12-26 05:06:06 ----D---- C:\WINDOWS\Debug
2008-12-26 05:05:03 ----D---- C:\WINDOWS\CAVTemp
2008-12-26 04:38:09 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-26 04:38:06 ----D---- C:\WINDOWS\system32\LogFiles
2008-12-26 04:38:06 ----D---- C:\WINDOWS\Prefetch
2008-12-25 23:21:15 ----SHD---- C:\System Volume Information
2008-12-25 23:21:15 ----D---- C:\WINDOWS\system32\Restore
2008-12-25 22:06:17 ----SHD---- C:\WINDOWS\Installer
2008-12-25 22:04:38 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-12-25 21:10:25 ----D---- C:\WINDOWS\Internet Logs
2008-12-25 20:29:44 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-12-25 20:11:30 ----RD---- C:\Program Files
2008-12-23 21:20:39 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-12-23 21:20:30 ----D---- C:\WINDOWS\system32\ReinstallBackups
2008-12-20 00:11:37 ----A---- C:\WINDOWS\system32\svchost.exe
2008-12-20 00:02:15 ----SD---- C:\WINDOWS\Tasks
2008-12-19 23:31:56 ----HD---- C:\Program Files\InstallShield Installation Information
2008-12-19 23:31:53 ----RSD---- C:\WINDOWS\assembly
2008-12-19 22:53:29 ----D---- C:\WINDOWS\system32\config
2008-12-18 21:59:15 ----D---- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-18 21:32:37 ----D---- C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-12-17 22:36:10 ----D---- C:\WINDOWS\system32\CatRoot
2008-12-16 21:53:00 ----D---- C:\Documents and Settings\Administrateur\Application Data\ATI
2008-12-16 21:46:15 ----A---- C:\WINDOWS\Wininit.ini
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs
2008-11-19 19:28:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-11-18 21:00:26 ----D---- C:\Documents and Settings\Administrateur\Application Data\Canon
2008-11-11 21:57:26 ----D---- C:\WINDOWS\system
2008-11-11 21:56:28 ----D---- C:\WINDOWS\cwcdata
2008-11-11 21:56:09 ----D---- C:\WINDOWS\Driver Cache
2008-11-06 19:30:35 ----A---- C:\WINDOWS\ODBC.INI
2008-11-02 18:58:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Real
2008-11-02 18:54:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-19 41600]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848]
R1 VETFDDNT;VET Floppy Boot Sector Monitor; C:\WINDOWS\system32\drivers\VETFDDNT.sys [2008-02-24 114856]
R1 VET-FILT;VET File System Filter; C:\WINDOWS\system32\drivers\VET-FILT.sys [2005-05-13 21605]
R1 VETMONNT;VET File and Macro Monitor; C:\WINDOWS\system32\drivers\VETMONNT.sys [2008-02-24 896472]
R1 VET-REC;VET File System Recognizer; C:\WINDOWS\system32\drivers\VET-REC.sys [2005-05-13 15668]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-03-16 372824]
R1 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-28 12032]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 43816]
R2 ROB_A;Pinnacle WDM PCTV Audio Capture; C:\WINDOWS\system32\DRIVERS\rob_a.sys [2003-02-10 17664]
R2 ROB_V;Pinnacle WDM PCTV Video Capture; C:\WINDOWS\system32\drivers\rob_v.sys [2003-04-11 125568]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 327168]
R3 hercspud;Hercules (R) WDM Audio Driver; C:\WINDOWS\system32\drivers\hercspud.sys [2003-01-10 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver; C:\WINDOWS\system32\drivers\hercwdm.sys [2003-01-10 466688]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 pctvvbi;PCTVVBI; C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 6400]
R3 Pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-06-17 14604]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-06-10 31048]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
R3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S1 de093aba;de093aba; C:\WINDOWS\System32\drivers\de093aba.sys []
S1 tdssserv.sys.REN;tdssserv.sys.REN; C:\WINDOWS\system32\drivers\TDSSpqlt.sys []
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\D:\Program Files\MediaCoder\SysInfo.sys []
S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys []
S3 DSDrv4;DSDrv4; \??\D:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys []
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 Ser2pl;Prolific Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2004-06-28 42752]
S3 SISNIC;Pilote de carte Fast Ethernet PCI SiS; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2004-08-03 32768]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51; C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 12672]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S4 a2free;a-squared Free Service; d:\Program Files\a-squared Free\a2service.exe [2008-12-23 419448]
S4 aawservice;Lavasoft Ad-Aware Service; D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-12-25 611664]
S4 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S4 CAISafe;CA ISafe; C:\WINDOWS\system32\ZoneLabs\isafe.exe [2005-06-23 188416]
S4 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S4 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S4 fsssvc;Windows Live OneCare Contrôle parental; C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-10-17 523816]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-23 152984]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]
S4 sp_rssrv;Spyware Terminator Realtime Shield Service; d:\Program Files\Spyware Terminator\sp_rsser.exe [2008-12-25 540672]
S4 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S4 UxTuneUp;Extension de conception TuneUp; C:\WINDOWS\System32\svchost.exe [2008-12-20 14336]
S4 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2006-03-16 1693464]
S4 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S4 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S4 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-12-20 14336]

-----------------EOF-----------------
0
Réponse 4 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ,

important , toujours installer et lancer les outils demandé depuis le disque dur maitre ( C ) ou depuis le bureau suivant comme indiquer sur la manipe !!!!
( et non depuis une unité externe ou un disque esclave ! )

Donc plusieurs infections .... Commences par ceci :

1-Important :
Désactive le "tea timer" de Spybot S&D en t'aidant de ce tuto animé (merci Balltrap ;) ) :
http://perso.orange.fr/rginformatique/section%20virus/demo%20spybot.htm
( sur la 1er image , clique sur "tea timer" pour lancer l'animation ).

En effet , il risque de géner dans le bon déroulement des outils de désinfections et dans la répartion du registre ...

Tu le réactiveras une fois qu'on aura finis de désinfecter ( et pas avant ! ) .
/!\ Mais attention :
à ce moment là, le " TeaTimer " de Spybot proposera, par le biais de plusieurs pop-up, d'accepter ou non des modifications de registre ( survenuent lors de la désinfection )
-> il faudra alors les accepter toutes sans exeptions !

Puis part la suite , il faudra rester vigilant lorsque le "TeaTimer" donnera des alertes : accepter une modification uniquement si on en connait la provenance .

2- Télécharge ToolBar S&D ( de Eric_71/Team IDN ) sur ton bureau :
https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/ToolBarSD.exe?attachauth=ANoY7cqJWPphpudyTqv7TRo5RQ3nm_Sx8JluVMO59X5E9cyE3j3LqKlmStIqiDqJdIgMJLi7MXn2nKVajQfoWuVvZZ2wIx_vkqO4k4P0K9jh-ra9jaKPXdZcoaVF2UqJZNH8ubL_42uIwh6f35xJ2GJMuzddVj2Qth1DgZ839lxEIFGkgWz3TdfvNMy-YtxfA3gqBUrj4U4LFeAPiWr3ClmjIP0t_Xs5PQ%3D%3D&attredirects=2

( Tuto : https://sites.google.com/site/toolbarsd/aideenimages )

!! Déconnecte toi et ferme toutes tes applications en cours le temps de la manipe !!

* Double-clique sur ToolBar SD.exe pour lancer l'outil et laisse toi guider ...
--> Tapes directement sur 2 ( option " nettoyage " ) puis tape sur [Entrée].

Le nettoyage commence .

! ne touche à rien lors de la suppression !

Un rapport sera généré à la fin du processus : poste son contenu dans ta prochaine réponse
accompagné d'un nouveau rapport RSIT pour analyse ...

( le rapport est en outre sauvegardé ici -> C:\TB.txt )

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
merci
en exécutant Toolbarsd, il m'a indiqué que Windows Scrip Host était désactivé : faut-il l'activer (comment) ou non ?
0
Réponse 6 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
non ... passe l'outil et poste les rapports demandés ....
0
Réponse 7 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
voici le rapport de ToolbarSd (au fait Tea Timer n'était pas actif):

-----------\\ ToolBar S&D 1.2.8 XP/Vista

"C:\ToolBar SD" ( MAJ : 21-12-2008|20:47 )
Option : [2] ( 26/12/2008|22:36 )

-----------\\ SUPPRESSION

Supprime! - C:\Program Files\AskTBar\bar
Supprime! - C:\Program Files\AskTBar

-----------\\ Recherche de Fichiers / Dossiers ...

-----------\\ [..\Internet Explorer\Main]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
"Start Page"="about:blank"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Search Bar"="https://www.google.com/?gws_rd=ssl"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main]
"Default_Page_URL"="https://www.google.com/?gws_rd=ssl"
"Default_Search_URL"="https://www.google.com/?gws_rd=ssl"
"Search Page"="https://www.google.com/?gws_rd=ssl"
"Start Page"="https://www.msn.com/fr-fr/"

--------------------\\ Recherche d'autres infections

--------------------\\ ROOTKIT !!

Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\legacy_tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys]
Rootkit Tibs ! .. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys]

--------------------\\ Suspect ..

C:\WINDOWS\system32\TDSSorvd.dat

1 - "C:\ToolBar SD\TB_1.txt" - 26/12/2008|22:37 - Option : [2]

-----------\\ Fin du rapport a 22:37:55.86
0
Réponse 8 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
le nouveau log.txt (1ère moitié) :

Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-26 22:38:39
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (30%) free of 7 GB
Total RAM: 511 MB (59% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:39:03, on 26/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\RSIT.exe
D:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
0
Réponse 9 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
2ième moitié du nouveau log.txt :

======List of files/folders created in the last 2 months======

2008-12-26 22:36:38 ----A---- C:\TB.txt
2008-12-26 22:12:40 ----D---- C:\ToolBar SD
2008-12-26 22:08:47 ----A---- C:\RSIT.exe
2008-12-26 20:59:20 ----A---- C:\log ss echec.txt
2008-12-26 20:59:20 ----A---- C:\info ss echec.txt
2008-12-26 20:51:53 ----D---- C:\rsit
2008-12-26 05:14:19 ----A---- C:\WINDOWS\system32\wuapi.dll.mui
2008-12-26 05:13:33 ----D---- C:\WINDOWS\LastGood
2008-12-26 05:06:06 ----D---- C:\WINDOWS\report
2008-12-26 05:05:19 ----D---- C:\WINDOWS\AU_Backup
2008-12-26 05:05:19 ----A---- C:\WINDOWS\tsc.ini
2008-12-26 05:05:18 ----A---- C:\WINDOWS\vsapi32.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\tsc.exe
2008-12-26 05:05:18 ----A---- C:\WINDOWS\hcextoutput.dll
2008-12-26 05:05:18 ----A---- C:\WINDOWS\BPMNT.dll
2008-12-26 05:03:42 ----A---- C:\WINDOWS\GetServer.ini
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Temp
2008-12-26 05:03:41 ----D---- C:\WINDOWS\AU_Log
2008-12-26 05:03:37 ----A---- C:\xscan.txt
2008-12-26 05:03:33 ----A---- C:\WINDOWS\TMUPDATE.DLL
2008-12-26 05:03:32 ----A---- C:\WINDOWS\UNZIP.DLL
2008-12-26 05:03:31 ----A---- C:\WINDOWS\PATCH.EXE
2008-12-25 23:10:15 ----A---- C:\spyware terminator.txt
2008-12-25 23:02:22 ----D---- C:\Documents and Settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02:07 ----D---- C:\Documents and Settings\All Users\Application Data\Spyware Terminator
2008-12-25 20:35:12 ----A---- C:\RootkitReveal.txt
2008-12-24 15:53:43 ----D---- C:\f-vmonde
2008-12-24 00:53:18 ----D---- C:\Documents and Settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:52:56 ----D---- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52:55 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2008-12-23 21:19:42 ----D---- C:\Program Files\Microsoft IntelliPoint
2008-12-22 22:12:22 ----D---- C:\Documents and Settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28:03 ----A---- C:\WINDOWS\system32\XceedZip.dll
2008-12-22 20:32:12 ----SH---- C:\WINDOWS\system32\sjktoncf.ini
2008-12-22 20:31:29 ----A---- C:\WINDOWS\system32\a76dec3b-.txt
2008-12-19 23:31:05 ----D---- C:\Documents and Settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-19 23:29:07 ----A---- C:\Report everest.txt
2008-12-18 02:40:34 ----A---- C:\DMACHECK.EXE
2008-12-17 22:08:30 ----A---- C:\WINDOWS\system32\IDEproperty.dll
2008-12-16 21:46:29 ----A---- C:\WINDOWS\system32\ativvaxx.dll
2008-12-16 21:46:25 ----A---- C:\WINDOWS\system32\ati3duag.dll
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs\3DO Shared
2008-12-16 21:12:22 ----D---- C:\Program Files\3DO
2008-12-06 10:10:28 ----D---- C:\Documents and Settings\Administrateur\Application Data\vlc
2008-11-28 22:06:40 ----D---- C:\OpenCandy
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaws.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\javaw.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\java.exe
2008-11-23 20:13:28 ----A---- C:\WINDOWS\system32\deploytk.dll
2008-11-23 20:12:46 ----D---- C:\Program Files\Java
2008-11-23 10:42:53 ----D---- C:\Documents and Settings\Administrateur\Application Data\dvdcss
2008-11-22 16:58:32 ----D---- C:\Program Files\SFR
2008-11-19 21:15:09 ----D---- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-11-11 21:52:41 ----A---- C:\WINDOWS\system32\Audio3D.dll
2008-11-11 21:52:40 ----N---- C:\WINDOWS\system32\FirstReboot.exe
2008-11-11 21:45:04 ----N---- C:\WINDOWS\system32\DeleteCPL.exe
2008-11-11 21:26:11 ----N---- C:\WINDOWS\system32\EndInstall.exe
2008-11-11 20:09:42 ----A---- C:\WINDOWS\NeroDigital.ini
2008-11-09 13:09:55 ----D---- C:\Program Files\TechCity Solutions
2008-11-02 19:29:11 ----D---- C:\Program Files\RegCleaner
2008-11-01 21:07:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Ahead
2008-11-01 21:03:46 ----D---- C:\Program Files\Fichiers communs\Ahead

======List of files/folders modified in the last 2 months======

2008-12-26 22:37:08 ----RD---- C:\Program Files
2008-12-26 22:15:45 ----D---- C:\Program Files\Mozilla Firefox
2008-12-26 22:07:18 ----D---- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-26 20:58:55 ----D---- C:\WINDOWS\CAVTemp
2008-12-26 20:58:16 ----RSHDC---- C:\WINDOWS\system32\dllcache
2008-12-26 20:58:16 ----D---- C:\WINDOWS
2008-12-26 20:58:04 ----D---- C:\WINDOWS\system32
2008-12-26 20:58:03 ----D---- C:\WINDOWS\system32\CatRoot2
2008-12-26 20:57:50 ----D---- C:\WINDOWS\Registration
2008-12-26 20:55:54 ----ASH---- C:\boot.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\win.ini
2008-12-26 20:55:54 ----A---- C:\WINDOWS\system.ini
2008-12-26 20:39:29 ----D---- C:\WINDOWS\system32\drivers
2008-12-26 05:14:34 ----D---- C:\WINDOWS\SoftwareDistribution
2008-12-26 05:14:33 ----D---- C:\WINDOWS\Temp
2008-12-26 05:14:28 ----HD---- C:\WINDOWS\inf
2008-12-26 05:14:28 ----D---- C:\WINDOWS\Help
2008-12-26 05:13:35 ----SD---- C:\WINDOWS\Downloaded Program Files
2008-12-26 05:06:06 ----D---- C:\WINDOWS\Debug
2008-12-26 04:38:06 ----D---- C:\WINDOWS\system32\LogFiles
2008-12-26 04:38:06 ----D---- C:\WINDOWS\Prefetch
2008-12-25 23:21:15 ----SHD---- C:\System Volume Information
2008-12-25 23:21:15 ----D---- C:\WINDOWS\system32\Restore
2008-12-25 22:06:17 ----SHD---- C:\WINDOWS\Installer
2008-12-25 22:04:38 ----D---- C:\Program Files\Fichiers communs\Wise Installation Wizard
2008-12-25 21:10:25 ----D---- C:\WINDOWS\Internet Logs
2008-12-25 20:29:44 ----D---- C:\WINDOWS\system32\ZoneLabs
2008-12-23 21:20:39 ----DC---- C:\WINDOWS\system32\DRVSTORE
2008-12-23 21:20:30 ----D---- C:\WINDOWS\system32\ReinstallBackups
2008-12-20 00:11:37 ----A---- C:\WINDOWS\system32\svchost.exe
2008-12-20 00:02:15 ----SD---- C:\WINDOWS\Tasks
2008-12-19 23:31:56 ----HD---- C:\Program Files\InstallShield Installation Information
2008-12-19 23:31:53 ----RSD---- C:\WINDOWS\assembly
2008-12-19 22:53:29 ----D---- C:\WINDOWS\system32\config
2008-12-18 21:59:15 ----D---- C:\Documents and Settings\Administrateur\Application Data\Skype
2008-12-18 21:32:37 ----D---- C:\Documents and Settings\Administrateur\Application Data\skypePM
2008-12-17 22:36:10 ----D---- C:\WINDOWS\system32\CatRoot
2008-12-16 21:53:00 ----D---- C:\Documents and Settings\Administrateur\Application Data\ATI
2008-12-16 21:46:15 ----A---- C:\WINDOWS\Wininit.ini
2008-12-16 21:12:22 ----D---- C:\Program Files\Fichiers communs
2008-11-19 19:28:11 ----A---- C:\WINDOWS\system32\PerfStringBackup.INI
2008-11-18 21:00:26 ----D---- C:\Documents and Settings\Administrateur\Application Data\Canon
2008-11-11 21:57:26 ----D---- C:\WINDOWS\system
2008-11-11 21:56:28 ----D---- C:\WINDOWS\cwcdata
2008-11-11 21:56:09 ----D---- C:\WINDOWS\Driver Cache
2008-11-06 19:30:35 ----A---- C:\WINDOWS\ODBC.INI
2008-11-02 18:58:11 ----D---- C:\Documents and Settings\Administrateur\Application Data\Real
2008-11-02 18:54:24 ----D---- C:\Documents and Settings\All Users\Application Data\Apple Computer

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 AmdK7;Pilote de processeur AMD K7; C:\WINDOWS\System32\DRIVERS\amdk7.sys [2004-08-19 41600]
R1 kbdhid;Pilote HID de clavier; C:\WINDOWS\system32\DRIVERS\kbdhid.sys [2004-08-19 14848]
R1 VETFDDNT;VET Floppy Boot Sector Monitor; C:\WINDOWS\system32\drivers\VETFDDNT.sys [2008-02-24 114856]
R1 VET-FILT;VET File System Filter; C:\WINDOWS\system32\drivers\VET-FILT.sys [2005-05-13 21605]
R1 VETMONNT;VET File and Macro Monitor; C:\WINDOWS\system32\drivers\VETMONNT.sys [2008-02-24 896472]
R1 VET-REC;VET File System Recognizer; C:\WINDOWS\system32\drivers\VET-REC.sys [2005-05-13 15668]
R1 vsdatant;vsdatant; C:\WINDOWS\System32\vsdatant.sys [2006-03-16 372824]
R1 WS2IFSL;Environnement de prise en charge de Fournisseur de services non-IFS Windows Sockets 2.0; C:\WINDOWS\System32\drivers\ws2ifsl.sys [2001-08-28 12032]
R2 fssfltr;FssFltr; C:\WINDOWS\system32\DRIVERS\fssfltr.sys [2007-10-17 43816]
R2 ROB_A;Pinnacle WDM PCTV Audio Capture; C:\WINDOWS\system32\DRIVERS\rob_a.sys [2003-02-10 17664]
R2 ROB_V;Pinnacle WDM PCTV Video Capture; C:\WINDOWS\system32\drivers\rob_v.sys [2003-04-11 125568]
R3 ati2mtaa;ati2mtaa; C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys [2004-08-19 327168]
R3 hercspud;Hercules (R) WDM Audio Driver; C:\WINDOWS\system32\drivers\hercspud.sys [2003-01-10 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver; C:\WINDOWS\system32\drivers\hercwdm.sys [2003-01-10 466688]
R3 HidUsb;Pilote de classe HID Microsoft; C:\WINDOWS\system32\DRIVERS\hidusb.sys [2001-08-17 9600]
R3 mouhid;Pilote HID de souris; C:\WINDOWS\System32\DRIVERS\mouhid.sys [2001-08-23 12288]
R3 ms_mpu401;Pilote UART MIDI MPU-401 Microsoft; C:\WINDOWS\system32\drivers\msmpu401.sys [2001-08-17 2944]
R3 pctvvbi;PCTVVBI; C:\WINDOWS\system32\DRIVERS\pctvvbi.sys [2002-11-11 6400]
R3 Pfc;Padus ASPI Shell; C:\WINDOWS\system32\drivers\pfc.sys [2002-06-17 14604]
R3 Point32;Microsoft IntelliPoint Filter Driver; C:\WINDOWS\system32\DRIVERS\point32.sys [2008-06-10 31048]
R3 usbccgp;Pilote parent générique USB Microsoft; C:\WINDOWS\system32\DRIVERS\usbccgp.sys [2004-08-03 31616]
R3 usbehci;Pilote miniport de contrôleur d'hôte amélioré Microsoft USB 2.0; C:\WINDOWS\system32\DRIVERS\usbehci.sys [2004-08-03 26624]
R3 usbhub;Concentrateur USB2; C:\WINDOWS\System32\DRIVERS\usbhub.sys [2004-08-03 57600]
R3 usbohci;Pilote miniport de contrôleur hôte ouvert USB Microsoft; C:\WINDOWS\System32\DRIVERS\usbohci.sys [2004-08-03 17024]
S1 de093aba;de093aba; C:\WINDOWS\System32\drivers\de093aba.sys []
S1 tdssserv.sys.REN;tdssserv.sys.REN; C:\WINDOWS\system32\drivers\TDSSpqlt.sys []
S3 CCDECODE;Décodeur sous-titre fermé; C:\WINDOWS\system32\DRIVERS\CCDECODE.sys [2004-08-03 17024]
S3 cmuda;C-Media WDM Audio Interface; C:\WINDOWS\system32\drivers\cmuda.sys []
S3 CrystalSysInfo;CrystalSysInfo; \??\D:\Program Files\MediaCoder\SysInfo.sys []
S3 driverhardwarev2;driverhardwarev2; \??\C:\Program Files\ma-config.com\Drivers\driverhardwarev2.sys []
S3 DSDrv4;DSDrv4; \??\D:\PROGRA~1\K!TV\Plugins\S_Bt8x8\DSDrv4.sys []
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\WINDOWS\system32\drivers\MSTEE.sys [2004-08-03 5504]
S3 NABTSFEC;Codec NABTS/FEC VBI; C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys [2004-08-03 85376]
S3 NdisIP;Connection TV/vidéo Microsoft; C:\WINDOWS\system32\DRIVERS\NdisIP.sys [2004-08-03 10880]
S3 rtl8139;Pilote NT de carte Realtek PCI Fast Ethernet à base RTL8139(A/B/C); C:\WINDOWS\system32\DRIVERS\RTL8139.SYS [2004-08-03 20992]
S3 Ser2pl;Prolific Serial port driver; C:\WINDOWS\system32\DRIVERS\ser2pl.sys [2004-06-28 42752]
S3 SISNIC;Pilote de carte Fast Ethernet PCI SiS; C:\WINDOWS\System32\DRIVERS\sisnic.sys [2004-08-03 32768]
S3 SISNICXP;SiS PCI Fast Ethernet Adapter Driver for NDIS51; C:\WINDOWS\system32\DRIVERS\sisnicxp.sys [2006-02-14 32768]
S3 SLIP;Détrameur décalage BDA; C:\WINDOWS\system32\DRIVERS\SLIP.sys [2004-08-03 11136]
S3 streamip;BDA IPSink; C:\WINDOWS\system32\DRIVERS\StreamIP.sys [2004-08-03 15360]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver; C:\WINDOWS\system32\DRIVERS\usb8023.sys [2004-08-03 12672]
S3 usbscan;Pilote de scanneur USB; C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 15104]
S3 USBSTOR;Pilote de stockage de masse USB; C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S3 WSTCODEC;Codec Teletext standard; C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS [2004-08-03 19328]
S3 WudfPf;Windows Driver Foundation - User-mode Driver Framework Platform Driver; C:\WINDOWS\system32\DRIVERS\WudfPf.sys [2006-09-28 77568]
S3 WudfRd;Windows Driver Foundation - User-mode Driver Framework Reflector; C:\WINDOWS\system32\DRIVERS\wudfrd.sys [2006-09-28 82944]
S4 IntelIde;IntelIde; C:\WINDOWS\system32\drivers\IntelIde.sys []

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

S4 a2free;a-squared Free Service; d:\Program Files\a-squared Free\a2service.exe [2008-12-23 419448]
S4 aawservice;Lavasoft Ad-Aware Service; D:\Program Files\Lavasoft\Ad-Aware\aawservice.exe [2008-12-25 611664]
S4 aspnet_state;ASP.NET State Service; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe [2005-09-23 29896]
S4 CAISafe;CA ISafe; C:\WINDOWS\system32\ZoneLabs\isafe.exe [2005-06-23 188416]
S4 clr_optimization_v2.0.50727_32;.NET Runtime Optimization Service v2.0.50727_X86; C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe [2005-09-23 66240]
S4 FontCache3.0.0.0;Windows Presentation Foundation Font Cache 3.0.0.0; C:\WINDOWS\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe [2006-10-20 36864]
S4 fsssvc;Windows Live OneCare Contrôle parental; C:\Program Files\Windows Live\Contrôle parental\fsssvc.exe [2007-10-17 523816]
S4 IDriverT;InstallDriver Table Manager; C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe [2005-04-03 69632]
S4 idsvc;Windows CardSpace; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe [2006-10-30 741376]
S4 JavaQuickStarterService;Java Quick Starter; C:\Program Files\Java\jre6\bin\jqs.exe [2008-11-23 152984]
S4 NetTcpPortSharing;Net.Tcp Port Sharing Service; C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\SMSvcHost.exe [2006-10-30 122880]
S4 sp_rssrv;Spyware Terminator Realtime Shield Service; d:\Program Files\Spyware Terminator\sp_rsser.exe [2008-12-25 540672]
S4 usnjsvc;Service Messenger Sharing Folders USN Journal Reader; C:\Program Files\Windows Live\Messenger\usnsvc.exe [2007-10-18 98328]
S4 UxTuneUp;Extension de conception TuneUp; C:\WINDOWS\System32\svchost.exe [2008-12-20 14336]
S4 vsmon;TrueVector Internet Monitor; C:\WINDOWS\system32\ZoneLabs\vsmon.exe [2006-03-16 1693464]
S4 WLSetupSvc;Windows Live Setup Service; C:\Program Files\Windows Live\installer\WLSetupSvc.exe [2007-10-25 266240]
S4 WMPNetworkSvc;Service Partage réseau du Lecteur Windows Media; C:\Program Files\Windows Media Player\WMPNetwk.exe [2006-11-03 918016]
S4 WudfSvc;Windows Driver Foundation - User-mode Driver Framework; C:\WINDOWS\system32\svchost.exe [2008-12-20 14336]

-----------------EOF-----------------
0
Réponse 10 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bien ...

supprime ton hijackthis , il n'est pas installer comme il faut ( il manque du coup des donnée importante dans le rapport RSIT ) .

ensuite reprends ainsi :

1- Télécharge et installe le logiciel HijackThis :

ici HijackThis
ou ici http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
ou ici https://www.clubic.com/telecharger-fiche17891-hijackthis.html

> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation .
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge .
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme :
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

2- Télécharger haxfix sur le bureau :
http://users.telenet.be/marcvn/tools/haxfix.exe

! Se déconnecter d'internet et fermer toutes applications en cours !

A- Installation :
* Double clique sur haxfix.exe pour installer l'outil .
(Ne pas modifier les paramètre d'installe ! C:\program Files\haxfix)
* Coche "Create a desktop icon" .
* Clique "Next" .
* Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché .
* Puis clique "Finish" .

B- Utilisation :
Après l'installe , Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes:
1. Make logfile (créer un rapport)
2. Run auto fix (lancer la réparation en mode automatique)
3. Run manual fix (lancer la réparation en mode manuel)
E. Exit Haxfix (quitter Haxfix)

* Selectionne l'option " Make logfile " : tape 1 puis tape [Entrée] .
> Haxfix va analyser le système . Ne rien faire et laisser travailler l'outil ...

Quand il a fini, un rapport s'ouvrira: haxlog.txt
(le rapport sera en outre sauvegardé ici > C:\haxlog.txt)

Colle ce rapport dans ta prochiane réponse pour analyse ...

0
Réponse 11 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
Bonjour SKE69,
J'ai donc fait ce que tu m'as dit.
Voilà le rapport de Haxfix (pour info cette version de Haxfix est une appli DOS) :

HAXFIX logfile - by Marckie

version 5.049
27/12/2008 8:31:41.22
running from C:\HaxFix

--- Checking for Haxdoor ---

checking for a3d files
a3d files not found

checking for matching notify keys
matching notify keys found
AtiE

checking for matching services
no matching services found

checking for matching safeboot services
no matching safeboot services found

--- Checking for Goldun - Spybanker ---

checking for SSODL keys
no ssodl keys found

checking for notify keys
no notify keys found

checking for services
no services found

checking for browser helper objects
no known browser helper objects found

checking for appinit files
no files found

checking for possible infected files
please submit these file here: https://www.bleepingcomputer.com/submit-malware.php?channel=11
no files found

checking iexplore.exe
iexplore.exe is not infected

--- Checking for other Goldun, Spybanker and Haxdoor files ---
no other Haxdoor or Goldun files found

--- Catchme logfile - thank you Gmer ---

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 08:32:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\Enum.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\Enum.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqlt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
"tdssservers"="\systemroot\system32\TDSSorvd.dat"
"tdssmain"="\systemroot\system32\TDSSbrsr.dll"
"tdsslog"="\systemroot\system32\TDSSriqp.dll"
"tdssadw"="\systemroot\system32\TDSSxfum.dll"
"tdssinit"="\systemroot\system32\TDSSlxwp.dll"
"tdssurls"="\systemroot\system32\TDSSnmxh.log"
"tdsspanels"="\systemroot\system32\TDSSsihc.dll"
"tdsserrors"="\systemroot\system32\TDSSrhym.log"
"TDSSproc"="\systemroot\system32\TDSStkdu.log"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tdssserv.sys\modules.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\Enum.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\Enum.REN.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules]
"TDSSserv"="\systemroot\system32\drivers\TDSSpqlt.sys"
"TDSSl"="\systemroot\system32\TDSSoiqh.dll"
"tdssservers"="\systemroot\system32\TDSSorvd.dat"
"tdssmain"="\systemroot\system32\TDSSbrsr.dll"
"tdsslog"="\systemroot\system32\TDSSriqp.dll"
"tdssadw"="\systemroot\system32\TDSSxfum.dll"
"tdssinit"="\systemroot\system32\TDSSlxwp.dll"
"tdssurls"="\systemroot\system32\TDSSnmxh.log"
"tdsspanels"="\systemroot\system32\TDSSsihc.dll"
"tdsserrors"="\systemroot\system32\TDSSrhym.log"
"TDSSproc"="\systemroot\system32\TDSStkdu.log"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules.REN]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\tdssserv.sys\modules.REN.REN]

scanning hidden registry entries ...

source file error: C:\Documents and Settings\Administrateur\ntuser.dat
scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

--- Analysing Catchme logfile ---

no matching regkeys found

Finished!
0
Réponse 12 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

très bien ... les choses sont très claire .... ^^

je te fais passer une manipe spéciale en Message Privé ( la petite enveloppe en haut de la page à droite ;) ) ...

0
Réponse 13 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Salut,

tu vas refaire Malwarebytes ainsi :

1- Télécharge MalwareByte's :
ici http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebytes anti malware
ou ici : http://www.malwarebytes.org/mbam.php

* mets Malwarebytes à jour si possible .

* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's .

Fais un examen dit "Rapide" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "résultat" .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date) pour analyse ...

========================

2- Télécharge ComboFix (par sUBs) sur ton Bureau (et pas ailleurs !):

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

--------------------------------------------- [ ! ATTENTION ! ] ----------------------------------------------------------
!! Déconnecte toi,ferme tes applications en cours ( ainsi que ton navigateur ) et DESACTIVE TOUTES TES DEFENSES (anti-virus, guarde anti spy-ware, pare-feu) le temps de la manipe :
en effet , activés, ils pourraient gêner fortement la procédure de recherche et de nettoyage de l'outil ( voir planter le PC )...Tu les réactiveras donc après !!
--->Important : si tu rencontres des difficultés à ce niveau là, fais m'en part avant de poursuivre ...
Tuto ( aide ) ici : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Note : pour XP, bien installer la Console de Récupération de Windows comme il est indiqué dans le tuto ci-dessus ...
---------------------------------------------------------------------------------------------------------------------------------

Ensuite :
double-clique sur l'icône "combofix.exe" pour lancer l'outil .

Appuie sur la touche Y (Yes) pour démarrer le scan .

Notes importantes :
-> n'utilise pas ta souris ni ton clavier (ni un autre système de pointage) pendant que le programme tourne. Cela pourrait figer l'ordi .
-> Il se peut que le PC redémarre de lui même ( pour finaliser le nettoyage ) , laisse le faire .
-> Si l'outil t'anonce ceci : "combofix a détecté la présence de rootkit et a besoin de faire redémarer votre machine", tu acceptes ...
-> si un message d'erreur windows apparait à un momment : clique sur la croix rouge en haut à droite de la fenêtre pour la fermer ( et pas sur autre chose ! sinon pas de rapport ... )

Le rapport sera crée ici : C:\Combofix.txt

Réactive bien tes défenses .

Poste le rapport Combofix pour analyse et attends la suite ...

0
Réponse 14 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
Malwarebytes en mode sans échec ne donne aucun élément détecté mais toujours les mêmes en mode normal, même après redémarrage. Chose surprenante, je n'ai plus de son !
Est-on obligé d'installer la console de récupération (mon imprimante étant HS je ne peux pas imprimé le mode d'emploi) ?
Encore merci de ton aide.

Le rapport :
Malwarebytes' Anti-Malware 1.31
Version de la base de données: 1550
Windows 5.1.2600 Service Pack 2

27/12/2008 22:14:02
mbam-log-2008-12-27 (22-13-49).txt

Type de recherche: Examen rapide
Eléments examinés: 48608
Temps écoulé: 13 minute(s), 19 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\ati7fjxx (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati7fjxx (Rootkit.Agent) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\Drivers\ati7fjxx.sys (Rootkit.Agent) -> No action taken.
0
Réponse 15 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
bon le log de Combofix (ouf xp tourne toujours ...)

ComboFix 08-12-26.03 - Administrateur 2008-12-27 23:02:38.1 - NTFSx86
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\sjktoncf.ini
c:\windows\system32\TDSSorvd.dat

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_tdssserv.sys
-------\Service_tdssserv.sys

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-27 au 2008-12-27 ))))))))))))))))))))))))))))))))))))
.

2008-12-27 08:30 . 2008-12-27 08:34 <REP> d-------- C:\HaxFix
2008-12-27 08:30 . 2008-12-26 23:18 487,438 --a------ C:\HaxFix.exe
2008-12-27 08:28 . 2008-12-27 08:28 <REP> d-------- c:\program files\Trend Micro
2008-12-26 22:12 . 2008-12-26 22:37 <REP> d-------- C:\ToolBar SD
2008-12-26 22:08 . 2008-12-26 10:06 781,851 --a------ C:\RSIT.exe
2008-12-26 20:51 . 2008-12-26 21:00 <REP> d-------- C:\rsit
2008-12-26 05:14 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-26 05:06 . 2008-12-26 05:06 <REP> d-------- c:\windows\report
2008-12-26 05:05 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Backup
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\VPTNFILE.733
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\LPT$VPN.733
2008-12-26 05:05 . 2008-12-26 05:05 1,974,930 --a------ c:\windows\tsc.ptn
2008-12-26 05:05 . 2008-12-26 05:05 1,213,784 --a------ c:\windows\vsapi32.dll
2008-12-26 05:05 . 2008-12-26 05:05 345,157 --a------ c:\windows\tsc.exe
2008-12-26 05:05 . 2008-12-26 05:05 91,744 --a------ c:\windows\BPMNT.dll
2008-12-26 05:05 . 2008-12-26 05:05 71,749 --a------ c:\windows\hcextoutput.dll
2008-12-26 05:05 . 2008-12-26 05:15 823 --a------ c:\windows\tsc.ini
2008-12-26 05:03 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Temp
2008-12-26 05:03 . 2008-12-26 05:03 <REP> d-------- c:\windows\AU_Log
2008-12-26 05:03 . 2008-12-26 05:03 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-26 05:03 . 2008-12-26 05:03 286,720 --a------ c:\windows\PATCH.EXE
2008-12-26 05:03 . 2008-12-26 05:03 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-26 05:03 . 2008-12-26 05:03 170 --a------ c:\windows\GetServer.ini
2008-12-25 23:02 . 2008-12-25 23:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:03 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:02 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-12-25 21:05 . 2008-12-25 21:05 93,971,542 --a------ C:\sauve2.reg
2008-12-25 19:47 . 2008-12-25 19:47 <REP> d-------- c:\windows\system32\drivers\old
2008-12-24 15:53 . 2008-12-24 15:53 <REP> d-------- C:\f-vmonde
2008-12-24 00:53 . 2008-12-24 00:53 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-24 00:52 . 2008-12-24 01:14 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-24 00:52 . 2008-12-24 00:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-23 21:20 . 2008-06-10 13:04 31,048 --a------ c:\windows\system32\drivers\point32.sys
2008-12-23 21:19 . 2008-12-23 21:20 <REP> d-------- c:\program files\Microsoft IntelliPoint
2008-12-22 22:12 . 2008-12-22 22:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28 . 2004-06-14 14:56 427,864 --a------ c:\windows\system32\XceedZip.dll
2008-12-22 20:54 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\system32\clinetsuitex6.ocx
2008-12-20 00:01 . 32,768 c:\windows\system32\drivers\ati7fjxx.sys
2008-12-20 00:01 . 2008-12-20 00:11 2 --a------ C:\-1404163862
2008-12-19 23:31 . 2008-12-19 23:31 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-18 02:40 . 1996-11-21 13:36 36,112 --a------ C:\DMACHECK.EXE
2008-12-17 22:08 . 2002-08-20 14:58 139,264 --a------ c:\windows\system32\IDEproperty.dll
2008-12-17 22:08 . 2002-10-17 15:14 49,024 --a------ c:\windows\system32\drivers\sisidex.sys
2008-12-17 22:08 . 2002-08-20 17:19 9,472 --a------ c:\windows\system32\drivers\sisperf.sys
2008-12-16 23:07 . 2008-12-20 00:23 498,268 --a------ c:\windows\system32\perfh040.dat
2008-12-16 23:07 . 2008-12-20 00:23 80,606 --a------ c:\windows\system32\perfc040.dat
2008-12-16 23:01 . 2008-12-16 23:01 91,550,514 --a------ C:\sauve.reg
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a--c--- c:\windows\system32\dllcache\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a------ c:\windows\system32\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a--c--- c:\windows\system32\dllcache\ativvaxx.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a------ c:\windows\system32\ativvaxx.dll
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\Fichiers communs\3DO Shared
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\3DO
2008-12-06 10:10 . 2008-12-06 10:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\vlc
2008-11-28 22:06 . 2008-11-28 22:06 <REP> d-------- C:\OpenCandy

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 21:07 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-25 21:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-25 20:09 31,707,385 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_25_20_21_02_full.dmp.zip
2008-12-19 23:11 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-19 22:31 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-19 20:38 --------- d-----w c:\program files\Fichiers communs\Ahead
2008-12-18 20:59 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-12-18 20:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-12-16 20:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-12-14 18:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\dvdcss
2008-12-14 06:23 33,729,830 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_13_23_27_50_full.dmp.zip
2008-12-05 20:30 60,475 ----a-w c:\windows\Internet Logs\Explorer_2nd_2008_12_04_22_49_55_small.dmp.zip
2008-11-30 17:08 --------- d-----w c:\documents and settings\Administrateur\Application Data\Ahead
2008-11-25 19:29 29,696 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-11-24 21:57 1,135,104 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-23 19:12 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-23 19:12 --------- d-----w c:\program files\Java
2008-11-22 15:58 --------- d-----w c:\program files\SFR
2008-11-21 20:48 --------- d-----w c:\program files\TechCity Solutions
2008-11-19 20:16 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 20:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon
2008-11-02 18:29 --------- d-----w c:\program files\RegCleaner
2008-11-02 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-23 20:25 22,776 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-02-25 20:47 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati7fjxx.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System Guards
HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\xsjfn83jkemfofght

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HGTXPEI]
--------- 2002-06-11 13:34 24576 c:\windows\system32\FirstReboot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2008-06-10 12:56 1406024 c:\program files\Microsoft IntelliPoint\ipoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundFusion]
--a------ 2002-12-20 15:46 453120 c:\windows\system32\hercplgs.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CAISafe"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"sgSchedulerService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"Autodesk Licensing Service"=3 (0x3)
"vsmon"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"InCDsrv"=2 (0x2)
"a2free"=2 (0x2)
"aawservice"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"xmlprov"=3 (0x3)
"WudfSvc"=3 (0x3)
"Wmi"=3 (0x3)
"VSS"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"Spooler"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FontCache3.0.0.0"=3 (0x3)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"BITS"=3 (0x3)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ICF"=2 (0x2)
"sp_rssrv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R0 ati7fjxx;ati7fjxx;c:\windows\system32\Drivers\ati7fjxx.sys []
R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-07-16 43816]
R3 hercspud;Hercules (R) WDM Audio Driver;c:\windows\system32\drivers\hercspud.sys [2008-11-11 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver;c:\windows\system32\drivers\hercwdm.sys [2008-11-11 466688]
R3 pctvvbi;PCTVVBI;c:\windows\system32\DRIVERS\pctvvbi.sys [2008-04-03 6400]
S1 de093aba;de093aba;c:\windows\system32\drivers\de093aba.sys []
S3 CrystalSysInfo;CrystalSysInfo;\??\d:\program files\MediaCoder\SysInfo.sys [2007-09-25 15152]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\DRIVERS\usb8023.sys [2001-08-28 12672]
S4 fsssvc;Windows Live OneCare Contrôle parental;"c:\program files\Windows Live\Contrôle parental\fsssvc.exe" [2007-10-17 523816]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7b0b011-c6f0-11dd-b616-ef361c08ea8f}]
\Shell\AutoRun\command - K:\Setup.exe
.
Contenu du dossier 'Tâches planifiées'

2008-12-19 c:\windows\Tasks\fpfbttqk.job
- c:\windows\system32\rundll32.exe [2004-08-19 16:10]

2008-03-07 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
.
- - - - ORPHELINS SUPPRIMES - - - -

Notify-AtiExtEvent - (no file)
Notify-WgaLogon - (no file)
MSConfigStartUp-ac4e2845 - c:\windows\system32\fcnotkjs.dll
MSConfigStartUp-rs32net - c:\windows\System32\rs32net.exe

.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mWindow Title =
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: E&xporter vers Microsoft Excel - c:\progra~1\Microsoft Office\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\imslsp.dll
LSP: c:\windows\system32\ZoneLabs\vetredir.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z57vc18z.essai\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\program files\adslTV\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-27 23:07:43
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1668)
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\dllhost.exe
c:\windows\PCHEALTH\HELPCTR\Binaries\helpsvc.exe
.
**************************************************************************
.
Heure de fin: 2008-12-27 23:12:38 - La machine a redémarré
ComboFix-quarantined-files.txt 2008-12-27 22:12:13

Avant-CF: 2 169 184 256 octets libres
Après-CF: 2,014,601,216 octets libres

249 --- E O F --- 2008-03-14 20:19:49
0
Réponse 16 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Oki ...

coriace ... la suite :

1-Créer un doc texte sur ton bureau :
pointe ta souris sur ton bureau , clique droit : va dans "nouveau" et choisis "document texte" .

Ensuite copie/colle le texte ci-dessous ( et rien d'autre!) dans le fichier texte que tu viens de créer :

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f7b0b011-c6f0-11dd-b616-ef361c08ea8f}]

File::
c:\windows\system32\drivers\ati7fjxx.sys

Folder::
C:\-1404163862

Driver::
ati7fjxx
de093aba

Puis va dans "fichier" et choisis "enregistrer sous ..." et tu le nommes exactement ainsi :
CFScript puis valide ...

2-Nettoyage :

!! Déconnecte toi, ferme toutes tes applications et désactive TOUTES TES DEFENSES ( tu les réactiveras après ) !!

--->Sur ton bureau, fais glisser avec ta souris le fichier CFScript sur l'icône de ComboFix.exe .

(Regarde ici : http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript.gif )

Cette manipulation va relancer combofix .
--> Une fenêtre bleue va apparaître: au message qui apparaît "Type 1 to continue, or 2 to abort" : tape 1 puis valide.

Puis patiente le temps du scan.( Le Bureau va disparaître à plusieurs reprises : c'est normal!)

!! Ne touches à rien tant que le scan n'est pas terminé !!

Note : en fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : poste le accompagné d' un nouveau rapport RSIT pour analyse ...

( Attention : cette manipe a été fait pour ce PC . Toute réutilisation peut endommager sévèrement le système d'exploitation )
0
Réponse 17 / 30
py_lou Messages postés 15 Statut Membre 1
 
salut

telecharge hijackthis sur https://www.01net.com/telecharger/

lance une analyse et envoie nous le rapport que l'on analysera plus tard ^^
0
brupala Messages postés 115303 Date d'inscription   Statut Membre Dernière intervention   14 259
 
un teupard : pilou, c'est loupi: http://www.commentcamarche.net/forum/affich 10100607 rootkit tenace?entiere#1
0
Réponse 18 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
Bonjour SKE69,
donc, j'ai fait les différentes manips dans l'ordre.
Pour le log de Combofix, j'ai du le recommencer car j'avais oublié de l'enregistrer (quoiqu'apparemment il se trouve dans un Combofix :
ComboFix 08-12-26.03 - Administrateur 2008-12-28 11:48:48.3 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.511.275 [GMT 1:00]
Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe
AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Outdated)
FW: ZoneAlarm Security Suite Firewall *disabled*

[COLOR=RED][B]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/B][/COLOR]
.

((((((((((((((((((((((((((((( Fichiers créés du 2008-11-28 au 2008-12-28 ))))))))))))))))))))))))))))))))))))
.

2008-12-27 08:30 . 2008-12-27 08:34 <REP> d-------- C:\HaxFix
2008-12-27 08:30 . 2008-12-26 23:18 487,438 --a------ C:\HaxFix.exe
2008-12-27 08:28 . 2008-12-27 08:28 <REP> d-------- c:\program files\Trend Micro
2008-12-26 22:12 . 2008-12-26 22:37 <REP> d-------- C:\ToolBar SD
2008-12-26 22:08 . 2008-12-26 10:06 781,851 --a------ C:\RSIT.exe
2008-12-26 20:51 . 2008-12-28 11:45 <REP> d-------- C:\rsit
2008-12-26 05:14 . 2008-10-16 14:08 27,672 --a------ c:\windows\system32\wuapi.dll.mui
2008-12-26 05:06 . 2008-12-26 05:06 <REP> d-------- c:\windows\report
2008-12-26 05:05 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Backup
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\VPTNFILE.733
2008-12-26 05:05 . 2008-12-26 05:05 21,602,413 --a------ c:\windows\LPT$VPN.733
2008-12-26 05:05 . 2008-12-26 05:05 1,974,930 --a------ c:\windows\tsc.ptn
2008-12-26 05:05 . 2008-12-26 05:05 1,213,784 --a------ c:\windows\vsapi32.dll
2008-12-26 05:05 . 2008-12-26 05:05 345,157 --a------ c:\windows\tsc.exe
2008-12-26 05:05 . 2008-12-26 05:05 91,744 --a------ c:\windows\BPMNT.dll
2008-12-26 05:05 . 2008-12-26 05:05 71,749 --a------ c:\windows\hcextoutput.dll
2008-12-26 05:05 . 2008-12-26 05:15 823 --a------ c:\windows\tsc.ini
2008-12-26 05:03 . 2008-12-26 05:05 <REP> d-------- c:\windows\AU_Temp
2008-12-26 05:03 . 2008-12-26 05:03 <REP> d-------- c:\windows\AU_Log
2008-12-26 05:03 . 2008-12-26 05:03 507,904 --a------ c:\windows\TMUPDATE.DLL
2008-12-26 05:03 . 2008-12-26 05:03 286,720 --a------ c:\windows\PATCH.EXE
2008-12-26 05:03 . 2008-12-26 05:03 69,689 --a------ c:\windows\UNZIP.DLL
2008-12-26 05:03 . 2008-12-26 05:03 170 --a------ c:\windows\GetServer.ini
2008-12-25 23:02 . 2008-12-25 23:11 <REP> d-------- c:\documents and settings\All Users\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:03 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Spyware Terminator
2008-12-25 23:02 . 2008-12-25 23:02 142,592 --a------ c:\windows\system32\drivers\sp_rsdrv2.sys
2008-12-25 21:05 . 2008-12-25 21:05 93,971,542 --a------ C:\sauve2.reg
2008-12-25 19:47 . 2008-12-25 19:47 <REP> d-------- c:\windows\system32\drivers\old
2008-12-24 15:53 . 2008-12-24 15:53 <REP> d-------- C:\f-vmonde
2008-12-24 00:53 . 2008-12-24 00:53 <REP> d-------- c:\documents and settings\Administrateur\Application Data\Malwarebytes
2008-12-24 00:53 . 2008-12-03 19:52 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-24 00:52 . 2008-12-24 01:14 <REP> d-------- c:\program files\Malwarebytes' Anti-Malware
2008-12-24 00:52 . 2008-12-24 00:52 <REP> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes
2008-12-24 00:52 . 2008-12-03 19:52 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-23 21:20 . 2008-06-10 13:04 31,048 --a------ c:\windows\system32\drivers\point32.sys
2008-12-23 21:19 . 2008-12-23 21:20 <REP> d-------- c:\program files\Microsoft IntelliPoint
2008-12-22 22:12 . 2008-12-22 22:12 <REP> d-------- c:\documents and settings\All Users\Application Data\{148D8B8A-8F96-4822-81EC-D510B626B7D5}
2008-12-22 21:28 . 2004-06-14 14:56 427,864 --a------ c:\windows\system32\XceedZip.dll
2008-12-22 20:54 . 2007-09-02 20:56 1,686,016 --a------ c:\windows\system32\clinetsuitex6.ocx
2008-12-20 00:01 . 2008-12-20 00:11 2 --a------ C:\-1404163862
2008-12-19 23:31 . 2008-12-19 23:31 <REP> d-------- c:\documents and settings\All Users\Application Data\PC Drivers HeadQuarters
2008-12-18 02:40 . 1996-11-21 13:36 36,112 --a------ C:\DMACHECK.EXE
2008-12-17 22:08 . 2002-08-20 14:58 139,264 --a------ c:\windows\system32\IDEproperty.dll
2008-12-17 22:08 . 2002-10-17 15:14 49,024 --a------ c:\windows\system32\drivers\sisidex.sys
2008-12-17 22:08 . 2002-08-20 17:19 9,472 --a------ c:\windows\system32\drivers\sisperf.sys
2008-12-16 23:07 . 2008-12-20 00:23 498,268 --a------ c:\windows\system32\perfh040.dat
2008-12-16 23:07 . 2008-12-20 00:23 80,606 --a------ c:\windows\system32\perfc040.dat
2008-12-16 23:01 . 2008-12-16 23:01 91,550,514 --a------ C:\sauve.reg
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a--c--- c:\windows\system32\dllcache\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 1,888,992 --a------ c:\windows\system32\ati3duag.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a--c--- c:\windows\system32\dllcache\ativvaxx.dll
2008-12-16 21:46 . 2004-08-19 16:09 516,768 --a------ c:\windows\system32\ativvaxx.dll
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\Fichiers communs\3DO Shared
2008-12-16 21:12 . 2008-12-16 21:12 <REP> d-------- c:\program files\3DO
2008-12-06 10:10 . 2008-12-06 10:13 <REP> d-------- c:\documents and settings\Administrateur\Application Data\vlc
2008-11-28 22:06 . 2008-11-28 22:06 <REP> d-------- C:\OpenCandy

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-12-26 21:07 --------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2008-12-25 21:04 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard
2008-12-25 20:09 31,707,385 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_25_20_21_02_full.dmp.zip
2008-12-19 23:11 14,336 ----a-w c:\windows\system32\svchost.exe
2008-12-19 22:31 --------- d--h--w c:\program files\InstallShield Installation Information
2008-12-19 20:38 --------- d-----w c:\program files\Fichiers communs\Ahead
2008-12-18 20:59 --------- d-----w c:\documents and settings\Administrateur\Application Data\Skype
2008-12-18 20:32 --------- d-----w c:\documents and settings\Administrateur\Application Data\skypePM
2008-12-16 20:53 --------- d-----w c:\documents and settings\Administrateur\Application Data\ATI
2008-12-14 18:38 --------- d-----w c:\documents and settings\Administrateur\Application Data\dvdcss
2008-12-14 06:23 33,729,830 ----a-w c:\windows\Internet Logs\vsmon_on_demand_2008_12_13_23_27_50_full.dmp.zip
2008-12-05 20:30 60,475 ----a-w c:\windows\Internet Logs\Explorer_2nd_2008_12_04_22_49_55_small.dmp.zip
2008-11-30 17:08 --------- d-----w c:\documents and settings\Administrateur\Application Data\Ahead
2008-11-25 19:29 29,696 ----a-w c:\windows\Internet Logs\xDB2.tmp
2008-11-24 21:57 1,135,104 ----a-w c:\windows\Internet Logs\xDB1.tmp
2008-11-23 19:12 410,976 ----a-w c:\windows\system32\deploytk.dll
2008-11-23 19:12 --------- d-----w c:\program files\Java
2008-11-22 15:58 --------- d-----w c:\program files\SFR
2008-11-21 20:48 --------- d-----w c:\program files\TechCity Solutions
2008-11-19 20:16 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft
2008-11-18 20:00 --------- d-----w c:\documents and settings\Administrateur\Application Data\Canon
2008-11-02 18:29 --------- d-----w c:\program files\RegCleaner
2008-11-02 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer
2008-10-23 20:25 22,776 ----a-w c:\documents and settings\Administrateur\Application Data\GDIPFONTCACHEV1.DAT
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:12 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-02-25 20:47 32 ----a-w c:\documents and settings\All Users\Application Data\ezsid.dat
.

((((((((((((((((((((((((((((( snapshot@2008-12-27_23.10.09.98 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-12-27 21:54:09 4,212 ---h--w c:\windows\system32\zllictbl.dat
+ 2008-12-28 10:18:08 4,212 ---h--w c:\windows\system32\zllictbl.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIM1"= PCLEPIM1.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Pinnacle Scheduler.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe]
--a------ 2004-08-19 16:09 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HGTXPEI]
--------- 2002-06-11 13:34 24576 c:\windows\system32\FirstReboot.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IntelliPoint]
--a------ 2008-06-10 12:56 1406024 c:\program files\Microsoft IntelliPoint\ipoint.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundFusion]
--a------ 2002-12-20 15:46 453120 c:\windows\system32\hercplgs.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"CAISafe"=3 (0x3)
"ATI Smart"=2 (0x2)
"Ati HotKey Poller"=2 (0x2)
"sgSchedulerService"=2 (0x2)
"WMPNetworkSvc"=3 (0x3)
"idsvc"=3 (0x3)
"Autodesk Licensing Service"=3 (0x3)
"vsmon"=3 (0x3)
"IDriverT"=3 (0x3)
"fsssvc"=2 (0x2)
"usnjsvc"=3 (0x3)
"WLSetupSvc"=3 (0x3)
"InCDsrv"=2 (0x2)
"a2free"=2 (0x2)
"aawservice"=2 (0x2)
"JavaQuickStarterService"=2 (0x2)
"xmlprov"=3 (0x3)
"WudfSvc"=3 (0x3)
"Wmi"=3 (0x3)
"VSS"=3 (0x3)
"SysmonLog"=3 (0x3)
"SwPrv"=3 (0x3)
"Spooler"=3 (0x3)
"RasAuto"=3 (0x3)
"NtmsSvc"=3 (0x3)
"HTTPFilter"=3 (0x3)
"helpsvc"=3 (0x3)
"FontCache3.0.0.0"=3 (0x3)
"dmserver"=3 (0x3)
"dmadmin"=3 (0x3)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"BITS"=3 (0x3)
"aspnet_state"=3 (0x3)
"AppMgmt"=3 (0x3)
"ALG"=3 (0x3)
"ICF"=2 (0x2)
"sp_rssrv"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableNotifications"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Program Files\\VoipBuster.com\\VoipBuster\\VoipBuster.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R2 fssfltr;FssFltr;c:\windows\system32\DRIVERS\fssfltr.sys [2008-07-16 43816]
R3 hercspud;Hercules (R) WDM Audio Driver;c:\windows\system32\drivers\hercspud.sys [2008-11-11 135936]
R3 hercwdm;Hercules (R) WDM Interface Driver;c:\windows\system32\drivers\hercwdm.sys [2008-11-11 466688]
R3 pctvvbi;PCTVVBI;c:\windows\system32\DRIVERS\pctvvbi.sys [2008-04-03 6400]
S3 CrystalSysInfo;CrystalSysInfo;\??\d:\program files\MediaCoder\SysInfo.sys [2007-09-25 15152]
S3 USB_RNDIS_51;Broadcom USB Remote NDIS Device Driver;c:\windows\system32\DRIVERS\usb8023.sys [2001-08-28 12672]
S4 fsssvc;Windows Live OneCare Contrôle parental;"c:\program files\Windows Live\Contrôle parental\fsssvc.exe" [2007-10-17 523816]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenu du dossier 'Tâches planifiées'

2008-12-19 c:\windows\Tasks\fpfbttqk.job
- c:\windows\system32\rundll32.exe [2004-08-19 16:10]

2008-03-07 c:\windows\Tasks\Maintenance en 1 clic.job
- c:\program files\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-17 14:47]
.
.
------- Examen supplémentaire -------
.
uStart Page = about:blank
mWindow Title =
uInternet Settings,ProxyServer = 127.0.0.1:8100
IE: E&xporter vers Microsoft Excel - c:\progra~1\Microsoft Office\Office10\EXCEL.EXE/3000
LSP: c:\windows\system32\imslsp.dll
LSP: c:\windows\system32\ZoneLabs\vetredir.dll
FF - ProfilePath - c:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\z57vc18z.essai\
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdrmv2.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdsplay.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npwmsdrm.dll
FF - plugin: d:\program files\adslTV\npvlc.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-28 11:50:17
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
Heure de fin: 2008-12-28 11:51:19
ComboFix-quarantined-files.txt 2008-12-28 10:51:17
ComboFix2.txt 2008-12-28 10:32:55
ComboFix3.txt 2008-12-27 22:12:48

Avant-CF: 2 007 908 352 octets libres
Après-CF: 1,997,037,568 octets libres

222 --- E O F --- 2008-03-14 20:19:49
0
Réponse 19 / 30
bibi_fricotin Messages postés 201 Statut Membre 23
 
le log de RSIT :
Logfile of random's system information tool 1.05 (written by random/random)
Run by Administrateur at 2008-12-28 11:40:42
Microsoft Windows XP Professionnel Service Pack 2
System drive C: has 2 GB (27%) free of 7 GB
Total RAM: 511 MB (49% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:42:13, on 28/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Administrateur\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\Administrateur.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 127.0.0.1:8100
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\Microsoft Office\Office10\EXCEL.EXE/3000
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - d:\Program Files\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - Trusted Zone: http://www.secuser.com
O16 - DPF: {6414512b-b978-451d-a0d8-fcfdf33e833c} (WUWebControl Class) - http://www.update.microsoft.com/...
O16 - DPF: {74d05d43-3236-11d4-bdcd-00c04f9a3b61} (HouseCall Control) - https://www.trendmicro.com/en_us/forHome/products/housecall.html
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
0
Réponse 20 / 30
sKe69 Messages postés 21955 Statut Contributeur sécurité 463
 
Bon ....

1- Télécharge OTMoveIt3 (de Old_Timer) sur ton Bureau.

http://oldtimer.geekstogo.com/OTMoveIt3.exe

! Déconnecte toi et ferme toutes tes applications en cours !

Double clique sur "OTMoveIt3.exe" pour ouvrir le prg .
Puis copie ce qui se trouve en citation ci-dessous, 

:Processes
explorer.exe

:Services
tdssserv.sys.REN

:Reg

:Files

:Commands
[emptytemp]
[Reboot]


et colle le dans le cadre de gauche de OTMoveIt3 :
Paste Instructions for items to be moved.
(ne touche à rien d'autre !)

-> clique sur MoveIt! pour lancer la suppression.
-> laisse travailler l'outil ...

( Note : ton bureau va disparaitre puis réapparaitre, c'est normal .)

-> une fois finis , un petite fenêtre s'ouvre : clique sur " Yes " .

Ton PC va redémarrer de lui même ...

-->Poste le contenu du rapport qui se trouve dans le dossier "C:\_OTMoveIt\MovedFiles"
( " xxxx2008_xxxxxx.log " où les "x" correspondent au jour et à l'heure de l'utilisation ).

2- refais un scan RSIT , poste le nouveau log.txt et attends la suite ....

0

Discussions similaires

Rootkit sur pc windows 10
mic42 -
bazfile -

1 réponse
Comment supprimer une clé de registre tenace
martines491 -
ekim55 -

5 réponses
Rootkit : chacun son tour !!! HELP ! Help !
Reciff -
verni29 -

23 réponses