Sujet Précédent Sujet Suivant

TROJAN

Résolu/Fermé
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009 - 7 janv. 2009 à 20:25
 luciole25b@hotamil.com - 6 août 2009 à 22:43
Bonjour,
Est ce quelqu'un peut m'aider....

119 réponses

Précédent
Réponse 61 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 00:35
Tu es allé te coucher, je suppose....
0
Réponse 62 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 00:42
Je vais me coucher moi aussi
A demain
0
Réponse 63 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 09:37
On reprend :

Il est donc important que tu analyses ce fichier car j'ai des informations contradictoires sur ce fichier.
Infectieux ou pas ?

1) Tu vas sur le site de virus total : https://www.virustotal.com/gui/
Tu copies/colles le chemin suivant dans la zone à analyser :

C:\WINDOWS\system32\ddeml32.dll

Clique sur envoyer pour l'analyser et poste moi le rapport.

2) Le rapport de ToolBarS&D vient de montrer une autre infection ( ou sans doute des traces ) : Spywareguard2008.
Ce sont des publicités pour un faux antispyware.
On va le vérifier.

tu télécharges smitfraudfix de S!Ri sur ton bureau
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Double clique sur l’exécutable. Il va crée un un dossier SmitFraudFix et lancer l’outil.

tu choisis l' option 1 .
Un rapport sera crée.
Copie/colle le rapport dans ton prochain message.

A+
0
Réponse 64 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 12:32
Bonjour,

Bien dormi....
Je t'envoie l'analyse de Virus total, ensuite je fais le reste.

Antivirus Version Dernière mise à jour Résultat
a-squared 4.0.0.73 2009.01.11 Trojan-Dropper.Agent!IK
AhnLab-V3 2009.1.10.0 2009.01.11 Win-Trojan/Agent.135168.DV
AntiVir 7.9.0.54 2009.01.10 TR/Spy.Gen
Authentium 5.1.0.4 2009.01.10 W32/Heuristic-KPP!Eldorado
Avast 4.8.1281.0 2009.01.11 Win32:Spyware-gen
AVG 8.0.0.229 2009.01.10 PSW.OnlineGames.BIYW
BitDefender 7.2 2009.01.11 Trojan.Generic.1221950
CAT-QuickHeal 10.00 2009.01.09 TrojanDownloader.Agent.atko
ClamAV 0.94.1 2009.01.11 Trojan.Downloader-62571
Comodo 915 2009.01.11 TrojWare.Win32.TrojanDownloader.Agent.~AVB
DrWeb 4.44.0.09170 2009.01.11 Trojan.DownLoader.origin
eSafe 7.0.17.0 2009.01.08 Win32.Agent.atko
eTrust-Vet 31.6.6301 2009.01.10 -
F-Prot 4.4.4.56 2009.01.10 W32/Heuristic-KPP!Eldorado
Fortinet 3.117.0.0 2009.01.11 W32/Agent.ATKO!tr.dldr
GData 19 2009.01.11 Trojan.Generic.1221950
Ikarus T3.1.1.45.0 2009.01.11 Trojan-Dropper.Agent
K7AntiVirus 7.10.584 2009.01.09 Trojan-Downloader.Win32.Agent.atko
Kaspersky 7.0.0.125 2009.01.11 Trojan-Downloader.Win32.Agent.atko
McAfee 5491 2009.01.10 Downloader-BMN
McAfee+Artemis 5491 2009.01.10 Downloader-BMN
Microsoft 1.4205 2009.01.11 TrojanDownloader:Win32/Tracur.A
NOD32 3756 2009.01.10 Win32/Agent.OAF
Panda 9.4.3.3 2009.01.10 Trj/Downloader.VEB
PCTools 4.4.2.0 2009.01.10 Trojan-Downloader.Agent!sd6
Prevx1 V2 2009.01.11 Cloaked Malware
Rising 21.11.62.00 2009.01.11 Trojan.Win32.Undef.upp
SecureWeb-Gateway 6.7.6 2009.01.11 Trojan.Spy.Gen
Sophos 4.37.0 2009.01.11 Troj/Agent-INP
Sunbelt 3.2.1831.2 2009.01.09 -
Symantec 10 2009.01.11 Downloader
TheHacker 6.3.1.4.217 2009.01.10 Trojan/Downloader.Agent.atko
TrendMicro 8.700.0.1004 2009.01.09 TROJ_AGENT.AEMH
VBA32 3.12.8.10 2009.01.10 Trojan-Downloader.Win32.Agent.atko
ViRobot 2009.1.10.1553 2009.01.10 Trojan.Win32.Downloader.135168.AK
VirusBuster 4.5.11.0 2009.01.10 Trojan.DL.Agent.FSGB
Information additionnelle
File size: 135168 bytes
MD5...: 746bdd7d01eff41ea203a959e22bcfcb
SHA1..: 31ecd9d1e3477b0a84f40072b5257548c26b8eea
SHA256: be5b20d9dcf584ff0bf048b649521bbfe62715c514ce88301e81700be0d42d02
SHA512: 387753ba7ddcc92a3f99723201f00a919f1c1a4280fa6bae9f61c1bf6c7ee775
9fd1e86407b40e4bac0c2f9e0fc5b06a5e35403305e43957ccb4e24b9535a8a6
ssdeep: 3072:f+UoWJchAdvNIF4ktORakv3nOY3TBfCeZeTdw/gQlVI:RKAdK4JXx3TBqHC
/3rI
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10001ff0
timedatestamp.....: 0x493d0c5e (Mon Dec 08 12:00:30 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x153b4 0x16000 6.46 6c1b50062c4f0eaca15c55e1d21b1665
.rdata 0x17000 0x6319 0x7000 6.29 3adb86d85b3f9365d60d43abfd597307
.data 0x1e000 0x16b0 0x1000 2.09 47c790c6ba3dd67dfec7cb29b8187d52
.reloc 0x20000 0x1aec 0x2000 5.90 67245f74a2039610718bde9acb8b38b6

( 11 imports )
> ntdll.dll: _snprintf, _strnicmp, strlen, strstr, _stricmp, memcmp, atoi, _itoa, memcpy, _ultoa, tolower, memset, _chkstk, _allmul, _alldiv
> msvcrt.dll: strtok
> WS2_32.dll: WSASocketW, -, WSASend, -, WSAWaitForMultipleEvents, WSAIoctl, -, -, -, WSARecv, WSACreateEvent, WSAGetOverlappedResult, -, -, -, -, -, -
> WININET.dll: HttpOpenRequestA, HttpSendRequestA, HttpQueryInfoA, InternetOpenA, InternetReadFile, InternetOpenUrlA, InternetCloseHandle, InternetConnectA, InternetSetOptionA, HttpAddRequestHeadersA
> OLEAUT32.dll: -, -
> SHLWAPI.dll: PathFileExistsA
> KERNEL32.dll: WaitForMultipleObjects, GetVolumeInformationA, GetWindowsDirectoryA, GetFileTime, RemoveDirectoryA, TransactNamedPipe, HeapSetInformation, HeapCreate, FindFirstFileA, HeapDestroy, HeapFree, WaitNamedPipeA, FindNextFileA, SetNamedPipeHandleState, HeapAlloc, GetSystemDirectoryA, GetVersionExA, FindClose, FreeLibrary, UnmapViewOfFile, MapViewOfFile, CreateFileMappingA, OpenFileMappingA, ExitProcess, GetFileAttributesExA, SetFileAttributesA, CreateDirectoryA, TlsSetValue, TlsGetValue, TlsAlloc, InterlockedExchange, CreateEventA, ProcessIdToSessionId, Process32Next, Process32First, WriteProcessMemory, VirtualAllocEx, Thread32Next, GetModuleHandleA, Thread32First, CreateToolhelp32Snapshot, InterlockedIncrement, InterlockedDecrement, GetCurrentThreadId, GetProcAddress, CloseHandle, OpenThread, GetCurrentProcessId, GetFileSize, lstrcpyA, ReadFile, GetModuleFileNameA, GetModuleFileNameW, InitializeCriticalSection, ResetEvent, lstrcatA, GetLocalTime, WaitForSingleObject, OpenMutexA, InterlockedCompareExchange, lstrlenA, CreateMutexA, SetEvent, TerminateThread, Sleep, OutputDebugStringA, DuplicateHandle, GetExitCodeThread, FlushFileBuffers, ReleaseMutex, OpenEventA, SetUnhandledExceptionFilter, LeaveCriticalSection, GetCurrentThread, VirtualFree, GetLastError, GetFileInformationByHandle, SystemTimeToFileTime, lstrcmpiA, GetSystemTime, GetCurrentProcess, WriteFile, EnterCriticalSection, CreateFileA, CreateThread, VirtualFreeEx, DisconnectNamedPipe, CreateNamedPipeA, ConnectNamedPipe, PeekNamedPipe, lstrcmpA, SetFilePointer, SetEndOfFile, GetTempFileNameA, DeleteCriticalSection, GetTempPathA, FlushInstructionCache, VirtualQuery, VirtualAlloc, SuspendThread, ResumeThread, GetThreadContext, SetThreadContext, VirtualProtect, SetLastError, lstrcmpW, MultiByteToWideChar, DeleteFileA, CreateProcessA, GetTickCount, GetFileAttributesA, LoadLibraryA, CreateRemoteThread, OpenProcess
> USER32.dll: SetForegroundWindow, ShowWindow, PeekMessageA, WaitForInputIdle, MsgWaitForMultipleObjects, GetSystemMetrics, wsprintfA, DispatchMessageA
> ADVAPI32.dll: OpenSCManagerA, CloseServiceHandle, OpenServiceA, ControlService, ChangeServiceConfigA, RegDeleteKeyA, RegQueryValueExA, RegCreateKeyExA, RegQueryInfoKeyA, RegEnumKeyExA, RegSetValueExA, RegCloseKey, RegOpenKeyExA
> SHELL32.dll: ShellExecuteA, SHGetFolderPathA
> ole32.dll: CoUninitialize, CoInitializeEx, CoCreateInstance

( 2 exports )
DllGetClassObject, EventStartup
CWSandbox info: <a href='http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=746bdd7d01eff41ea203a959e22bcfcb' target='_blank'>http://research.sunbelt-software.com/...
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=DB509D8700EDD75B102F02F36F73B700EA043218' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=DB509D8700EDD75B102F02F36F73B700EA043218</a>
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 65 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 12:46
Re,

Je t'envoie le second log

SmitFraudFix v2.388

Rapport fait à 12:35:34,43, 11/01/2009
Executé à partir de C:\Documents and Settings\lievremont claudine\Bureau\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 942\dlbubmgr.exe
C:\Program Files\Dell Photo AIO Printer 942\memcard.exe
C:\Program Files\Dell Photo AIO Printer 942\dlbubmon.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lievremont claudine


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LIEVRE~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\lievremont claudine\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer

C:\DOCUME~1\LIEVRE~1\MENUDM~1\PROGRA~1\Spyware Guard 2008 PRESENT !

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\LIEVRE~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!



»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 440x 10/100 Integrated Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.53.252

Description: D-Link Wireless G DWA-110 USB Adapter #3 - Miniport d'ordonnancement de paquets
DNS Server Search Order: 212.27.40.241
DNS Server Search Order: 212.27.40.240

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1B487E6D-11CA-4970-92FB-C3A4479520A4}: NameServer=212.27.53.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5C8F6EEE-F82A-4ADB-BC59-95672CB12DB2}: NameServer=212.27.40.241,212.27.40.240
HKLM\SYSTEM\CCS\Services\Tcpip\..\{5DAE992A-F552-419D-9387-E52AFFA5C973}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CCS\Services\Tcpip\..\{E353B724-DDB3-41ED-BE6A-C20883EDCF94}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1B487E6D-11CA-4970-92FB-C3A4479520A4}: NameServer=212.27.53.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5C8F6EEE-F82A-4ADB-BC59-95672CB12DB2}: NameServer=212.27.40.241,212.27.40.240
HKLM\SYSTEM\CS1\Services\Tcpip\..\{5DAE992A-F552-419D-9387-E52AFFA5C973}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E353B724-DDB3-41ED-BE6A-C20883EDCF94}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{1B487E6D-11CA-4970-92FB-C3A4479520A4}: NameServer=212.27.53.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5C8F6EEE-F82A-4ADB-BC59-95672CB12DB2}: NameServer=212.27.40.241,212.27.40.240
HKLM\SYSTEM\CS3\Services\Tcpip\..\{5DAE992A-F552-419D-9387-E52AFFA5C973}: NameServer=212.27.53.252,212.27.54.252
HKLM\SYSTEM\CS3\Services\Tcpip\..\{E353B724-DDB3-41ED-BE6A-C20883EDCF94}: NameServer=212.27.53.252,212.27.54.252


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin

A+
0
Réponse 66 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 14:26
Double-clique sur OTMoveIt.exe pour le lancer.
Copie la liste qui se trouve en citation ci-dessous et colle-la dans le cadre de gauche de OTMoveIt sous Paste Instructions for Items to be Moved.

:Processes
explorer.exe

:Reg
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\34694bd2511]

:Files
C:\ARK3F.tmp
C:\WINDOWS\system32\ddeml32.dll
C:\WINDOWS\system32\GroupPolicyManifest
C:\32788R22FWJFW
C:\WINDOWS\zip.exe

:Commands
[start explorer]
[Reboot]

clique sur MoveIt! pour lancer la suppression.
Le résultat apparaitra dans le cadre "Results".
Ton Pc va redémarrer pour supprimer les fichiers.

Poste le rapport qui va s'ouvrir après le redémarrage.
Si tu ne le trouves pas, il est ( fichier .log ) situé dans C:\_OTMoveIt\MovedFiles.

A+
0
Réponse 67 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 17:53
Je ne sais pas si tu es sur le forum, je t'envoie quand meme le log

Error: Unable to interpret <Processes> in the current context!
Error: Unable to interpret <explorer.exe> in the current context!
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\34694bd2511\\ deleted successfully.
========== FILES ==========
File/Folder C:\ARK3F.tmp not found.
DllUnregisterServer procedure not found in C:\WINDOWS\system32\ddeml32.dll
C:\WINDOWS\system32\ddeml32.dll NOT unregistered.
C:\WINDOWS\system32\ddeml32.dll moved successfully.
C:\WINDOWS\system32\GroupPolicyManifest moved successfully.
C:\32788R22FWJFW moved successfully.
C:\WINDOWS\zip.exe moved successfully.
========== COMMANDS ==========
Explorer started successfully

OTMoveIt3 by OldTimer - Version 1.0.8.0 log created on 01112009_174346
A+
0
Réponse 68 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 18:05
OK, il va me falloir vérifier certaines choses.
Ta machine est peut-être utilisée pour stocker des fichiers ( mp3, cracks , ... )

1) Poste moi un rapport RSIT.

2) Télécharge gmer
http://www2.gmer.net/gmer.zip

dézippe-le (clic droit et extraire sur le bureau )

Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
Le scan va se lancer de lui-même.
vérifie que l’outil est sur l’onglet RootKit/Malware

A la fin du scan, clique sur le bouton save pour enregsitrer le rapport.
Enregistre-le sur le bureau ( fichier .log )
Edite ce rapport dans ta prochaine réponse.

A+
0
Réponse 69 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 18:21
Je te poste le log de RSIT, je fais la suite

Logfile of random's system information tool 1.05 (written by random/random)
Run by lievremont claudine at 2009-01-11 18:19:19
Microsoft Windows XP Édition familiale Service Pack 2
System drive C: has 13 GB (24%) free of 54 GB
Total RAM: 503 MB (45% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:19:35, on 11/01/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program Files\Dell\QuickSet\quickset.exe
C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe
C:\Program Files\Dell\Media Experience\DMXLauncher.exe
C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
C:\Program Files\MessengerPlus! 3\MsgPlus.exe
C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Dell Photo AIO Printer 942\dlbubmgr.exe
C:\Program Files\Dell Photo AIO Printer 942\memcard.exe
C:\Program Files\Dell Photo AIO Printer 942\dlbubmon.exe
C:\Program Files\COMODO\SafeSurf\cssurf.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Microsoft ActiveSync\wcescomm.exe
C:\Program Files\Digital Line Detect\DLG.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\lievremont claudine\Bureau\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\lievremont claudine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.comodo.com/search/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - Default URLSearchHook is missing
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program Files\Fichiers communs\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program Files\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program Files\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [D-Link D-Link Wireless G DWA-110] C:\Program Files\D-Link\D-Link Wireless G DWA-110\AirGCFG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Dell Photo AIO Printer 942] "C:\Program Files\Dell Photo AIO Printer 942\dlbubmgr.exe"
O4 - HKLM\..\Run: [DellMCM] "C:\Program Files\Dell Photo AIO Printer 942\memcard.exe"
O4 - HKLM\..\Run: [DLBUCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBUtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [COMODO SafeSurf] "C:\Program Files\COMODO\SafeSurf\cssurf.exe" -s
O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Digital Line Detect.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Créer un Favori de l'appareil mobile... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O15 - Trusted Zone: *.canal-plus.com (HKLM)
O17 - HKLM\System\CCS\Services\Tcpip\..\{1B487E6D-11CA-4970-92FB-C3A4479520A4}: NameServer = 212.27.53.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{5C8F6EEE-F82A-4ADB-BC59-95672CB12DB2}: NameServer = 212.27.40.241,212.27.40.240
O17 - HKLM\System\CCS\Services\Tcpip\..\{5DAE992A-F552-419D-9387-E52AFFA5C973}: NameServer = 212.27.53.252,212.27.54.252
O17 - HKLM\System\CCS\Services\Tcpip\..\{E353B724-DDB3-41ED-BE6A-C20883EDCF94}: NameServer = 212.27.53.252,212.27.54.252
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)
O20 - Winlogon Notify: 34694bd2511 - C:\WINDOWS\System32\ddeml32.dll
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Wireless Service - C:\Program Files\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: Planificateur Avira AntiVir Personal - Free Antivirus (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
O23 - Service: dlbu_device - Dell - C:\WINDOWS\system32\dlbucoms.exe
O23 - Service: EvtEng - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
0
Réponse 70 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 18:46
Je te poste le deuxieme rapport

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2009-01-11 18:36:22
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwAdjustPrivilegesToken [0xAA6C1906]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwConnectPort [0xAA6C0E66]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwCreateFile [0xAA6C14C2]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwCreateKey [0xAA6C20D0]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwCreatePort [0xAA6C0BC0]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwCreateSection [0xAA6C2DC0]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwCreateSymbolicLinkObject [0xAA6C1AEC]
SSDT F8C8B9C4 ZwCreateThread
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwDeleteKey [0xAA6C1D3A]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwDeleteValueKey [0xAA6C1EEA]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwDuplicateObject [0xAA6C04F8]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwLoadDriver [0xAA6C2A42]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwMakeTemporaryObject [0xAA6C10AC]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwOpenFile [0xAA6C16FA]
SSDT F8C8B9B0 ZwOpenProcess
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwOpenSection [0xAA6C133C]
SSDT F8C8B9B5 ZwOpenThread
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwRenameKey [0xAA6C2496]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwRequestWaitReplyPort [0xAA6C0CDE]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwSecureConnectPort [0xAA6C27FA]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwSetSystemInformation [0xAA6C2BF0]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwSetValueKey [0xAA6C2296]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwShutdownSystem [0xAA6C1046]
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwSystemDebugControl [0xAA6C1230]
SSDT F8C8B9BF ZwTerminateProcess
SSDT \SystemRoot\System32\DRIVERS\cmdguard.sys (COMODO Internet Security Sandbox Driver/COMODO) ZwTerminateThread [0xAA6C0958]
SSDT F8C8B9BA ZwWriteVirtualMemory

---- User code sections - GMER 1.0.14 ----

.text C:\WINDOWS\explorer.exe[1272] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 1000D1B5 C:\WINDOWS\System32\ddeml32.dll
.text C:\WINDOWS\explorer.exe[1272] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 1000D15D C:\WINDOWS\System32\ddeml32.dll
.text C:\WINDOWS\explorer.exe[1272] ADVAPI32.dll!CreateProcessAsUserW 77DC7775 5 Bytes JMP 1000D29C C:\WINDOWS\System32\ddeml32.dll
.text C:\WINDOWS\explorer.exe[1272] ADVAPI32.dll!CreateProcessAsUserA 77DE0958 5 Bytes JMP 1000D227 C:\WINDOWS\System32\ddeml32.dll
.text C:\WINDOWS\explorer.exe[1272] ADVAPI32.dll!CreateProcessWithLogonW 77DE5C9D 5 Bytes JMP 1000D311 C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] kernel32.dll!CreateProcessW 7C802332 5 Bytes JMP 1000D1B5 C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] kernel32.dll!CreateProcessA 7C802367 5 Bytes JMP 1000D15D C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] ADVAPI32.dll!CreateProcessAsUserW 77DC7775 5 Bytes JMP 1000D29C C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] ADVAPI32.dll!CreateProcessAsUserA 77DE0958 5 Bytes JMP 1000D227 C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] ADVAPI32.dll!CreateProcessWithLogonW 77DE5C9D 5 Bytes JMP 1000D311 C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] WS2_32.dll!WSASocketW 719F39CB 7 Bytes JMP 10010513 C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] WS2_32.dll!bind 719F3E00 5 Bytes JMP 1001049D C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] WS2_32.dll!connect 719F406A 5 Bytes JMP 10010576 C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 100105EC C:\WINDOWS\System32\ddeml32.dll
.text C:\Program Files\Mozilla Firefox\firefox.exe[2460] WS2_32.dll!WSAConnect 71A00C69 5 Bytes JMP 100105AB C:\WINDOWS\System32\ddeml32.dll

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndiswan.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisRegisterProtocol] [F83A2950] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisDeregisterProtocol] [F83A2990] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisCloseAdapter] [F83A2710] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)
IAT \SystemRoot\system32\DRIVERS\tcpip6.sys[NDIS.SYS!NdisOpenAdapter] [F83A2770] inspect.sys (COMODO Internet Security Firewall Driver/COMODO)

---- Devices - GMER 1.0.14 ----

AttachedDevice \Driver\Tcpip \Device\Ip cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Tcp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\Udp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)
AttachedDevice \Driver\Tcpip \Device\RawIp cmdhlp.sys (COMODO Internet Security Helper Driver/COMODO)

Device mrxsmb.sys (Windows NT SMB Minirdr/Microsoft Corporation)
Device A8FD6C8A

AttachedDevice fltMgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

---- Registry - GMER 1.0.14 ----

Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@LoadAppInit_DLLs 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs C:\WINDOWS\system32\guard32.dll,C:\WINDOWS\System32\ddeml32.dll C:\WINDOWS\system32\cssdll32.dll,C:\WINDOWS\System32\ddeml32.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{22E076C1-AE60-73FC-FFF0-D55EAB84E0A8}\InProcServer32@ %SystemRoot%\system32\SHELL32.dll
Reg HKLM\SOFTWARE\Classes\CLSID\{22E076C1-AE60-73FC-FFF0-D55EAB84E0A8}\InProcServer32@ThreadingModel Apartment

---- EOF - GMER 1.0.14 ----
0
Réponse 71 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 19:04
Je vois la suite avec d'autres personnes.
Il y a bien un rootkit sur ta machine
Je te tiens au courant.

A+
0
Réponse 72 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 19:22
j'attends de tes nouvelles
C'est grave ?
0
Réponse 73 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 19:31
Télécharge TCPView à :
https://docs.microsoft.com/en-us/ ( téléchargement en bas de page )

Décompresse le fichier sur ton bureau.
Click droit --> extraire tout ( vérifie que le chemin pointe bien sur ton bureau )

Ouvre le dossier crée et double-clique sur TCPView.exe.
Suis les invites.
Le logiciel va lister les applications utilisant ta connexion.

Attends un peu et lorsque la liste soit fixée, sauvegarde la sélection.

Clique sur fichier --> save
Et sauvegarde ce fichier ( par défaut, le fichier sera sauvegardé dans le dossier de tcpview ) sur ton bureau.

Poste le contenu dans ton prochain message.

A+
0
Réponse 74 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 19:37
Pour la suite, il est important que tu fasses les consignes dans l'ordre.

1) Ouvre le bloc-notes ( demarrer --> tous les programmes --> accessoires --> bloc-notes ) et copie le texte en citation ci-dessous. Fais très attention à ce que tu vas copier.
pas de ligne vide avant REGEDIT4 et une ligne de séparation entre REGEDIT4 et la suite.

REGEDIT4

[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\34694bd2511]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="C:\WINDOWS\system32\cssdll32.dll,C:\WINDOWS\system32\guard32.dll"

Menu Fichier --> enregistrer sous --> une boite de dialogue va s'ouvrir
Il y a deux lignes en bas de la fenetre :
- la première pour le nom : tape fix.reg
- la deuxième pour le type : clique sur l'onglet pour faire apparaitre tous les fichiers (*.* )

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

Click droit sur le fichier fix.reg puis choisis fusionner

2) Fais exactement ce qui suit :

Menu Démarrer --> exécuter et tape : cmd puis clique sur OK.
Tape exactement chacune de ces lignes contenu dans le script Gmer et en appuyant sur la touche entrée à chaque fois pour valider la commande :

Script Gmer :

gmer -killall
gmer -del file "C:\WINDOWS\system32\ddeml32.dll"
gmer -reboot

La machine va redémarrer.

3) Après redémarrage, tu relances gmer comme dans le post précédent et tu postes le rapport.

A+
0
Réponse 75 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 19:45
claudineCOR31,

Je t'ai mis deux messages, tu fais le message 79 ( TCPView ), tu me postes le rapport puis passe aux consignes du message 80.

Si c'est grave. Non, il y a bien pire comme infection.

A+
0
Réponse 76 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 19:53
je te poste le log

alg.exe:204 TCP D6J9RP1J:1033 D6J9RP1J:0 LISTENING
explorer.exe:2120 TCP D6J9RP1J:1256 D6J9RP1J:0 LISTENING
firefox.exe:2460 TCP D6J9RP1J:1040 localhost:1039 ESTABLISHED
firefox.exe:2460 TCP D6J9RP1J:1041 localhost:1042 ESTABLISHED
firefox.exe:2460 TCP D6J9RP1J:1042 localhost:1041 ESTABLISHED
firefox.exe:2460 TCP D6J9RP1J:1039 localhost:1040 ESTABLISHED
jqs.exe:1880 TCP D6J9RP1J:5152 localhost:2010 CLOSE_WAIT
jqs.exe:1880 TCP D6J9RP1J:5152 D6J9RP1J:0 LISTENING
lsass.exe:1192 UDP D6J9RP1J:isakmp *:*
lsass.exe:1192 UDP D6J9RP1J:4500 *:*
rapimgr.exe:3384 TCP D6J9RP1J:990 D6J9RP1J:0 LISTENING
svchost.exe:1380 TCP D6J9RP1J:epmap D6J9RP1J:0 LISTENING
svchost.exe:1420 UDP d6j9rp1j:ntp *:*
svchost.exe:1420 UDP D6J9RP1J:ntp *:*
svchost.exe:1816 UDP d6j9rp1j:1900 *:*
svchost.exe:1816 UDP D6J9RP1J:1900 *:*
System:4 TCP D6J9RP1J:microsoft-ds D6J9RP1J:0 LISTENING
System:4 TCP d6j9rp1j:netbios-ssn D6J9RP1J:0 LISTENING
System:4 UDP d6j9rp1j:netbios-ns *:*
System:4 UDP D6J9RP1J:microsoft-ds *:*
System:4 UDP d6j9rp1j:netbios-dgm *:*
wcescomm.exe:3168 TCP D6J9RP1J:7438 D6J9RP1J:0 LISTENING
wcescomm.exe:3168 TCP D6J9RP1J:5679 D6J9RP1J:0 LISTENING
0
Réponse 77 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 19:56
OK, passe à la suite.

A+
0
Réponse 78 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 21:23
desole, je pense que j'ai fait une mauvaise manip

quand j'ai ouvert cmd

et que j'ai tapé la premiere phrase que tu m'as dit, ma connexion internet s'est interrompue et comme je n'avais pas note le reste du texte, j'ai du arrete l'ordi.

Total, maintenant il rame, j'ai reussi en insistant à reouvrir la fenetre du cmd, j'ai tapé la premiere phrase mais ensuite il ne veut rien savoir.
je n'arrive plus a ouvrir FIREFOX, je suis l'ordi de ma fille pour pouvoir te parler.
Qu'est ce que je peux faire ?
0
Réponse 79 / 119
claudineCOR31 Messages postés 73 Date d'inscription mardi 6 janvier 2009 Statut Membre Dernière intervention 8 octobre 2009
11 janv. 2009 à 21:36
j'ai reussi à faire la manip
seulement il me dit que gmer.exe à recontrer un probleme et doit fermer; donc quand je tape gmer -reboot; il veut pas le prendre et je ne sais pas comment sortir de cette fenetre,

J'ai repeté trois fois la manip et j'ai toujours le meme message
0
Réponse 80 / 119
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 janv. 2009 à 21:42
tu redémarre ton PC.
Une fois sur ta session, fais le redémarrer.
Reviens sur ta session et vérifie pour la connexion.

Peux-tu transférer par clé USB des logiciels sur ton PC ?

A+
0

Discussions similaires

Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
Aide pour un virus
cerise92700 -
MisteryBean -

41 réponses
Trojan impossible à supprimer!
Gridouu -
Malekal_morte- -

12 réponses
Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment éliminer manuellement virus trojan?
ballag -
RClog -

12 réponses