Rootkit trés coriace

Fermé
Nilsou Messages postés 1 Date d'inscription vendredi 4 décembre 2009 Statut Membre Dernière intervention 4 décembre 2009 - 4 déc. 2009 à 01:50
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 - 15 déc. 2009 à 06:42
Bonjour a tous.

Depuis plusieurs jour je me bat contre un rootkit très coriace.

Je ne connais pas son nom.

J'ai essayé spybot : inutile
Malwarebyte : inutile
Plusieurs virus remover de beaucoup de société d'antivirus : deux ou trois truc mais sans résultat.


Alors je suis passé aux choses sérieuses : combofix , et la le travail paye, il y a en effet anguille sous roche, il m'a supprimé 5 ou 6 truc.

Mais a chaque redémarrage ces trucs reviennent, même après nettoyage de la base de registre, passage par ccleaner ect....

J'ai tenté aussi smitfraudfix.


Ensuite j'ai un peu analysé mon ordi avec GMER et la ça paye : le rootkit est bien visible (il utilise le fichier HAL on dirais).

Les fichiers sys qui caractérise le rootkit change de nom a chaque fois....


Bref : j'ai tout essayé, tout cherché, mais il reste désespérément accroché, je vous poste les rapports :




Rapports après la désinfection combofix. (c'est toujours le meme puisqu'il reviennent sans cesse):

[quote]
ComboFix 09-12-03.03 - Administrateur 04/12/2009 0:55.4.2 - x86 NETWORK
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.3007.2570 [GMT 1:00]
Lancé depuis: f:\documents and settings\Administrateur\Bureau\fdfsdfs.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

f:\windows\system32\404Fix.exe
f:\windows\system32\Agent.OMZ.Fix.exe
f:\windows\system32\Drivers\nldwxdk.sys
f:\windows\system32\dumphive.exe
f:\windows\system32\IEDFix.C.exe
f:\windows\system32\IEDFix.exe
f:\windows\system32\o4Patch.exe
f:\windows\system32\Process.exe
f:\windows\system32\SrchSTS.exe
f:\windows\system32\tmp.reg
f:\windows\system32\VACFix.exe
f:\windows\system32\VCCLSID.exe
f:\windows\system32\WS2Fix.exe

Une copie infectée de f:\windows\system32\hid.dll a été trouvée et désinfectée
Copie restaurée à partir de - f:\windows\ServicePackFiles\i386\hid.dll

Une copie infectée de f:\windows\system32\midimap.dll a été trouvée et désinfectée
Copie restaurée à partir de - f:\windows\ServicePackFiles\i386\midimap.dll

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_efslb


((((((((((((((((((((((((((((( Fichiers créés du 2009-11-03 au 2009-12-03 ))))))))))))))))))))))))))))))))))))
.

2009-12-03 23:32 . 2009-12-03 23:39 -------- d-----w- F:\Lop SD
2009-12-03 23:30 . 2009-12-03 23:30 -------- d-----w- F:\_OTM
2009-12-03 23:15 . 2009-12-03 23:15 4844296 ----a-w- f:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-12-03 21:16 . 2009-12-03 21:22 -------- d-----w- f:\documents and settings\Administrateur\SmitfraudFix
2009-12-03 20:34 . 2009-12-03 21:17 -------- d-----w- f:\program files\a-squared Free
2009-12-03 20:14 . 2009-12-03 20:14 -------- d-----w- f:\program files\Sophos
2009-12-03 15:26 . 2009-12-03 15:26 -------- d-----w- f:\documents and settings\All Users\Application Data\Logitech
2009-12-03 15:26 . 2009-12-03 15:26 -------- d-----w- f:\program files\Logitech
2009-12-03 15:18 . 2009-12-03 15:18 -------- d-----w- f:\documents and settings\All Users\Application Data\LogiShrd
2009-12-02 20:43 . 2009-12-02 20:43 7168 ----a-w- f:\windows\system32\drivers\utm3mjg5.sys
2009-12-02 20:04 . 2009-12-02 20:04 -------- d-----w- f:\documents and settings\Administrateur\Application Data\thecleaner
2009-12-02 20:04 . 2009-12-03 22:04 -------- d-----w- f:\program files\The Cleaner
2009-12-02 19:53 . 2009-12-02 19:53 -------- d-----w- f:\program files\AxBx
2009-12-01 22:27 . 2009-12-01 22:27 -------- d-----w- f:\program files\Trend Micro
2009-11-27 18:41 . 2009-11-27 18:41 -------- d-----w- f:\program files\Universal Extractor
2009-11-21 20:21 . 2009-11-21 20:21 -------- d-----w- f:\documents and settings\Administrateur\Application Data\Megaupload
2009-11-21 20:21 . 2009-11-21 20:21 -------- d-----w- f:\program files\Megaupload
2009-11-21 14:59 . 2001-10-28 16:42 116224 ----a-w- f:\windows\system32\pdfcmnnt.dll
2009-11-21 14:59 . 2009-11-21 15:00 -------- d-----w- f:\program files\PDFCreator
2009-11-21 14:59 . 1998-07-13 01:08 59904 ----a-w- f:\windows\system32\MSCC2FR.DLL
2009-11-21 14:59 . 1998-07-13 01:08 141312 ----a-w- f:\windows\system32\MSCMCFR.DLL
2009-11-21 14:59 . 1998-07-06 00:00 23552 ----a-w- f:\windows\system32\MSMPIDE.DLL
2009-11-20 20:15 . 2009-11-21 04:24 -------- d-----w- f:\documents and settings\Administrateur\Local Settings\Application Data\Search and Replace
2009-11-20 20:11 . 2009-11-20 20:11 -------- d-----w- f:\documents and settings\Administrateur\Application Data\GHISLER
2009-11-20 20:11 . 2009-09-24 06:50 545 ----a-w- f:\windows\UC.PIF
2009-11-20 20:11 . 2009-09-24 06:50 545 ----a-w- f:\windows\RAR.PIF
2009-11-20 20:11 . 2009-09-24 06:50 545 ----a-w- f:\windows\PKZIP.PIF
2009-11-20 20:11 . 2009-09-24 06:50 545 ----a-w- f:\windows\PKUNZIP.PIF
2009-11-20 20:11 . 2009-09-24 06:50 545 ----a-w- f:\windows\NOCLOSE.PIF
2009-11-20 20:11 . 2009-09-24 06:50 545 ----a-w- f:\windows\LHA.PIF
2009-11-20 20:11 . 2009-09-24 06:50 545 ----a-w- f:\windows\ARJ.PIF
2009-11-20 20:08 . 2009-11-20 20:15 -------- d-----w- f:\program files\SR
2009-11-20 19:56 . 2009-11-20 19:59 -------- d-----w- f:\program files\Wilbur
2009-11-17 16:01 . 2009-11-18 00:12 -------- d-----w- f:\documents and settings\Administrateur\Application Data\DepositFiles Uploader
2009-11-17 16:01 . 2009-11-17 16:01 -------- d-----w- f:\program files\DepositFiles
2009-11-14 14:58 . 2009-11-14 15:00 -------- d-----w- f:\program files\WinMerge
2009-11-13 23:09 . 2009-11-13 23:09 -------- d--h--w- f:\windows\PIF
2009-11-09 23:59 . 2009-11-09 23:59 -------- d-----w- f:\program files\Maxis
2009-11-09 23:50 . 2009-11-09 23:50 691696 ----a-w- f:\windows\system32\drivers\sptd.sys
2009-11-09 23:50 . 2009-11-09 23:56 -------- d-----w- f:\program files\DAEMON Tools Lite
2009-11-09 23:49 . 2009-11-09 23:58 -------- d-----w- f:\documents and settings\Administrateur\Application Data\DAEMON Tools Lite
2009-11-09 23:49 . 2009-11-09 23:49 -------- d-----w- f:\documents and settings\All Users\Application Data\DAEMON Tools Lite
2009-11-07 05:03 . 2009-11-07 05:03 -------- d-----w- f:\windows\system32\oodag
2009-11-07 05:01 . 2009-11-07 05:01 -------- d-----w- f:\documents and settings\Administrateur\Local Settings\Application Data\O&O
2009-11-07 05:01 . 2009-11-07 05:01 -------- d-----w- f:\program files\OO Software
2009-11-06 02:29 . 2009-11-27 04:06 -------- d-----w- f:\program files\Mozilla Firefox 3.6 Beta 1
2009-11-05 23:53 . 2009-11-06 19:10 -------- d-----w- f:\documents and settings\Administrateur\Application Data\Mumble
2009-11-05 23:53 . 2009-11-05 23:53 -------- d-----w- f:\program files\Mumble
2009-11-05 07:34 . 2009-11-05 07:34 152576 ----a-w- f:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-11-04 01:20 . 2009-11-04 01:46 -------- d-----w- f:\documents and settings\Administrateur\.gigaflat
2009-11-04 01:20 . 2009-11-04 01:20 -------- d-----w- f:\program files\Gigaflat
2009-11-04 01:11 . 2009-11-04 01:21 -------- d-----w- f:\program files\Copie de F.E.A.R. 2
2009-11-04 00:53 . 2009-11-04 01:08 -------- d-----w- f:\program files\FEAR2
2009-11-04 00:53 . 2009-11-04 00:53 -------- d-----w- f:\windows\F.E.A.R.2 Project Origin v1.04 Update
2009-11-04 00:15 . 2009-11-04 00:15 -------- d-----w- f:\program files\7-Zip
2009-11-04 00:13 . 2009-11-04 00:13 -------- d-----w- f:\program files\QuickPar

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-03 23:18 . 2009-12-03 23:18 180 ----a-w- f:\windows\Fonts\xfooaxj
2009-12-03 23:15 . 2009-09-22 21:44 -------- d-----w- f:\program files\Malwarebytes' Anti-Malware
2009-12-03 21:43 . 2009-08-12 17:15 -------- d-----w- f:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-12-03 20:50 . 2004-08-05 11:00 85404 ----a-w- f:\windows\system32\perfc00C.dat
2009-12-03 20:50 . 2004-08-05 11:00 513080 ----a-w- f:\windows\system32\perfh00C.dat
2009-12-03 15:14 . 2009-09-22 21:44 38224 ----a-w- f:\windows\system32\drivers\mbamswissarmy.sys
2009-12-03 15:13 . 2009-09-22 21:44 19160 ----a-w- f:\windows\system32\drivers\mbam.sys
2009-11-29 00:32 . 2009-09-29 16:28 107888 ----a-w- f:\windows\system32\CmdLineExt.dll
2009-11-21 20:21 . 2009-07-27 18:30 -------- d--h--w- f:\program files\InstallShield Installation Information
2009-11-21 19:47 . 2009-08-16 20:26 -------- d-----w- f:\program files\Fichiers communs\Adobe
2009-11-11 20:40 . 2009-08-12 17:15 -------- d-----w- f:\program files\Spybot - Search & Destroy
2009-11-06 18:51 . 2009-09-25 23:31 -------- d-----w- f:\documents and settings\Administrateur\Application Data\XnView
2009-11-05 07:34 . 2009-09-13 14:17 -------- d-----w- f:\program files\Java
2009-11-04 01:46 . 2009-11-03 16:54 -------- d-----w- f:\program files\F.E.A.R. 2
2009-10-20 17:22 . 2009-10-20 17:22 -------- d-----w- f:\documents and settings\Administrateur\Application Data\XRay Engine
2009-10-19 16:55 . 2009-10-18 20:57 -------- d-----w- f:\program files\MagicTune Premium
2009-10-18 20:56 . 2009-10-06 18:51 -------- d-----w- f:\program files\SEC
2009-10-18 20:46 . 2009-10-18 20:46 -------- d-----w- f:\program files\CPUID
2009-10-18 20:22 . 2009-10-18 20:17 -------- d-----w- f:\program files\ATITool
2009-10-18 20:09 . 2009-10-18 20:09 -------- d-----w- f:\program files\RivaTuner v2.24 MSI Master Overclocking Arena 2009 edition
2009-10-16 19:39 . 2009-10-15 17:21 -------- d-----w- f:\documents and settings\Administrateur\Application Data\nHancer
2009-10-16 19:38 . 2009-10-15 17:17 -------- d-----w- f:\documents and settings\All Users\Application Data\nHancer
2009-10-15 17:30 . 2009-10-15 17:21 -------- d-----w- f:\documents and settings\All Users\Application Data\NVIDIA
2009-10-14 19:06 . 2009-10-14 19:05 -------- d-----w- f:\program files\SystemRequirementsLab
2009-10-14 19:05 . 2009-10-14 19:05 -------- d-----w- f:\documents and settings\Administrateur\Application Data\SystemRequirementsLab
2009-10-14 19:05 . 2009-10-14 19:05 290816 ----a-w- f:\documents and settings\Administrateur\Application Data\SystemRequirementsLab\SRLProxy_nvd_4.dll
2009-10-14 19:05 . 2009-10-14 19:05 290816 ----a-w- f:\documents and settings\Administrateur\Application Data\SystemRequirementsLab\SRLProxy_nvd_3.dll
2009-10-14 19:05 . 2009-10-14 19:05 290816 ----a-w- f:\documents and settings\Administrateur\Application Data\SystemRequirementsLab\SRLProxy_nvd_2.dll
2009-10-14 19:05 . 2009-10-14 19:05 290816 ----a-w- f:\documents and settings\Administrateur\Application Data\SystemRequirementsLab\SRLProxy_nvd_1.dll
2009-10-12 21:14 . 2009-10-12 21:14 -------- d--h--r- f:\documents and settings\Administrateur\Application Data\SecuROM
2009-10-12 21:12 . 2009-10-12 21:12 22328 ----a-w- f:\windows\system32\drivers\PnkBstrK.sys
2009-10-12 21:12 . 2009-10-12 21:12 22328 ----a-w- f:\documents and settings\Administrateur\Application Data\PnkBstrK.sys
2009-10-12 21:12 . 2009-10-12 21:12 22328 ----a-w- f:\documents and settings\Administrateur\Application Data\PnkBstrK.sys
2009-10-12 21:12 . 2009-10-12 21:12 103736 ----a-w- f:\windows\system32\PnkBstrB.exe
2009-10-12 21:12 . 2009-10-12 21:12 66872 ----a-w- f:\windows\system32\PnkBstrA.exe
2009-10-12 20:59 . 2009-10-12 20:59 -------- d-----w- f:\program files\Electronic Arts
2009-10-11 03:17 . 2009-09-13 14:17 411368 ----a-w- f:\windows\system32\deploytk.dll
2009-10-10 20:01 . 2009-08-31 00:20 -------- d-----w- f:\documents and settings\Administrateur\Application Data\codeblocks
2009-10-08 18:36 . 2009-08-31 00:30 -------- d-----w- f:\documents and settings\Administrateur\Application Data\Bioshock
2009-09-29 16:23 . 2009-07-27 21:07 69240 ----a-w- f:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-27 17:19 . 2009-09-27 17:19 3674112 ----a-w- f:\windows\system32\nvwssr.dll
2009-09-27 15:12 . 2009-07-27 21:02 490088 ----a-w- f:\windows\system32\nvudisp.exe
2009-09-27 15:12 . 2009-07-27 21:02 888832 ----a-w- f:\windows\system32\nvapi.dll
2009-09-27 15:12 . 2009-07-27 21:02 2194024 ----a-w- f:\windows\system32\nvcuvid.dll
2009-09-27 15:12 . 2009-07-27 21:02 2007040 ----a-w- f:\windows\system32\nvcuda.dll
2009-09-27 15:12 . 2009-07-27 21:02 1714792 ----a-w- f:\windows\system32\nvcuvenc.dll
2009-09-27 15:12 . 2009-07-27 21:02 170600 ----a-w- f:\windows\system32\nvcodins.dll
2009-09-27 15:12 . 2009-07-27 21:02 170600 ----a-w- f:\windows\system32\nvcod.dll
2009-09-27 15:12 . 2009-07-27 21:02 10756096 ----a-w- f:\windows\system32\nvoglnt.dll
2009-09-27 15:12 . 2009-07-27 21:02 1604482 ----a-w- f:\windows\system32\nvdata.bin
2009-09-27 15:12 . 2009-07-27 18:16 7655872 ----a-w- f:\windows\system32\drivers\nv4_mini.sys
2009-09-27 15:12 . 2009-07-27 18:16 5900416 ----a-w- f:\windows\system32\nv4_disp.dll
2009-09-26 00:31 . 2009-09-26 00:31 1254656 ----a-w- f:\windows\system32\ooscrsav.scr
2009-09-26 00:30 . 2009-09-26 00:30 199936 ----a-w- f:\windows\system32\oodbs.exe
2009-09-26 00:27 . 2009-09-26 00:27 546048 ----a-w- f:\windows\system32\oodssrs.dll
2009-09-26 00:26 . 2009-09-26 00:26 9984 ----a-w- f:\windows\system32\oodbsrs.dll
2009-09-24 08:24 . 2009-07-27 20:07 490088 ----a-w- f:\windows\system32\NVUNINST.EXE
2009-09-13 14:17 . 2009-09-13 14:17 152576 ----a-w- f:\documents and settings\Administrateur\Application Data\Sun\Java\jre1.6.0_16\lzma.dll
2009-08-15 15:45 . 2009-08-15 15:45 65 ----a-w- f:\program files\Fichiers communs\appop.log
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="f:\program files\Analog Devices\Core\smax4pnp.exe" [2006-05-18 843776]
"IAAnotif"="f:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-06-04 186904]
"avgnt"="f:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"AsusServiceProvider"="f:\program files\ASUS\AASP\1.00.01\aaCenter.exe" [2006-06-30 582144]
"Ai Nap"="f:\program files\ASUS\Ai Suite\AiNap\AiNap.exe" [2006-07-10 1093632]
"NvCplDaemon"="f:\windows\system32\NvCpl.dll" [2009-09-27 13918208]
"NvMediaCenter"="f:\windows\system32\NvMcTray.dll" [2009-09-27 86016]
"36X Raid Configurer"="f:\windows\system32\xRaidSetup.exe" [2007-11-19 1970176]
"Launch LgDeviceAgent"="f:\program files\Logitech\GamePanel Software\LgDevAgt.exe" [2009-08-13 357384]
"Launch LCDMon"="f:\program files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe" [2009-08-13 1573384]
"Launch LGDCore"="f:\program files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" [2009-08-13 3161608]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0OODBS

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"Adobe Reader Speed Launcher"="f:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
"nwiz"=f:\program files\NVIDIA Corporation\nView\nwiz.exe /install
"SunJavaUpdateSched"="f:\program files\Java\jre6\bin\jusched.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Steam\\steamapps\\common\\trackmania nations forever\\TmForever.exe"=
"c:\\Steam\\steamapps\\common\\trackmania nations forever\\TmForeverLauncher.exe"=
"c:\\Steam\\steamapps\\common\\left 4 dead demo\\left4dead.exe"=
"c:\\Steam\\steamapps\\msnbcorp\\team fortress 2\\hl2.exe"=
"c:\\Steam\\steamapps\\common\\anno 1404\\tools\\Anno4Web.exe"=
"c:\\Steam\\steamapps\\msnbcorp\\age of chivalry\\hl2.exe"=
"f:\\Program Files\\Messenger\\msmsgs.exe"=
"f:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\Steam\\steamapps\\common\\stalin vs martians\\bin\\Game.exe"=
"f:\\Program Files\\dow2\\DOW2.exe"=
"f:\\Program Files\\eMule\\emule.exe"=
"f:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"f:\\Program Files\\THQ\\Gas Powered Games\\Supreme Commander\\bin\\SupremeCommander.exe"=
"f:\\Program Files\\THQ\\Gas Powered Games\\GPGNet\\GPG.Multiplayer.Client.exe"=
"f:\\Program Files\\Deep Silver\\S.T.A.L.K.E.R. - Clear Sky\\bin\\xrEngine.exe"=
"f:\\Program Files\\Deep Silver\\S.T.A.L.K.E.R. - Clear Sky\\bin\\dedicated\\xrEngine.exe"=
"f:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"f:\\Program Files\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=
"f:\\WINDOWS\\system32\\PnkBstrA.exe"=
"f:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Steam\\steamapps\\common\\anno 1404\\Anno4.exe"=
"f:\\Program Files\\MagicTune Premium\\MagicTune.exe"=
"c:\\Steam\\steamapps\\common\\stalker shadow of chernobyl\\bin\\XR_3DA.exe"=
"c:\\Steam\\steamapps\\common\\x3 terran conflict\\X3TC.exe"=

R0 ivicd;Ivi CDVD Filter Driver;f:\windows\system32\drivers\ivicd.sys [15/08/2009 16:45 38784]
R0 sptd;sptd;f:\windows\system32\drivers\sptd.sys [10/11/2009 00:50 691696]
R2 a2free;a-squared Free Service;f:\program files\a-squared Free\a2service.exe [03/12/2009 21:34 1858144]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;f:\program files\Avira\AntiVir Desktop\sched.exe [27/07/2009 20:59 108289]
R2 cpuz132;cpuz132;f:\windows\system32\drivers\cpuz132_x32.sys [18/10/2009 21:46 12672]
R3 LGBusEnum;Logitech GamePanel Virtual Bus Enumerator Driver;f:\windows\system32\drivers\LGBusEnum.sys [09/07/2009 15:55 19720]
S3 iviudf;iviudf;f:\windows\system32\drivers\IviUdf.sys [15/08/2009 16:45 126592]
S3 maconfservice;Ma-Config Service;f:\program files\ma-config.com\maconfservice.exe [29/05/2009 16:13 234864]
S3 utm3mjg5;AVZ Kernel Driver;f:\windows\system32\drivers\utm3mjg5.sys [02/12/2009 21:43 7168]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - udffsrec
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = local
IE: E&xporter vers Microsoft Excel - f:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
FF - ProfilePath - f:\documents and settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\9paowc45.default\
FF - plugin: f:\program files\ma-config.com\nphardwaredetection.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - f:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truef:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("ui.use_native_colors", true);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("ui.use_native_popup_windows", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("svg.smil.enabled", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.formfill.debug", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\all.js - pref("html5.enable", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
f:\program files\Mozilla Firefox 3.6 Beta 1\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************
Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés:

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-1454471165-2025429265-839522115-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,44,70,4d,9a,6e,56,9b,44,8a,01,6f,\
"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,44,70,4d,9a,6e,56,9b,44,8a,01,6f,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,44,70,4d,9a,6e,56,9b,44,8a,01,6f,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,44,70,4d,9a,6e,56,9b,44,8a,01,6f,\
"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,
d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,44,70,4d,9a,6e,56,9b,44,8a,01,6f,\

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]
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
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2024)
f:\windows\system32\eappprxy.dll
f:\windows\system32\webcheck.dll
.
------------------------ Autres processus actifs ------------------------
.
f:\windows\system32\nvsvc32.exe
f:\windows\system32\netdde.exe
f:\windows\system32\RUNDLL32.EXE
f:\program files\Avira\AntiVir Desktop\avguard.exe
f:\program files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
f:\program files\MagicTune Premium\MagicTuneEngine.exe
f:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
f:\program files\Logitech\GamePanel Software\Applets\LCDClock.exe
f:\program files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
f:\program files\Logitech\GamePanel Software\Applets\LCDRSS.exe
f:\windows\system32\wbem\wmiapsrv.exe
f:\program files\MagicTune Premium\MagicTune.exe
.
**************************************************************************
.
Heure de fin: 2009-12-04 01:02 - La machine a redémarré
ComboFix-quarantined-files.txt 2009-12-04 00:01
ComboFix2.txt 2009-12-03 22:48
ComboFix3.txt 2009-12-03 22:40

Avant-CF: 756 184 838 144 octets libres
Après-CF: 756 155 428 864 octets libres

- - End Of File - - BAD583F17FA744DA9E80834B63AE8524
/quote

impossible d'empêcher ces fichiers de réapparaitre au bout de quelques minutes/heures :

f:\windows\system32\404Fix.exe
f:\windows\system32\Agent.OMZ.Fix.exe
f:\windows\system32\Drivers\nldwxdk.sys
f:\windows\system32\dumphive.exe
f:\windows\system32\IEDFix.C.exe
f:\windows\system32\IEDFix.exe
f:\windows\system32\o4Patch.exe
f:\windows\system32\Process.exe
f:\windows\system32\SrchSTS.exe
f:\windows\system32\tmp.reg
f:\windows\system32\VACFix.exe
f:\windows\system32\VCCLSID.exe
f:\windows\system32\WS2Fix.exe


Maintenant hijackthis :

Log hijackthis:

[quote]Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:19:56, on 04/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\netdde.exe
F:\Program Files\Analog Devices\Core\smax4pnp.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\Program Files\ASUS\AASP\1.00.01\aaCenter.exe
F:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\a-squared Free\a2service.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
F:\Program Files\MagicTune Premium\MagicTuneEngine.exe
F:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\mdm.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDRSS.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\wbem\wmiapsrv.exe
F:\Program Files\MagicTune Premium\MagicTune.exe
F:\WINDOWS\explorer.exe
F:\Program Files\Mozilla Firefox 3.6 Beta 1\firefox.exe
F:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] F:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [IAAnotif] F:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [avgnt] "F:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [AsusServiceProvider] F:\Program Files\ASUS\AASP\1.00.01\aaCenter.exe
O4 - HKLM\..\Run: [Ai Nap] "F:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [36X Raid Configurer] F:\WINDOWS\system32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Launch LgDeviceAgent] "F:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://F:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - F:\Program Files\a-squared Free\a2service.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - F:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - F:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - F:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: MagicTuneEngine - Unknown owner - F:\Program Files\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
A voir également:

4 réponses

sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 350
4 déc. 2009 à 12:40
Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
http://siri.urz.free.fr/Fix/SmitfraudFix.php
- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php
0
Voici le rapport smitfraudfix :

SmitFraudFix v2.424

Rapport fait à 22:40:57,01, 14/12/2009
Executé à partir de F:\Documents and Settings\Administrateur\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Analog Devices\Core\smax4pnp.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\Program Files\ASUS\AASP\1.00.01\aaCenter.exe
F:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\Analog Devices\SoundMAX\smax4.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
F:\Program Files\a-squared Free\a2service.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDPop3.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDRSS.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
F:\Program Files\MagicTune Premium\MagicTuneEngine.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Mozilla Firefox 3.6 Beta 1\firefox.exe
F:\WINDOWS\system32\wbem\wmiapsrv.exe
F:\Program Files\MagicTune Premium\MagicTune.exe
F:\Documents and Settings\Administrateur\SmitfraudFix\Policies.exe
F:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» F:\


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur


»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» F:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau



»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="F:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 172.16.0.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Je suis désormais sur qu'une clé est bloqué/rootkité :

après beaucoup de recherche j'ai trouvé une clé de mon registre qui semble infecté, elle est inaccessible avec regedit et seulement avec gmer.

Mais gmer ne peut pas la supprimer, juste la modifier, la clé est :

HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System

Ou plus exactement :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sys tem@OODEFRAG12.00.00.01PROFESSIONAL

La valeur de cette clé est énorme, je pense que vu la grandeur ce doit être du code.

Je crois me souvenir que combofix la supprime quand je le lance mais rien n'y fait elle réapparait constamment.

Si je ne me trompe pas, le fait qu'elle apparaisse en rouge dans combofix et qu'elle soit inaccessible via regedit signifie qu'elle est "rootkité" et que le pilote/processus/module/service du rootkit est encore en marche...


Quelqu'un aurait il une solution?
0
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 350
15 déc. 2009 à 06:42
le probleme d'origine n'est peut etre pas là où l'on pense
on va essayer plusieurs solutions
Télécharge UsbFix (de Chiquitine29) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

--> Lance l'installation avec les paramêtres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

Cliquez sur le bouton 3 fois sur Suivant pour passer à l'étape suivante
puis Cliquez sur le bouton Démarrer et enfin Quitter

Une nouvelle icône sur le bureau te permet de démarrer le programme. Double-clique dessus.
Là tu fait L'option 1 Recherche

connecte clés usb,,disque dur externe,,

appuyez sur une touche

et ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan est proposé... appuye sur une touche pour ouvrir ce rapport.
copier/coller ce rapport dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html

-------------------------------

0