Rootkit trés coriace
Fermé
Nilsou
Messages postés
1
Date d'inscription
vendredi 4 décembre 2009
Statut
Membre
Dernière intervention
4 décembre 2009
-
4 déc. 2009 à 01:50
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 - 15 déc. 2009 à 06:42
sherred Messages postés 8345 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 4 avril 2019 - 15 déc. 2009 à 06:42
A voir également:
- Rootkit trés coriace
- Anti rootkit - Télécharger - Antivirus & Antimalwares
- Rootkit hunter - Télécharger - Antivirus & Antimalwares
- Rootkit buster - Télécharger - Antivirus & Antimalwares
- Rootkit gen ✓ - Forum Virus / Sécurité
- Avg anti rootkit - Télécharger - Antivirus & Antimalwares
4 réponses
sherred
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
350
4 déc. 2009 à 12:40
4 déc. 2009 à 12:40
Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
http://siri.urz.free.fr/Fix/SmitfraudFix.php
- Enregistre-le sur le bureau
- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée
- Un rapport sera généré, poste-le dans ta prochaine réponse stp.
Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php
http://siri.urz.free.fr/Fix/SmitfraudFix.php
- Enregistre-le sur le bureau
- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée
- Un rapport sera généré, poste-le dans ta prochaine réponse stp.
Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php
Voici le rapport smitfraudfix :
SmitFraudFix v2.424
Rapport fait à 22:40:57,01, 14/12/2009
Executé à partir de F:\Documents and Settings\Administrateur\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Analog Devices\Core\smax4pnp.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\Program Files\ASUS\AASP\1.00.01\aaCenter.exe
F:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\Analog Devices\SoundMAX\smax4.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
F:\Program Files\a-squared Free\a2service.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDPop3.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDRSS.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
F:\Program Files\MagicTune Premium\MagicTuneEngine.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Mozilla Firefox 3.6 Beta 1\firefox.exe
F:\WINDOWS\system32\wbem\wmiapsrv.exe
F:\Program Files\MagicTune Premium\MagicTune.exe
F:\Documents and Settings\Administrateur\SmitfraudFix\Policies.exe
F:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» F:\
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» F:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="F:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 172.16.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
SmitFraudFix v2.424
Rapport fait à 22:40:57,01, 14/12/2009
Executé à partir de F:\Documents and Settings\Administrateur\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Program Files\Avira\AntiVir Desktop\sched.exe
F:\WINDOWS\Explorer.EXE
F:\Program Files\Analog Devices\Core\smax4pnp.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
F:\Program Files\Avira\AntiVir Desktop\avgnt.exe
F:\Program Files\ASUS\AASP\1.00.01\aaCenter.exe
F:\Program Files\ASUS\Ai Suite\AiNap\AiNap.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Program Files\Logitech\GamePanel Software\LgDevAgt.exe
F:\Program Files\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
F:\Program Files\Logitech\GamePanel Software\G-series Software\LGDCore.exe
F:\Program Files\Analog Devices\SoundMAX\smax4.exe
F:\Program Files\Logitech\SetPoint\SetPoint.exe
F:\Program Files\Fichiers communs\Logishrd\KHAL2\KHALMNPR.EXE
F:\Program Files\a-squared Free\a2service.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDClock.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDCountdown.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDPop3.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDMedia.exe
F:\Program Files\Logitech\GamePanel Software\Applets\LCDRSS.exe
F:\Program Files\Avira\AntiVir Desktop\avguard.exe
F:\WINDOWS\System32\svchost.exe
F:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
F:\Program Files\MagicTune Premium\MagicTuneEngine.exe
F:\WINDOWS\system32\svchost.exe
F:\Program Files\Mozilla Firefox 3.6 Beta 1\firefox.exe
F:\WINDOWS\system32\wbem\wmiapsrv.exe
F:\Program Files\MagicTune Premium\MagicTune.exe
F:\Documents and Settings\Administrateur\SmitfraudFix\Policies.exe
F:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» F:\
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\Web
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32
»»»»»»»»»»»»»»»»»»»»»»»» F:\WINDOWS\system32\LogFiles
»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur
»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
»»»»»»»»»»»»»»»»»»»»»»»» F:\Documents and Settings\Administrateur\Application Data
»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer
»»»»»»»»»»»»»»»»»»»»»»»» F:\DOCUME~1\ADMINI~1\Favoris
»»»»»»»»»»»»»»»»»»»»»»»» Bureau
»»»»»»»»»»»»»»»»»»»»»»»» F:\Program Files
»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues
»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau
»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="F:\\WINDOWS\\system32\\userinit.exe,"
»»»»»»»»»»»»»»»»»»»»»»»» RK
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» DNS
Description: Marvell Yukon 88E8056 PCI-E Gigabit Ethernet Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 172.16.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\..\{7868F620-8366-40BA-8F38-BA906CC2051C}: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=172.16.0.254
»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
Je suis désormais sur qu'une clé est bloqué/rootkité :
après beaucoup de recherche j'ai trouvé une clé de mon registre qui semble infecté, elle est inaccessible avec regedit et seulement avec gmer.
Mais gmer ne peut pas la supprimer, juste la modifier, la clé est :
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System
Ou plus exactement :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sys tem@OODEFRAG12.00.00.01PROFESSIONAL
La valeur de cette clé est énorme, je pense que vu la grandeur ce doit être du code.
Je crois me souvenir que combofix la supprime quand je le lance mais rien n'y fait elle réapparait constamment.
Si je ne me trompe pas, le fait qu'elle apparaisse en rouge dans combofix et qu'elle soit inaccessible via regedit signifie qu'elle est "rootkité" et que le pilote/processus/module/service du rootkit est encore en marche...
Quelqu'un aurait il une solution?
après beaucoup de recherche j'ai trouvé une clé de mon registre qui semble infecté, elle est inaccessible avec regedit et seulement avec gmer.
Mais gmer ne peut pas la supprimer, juste la modifier, la clé est :
HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System
Ou plus exactement :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Sys tem@OODEFRAG12.00.00.01PROFESSIONAL
La valeur de cette clé est énorme, je pense que vu la grandeur ce doit être du code.
Je crois me souvenir que combofix la supprime quand je le lance mais rien n'y fait elle réapparait constamment.
Si je ne me trompe pas, le fait qu'elle apparaisse en rouge dans combofix et qu'elle soit inaccessible via regedit signifie qu'elle est "rootkité" et que le pilote/processus/module/service du rootkit est encore en marche...
Quelqu'un aurait il une solution?
sherred
Messages postés
8345
Date d'inscription
samedi 26 janvier 2008
Statut
Membre
Dernière intervention
4 avril 2019
350
15 déc. 2009 à 06:42
15 déc. 2009 à 06:42
le probleme d'origine n'est peut etre pas là où l'on pense
on va essayer plusieurs solutions
Télécharge UsbFix (de Chiquitine29) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
--> Lance l'installation avec les paramêtres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
Cliquez sur le bouton 3 fois sur Suivant pour passer à l'étape suivante
puis Cliquez sur le bouton Démarrer et enfin Quitter
Une nouvelle icône sur le bureau te permet de démarrer le programme. Double-clique dessus.
Là tu fait L'option 1 Recherche
connecte clés usb,,disque dur externe,,
appuyez sur une touche
et ne touche plus a rien pendant le scan
Une fois l'analyse terminée, un rapport de scan est proposé... appuye sur une touche pour ouvrir ce rapport.
copier/coller ce rapport dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html
-------------------------------
on va essayer plusieurs solutions
Télécharge UsbFix (de Chiquitine29) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
--> Lance l'installation avec les paramêtres par défaut
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d avoir été infectés sans les ouvrir
--> Double clic sur le raccourci UsbFix sur ton bureau
Cliquez sur le bouton 3 fois sur Suivant pour passer à l'étape suivante
puis Cliquez sur le bouton Démarrer et enfin Quitter
Une nouvelle icône sur le bureau te permet de démarrer le programme. Double-clique dessus.
Là tu fait L'option 1 Recherche
connecte clés usb,,disque dur externe,,
appuyez sur une touche
et ne touche plus a rien pendant le scan
Une fois l'analyse terminée, un rapport de scan est proposé... appuye sur une touche pour ouvrir ce rapport.
copier/coller ce rapport dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html
-------------------------------