backdoor.win32.agent.ich infection [en cours]

Question

Bonjour à toute la communauté,


Alors, j'ai xp sp2, 
Antivirus/malware: mcaffee + spybot + a²
Je surfe sur une url pourrite : je me choppe la "security centre alert" boîte :
backdoor.win32.agent.ich
Qui installe un soft que je vire illico,
Je lance a² > j'élimine le trojan

Je Redémarre > raté :(
le système tente de désinstaller mcaffee sans succès mais réussit à le désactiver
je lance mbam > qui ne se lance pas, mais le gestionnaire des tache me dit qu'il est lancé. 
J'ai essayé la restauration système jusqu'à la manip: /i mshtml puis erreur oxc ou ocx puis j'ai tenté de remettre avec sysrestorecalendar.zip >> rien.

Bref, je me dis OK battu sur la brèche ^^

Je lance un hijackthis
et là bim! > "l'administrateur système a configuré la politique de votre système pour interdire cette installation".

bon je relance un a² en mode rusé et je poste ici depuis l'autre PC voire qui aura une solution des fois que...

Merci pour votre aide

Xplode · Answer

Salut,

Stoppe l'analyse avec a² ( qui est vraiment bof ) et fais ceci :

-+-+-+-> ZHPDiag <-+-+-+-


[x] Télécharge ZHPDiag ( de Nicolas coolman ).

[x] Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

[x] Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau

[x] Clique sur l'icône en forme de loupe ( en haut à gauche ), puis laisse l'outil scanner.

[x] Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

[x] Rend toi sur Cijoint

[x] Clique sur " Parcourir " 

[x] Séléctionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

[x] Clique ensuite sur " Cliquez ici pour déposer le fichier " puis copie/colle le lien qui est apparudans ton prochain message

alacta · Answer

au fait je manipule une clef usb entre les deux pc hein

Xplode · Answer

On aura surement besoin de la désinfecter. J'attend ton rapport ZHPDiag

alacta · Answer

ben je l'ai déposé... je devais l'enregistrer en mode txt ou log ?

Xplode · Answer

Il faut que tu me donnes le lien cijoint.

Il a cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200912/cijE6Wo0pA.txt

alacta · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cijqfJgfoe.txt

Xplode · Answer

Ok.. on a du vundo.

Fais ceci :

-+-+-+-> SuperAntiSpyware <-+-+-+-


[x] Télécharge SuperAntiSpyware.

[x] Installe le avec les paramètres par défaut.

[x] A la fin de l'installation, il se lancera et te demandera de choisir la langue du programme, choisis français.

[x] Le programme te proposera ensuite de le mettre à jour, fait le.

[x] Un assistant de configuration s'ouvrira, fais suivant en laissant les paramètres par défaut

[x] SuperAntiSpyware s'ouvrira. Clique sur " Scanner votre ordinateur ".

[x] Coche " Executer scan complet " et clique sur " Suivant ".

[x] Laisse le scan s'opérer.

[x] A la fin du scan, vérifie que tout est coché puis clique sur " Suivant " 

[x] Clique ensuite sur terminer, puis clique sur " Préférences ".

[x] Va à l'onglet " Statistiques/Journaux de bord " , séléctionne celui en date d'aujourd'hui puis clique sur " Voir le journal de bord "

[x] Copie/Colle son contenu dans ton prochain message.

[x] Note : tu peux vider la quarantaine ( " La gestion de la quarantaine " au menu principal )

alacta · Answer

pour la mise à jour, il faut que je sois connecté au net non ?
j'ai débranché le câble réseau et j'ai redémarré sans prise en compte du réseau... même branché je n'ai pas accès au net normalement

alacta · Answer

Je ne peux pas l'installer : SuperAntiSpyware a rencontré un problème et doit fermer..

tu veux le rapport d'erreur ?

Xplode · Answer

Essaie ceci :

-+-+-+-> AD-Remover <-+-+-+-


[x] Télécharge Ad-remover (de C_XX) sur ton bureau.

&#x25B6; Déconnecte toi et ferme toutes applications en cours !

[x] Double-clique sur le raccourci Ad-Remover sur ton Bureau. (Clic droit -> "Exécuter en tant qu'administrateur". ( Pour Vista))

[x] A la fenêtre qui s'affiche clique sur " oui "

[x] Séléctionne l'option L

[x] Laisse l'outil travailler.

[x] Une fois le scan fini, appuie sur une touche, le rapport s'ouvre

[x] Copie/colle le dans ton prochain post

alacta · Answer

hum... c'est normal que la progression du scan affiche 4% sans progresser ?

ah non ok 8%...

alacta · Answer

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_F | UNIQUEMENT XP/VISTA/7 =======
.
Mit à jour par C_XX le 19.12.2009 à 18:14
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 19:22:58, 19/12/2009 | Mode sans echec | Option: CLEAN
Exécuté de: C:\Program Files\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™  Service Pack 2 v5.1.2600
Nom du PC: NES | Utilisateur actuel: Administrateur
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\Program Files\Viewpoint
C:\DOCUME~1\ALLUSE~1\APPLIC~1\Viewpoint

(!) -- Fichiers temporaires supprimés.
 
.
HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\{4D25F926-B9FE-4682-BF72-8AB8210D6D75} 
HKLM\Software\Classes\CLSID\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\software\MetaStream
HKLM\Software\Microsoft\Active Setup\Installed Components\{03F998B2-0E00-11D3-A498-00104B6EB52E}
HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}
HKLM\software\microsoft\windows\currentversion\uninstall\ViewpointMediaPlayer
HKLM\software\Viewpoint
.
============== Scan additionnel ==============
.
.
* Internet Explorer Version 7.0.5730.11 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Search Bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Use Search Asst: no
Use Custom Search URL: 00000000
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main\Start Page
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
===================================
.
2416 Octet(s) - C:\Ad-Report-CLEAN[1].log 
.
0 Fichier(s) - C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp 
0 Fichier(s) - C:\WINDOWS\Temp 
0 Fichier(s) - C:\WINDOWS\Prefetch 
.
17 Fichier(s) - C:\Program Files\Ad-Remover\BACKUP
50 Fichier(s) - C:\Program Files\Ad-Remover\QUARANTINE 
.
Fin à: 20:00:01 | 19/12/2009 - CLEAN[1]
.
============== E.O.F ==============
.

Xplode · Answer

Renomme l'installateur de superantispyware en ' firefox.exe ' puis installe le. Passe ensuite un scan

alacta · Answer

en fait ça ne se lance pas et j'ai ce message : "l'administrateur système a configuré la politique de votre système pour interdire cette  installation "

on voit bien que l'installer est stoppé. y'a msieexec.exe qui tourne aussi.

alacta · Answer

Allo HOUSTON...? On a un problème ?
Une autre question :
Est-ce que je pourrais tenter un restore via l'invite de commande...?
J'en ai une potable du 14.12

Tiens, je viens de me rappeler qu'au début du problème (quand la boîte "security centre alert" s'est ouverte), y'a adobe pdf qui s'est lancé... Si ça peut aider...

Entre temps, je me suis demandé : "Quoi, ce serait moi qui aie bloqué windows installer ?" 
Ce serait étonnant, j'ai réussi à installer d'autres softs sans problème la veille du problème..

Xplode · Answer

Hello.

Une restauration.. faut voir. En général, les malwares se cachent dedans. Mais si tu as possibilité d'en faire une, fais le. Poste moi ensuite un nouveau rapport ZHPDiag histoire de vérifier qu'il n'y a rien d'autre.

alacta · Answer

je fais juste un scanreg/restore 
ou il faut que je le lance de C:/WINDOWS/??/restore

et est-ce que je me log en admin ou ma session ?

Xplode · Answer

scanreg/restore ? Je connais pas.

Pour restaurer via l'invite de commande :

-> Démarrer, executer. Tu tapes '' cmd ''

-> Dans l'invite de commande, tu saisis : %windir%\system32\restore\rstrui.exe

-> Tu valides par ' entrée ' , et tu suis les indications données.

alacta · Answer

ha parce que j'ai lancé le démarrage en invite de commande directement, je crois que je ne vais pas tomber sur le bureau normalement.

en fait je pensais lancer le restore avec ça :
Sauvegarde et Restauration par le MS-DOS

Redémarrez en MS-DOS, puis, une fois au prompt, tapez la commande :

scanreg/restore

Un écran bleu apparaît et nous demande de sélectionner la sauvegarde, précédemment effectuer à restaurer. Normalement, on doit avoir 5 sauvegardes classées par ordre chronologiques. On sélectionne la dernière en date.

Pour infos une petite liste des options de la commande SCANREG :

    * /backup: sauve la base sans message utilisateur
    * /restore: affiche la liste des sauvegardes disponibles
    * /fix: la répare
    * /autoscan : scanne la base à chaque lancement mais ne la sauvegarde qu'une fois par jour (utilisé comme commande dans autoexec.bat).
    * /scanonly : scanne la base de registre et retourne les erreurs éventuelles mais ne fait pas de backup.
    * /opt : défragmente la base de registre et optimise celle-ci.

Xplode · Answer

Si tu as lancé en invite de commande en mode sans échec, c'est pareil.

alacta · Answer

bon j"ai essayé avec %windir%\system32\restore\rstrui.exe 
j'ai trouvé un point de restauration mais une fois que je vais "suivant" il ne se passe rien.

en fait, je pensais lancer le restore avec ça : https://www.commentcamarche.net/faq/363-la-base-de-registre-de-windows#sauvegarder-la-base-de-registre#sauvegarde-et-restauration-par-le-ms-dos
Sauvegarde et Restauration par le MS-DOS
Redémarrez en MS-DOS, puis, une fois au prompt, tapez la commande :
scanreg/restore 
Un écran bleu apparaît et nous demande de sélectionner la sauvegarde, précédemment effectuer à restaurer. Normalement, on doit avoir 5 sauvegardes classées par ordre chronologiques. On sélectionne la dernière en date.

Pour infos une petite liste des options de la commande SCANREG :

    * /backup: sauve la base sans message utilisateur
    * /restore: affiche la liste des sauvegardes disponibles
    * /fix: la répare
    * /autoscan : scanne la base à chaque lancement mais ne la sauvegarde qu'une fois par jour (utilisé comme commande dans autoexec.bat).
    * /scanonly : scanne la base de registre et retourne les erreurs éventuelles mais ne fait pas de backup.
    * /opt : défragmente la base de registre et optimise celle-ci.

alacta · Answer

Bon, j'ai fait comme tu as dit mais ça reste sur la boîte "restauration du système" avec les messages en rouge "attention : avant de continuer..." et le bouton "suivant" en surbrillance. Je ne devrais pas avoir un autre écran ?

Xplode · Answer

Le scanreg/restore c'est pour restaurer le registre seulement. Dans ton cas, ca ne fonctionnera pas.

Refais moi un ZHPDiag stp.

alacta · Answer

http://www.cijoint.fr/cjlink.php?file=cj200912/cijbqVxhRW.txt

J'ai oublié de dire qu'à un moment winpatrol m'a prévenu que le système a voulu remplacer ieframe.dll par une autre (dans le genre svdhr.dll, mais je ne suis pas sûr du nom

Xplode · Answer

-+-+-+-+-> ComboFix <-+-+-+-


[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " Combofix.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

alacta · Answer

Il se lance mais rien n'apparait.
J'ai tenté "ouvrir en tant que..." mais ça dit que je ne peux pas l'ouvrir en mode sans échec. 

Je tente de l'ouvrir sur ma session sans mode sans échec ?
tin, j'ai honte de te faire bosser un dimanche...

alacta · Answer

Est-ce que je tente ça ?

Problème
    * Lorsque je veux installer un programme, j’ai le message suivant "L’administrateur système a configuré la politique de votre système pour interdire cette installation

Solution
    *  modifier dans la base de registre la clé suivante :
- HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\Installer
- "EnableAdminTSRemote"="1" ou "DisableMSI"="0"

Bn, je viens de regarder : 
je n'ai pas 
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows
mais juste 
HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\SystemCertificates

Sinon, j'ai retenté les installations de superantispyware : le soft se decompresse pour l'install et ça me remet "L’administrateur système a configuré la politique de votre système pour interdire cette installation"
De même pour combofix et hijackthis...

Xplode · Answer

Bizarre.. Tu avais ca avant ou c'est apparu d'un seul coup ?

Puisque tu as accès a ZHPDiag, on va supprimer l'infection manuellement.

Refais un scan avec ZHPDiag, clique ensuite sur l'écusson vert '' ZHPFix ''.

Coche ces lignes ( uniquement ) :

O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\System32\winzzd32.dll      
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\$~$Sys0$.job
O40 - ASIC: Microsoft .NET Framework 1.0 Hotfix (KB887998) - {6D0663F6-2F62-44BA-0F11-3DAA14664ADB} - (not file)
O44 - LFC:Last File Created 19/12/2009 - 17:17:44 ---A- C:\WINDOWS\System32\srcr.dat 
O44 - LFC:Last File Created 19/12/2009 - 09:22:18 ---A- C:\WINDOWS\System32\krl32mainweq.dll
O47 - AAKE:Key Export SP - "C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe"="C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe:*:Enabled:ST330 service"
O47 - AAKE:Key Export SP - "C:\games\Call of Duty\CoDUOMP_ori.exe"="C:\games\Call of Duty\CoDUOMP_ori.exe:*:Disabled:CoDUOMP_ori"

Clique ensuite sur '' Nettoyer '' puis poste moi le rapport de suppression.

alacta · Answer

Pour ta question, ça concerne quoi ?

Sinon le rapport voilà :
ZHPFix v1.12.23  by Nicolas Coolman - Rapport de suppression du 20/12/2009 12:42:49
Fichier d'export Registre : C:\ZHPExportRegistry-20-12-2009-12-42-49.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O20 - Winlogon Notify: winzzd32 - C:\WINDOWS\System32\winzzd32.dll  => Clé supprimée avec succès
O40 - ASIC: Microsoft .NET Framework 1.0 Hotfix (KB887998) - {1BC46932-21B2-4130-86E0-B4EB4F7A7A7B} - (not file)  => Clé supprimée avec succès

Valeur du Registre :
O47 - AAKE:Key Export SP - "C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe"="C:\Program Files\Thomson SpeedTouch\ST330\service\st330service.exe:*:Enabled:ST330 service"  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "C:\games\Call of Duty\CoDUOMP_ori.exe"="C:\games\Call of Duty\CoDUOMP_ori.exe:*:Disabled:CoDUOMP_ori"  => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
c:\windows\system32\winzzd32.dll  => Fichier absent
c:\windows	asks\$~$sys0$.job  => Supprimé et mis en quarantaine
c:\windows\system32\srcr.dat  => Supprimé et mis en quarantaine
c:\windows\system32\krl32mainweq.dll  => Supprimé et mis en quarantaine

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 2
Elément de données du Registre : 0
Dossier : 0
Fichier : 4
Logiciel : 0
Autre : 0


End of the scan

Xplode · Answer

La question concernait le message '' l'administrateur système[...] "

Est ce que tu peux installer malwarebyte's ou superantispyware maintenant ?

alacta · Answer

Donc pour ta réponse : c'est arrivé comme ça, jamais eu avant.

pour installation de malwarebytes : le setup se lance dans les tâches mais il ne se passe rien.
pour l'installation de superantispyware : le soft se lance et est arrêté par l'administrateur système...

Je n'ai pas redémarré entre deux, aurait-il fallu ?

Xplode · Answer

Oui, redémarre et réessaie.

Sinon, essaie ceci :

-+-+-+-> Gmer <-+-+-+-


[x] Télécharge GMER

[x] Dézippe le sur ton bureau, puis lance GMER en double cliquant dessus ( Clic droit -> Executer en tant qu'admin sur vista )

/!\ Désactive ton antivirus le temps du scan /!\

[x] Dans l'onglet " Rootkit " , laisse toutes les cases cochées à droite.

[x] Clique sur " Scan "

[x] Si tu observes des lignes rouges, fais un clic droit dessus puis séléctionne " Delete ... "

[x] Lorsque le scan est terminé, clique sur " Copy " , ouvre le bloc note et clique sur Edition -> Coller

[x] Enregistre le fichier sur ton bureau et copie/colle le contenu dans ton prochain message.

Nb : Un tutoriel est disponible ici pour t'aider.

alacta · Answer

j'ai réessayé : toujours le même soucis.
Pour gmer, j'ai tenté > comme malwarebytes > il ne se passe rien mais il est lancé. je l'ai renommé en plop et là il s'est ouvert.
il a commencé a rouler tout seul et là il me met un warning : gmer has found system modification, witch might has been caused by ROOTKIT activity. Dou you want to fully scan your system ?
Oui, "dou" au lieu de "do"
la modif  : dans services :
win\system32\driver\H8SRTrylagysxo.sys [*** hidde... 
valeur :[SYSTEM] H8SRTd.sys 
(j'ai pas tout le reste)

je clique OK au fully scan alors ?

Xplode · Answer

Sûrement une erreur de frappe, tu as fais le scan complet ?

Retélécharge combofix, mais renomme le en CCM.exe avant le téléchargement, puis exécute le.

alacta · Answer

ha non j'attendais ta réponse. 
je tenterai ensuite le combo

gmer scan toujours et les éléments en rouge concernent uniquement pour le moment les H8SRT pour deux dll hidden : rylagyxho et ootwmhcncf dans les types module, library et service.
et ça scanne toujours

alacta · Answer

le scan n'est pas fini et les seuls éléments en rouge sont toujours les mêmes. 
C'est long... ^^

alacta · Answer

En effet c'est très long...

Xplode · Answer

Oui, le scan GMER est assez long.

alacta · Answer

je n'ai pu deleter qu'une seule ligne (j'ai fait un screen au besoin) je n'ai pas désactiver [SYSTEM]
macafee a tout de suite redémarré. j'ai désactivé les éléments et j'ai lancé combofix qui était en train de récupérer la console (36%) mais le net s'est coupé et ce matin le net est revenu puis reparti mais c'est resté quand même bloqué... sur la récup de la console, je sais pas trop quoi faire alors j'ai laissé comme ça pour le moment.
Là je maile du boulot...

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2009-12-20 23:52:00
Windows 5.1.2600 Service Pack 2
Running: plop.exe; Driver: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\pxtdqpob.sys


---- System - GMER 1.0.15 ----

Code     89A0E838                                                                                                             ZwEnumerateKey
Code     899F2A40                                                                                                             ZwFlushInstructionCache
Code     89997B4E                                                                                                             IofCallDriver
Code     899A48D6                                                                                                             IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text    ntoskrnl.exe!IofCallDriver                                                                                           804E13A7 5 Bytes  JMP 89997B53 
.text    ntoskrnl.exe!IofCompleteRequest                                                                                      804E17BD 5 Bytes  JMP 899A48DB 
PAGE     ntoskrnl.exe!ZwEnumerateKey                                                                                          80578EE4 5 Bytes  JMP 89A0E83C 
PAGE     ntoskrnl.exe!ZwFlushInstructionCache                                                                                 805873DB 5 Bytes  JMP 899F2A44 
?        C:\WINDOWS\system32\drivers\sptd.sys                                                                                 Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
?        C:\WINDOWS\System32\Drivers\SPTD6109.SYS                                                                             Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
.text    dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                                          BA6184D0 16 Bytes  [79, 80, A2, 4C, 12, 9F, CA, ...] {JNS 0xffffffffffffff82; MOV [0xca9f124c], AL; MOV DH, [EDI+0x58]; SUB AL, [EDI+ESI*2]; DEC EBX; MOV BH, 0x6c}
.text    dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                                     BA6184E1 31 Bytes  [70, 61, BA, 80, 7F, AF, 45, ...]
?        C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                               Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT      pci.sys[ntoskrnl.exe!IoDetachDevice]                                                                                 [F7514DB2] sptd.sys
IAT      pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                    [F752A71E] sptd.sys
IAT      ftdisk.sys[ntoskrnl.exe!IoGetAttachedDeviceReference]                                                                [F75153B2] sptd.sys
IAT      ftdisk.sys[ntoskrnl.exe!IoGetDeviceObjectPointer]                                                                    [F75152B6] sptd.sys
IAT      ftdisk.sys[ntoskrnl.exe!IofCallDriver]                                                                               [F7515482] sptd.sys
IAT      dmio.sys[ntoskrnl.exe!IofCallDriver]                                                                                 [F7515482] sptd.sys
IAT      dmio.sys[ntoskrnl.exe!IoGetAttachedDeviceReference]                                                                  [F75153B2] sptd.sys
IAT      dmio.sys[ntoskrnl.exe!IoGetDeviceObjectPointer]                                                                      [F75152B6] sptd.sys
IAT      PartMgr.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                [F752A032] sptd.sys
IAT      PartMgr.sys[ntoskrnl.exe!IoDetachDevice]                                                                             [F7514F6E] sptd.sys
IAT      atapi.sys[ntoskrnl.exe!IofCompleteRequest]                                                                           [F7529C76] sptd.sys
IAT      atapi.sys[ntoskrnl.exe!IoConnectInterrupt]                                                                           [F7514E06] sptd.sys
IAT      atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                   [F7507A32] sptd.sys
IAT      atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                           [F7507B6E] sptd.sys
IAT      atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                  [F7507AF6] sptd.sys
IAT      atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                          [F75086CC] sptd.sys
IAT      atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                  [F75085A2] sptd.sys
IAT      disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                                                   [F752A864] sptd.sys
IAT      \WINDOWS\system32\DRIVERS\CLASSPNP.SYS[ntoskrnl.exe!IoDetachDevice]                                                  [F7519F78] sptd.sys
IAT      \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!IofCompleteRequest]                                            [F7529C76] sptd.sys
IAT      \SystemRoot\system32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack]                                     [F752A864] sptd.sys

---- Devices - GMER 1.0.15 ----

Device   \FileSystem\Ntfs \Ntfs                                                                                               89C09BF8
Device   \FileSystem\Fastfat \FatCdrom                                                                                        8976C9D8
Device   \FileSystem\Udfs \UdfsCdRom                                                                                          899450E8
Device   \FileSystem\Udfs \UdfsDisk                                                                                           899450E8
Device   \Driver\dmio \Device\DmControl\DmIoDaemon                                                                            89BBC490
Device   \Driver\dmio \Device\DmControl\DmConfig                                                                              89BBC490
Device   \Driver\dmio \Device\DmControl\DmPnP                                                                                 89BBC490
Device   \Driver\dmio \Device\DmControl\DmInfo                                                                                89BBC490
Device   \Driver\00000515 \Device\00000053                                                                                    sptd.sys
Device   \Driver\USBSTOR \Device\00000070                                                                                     89945A70
Device   \Driver\Ftdisk \Device\HarddiskVolume1                                                                               89BBC748
Device   \Driver\Ftdisk \Device\HarddiskVolume2                                                                               89BBC748
Device   \Driver\Ftdisk \Device\HarddiskVolume3                                                                               89BBC748
Device   \Driver\atapi \Device\Ide\IdePort0                                                                                   [F78452F0] atapi.sys[unknown section] {MOV EAX, 0x89c09008; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device   \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3                                                                          [F78452F0] atapi.sys[unknown section] {MOV EAX, 0x89c09008; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device   \Driver\atapi \Device\Ide\IdePort1                                                                                   [F78452F0] atapi.sys[unknown section] {MOV EAX, 0x89c09008; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device   \Driver\atapi \Device\Ide\IdePort2                                                                                   [F78452F0] atapi.sys[unknown section] {MOV EAX, 0x89c09008; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device   \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e                                                                          [F78452F0] atapi.sys[unknown section] {MOV EAX, 0x89c09008; XCHG [ESP], EAX; PUSH EAX; PUSH 0xf751c442; RET }
Device   \Driver\Cdrom \Device\CdRom1                                                                                         89A81CE0
Device   \Driver\Disk \Device\Harddisk1\DP(1)0-0+5                                                                            89C09EB0
Device   \Driver\USBSTOR \Device\0000006f                                                                                     89945A70
Device   \FileSystem\Npfs \Device\NamedPipe                                                                                   899A38E0
Device   \Driver\Ftdisk \Device\FtControl                                                                                     89BBC748
Device   \FileSystem\Msfs \Device\Mailslot                                                                                    8998B8D8
Device   \Driver\dtscsi \Device\Scsi\dtscsi1Port3Path0Target1Lun0                                                             89AD00E8
Device   \Driver\dtscsi \Device\Scsi\dtscsi1                                                                                  89AD00E8
Device   \Driver\dtscsi \Device\Scsi\dtscsi1Port3Path0Target2Lun0                                                             89AD00E8
Device   \Driver\dtscsi \Device\Scsi\dtscsi1Port3Path0Target0Lun0                                                             89AD00E8
Device   \FileSystem\Fastfat \Fat                                                                                             8976C9D8
Device   \FileSystem\Cdfs \Cdfs                                                                                               8994ABB0

---- Modules - GMER 1.0.15 ----

Module   \systemroot\system32\drivers\H8SRTrylagysxho.sys (*** hidden *** )                                                   BA4D4000-BA4F1000 (118784 bytes)                                                                                                                                     
---- Processes - GMER 1.0.15 ----

Library  \?\globalroot\systemroot\system32\H8SRTootwmhcncf.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [628]     0x10000000                                                                                                                                                           
Library  \?\globalroot\systemroot\system32\H8SRTootwmhcncf.dll (*** hidden *** ) @ C:\WINDOWS\system32\svchost.exe [692]     0x10000000                                                                                                                                                           
Library  \?\globalroot\systemroot\system32\H8SRTootwmhcncf.dll (*** hidden *** ) @ C:\WINDOWS\Explorer.EXE [960]             0x10000000                                                                                                                                                           

---- Services - GMER 1.0.15 ----

Service  C:\WINDOWS\system32\drivers\H8SRTrylagysxho.sys (*** hidden *** )                                                    [SYSTEM] H8SRTd.sys                                                                                                                                                   <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys                                                                    
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@start                                                              1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@type                                                               1
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@imagepath                                                          \systemroot\system32\drivers\H8SRTrylagysxho.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys@group                                                              file system
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules                                                            
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTd                                                     \?\globalroot\systemroot\system32\drivers\H8SRTrylagysxho.sys
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTc                                                     \?\globalroot\systemroot\system32\H8SRTnkaopulxxo.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@H8SRTsrcr                                                  \?\globalroot\systemroot\system32\H8SRTuktpuamqqk.dat
Reg      HKLM\SYSTEM\CurrentControlSet\Services\H8SRTd.sys\modules@h8srtserf                                                  \?\globalroot\systemroot\system32\H8SRTootwmhcncf.dll
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4                                     
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                  C:\games\DAEMON Tools\
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                  0
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                               0x90 0x60 0xBA 0xAC ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001                            
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                         0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                      0x09 0x22 0xCC 0x95 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40                      
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                0x4F 0x33 0xC5 0xE1 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41                      
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                0xD2 0xAE 0xAF 0x19 ...
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42                      
Reg      HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                0x63 0x2D 0xC7 0x65 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys (not active ControlSet)                                                
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@start                                                                  1
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@type                                                                   1
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@imagepath                                                              \systemroot\system32\drivers\H8SRTrylagysxho.sys
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys@group                                                                  file system
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules (not active ControlSet)                                        
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTd                                                         \?\globalroot\systemroot\system32\drivers\H8SRTrylagysxho.sys
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTc                                                         \?\globalroot\systemroot\system32\H8SRTnkaopulxxo.dll
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@H8SRTsrcr                                                      \?\globalroot\systemroot\system32\H8SRTuktpuamqqk.dat
Reg      HKLM\SYSTEM\ControlSet003\Services\H8SRTd.sys\modules@h8srtserf                                                      \?\globalroot\systemroot\system32\H8SRTootwmhcncf.dll
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)                 
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0                                      C:\games\DAEMON Tools\
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0                                      0
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh                                   0x90 0x60 0xBA 0xAC ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)        
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0                             0x20 0x01 0x00 0x00 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh                          0x09 0x22 0xCC 0x95 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh                    0x4F 0x33 0xC5 0xE1 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41 (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41@khjeh                    0xD2 0xAE 0xAF 0x19 ...
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42 (not active ControlSet)  
Reg      HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42@khjeh                    0x63 0x2D 0xC7 0x65 ...

---- Files - GMER 1.0.15 ----

File     C:\Documents and Settings\Antoine\Local Settings\Temp\H8SRT998.tmp                                                   343040 bytes executable
File     C:\WINDOWS\system32\H8SRTnkaopulxxo.dll                                                                              23040 bytes executable
File     C:\WINDOWS\system32\H8SRTootwmhcncf.dll                                                                              36864 bytes executable
File     C:\WINDOWS\system32\H8SRTuktpuamqqk.dat                                                                              202 bytes

---- EOF - GMER 1.0.15 ----

Xplode · Answer

Service C:\WINDOWS\system32\drivers\H8SRTrylagysxho.sys (*** hidden *** ) [SYSTEM] H8SRTd.sys <-- ROOTKIT !!!

En effet, y'a du rootkit.

-+-+-+-+-> ComboFix <-+-+-+-

[x] Télécharge ComboFix ( de sUBs ) à cette adresse.

IMPORTANT -> Fais clic croit sur le lien -> '' Enregistrer la cible sous '' puis renomme le - avant le téléchargement - en CCM.exe

[x] /!\ Fermez toutes les fenêtres de programme ouvertes /!\

[x] /!\ Désactivez toutes les protections résidentes ( Antivirus, Pare-Feu, AntiSpyware ) /!\

[x] Double clique sur " CCM.exe "

[x] Suis les indications qui sont données à l'écran, à un moment tu auras un message te demandant d'installer la console de récupération, fais le

[x] Combofix va maintenant déconnecter ton PC d'internet

[x] Pendant le scan, ne touche à rien ( souris, clavier )

[x] A la fin du scan, le rapport s'ouvrira automatiquement, copie/colle le dans ton prochain message.

[o] Nb : Si jamais il ne s'ouvrait pas, il se trouve sous C:\Combofix.txt

alacta · Answer

j'ai lancé combofix mais ça a planté au téléchargement de la console de récupération (CdR) (microsoft) parce que net est down chez moi (j'ai un routeur netgear, j'espère que ça n'est pas à cause de malwares... j'ai donc le log sans la CdR. j'ai aussi lancé hijackthis et je te joins le log aussi. LOG COMBOFIX ComboFix 09-12-19.01 - Antoine 21/12/2009 12:51:41.1.2 - x86 Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.2046.1538 [GMT 1:00] Lancé depuis: c:\documents and settings\Administrateur\Bureau\ComboFix.exe AV: McAfee VirusScan *On-access scanning enabled* (Updated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83} FW: McAfee Personal Firewall *disabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8} * Un antivirus résident est actif AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !! . (((((((((((((((((((((((((((((((((((( Autres suppressions )))))))))))))))))))))))))))))))))))))))))))))))) . c:\docume~1\Antoine\LOCALS~1\Temp\wscsvc32.exe c:\program files\Messenger\msnmsgr.exe c:\windows\kb913800.exe c:\windows\system32\components c:\windows\system32\Data c:\windows\system32\H8SRTnkaopulxxo.dll c:\windows\system32\H8SRTootwmhcncf.dll c:\windows\system32\H8SRTuktpuamqqk.dat . ((((((((((((((((((((((((((((((((((((((( Pilotes/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_H8SRTd.sys -------\Legacy_NPF -------\Service_H8SRTd.sys -------\Service_NPF ((((((((((((((((((((((((((((( Fichiers créés du 2009-11-21 au 2009-12-21 )))))))))))))))))))))))))))))))))))) . 2009-12-19 18:22 . 2009-12-19 19:00 -------- d-----w- c:\program files\Ad-Remover 2009-12-19 17:32 . 2009-12-20 11:42 -------- d-----w- c:\program files\ZHPDiag 2009-12-19 16:47 . 2009-12-19 16:47 -------- d-----w- c:\documents and settings\Administrateur\Application Data\DivX 2009-12-17 12:40 . 2009-12-18 17:22 -------- d-----w- c:\program files\Notepad++ . (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M )))))))))))))))))))))))))))))))))))))))))))))))) . 2009-12-19 17:17 . 2007-04-15 18:52 -------- d-----w- c:\program files\a-squared 2009-12-18 18:36 . 2006-06-29 21:30 -------- d-----w- c:\program files\McAfee 2009-12-17 11:43 . 2006-07-07 08:29 -------- d-----w- c:\program files\Mozilla Thunderbird 2009-12-17 11:43 . 2006-07-10 18:17 -------- d-----w- c:\documents and settings\Antoine\Application Data\Thunderbird 2009-12-14 17:34 . 2007-07-27 12:18 138376 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys 2009-12-14 17:34 . 2007-07-27 12:14 202448 ----a-w- c:\windows\system32\PnkBstrB.exe 2009-12-14 17:34 . 2007-07-26 16:26 66872 ----a-w- c:\windows\system32\PnkBstrA.exe 2009-12-14 17:27 . 2005-09-01 04:53 64632 ----a-w- c:\windows\system32\perfc00C.dat 2009-12-14 17:27 . 2005-09-01 04:53 446944 ----a-w- c:\windows\system32\perfh00C.dat 2009-12-12 18:38 . 2006-10-19 15:52 -------- d-----w- c:\program files\Picasa2 2009-12-06 17:21 . 2006-08-05 11:58 -------- d-----w- c:\program files\Azureus 2009-11-18 19:12 . 2009-11-18 19:12 -------- d-----w- c:\documents and settings\Antoine\Application Data\TeamViewer 2009-11-07 13:17 . 2006-06-29 21:20 -------- d--h--w- c:\program files\InstallShield Installation Information 2009-11-07 13:08 . 2009-12-02 20:16 196814 ----a-w- c:\windows\pchealth\helpctr\Config\Cache\Professional_32_1036.dat 2009-11-03 12:07 . 2009-06-30 22:04 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP 2009-11-03 11:45 . 2009-11-03 11:45 -------- d-----w- c:\program files\Runtime Software 2009-10-29 07:44 . 2005-09-01 04:53 832512 ----a-w- c:\windows\system32\wininet.dll 2009-10-29 07:44 . 2009-07-01 10:59 78336 ----a-w- c:\windows\system32\ieencode.dll 2009-10-29 07:44 . 2005-09-01 04:53 17408 ----a-w- c:\windows\system32\corpol.dll 2009-10-21 06:03 . 2005-09-01 04:53 75776 ----a-w- c:\windows\system32\strmfilt.dll 2009-10-21 06:03 . 2005-09-01 04:53 25088 ----a-w- c:\windows\system32\httpapi.dll 2009-10-20 14:58 . 2009-07-01 23:47 263552 ----a-w- c:\windows\system32\drivers\http.sys 2009-10-13 10:52 . 2005-09-01 04:53 267776 ----a-w- c:\windows\system32\oakley.dll 2009-10-12 13:52 . 2005-09-01 04:53 69632 ----a-w- c:\windows\system32 aschap.dll 2009-10-12 13:52 . 2005-09-01 04:53 113152 ----a-w- c:\windows\system32 astls.dll 2006-07-12 18:50 . 2006-07-06 21:54 88 --sh--r- c:\windows\system32\62477D8192.sys 2006-07-12 18:50 . 2006-07-09 09:41 3350 --sha-w- c:\windows\system32\KGyGaAvL.sys . ((((((((((((((((((((((((((((((((( Points de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SetDefaultMIDI"="MIDIDef.exe" [2004-12-22 24576] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-08-05 344064] "CTSysVol"="c:\program files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe" [2005-09-15 57344] "WinPatrol"="c:\program files\WinPatrol\winpatrol.exe" [2008-10-09 333120] "DMXLauncher"="c:\program files\Dell\Media Experience\DMXLauncher.exe" [2005-10-05 94208] "SigmatelSysTrayApp"="stsystra.exe" [2005-03-22 339968] "MBMon"="CTMBHA.DLL" [2005-05-19 1345520] "mcagent_exe"="c:\program files\McAfee.com\Agent\mcagent.exe" [2009-10-29 1218008] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360] "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968] c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\ Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2006-8-6 113664] Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360] [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\mcmscsvc] @="" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MCODS] @="" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion un-] "RealTray"=c:\program files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER "SpeedTouch USB Diagnostics"="c:\program files\SpeedTouch\Dragdiag.exe" /icon "DLA"=c:\windows\System32\DLA\DLACTRLW.EXE [HKEY_LOCAL_MACHINE\software\microsoft\security center] "FirewallOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\system32\sessmgr.exe"= "c:\Program Files\Messenger\msmsgs.exe"= "c:\games\Call of Duty\CoDUOMP.exe"= "%windir%\Network Diagnostic\xpnetdiag.exe"= "c:\Program Files\Google\Google Talk\googletalk.exe"= "c:\WINDOWS\system32\PnkBstrA.exe"= "c:\WINDOWS\system32\PnkBstrB.exe"= "c:\games\COD4\iw3mp.exe"= "c:\Program Files\Fichiers communs\McAfee\MNA\McNASvc.exe"= "c:\Program Files\MSN Messenger\msnmsgr.exe"= "c:\Program Files\MSN Messenger\livecall.exe"= R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [27/10/2006 22:38 642560] R2 a2free;a-squared Free Service;c:\program files\a-squared\a2service.exe [14/07/2007 12:55 1858144] R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [24/07/2009 17:38 93320] S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [29/05/2009 16:13 234864] S3 ST330;ST330;c:\windows\system32\drivers\st330.sys [07/07/2006 08:45 30464] S3 STBUS;STBUS;c:\windows\system32\drivers\stbus.sys [07/07/2006 08:45 12672] S4 NuTCRACKERService;NuTCRACKER Service;c:\windows\system32 utsrv4.exe --> c:\windows\system32 utsrv4.exe [?] . ------- Examen supplémentaire ------- . uStart Page = hxxp://www.google.fr/ uInternet Connection Wizard,ShellNext = "c:\program files\Outlook Express\msimn.exe" IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~3\Office10\EXCEL.EXE/3000 Trusted Zone: internet Trusted Zone: mcafee.com DPF: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab FF - ProfilePath - c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\0jmd98fe.default\ FF - prefs.js: browser.search.selectedEngine - Google FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/ FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\0jmd98fe.default\extensions\{6AC85730-7D0F-4de0-B3FA-21142DD85326}\platform\WINNT\components\ColorZilla.dll FF - component: c:\documents and settings\Antoine\Application Data\Mozilla\Firefox\Profiles\0jmd98fe.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll FF - component: c:\program files\McAfee\SiteAdvisor\components\McFFPlg.dll FF - plugin: c:\program files\Java\jre1.6.0\bin pjava11.dll FF - plugin: c:\program files\Java\jre1.6.0\bin pjava12.dll FF - plugin: c:\program files\Java\jre1.6.0\bin pjava13.dll FF - plugin: c:\program files\Java\jre1.6.0\bin pjava14.dll FF - plugin: c:\program files\Java\jre1.6.0\bin pjava32.dll FF - plugin: c:\program files\Java\jre1.6.0\bin pjpi160.dll FF - plugin: c:\program files\Java\jre1.6.0\bin poji610.dll FF - plugin: c:\program files\ma-config.com phardwaredetection.dll FF - plugin: c:\program files\Mozilla Firefox\plugins p-mswmp.dll ---- PARAMETRES FIREFOX ---- FF - user.js: dom.disable_open_during_load - false // Popupblocker control handled by McAfee Privacy Service . - - - - ORPHELINS SUPPRIMES - - - - AddRemove-HijackThis - c:\documents and settings\Antoine\Bureau\HijackThis.exe AddRemove-MKS Platform Components 7.x - c:\progra~1\RATIONAL\RATION~1\NUTCROOT\etc\oe\DeIsL1.isu ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-12-21 13:05 Windows 5.1.2600 Service Pack 2 NTFS Recherche de processus cachés ... Recherche d'éléments en démarrage automatique cachés ... Recherche de fichiers cachés ... Scan terminé avec succès Fichiers cachés: 0 ************************************************************************** Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully called modules: ntkrnlpa.exe >>UNKNOWN [0x89E4CEB0]<< kernel: MBR read successfully detected MBR rootkit hooks: \Driver\Disk -> 0x89e4ceb0 \Driver\ACPI -> ACPI.sys @ 0xb9e96cb8 \Driver\atapi -> sfsync02.sys @ 0xba0c98b4 IoDeviceObjectType -> ParseProcedure -> ntkrnlpa.exe @ 0x80581684 \Device\Harddisk0\DR0 -> ParseProcedure -> ntkrnlpa.exe @ 0x80581684 NDIS: Intel(R) PRO/100 VE Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xb9d1eba0 PacketIndicateHandler -> NDIS.sys @ 0xb9d0da0b SendHandler -> NDIS.sys @ 0xb9d21b31 Warning: possible MBR rootkit infection ! user & kernel MBR OK ************************************************************************** . --------------------- DLLs chargées dans les processus actifs --------------------- - - - - - - - > 'winlogon.exe'(788) c:\windows\system32\Ati2evxx.dll . ------------------------ Autres processus actifs ------------------------ . c:\windows\system32\Ati2evxx.exe c:\windows\system32\Ati2evxx.exe c:\windows\system32 etdde.exe c:\windows\system32\CTsvcCDA.exe c:\windows\eHome\ehSched.exe c:\progra~1\McAfee\MSC\mcmscsvc.exe c:\progra~1\FICHIE~1\mcafee\mna\mcnasvc.exe c:\progra~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe c:\progra~1\McAfee\VIRUSS~1\mcshield.exe c:\program files\McAfee\MPF\MPFSrv.exe c:\windows\ehome\mcrdsvc.exe c:\progra~1\mcafee.com\agent\mcagent.exe c:\windows\system32\dllhost.exe c:\windows\stsystra.exe c:\windows\system32\Rundll32.exe c:\docume~1\Antoine\LOCALS~1\Temp\clclean.0001 c:\progra~1\McAfee\VIRUSS~1\mcsysmon.exe c:\program files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe . ************************************************************************** . Heure de fin: 2009-12-21 13:16:04 - La machine a redémarré ComboFix-quarantined-files.txt 2009-12-21 12:16 Avant-CF: 76 236 599 296 octets libres Après-CF: 76 239 069 184 octets libres - - End Of File - - 0B18D1F5F8F5D20B4A0DB234184F2364 LOG HIJACKTHIS Logfile of Trend Micro HijackThis v2.0.3 (BETA) Scan saved at 13:22:06, on 21/12/2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16945) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32 etdde.exe C:\Program Files\a-squared\a2service.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\McAfee\SiteAdvisor\McSACore.exe C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe C:\Program Files\McAfee\MPF\MPFSrv.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe c:\PROGRA~1\mcafee.com\agent\mcagent.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wuauclt.exe C:\Program Files\Dell\Media Experience\DMXLauncher.exe C:\WINDOWS\stsystra.exe C:\WINDOWS\system32\Rundll32.exe C:\DOCUME~1\Antoine\LOCALS~1\Temp\clclean.0001 C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\msiexec.exe C:\Program Files\TrendMicro\HiJackThis\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.google.fr/?gws_rd=ssl R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe" R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program Files\McAfee\VirusScan\scriptsn.dll O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [WinPatrol] C:\Program Files\WinPatrol\winpatrol.exe -expressboot O4 - HKLM\..\Run: [DMXLauncher] C:\Program Files\Dell\Media Experience\DMXLauncher.exe O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon O4 - HKLM\..\Run: [mcagent_exe] "C:\Program Files\McAfee.com\Agent\mcagent.exe" /runkey O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O15 - Trusted Zone: http://*.mcafee.com O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/softwareupdate/su/ocx/15031/CTSUEng.cab O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su/ocx/15034/CTPID.cab O18 - Protocol: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared\a2service.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program Files\Fichiers communs\Creative Labs Shared\Service\CreativeLicensing.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe O23 - Service: Service de planification Media Center (ehSched) - Unknown owner - C:\WINDOWS\eHome\ehSched.exe O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe O23 - Service: Ma-Config Service (maconfservice) - Unknown owner - C:\Program Files\ma-config.com\maconfservice.exe O23 - Service: McAfee SiteAdvisor Service - McAfee, Inc. - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mna\mcnasvc.exe O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\FICHIE~1\mcafee\mcproxy\mcproxy.exe O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe O23 - Service: DDE réseau (NetDDE) - Unknown owner - C:\WINDOWS\system32 etdde.exe O23 - Service: DSDM DDE réseau (NetDDEdsdm) - Unknown owner - C:\WINDOWS\system32 etdde.exe O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program Files\Intel\PROSetWired\NCS\Sync\NetSvc.exe O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap pcapd.exe (file missing) O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\Apache.exe O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

alacta · Answer

truc bizarre,

lorsque combofix redémarre, il reprend ma session et non celle admin, donc scotty redemarre et aussi mcafee, je les ai fermés mais bon...

denisp5964 · Answer

J'ai utilisé, gratuitement, le programme SPYBOT https://www.safer-networking.org/  et cet incessant malware est disparu par magie.
Denis

Backdoor.win32.agent.ich infection [en cours]

43 réponses

Votre réponse

Discussions similaires

Newsletters