Rapport a analyser

kaka92 -  
Lyonnais92 Messages postés 25708 Statut Contributeur sécurité -
Bonjour,

Besoin d'analyse de ce rapport svp =)

Option 1 avec findykill :

# User : rabia (Administrateurs) # ORDINATEUR
# Update on 24/12/2009 by Chiquitine29
# Start at: 13:29:30 | 31/12/2009
# Website : http://pagesperso-orange.fr/NosTools/index.html
# Contact : FindyKill.Contact@gmail.com

# Intel(R) Pentium(R) 4 CPU 2.00GHz
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled

# C:\ # Disque fixe local # 12,7 Go (2,32 Mo free) # NTFS
# D:\ # Disque fixe local # 6,3 Go (6,25 Go free) [Nouveau nom] # NTFS

############################## | Processus actifs |

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Windows Media Player\WMPNetwk.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Java\jre1.6.0_04\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\SFR\Kit\WiFi\9wifi.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\SFR\Kit\9props.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Internet Explorer\IEXPLORE.EXE
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## | C: |

################## | C:\WINDOWS |

################## | C:\WINDOWS\system32 |

Présent ! C:\WINDOWS\system32\AutoRun.inf

################## | C:\WINDOWS\system32\drivers |

################## | C:\Documents and Settings\rabia\Application Data |

################## | Temporary Internet Files |

################## | Registre / Clés infectieuses |

################## | Etat / Services / Informations |

# Affichage des fichiers cachés : OK

# Mode sans echec : OK

# Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
# Ip6Fw -> Start = 3 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

################## | Cracks / Keygens / Serials |

################## | ! Fin du rapport # FindyKill V5.022 ! |
Configuration: Windows XP Internet Explorer 6.0

8 réponses

  1. kaka92
     
    avec l'option 2 :

    ############################## | FindyKill V5.022 |

    # User : rabia (Administrateurs) # ORDINATEUR
    # Update on 24/12/2009 by Chiquitine29
    # Start at: 13:38:28 | 31/12/2009
    # Website : http://pagesperso-orange.fr/NosTools/index.html
    # Contact : FindyKill.Contact@gmail.com

    # Intel(R) Pentium(R) 4 CPU 2.00GHz
    # Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
    # Internet Explorer 6.0.2900.2180
    # Windows Firewall Status : Disabled

    # C:\ # Disque fixe local # 12,7 Go (7,21 Mo free) # NTFS
    # D:\ # Disque fixe local # 6,3 Go (6,25 Go free) [Nouveau nom] # NTFS

    ############################## | Processus actifs |

    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\logonui.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\Bonjour\mDNSResponder.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Windows Media Player\WMPNetwk.exe
    C:\WINDOWS\System32\alg.exe
    C:\WINDOWS\system32\userinit.exe
    C:\WINDOWS\Explorer.exe
    C:\WINDOWS\system32\wbem\wmiprvse.exe

    ################## | C: |

    ################## | C:\WINDOWS |

    ################## | C:\WINDOWS\system32 |

    Supprimé ! C:\WINDOWS\system32\autorun.inf

    ################## | C:\WINDOWS\system32\drivers |

    ################## | C:\Documents and Settings\rabia\Application Data |

    ################## | Autres suppressions ... |

    ################## | Temporary Internet Files |

    ################## | Registre / Clés infectieuses |

    ################## | Etat / Services / Informations |

    # Mode sans echec : OK

    # Affichage des fichiers cachés : OK

    # Ndisuio -> Start = 3 ( Good = 3 | Bad = 4 )
    # Ip6Fw -> Start = 2 ( Good = 2 | Bad = 4 )
    # SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
    # wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )

    ################## | PEH ... |

    ################## | Cracks / Keygens / Serials |

    ################## | ! Fin du rapport # FindyKill V5.022 ! |
    0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    télécharge GenProc.

    Double-clique sur GenProc.exe et poste le contenu du rapport qui s'ouvre .
    0
  3. kaka92
     
    Ok rapport en cours !
    J'espere que y'a pas d'autre logiciel a telecharger encore ^^
    0
  4. kaka92
     
    Rapport GenProc 2.660 [1] - 31/12/2009 à 14:05:15
    @ Windows XP Service Pack 2 - Mode normal
    @ Mozilla Firefox Service Pack 2 [Navigateur par défaut]

    # Etape 1/ Télécharge :

    - CCleaner https://www.ccleaner.com/ccleaner/download (FileHippo). Ce logiciel va permettre de supprimer tous les fichiers temporaires. Lance-le et clique sur "Options", "Avancé" et décoche la case "Effacer uniquement les fichiers, du dossier Temp de Windows, plus vieux que 48 heures". Par la suite, laisse-le avec ses réglages par défaut. Ferme le programme.

    - MBR.exe http://www2.gmer.net/mbr/mbr.exe (Gmer) sur le Bureau.

    Redémarre en mode sans échec comme indiqué ici https://www.wekyo.com/demarrer-le-pc-en-mode-sans-echec-windows-7-et-8/ ; Choisis ta session courante *** rabia *** (pour retrouver le rapport, clique sur le raccourci "Rapport GenProc[1]" sur ton bureau).

    # Etape 2/

    Double-clique sur le fichier MBR_GenProc.bat situé sur ton Bureau et patiente.

    # Etape 3/

    Lance CCleaner : "Nettoyeur"/"lancer le nettoyage" et c'est tout.

    # Etape 4/

    Redémarre normalement et poste, dans la même réponse :

    - Le contenu du rapport mbr.log situé sur le Bureau ;
    - Un nouveau rapport GenProc ;

    Précise les difficultés que tu as eu (ce que tu n'as pas pu faire...) ainsi que l'évolution de la situation.

    ~~ Arguments de la procédure ~~

    # Détections [1] GenProc 2.660 31/12/2009 à 14:05:21
    MBR:le 31/12/2009 à 14:05:50 sector 0x25fedb0 size 0x1e4

    ----------------------------------------------------------------------
    Sites officiels GenProc : www.alt-shift-return.org et www.genproc.com
    ----------------------------------------------------------------------

    ~~ Fin à 14:06:20 ~~
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    exécutes les instructions de Genproc.
    0
  7. kaka92
     
    rapport mbr :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    malicious code @ sector 0x25fedb0 size 0x1e4 !
    copy of MBR has been found in sector 62 !
    PE file found in sector at 0x025FEDB0 !
    0
  8. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)

    Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f

    Dans le mbr.log cette ligne devrait apparaitre "original MBR restored successfully !"

    Réactive tes protections

    Poste ce rapport
    0