Rootkit de type service caché dans drivers

Résolu/Fermé
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010 - 9 févr. 2010 à 20:52
 kapinoux - 18 févr. 2010 à 13:41
Bonjour et merci par avance de vous pencher sur mon cas,

je suis sous windows xp édition familiale et je n'arrive pas à me débarraser d'un rootkit :

C:WINDOWS\system32\drivers\ihixyryu-sys
Type : service caché
Nom du malware : win32:rootkit-gen(rtk)

J'ai utilisé Gmer qui me l'a détecté mais impossible de supprimer la ligne correspondante en rouge (clic droit + delete service) :
Error oxooooo10 : service "ihixyryu" was not deleted. "Syntaxe du nom de fichier, répertoire ou volume incorrecte" .

Utilisation également de Malwarebytes, voici le rapport :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3697
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

06/02/2010 21:04:08
mbam-log-2010-02-06 (21-04-08).txt

Type de recherche: Examen complet (C:\|)
Eléments examinés: 208176
Temps écoulé: 49 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\Temp\sig16.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\~TM29.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\ihixyryu.sys (Rootkit.Agent) -> Delete on reboot.
C:\Documents and Settings\Karine\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

Utilisation également de Antispyware : 7 fichiers détectés : "adware-tracking cookie (7 items)".

Et Avast qui est mon anti virus habituel a détecté celui-ci :
Nom du fichier C:\System Volume Information\_restore{E6C9CA23-D5A3-401C-B9B0-7C9F09E5F657}\RP361\A0083003.bat
Nom logiciel malveillant : VBS:Malware-gen
ainsi que le rootkit mais lorsque j'ai voulu mettre quarantaine tous les fichiers qu'ils m'indiquait j'ai eu ce message : "1 erreur s'est produite lors du traitement (36 résultats)".
Donc rien n'est en quarantaine sauf : sig16.tmp C:WINDOWS\temp.

Rootkit toujours présent !

De plus, je n'arrives plus à remettre mon pare-feu : "en raison d'un problème non-identifié, windows ne peut pas afficher les paramètres du pare-feu windows"

Je ne suis pas une pro, merci de m'expliquer assez simplement.
A voir également:

17 réponses

Réponse 1 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
9 févr. 2010 à 20:58
Bonsoir,

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.


A+
0
Réponse 2 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
10 févr. 2010 à 18:52
Bonsoir,

merci pour la rapidité, voici le rapport :

ComboFix 10-02-09.04 - Karine 10/02/2010 18:33:30.2.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.625 [GMT 1:00]
Lancé depuis: c:\documents and settings\Karine\Bureau\ComboFix.exe
AV: avast! antivirus 4.8.1368 [VPS 100210-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-10 au 2010-02-10 ))))))))))))))))))))))))))))))))))))
.

2010-02-06 19:09 . 2010-02-06 19:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-06 19:09 . 2010-02-10 17:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-16 07:13 . 2010-01-16 07:13 -------- d-----w- c:\documents and settings\Karine\Application Data\Malwarebytes
2010-01-13 07:57 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-10 17:38 . 2009-12-20 17:42 792064 ----a-w- c:\windows\system32\drivers\ihixyryu.sys
2010-02-10 17:18 . 2010-02-07 16:04 -------- d-----w- c:\documents and settings\Karine\Application Data\SUPERAntiSpyware.com
2010-02-10 17:18 . 2010-02-07 16:04 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-02-10 12:15 . 2007-02-03 16:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-02-09 18:46 . 2007-01-18 17:09 21630 ----a-w- c:\documents and settings\Karine\Application Data\wklnhst.dat
2010-02-09 18:42 . 2010-02-09 18:42 152576 ----a-w- c:\documents and settings\Karine\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-02-09 18:42 . 2009-11-06 16:38 79488 ----a-w- c:\documents and settings\Karine\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-07 16:05 . 2010-02-07 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2010-01-29 23:00 . 2009-05-21 05:49 -------- d-----w- c:\documents and settings\Karine\Application Data\LimeWire
2009-12-31 16:50 . 2005-10-19 20:41 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-24 13:28 . 2005-10-19 19:19 -------- d-----w- c:\program files\Google
2009-12-21 19:07 . 2005-10-19 20:41 916480 ----a-w- c:\windows\system32\wininet.dll
2009-12-20 17:42 . 2009-12-20 17:42 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2009-12-17 07:41 . 2005-10-19 11:51 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-15 12:18 . 2005-10-19 20:41 83516 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-15 12:18 . 2005-10-19 20:41 506906 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-14 07:09 . 2005-10-19 20:41 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:08 . 2004-08-04 00:48 2147328 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:08 . 2004-08-04 00:49 2025984 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2005-10-19 20:41 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-27 17:13 . 2005-10-19 20:41 1297920 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:13 . 2004-08-04 00:54 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2005-10-19 20:41 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2005-10-19 20:41 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2005-10-19 20:41 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2004-08-04 00:54 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2009-11-24 23:54 . 2007-11-20 20:14 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2007-11-20 20:14 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2007-11-20 20:14 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-04-06 08:20 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-04-06 08:20 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2007-11-20 20:14 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2007-11-20 20:14 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2007-11-20 20:14 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2007-11-20 20:14 97480 ----a-w- c:\windows\system32\AVASTSS.scr
2009-11-21 15:58 . 2005-10-19 20:41 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2007-05-17 16:27 . 2007-05-17 16:27 135168 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2005-11-04 12:00 . 2005-11-04 11:59 56 --sh--r- c:\windows\system32\07E9BADCB3.sys
2005-10-19 19:19 . 2005-10-19 19:19 8 --sh--r- c:\windows\system32\CFE20AE075.sys
2005-11-04 12:00 . 2005-10-19 19:19 5642 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-03 68856]
"Felix II"="c:\program files\ScreenMates\Felix II\Fr\Felix2.exe" [2007-02-18 1007616]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"AOLDialer"="c:\program files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 496752]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-11 15961088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"nwiz"="nwiz.exe" [2005-10-10 1519616]
"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]
"CHotkey"="mHotkey.exe" [2004-12-08 550912]
"ledpointer"="CNYHKey.exe" [2005-11-10 5585408]
"Showwnd"="showwnd.exe" [2003-09-18 36864]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2006-02-09 143360]
"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-21 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06/04/2008 09:20 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/04/2008 09:20 20560]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18/10/2005 14:01 826752]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [17/02/2006 13:25 72320]
S0 rseb;rseb; [x]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24/12/2009 14:28 135664]

--- Autres Services/Pilotes en mémoire ---

*Deregistered* - ihixyryu
.
Contenu du dossier 'Tâches planifiées'

2010-02-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57]

2010-02-10 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-03 13:06]

2010-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 13:28]

2010-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 13:28]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.orange.fr
mStart Page = hxxp://www.duxet.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
TCP: {DF44445D-0233-47A2-8580-AB8949430DCC} = 192.168.1.1
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/static/m/cab/2.8.1/GarminAxControl.CAB
DPF: {4ECE056F-E50F-4F9D-B069-EB342D21F26A} - hxxp://www3.snapfish.fr/SnapfishActivia3.cab
DPF: {741747F6-83B4-4FB9-A268-8CA4010762C8} - hxxp://www3.snapfish.fr/SnapfishActivia2.cab
.
- - - - ORPHELINS SUPPRIMES - - - -

HKCU-Run-WOOKIT - c:\progra~1\Wanadoo\Shell.exe
HKCU-Run-BenXbox Google 2005 - c:\program files\BenXbox\BenXbox Google 2005\BenXbox.exe
HKLM-Run-RegistryMechanic - (no file)
AddRemove-RealPlayer 12.0 - c:\program files\Fichiers communs\Real\Update_OB\r1puninst.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-10 18:38
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ihixyryu]

.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3208522847-850115167-2157219040-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(3656)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-02-10 18:40:02
ComboFix-quarantined-files.txt 2010-02-10 17:40
ComboFix2.txt 2007-08-15 08:13

Avant-CF: 88 414 896 128 octets libres
Après-CF: 89 267 408 896 octets libres

WindowsXP-KB310994-SP2-Home-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP dition familiale" /noexecute=optin /fastdetect

- - End Of File - - E366ED493BF4E8767C20BA8BC0A0DCD8

A +
0
Réponse 3 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
10 févr. 2010 à 20:08
kapinoux,

On va essayer de déloger ce rootkit.
Il y aura quelques manips pour vérifier tout cela.

1/ Ouvre le bloc-notes ( Démarrer --> tous les programmes --> accessoires --> Bloc-notes ) et sélectionne le texte en citation.
Copie/colle le texte en italique dans le bloc-notes.

killall::

https://forums.commentcamarche.net/forum/affich-16521150-rootkit-de-type-service-cache-dans-drivers#2
collect::[4]
c:\windows\system32\drivers\ihixyryu.s­ys

driver::
ihixyryu

registry::
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ihixyryu]

# Menu Fichier --> enregistrer --> une boite de dialogue va s'ouvrir
# Il y a deux lignes en bas de la fenetre :
--> la première pour le nom : tape CFScript
--> la deuxième pour le type : vérifie que l'onglet est .txt

il te reste alors à choisir l'emplacement où tu vas l'enregistrer.
Clique sur le flêche en haut jusqu'à arriver au bureau.

2) Glisse/dépose le script sur ComBoFix comme indiqué sur ce lien
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif

Suis les invites.

# Ton bureau va disparaître à plusieurs reprises. Normal.
# L'ordinateur va redémarrer et un rapport sera crée.
# Poste le contenu dans ton prochain message.

Note : Si tu ne le trouves pas, il est en C:\Combofix.txt

A+
0
Réponse 4 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
11 févr. 2010 à 18:38
On y va...

Voici le rapport :

ComboFix 10-02-09.04 - Karine 11/02/2010 18:16:56.3.2 - x86
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.1022.590 [GMT 1:00]
Lancé depuis: c:\documents and settings\Karine\Bureau\ComboFix.exe
Commutateurs utilisés :: c:\documents and settings\Karine\Bureau\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 100211-0] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_IHIXYRYU
-------\Service_ihixyryu


((((((((((((((((((((((((((((( Fichiers créés du 2010-01-11 au 2010-02-11 ))))))))))))))))))))))))))))))))))))
.

2010-02-06 19:09 . 2010-02-06 19:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2010-02-06 19:09 . 2010-02-10 17:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-01-16 07:13 . 2010-01-16 07:13 -------- d-----w- c:\documents and settings\Karine\Application Data\Malwarebytes
2010-01-13 07:57 . 2009-11-21 15:58 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-11 17:21 . 2009-12-20 17:42 792064 ----a-w- c:\windows\system32\drivers\ihixyryu.sys
2010-02-11 13:25 . 2007-02-03 16:49 -------- d-----w- c:\documents and settings\All Users\Application Data\Google Updater
2010-02-10 17:18 . 2010-02-07 16:04 -------- d-----w- c:\documents and settings\Karine\Application Data\SUPERAntiSpyware.com
2010-02-10 17:18 . 2010-02-07 16:04 -------- d-----w- c:\program files\SUPERAntiSpyware
2010-02-09 18:46 . 2007-01-18 17:09 21630 ----a-w- c:\documents and settings\Karine\Application Data\wklnhst.dat
2010-02-09 18:42 . 2010-02-09 18:42 152576 ----a-w- c:\documents and settings\Karine\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2010-02-09 18:42 . 2009-11-06 16:38 79488 ----a-w- c:\documents and settings\Karine\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2010-02-07 16:05 . 2010-02-07 16:05 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2010-01-29 23:00 . 2009-05-21 05:49 -------- d-----w- c:\documents and settings\Karine\Application Data\LimeWire
2009-12-31 16:50 . 2005-10-19 20:41 353792 ----a-w- c:\windows\system32\drivers\srv.sys
2009-12-24 13:28 . 2005-10-19 19:19 -------- d-----w- c:\program files\Google
2009-12-21 19:07 . 2005-10-19 20:41 916480 ------w- c:\windows\system32\wininet.dll
2009-12-20 17:42 . 2009-12-20 17:42 16 ----a-w- c:\windows\system32\config\systemprofile\Application Data\fvgqad.dat
2009-12-17 07:41 . 2005-10-19 11:51 347648 ----a-w- c:\windows\system32\mspaint.exe
2009-12-15 12:18 . 2005-10-19 20:41 83516 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-15 12:18 . 2005-10-19 20:41 506906 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-14 07:09 . 2005-10-19 20:41 33280 ----a-w- c:\windows\system32\csrsrv.dll
2009-12-09 10:08 . 2004-08-04 00:48 2147328 ------w- c:\windows\system32\ntoskrnl.exe
2009-12-09 10:08 . 2004-08-04 00:49 2025984 ------w- c:\windows\system32\ntkrnlpa.exe
2009-12-04 18:22 . 2005-10-19 20:41 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys
2009-11-27 17:13 . 2005-10-19 20:41 1297920 ----a-w- c:\windows\system32\quartz.dll
2009-11-27 17:13 . 2004-08-04 00:54 17920 ----a-w- c:\windows\system32\msyuv.dll
2009-11-27 16:08 . 2005-10-19 20:41 28672 ----a-w- c:\windows\system32\msvidc32.dll
2009-11-27 16:08 . 2005-10-19 20:41 11264 ----a-w- c:\windows\system32\msrle32.dll
2009-11-27 16:08 . 2005-10-19 20:41 85504 ----a-w- c:\windows\system32\avifil32.dll
2009-11-27 16:08 . 2004-08-04 00:54 48128 ----a-w- c:\windows\system32\iyuv_32.dll
2009-11-27 16:08 . 2001-08-23 17:47 8704 ----a-w- c:\windows\system32\tsbyuv.dll
2009-11-24 23:54 . 2007-11-20 20:14 1280480 ----a-w- c:\windows\system32\aswBoot.exe
2009-11-24 23:51 . 2007-11-20 20:14 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-11-24 23:50 . 2007-11-20 20:14 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-11-24 23:50 . 2008-04-06 08:20 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-11-24 23:50 . 2008-04-06 08:20 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-11-24 23:49 . 2007-11-20 20:14 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-11-24 23:48 . 2007-11-20 20:14 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-11-24 23:47 . 2007-11-20 20:14 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-11-24 23:47 . 2007-11-20 20:14 97480 ----a-w- c:\windows\system32\AVASTSS.scr
2009-11-21 15:58 . 2005-10-19 20:41 471552 ----a-w- c:\windows\AppPatch\aclayers.dll
2007-05-17 16:27 . 2007-05-17 16:27 135168 ----a-w- c:\program files\mozilla firefox\components\GoogleDesktopMozilla.dll
2005-11-04 12:00 . 2005-11-04 11:59 56 --sh--r- c:\windows\system32\07E9BADCB3.sys
2005-10-19 19:19 . 2005-10-19 19:19 8 --sh--r- c:\windows\system32\CFE20AE075.sys
2005-11-04 12:00 . 2005-10-19 19:19 5642 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( SnapShot@2010-02-10_17.38.29 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-02-11 17:22 . 2010-02-11 17:22 16384 c:\windows\Temp\Perflib_Perfdata_5a0.dat
+ 2010-02-11 17:00 . 2010-02-11 17:00 16384 c:\windows\Temp\Perflib_Perfdata_4f0.dat
+ 2010-02-11 17:22 . 2010-02-11 17:22 16384 c:\windows\Temp\Perflib_Perfdata_460.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-04-03 68856]
"Felix II"="c:\program files\ScreenMates\Felix II\Fr\Felix2.exe" [2007-02-18 1007616]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"NBJ"="c:\program files\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 1961984]
"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2006-11-03 204288]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.EXE" [2004-08-05 208952]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-05 59392]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-05 455168]
"AOLDialer"="c:\program files\Fichiers communs\AOL\ACS\AOLDial.exe" [2004-04-08 496752]
"RTHDCPL"="RTHDCPL.EXE" [2006-01-11 15961088]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"nwiz"="nwiz.exe" [2005-10-10 1519616]
"CmUCRRun"="c:\windows\system32\CmUCReye.exe" [2005-10-12 241664]
"CHotkey"="mHotkey.exe" [2004-12-08 550912]
"ledpointer"="CNYHKey.exe" [2005-11-10 5585408]
"Showwnd"="showwnd.exe" [2003-09-18 36864]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"PCMService"="c:\program files\Home Cinema\PowerCinema\PCMService.exe" [2006-02-09 143360]
"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-09-22 93640]
"NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-05-21 136600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\Program Files\\Sony Ericsson\\Sony Ericsson Media Manager 1.0\\MediaManager.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\LimeWire\\LimeWire.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [06/04/2008 09:20 114768]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [06/04/2008 09:20 20560]
R3 3xHybrid;3xHybrid service;c:\windows\system32\drivers\3xHybrid.sys [18/10/2005 14:01 826752]
R3 CMISTOR;CMIUCR.SYS CM220 Card Reader Driver;c:\windows\system32\drivers\cmiucr.SYS [17/02/2006 13:25 72320]
S0 rseb;rseb; [x]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [24/12/2009 14:28 135664]
.
Contenu du dossier 'Tâches planifiées'

2010-02-09 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57]

2010-02-11 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-02-03 13:06]

2010-02-11 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 13:28]

2010-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2009-12-24 13:28]
.
.
------- Examen supplémentaire -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uStart Page = hxxp://www.orange.fr
mStart Page = hxxp://www.duxet.com/
uInternet Connection Wizard,ShellNext = iexplore
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: &Recherche AOL Toolbar - c:\program files\AOL Toolbar\toolbar.dll/SEARCH.HTML
IE: Add to Windows &Live Favorites - https://onedrive.live.com/?id=favorites
TCP: {DF44445D-0233-47A2-8580-AB8949430DCC} = 192.168.1.1
DPF: Garmin Communicator Plug-In - hxxps://my.garmin.com/static/m/cab/2.8.1/GarminAxControl.CAB
DPF: {4ECE056F-E50F-4F9D-B069-EB342D21F26A} - hxxp://www3.snapfish.fr/SnapfishActivia3.cab
DPF: {741747F6-83B4-4FB9-A268-8CA4010762C8} - hxxp://www3.snapfish.fr/SnapfishActivia2.cab
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-11 18:23
Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-3208522847-850115167-2157219040-1006\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2388)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\program files\Alwil Software\Avast4\aswUpdSv.exe
c:\program files\Alwil Software\Avast4\ashServ.exe
c:\progra~1\FICHIE~1\AOL\ACS\AOLacsd.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
c:\program files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\windows\system32\nvsvc32.exe
c:\program files\CyberLink\Shared Files\RichVideo.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\progra~1\COMMON~1\X10\Common\x10nets.exe
c:\program files\Windows Media Player\WMPNetwk.exe
c:\windows\RTHDCPL.EXE
c:\windows\mHotkey.exe
c:\windows\CNYHKey.exe
c:\program files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
c:\program files\Alwil Software\Avast4\ashMaiSv.exe
c:\program files\Alwil Software\Avast4\ashWebSv.exe
.
**************************************************************************
.
Heure de fin: 2010-02-11 18:26:52 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-02-11 17:26
ComboFix2.txt 2010-02-10 17:40
ComboFix3.txt 2007-08-15 08:13

Avant-CF: 89 262 993 408 octets libres
Après-CF: 89 169 285 120 octets libres

- - End Of File - - 3802F0E92B48C92A3D48A53C1CD2A705

A bientôt !!! Bonne soirée !!!
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
11 févr. 2010 à 21:20
Bonsoir, kapinoux

Ce rootkit est bien accroché.
Tu vas utiliser deux outils pour avoir plus d'informations.
Fais les deux manips suivantes, stp.

1/ Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
http://images.malwareremoval.com/random/RSIT.exe

# Double-clique sur " RSIT.exe " pour le lancer .
( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
# dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
# clique ensuite sur " Continue " pour lancer l'analyse ...

Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.

# Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

2/ Télécharge gmer
http://www2.gmer.net/gmer.zip

Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )

# dézippe-le (clic droit et extraire sur le bureau )
# Ouvre le dossier crée et double-clique sur gmer.exe .
Si ton antivirus réagit, ne t'inquiète et ignore l'alerte.
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

A+
0
Réponse 6 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
12 févr. 2010 à 18:02
Manipulations effectuées ! Au moins j'apprends à utiliser de nombreuses choses à chaque virus !

Voici les rapports :
Logfile of random's system information tool 1.06 (written by random/random)
Run by Karine at 2010-02-12 15:46:48
Microsoft Windows XP Édition familiale Service Pack 3
System drive C: has 85 GB (71%) free of 119 GB
Total RAM: 1022 MB (58% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:00, on 12/02/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\CmUCReye.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Program Files\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\Windows Media Player\WMPNSCFG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Program Files\internet explorer\iexplore.exe
C:\Documents and Settings\Karine\Bureau\RSIT.exe
C:\Program Files\trend micro\Karine.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [AOLDialer] C:\Program Files\Fichiers communs\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CmUCRRun] C:\WINDOWS\system32\CmUCReye.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [Showwnd] showwnd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [InstantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe /c "
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [Felix II] C:\Program Files\ScreenMates\Felix II\Fr\Felix2.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O9 - Extra button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra 'Tools' menuitem: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Fichiers communs\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com/
O16 - DPF: Garmin Communicator Plug-In - https://my.garmin.com/static/m/cab/2.8.1/GarminAxControl.CAB
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program Files\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {406B5949-7190-4245-91A9-30A17DE16AD0} (Snapfish Activia) - http://www3.snapfish.fr/SnapfishActivia.cab
O16 - DPF: {4ECE056F-E50F-4F9D-B069-EB342D21F26A} (Snapfish Activia3) - http://www3.snapfish.fr/SnapfishActivia3.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {741747F6-83B4-4FB9-A268-8CA4010762C8} (Snapfish Activia2) - http://www3.snapfish.fr/SnapfishActivia2.cab
O16 - DPF: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - http://fichiers.touslesdrivers.com/...
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF44445D-0233-47A2-8580-AB8949430DCC}: NameServer = 192.168.1.1
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\FICHIE~1\AOL\ACS\AOLacsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\Home Cinema\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Service Google Update (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
0
Réponse 7 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
12 févr. 2010 à 18:05
Je n'ai pas l'impression que tout soit apparu dans le message que je viens de poster. Si il manque quelquechose je renverrai les rapports 1 par 1.
A +;
0
Réponse 8 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
12 févr. 2010 à 19:52
kapinoux,

Oui, il manque une partie du rapport.

le plus simple est d'utiliser un site comme http://www.cijoint.fr et de poster les rapports via ce site.
Une fois sur le site,

# Tu cliques sur parcourir pour sélectionner le rapport à envoyer.
# Puis clique " cliquer ici pour déposer le fichier".
# Fais un click droit sur le lien crée et choisis copier l'adresse.

Colle cette adresse dans ton prochain message.

Fais en de même pôur le deuxième message.
( si tu ne les trouves plus, les rapports sont C:\RSIT )

A+
0
Réponse 9 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
12 févr. 2010 à 21:51
Alors... Voilà :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijVifNT7m.txt
http://www.cijoint.fr/cjlink.php?file=cj201002/cijISJoT7C.txt

Voici celui de gmer car :
"Les fichiers avec l'extension .log ne peuvent pas être déposés !"

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-02-12 17:39:20
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\Karine\LOCALS~1\Temp\uwxyraod.sys


---- System - GMER 1.0.15 ----

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xF3D306B8]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xF3D30574]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xF3D30A52]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xF3D3014C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xF3D3064E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenProcess [0xF3D3008C]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenThread [0xF3D300F0]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xF3D3076E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xF3D3072E]
SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xF3D308AE]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF67BC360, 0x20469D, 0xE8000020]

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1728] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 28003BA0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1728] ole32.dll!CoInitializeEx 774BEF7B 5 Bytes JMP 28002100 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Patchou)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 40D856E9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 40E5D964 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40F543AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40F542E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40F5434C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40F541B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40F54214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40F54412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3480] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40F54276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!DialogBoxParamW 7E3A47AB 5 Bytes JMP 40D856E9 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!SetWindowsHookExW 7E3A820F 5 Bytes JMP 40E59AD5 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!CallNextHookEx 7E3AB3C6 5 Bytes JMP 40E4D189 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 40E5D964 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!UnhookWindowsHookEx 7E3AD5F3 5 Bytes JMP 40DC48CE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!DialogBoxIndirectParamW 7E3B2072 5 Bytes JMP 40F543AF C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!MessageBoxIndirectA 7E3BA082 5 Bytes JMP 40F542E1 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!DialogBoxParamA 7E3BB144 5 Bytes JMP 40F5434C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!MessageBoxExW 7E3D0838 5 Bytes JMP 40F541B2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!MessageBoxExA 7E3D085C 5 Bytes JMP 40F54214 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!DialogBoxIndirectParamA 7E3D6D7D 5 Bytes JMP 40F54412 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 40F54276 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 40E5D9C0 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ole32.dll!OleLoadFromStream 774E9C85 5 Bytes JMP 40F54717 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ws2_32.dll!getaddrinfo 719F2A6F 5 Bytes JMP 46CAE71D C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ws2_32.dll!closesocket 719F3E2B 5 Bytes JMP 46CAEEE9 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ws2_32.dll!socket 719F4211 5 Bytes JMP 46CAE59E C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ws2_32.dll!connect 719F4A07 5 Bytes JMP 46CAE62A C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ws2_32.dll!send 719F4C27 5 Bytes JMP 46CAE9ED C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)
.text C:\Program Files\internet explorer\iexplore.exe[3516] ws2_32.dll!recv 719F676F 5 Bytes JMP 46CAF1C3 C:\Program Files\Microsoft\Search Enhancement Pack\SeaNote\SeaNote.dll (Microsoft Search Note/Microsoft Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\WINDOWS\system32\services.exe[560] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00390002
IAT C:\WINDOWS\system32\services.exe[560] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00390000
IAT C:\Program Files\internet explorer\iexplore.exe[3516] @ C:\WINDOWS\system32\ole32.dll [KERNEL32.dll!LoadLibraryExW] [009D1ACB] C:\Program Files\internet explorer\xpshims.dll (Internet Explorer Compatibility Shims for XP/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

---- EOF - GMER 1.0.15 ----

Je n'arrives pas à comprendre le lien entre ces rapports et les virus. Pourrais-tu m'expliquer ?
A+
0
Réponse 10 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
13 févr. 2010 à 04:50
Re,

Citation :
Je n'arrives pas à comprendre le lien entre ces rapports et les virus. Pourrais-tu m'expliquer ?

Les deux rapports RSIT apportent des informations sur des entrées qui sont susceptibles d'être utilisées par des infections et également de lister les logiciels installés sur le PC . Ce dernier point pour vérifier que le PC est à jour et n'a pas de faille de sécurité.
( comme ici adobe qui n'est pas à jour )

Gmer lui est un antirootkit.

Au juste as-tu encore des détections pour le rootkit ?

Peux-tu relancer malwarebytes et poster le rapport ?

A+
0
Réponse 11 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
15 févr. 2010 à 08:42
Bonjour,
merci pour les explications. Je mettrai adobe à jour.
Avast me détecte toujours le rootkit en effet.
Voici le rapport de Malwarebytes :

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3739
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

14/02/2010 21:22:04
mbam-log-2010-02-14 (21-21-56).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 203856
Temps écoulé: 1 hour(s), 5 minute(s), 56 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> No action taken.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{E6C9CA23-D5A3-401C-B9B0-7C9F09E5F657}\RP371\A0094259.sys (Rootkit.Agent) -> No action taken.

Bonne journée, à +
0
Réponse 12 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
15 févr. 2010 à 10:50
kapinoux,

1/ Je remarque que pour Malwarebytes, il y a ceci : No action taken.
As-tu bien supprimé la sélection à la fin de l'analyse ?
Sinon, il faudra que tu relances Malwarebytes.

Ce rapport montre également que la restauration système a été infectée :
Fichier(s) infecté(s):
C:\System Volume Information\_restore{E6C9CA23-D5A3-401C-B9B0-7C9F09E5F657}\RP371\A0094259.sys (Rootkit.Agent)

Il faudra de toute manière la nettoyer car elle est inutilisable. On verra cela à la fin.

2/ Citation : Avast me détecte toujours le rootkit en effet.
Gmer ne montre plus de trace du fichier ihixyryu.s­ys .
Je pense que c'est plutot une détection dans la restauration système.

On va le vérifier :

Télécharge SEAF ( de C_XX )
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

# Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) .

# Tape ihixyryu dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ".

# Laisse l'outil scanner.

# Copie/Colle le rapport qui s'ouvrira dans ton prochain message

A+
0
Réponse 13 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
15 févr. 2010 à 19:54
Bonsoir,

en effet, je n'ai pas supprimé la sélection ! J'ai relancé Malwarebytes, voici le rapport :
Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3739
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

15/02/2010 19:33:50
mbam-log-2010-02-15 (19-33-50).txt

Type de recherche: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Eléments examinés: 204676
Temps écoulé: 36 minute(s), 58 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\adtools, inc. (Adware.AdTools) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Voici le rapport de Seaf :
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 19:36:50 le 15/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. ihixyryu
8.
9.
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11.
12. "c:\QooBox\Quarantine\Registry_backups\Legacy_IHIXYRYU.reg.dat" [ ----A---- | 1390 ]
13. TC: 11/02/2010,18:20:19 | TM: 11/02/2010,18:20:19 | DA: 15/02/2010,19:13:17
14.
15. =========================
16.
17. "c:\QooBox\Quarantine\Registry_backups\Service_ihixyryu.reg.dat" [ ----A---- | 74 ]
18. TC: 11/02/2010,18:20:20 | TM: 11/02/2010,18:20:20 | DA: 15/02/2010,19:13:17
19.
20. =========================
21.
22. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
23.
24. Aucun dossier trouvé
25.
26. =========================
27.
28. Fin à: 19:37:45 le 15/02/2010 ( E.O.F )

Si je comprends bien, il n'y a plus aucune trace du rootkit selon ces 2 rapports ?
Bonne soirée, à+
0
Réponse 14 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
15 févr. 2010 à 20:16
Re,

Citation :
Si je comprends bien, il n'y a plus aucune trace du rootkit selon ces 2 rapports ?
Effectivement, plus de trace.

Une dernière analyse : le scan en ligne sur le site de Bitdefender.
Suis le tuto suivant :
https://forum.pcastuces.com/default.asp
Poste le rapport obtenu.

On termine ensuite.

A+
0
Réponse 15 / 17
kapinoux Messages postés 23 Date d'inscription samedi 11 août 2007 Statut Membre Dernière intervention 16 février 2010
16 févr. 2010 à 17:57
Bonjour,
voici le rapport de Bitdefender :
BitDefender Online Scanner - Rapport virus en temps rel



Gnr : Tue, Feb 16, 2010 - 17:49:02


--------------------------------------------------------------------------------





Info d'analyse



Fichiers scanns
77022

Infects Fichiers
0








Virus Dtects



Aucun virus trouvé.











--------------------------------------------------------------------------------



Ce sommaire du processus d'analyse sera utilis par les laboratoires Antivirus BitDefender pour crer des statistiques agrgues sur l'activit des virus dans le monde.





Ca semble pas mal !!!! A bientôt !
0
Réponse 16 / 17
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
16 févr. 2010 à 20:20
Kapinoux,

On termine.

1) Vide la quarantaine de malwarebytes
Onglet Quarantaine --> choisis Tout supprimer

Pour Combofix :
Démarrer --> exécuter --> tape ComboFix /Uninstall
Vérifie ensuite que le dossier C:\QooBox est bien supprimé sinon fais-le.

Pour RSIT :
Supprime l'éxecutable sur le bureau et le dossier C:\RSIT

Pour Hijackthis :
Désintalle-le via le panneau de configuration.

Pour Gmer :
Supprime l'exécutable sur ton bureau

2/ Tu vas utiliser CCleaner.
http://www.commentcamarche.net/telecharger/telecharger 168 ccleaner

utilise les fonctions nettoyeur et registre.

3) Tu peux ensuite nettoyer la restauration système et créer un point propre pour une utilisation ultérieure.

Les points de restauration :

- Panneau de configuration --> Système --> Restauration du système

cocher " Désactiver la restauration .... " ( si elle est cochée sinon la décocher -- > valider -- > cocher )
Une fenêtre va s’ouvrir pour t’avertir que les poins de restauration existants seront supprimés.
Accepte.

Décoche ensuite « Désactiver la restauration .... » pour réactiver la restauration système

- Tu vas recréer un point de restauration propre.

Pour recréer un point de restauration :
Démarrer --> Programmes --> Accessoires --> Outils système --> Restauration système
Choisis "Créer un point de restauration". Suis les invites.

--------------------------------------------------------------------------------------------------------

Ton PC est propre.
Sois prudent dans ton surf. :-)

Un peu de lecture : projet antimalwares : https://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf

---------------------------------------------------------------------------------------------------------

/!\ Tu peux aussi dénoncer ton infection /!\
http://www.malwarecomplaints.info/phpBB3/viewforum.php?f=10

Lis l'article suivant pour t'aider dans la démarche : http://www.malekal.com/malwarecomplaints.html
Pour ton cas, choisis l'infection Autres infections.
Puis précise dans ton mail que tu as été infecté par un rootkit.

-----------------------------------------------------------------------------------------------------------

Peux-tu mettre le sujet en résolu ? Merci.

En te souhaitant bonne lecture et bon surf.

Salut.
0
Réponse 17 / 17
kapinoux
18 févr. 2010 à 13:41
Bonjour,
merci pour cette aide précieuse, je fais de suite les démarches pour dénoncer l'infection.
A la prochaine... Peut-être qu'un jour je pourrai moi aussi aider... (L'espoir fait vivre !!!).
0

Discussions similaires

QU'est ce que le SERVICE BONJOUR
KOVAIL -
Toshihaut -

3 réponses
Erreur d'exécution 13 Incompatibilité de type
grace -
pijaku -

5 réponses
Question sur arnaque cb epoch
olivier -
Roms -

17 réponses