TR/Rootkit.Gen'

mawash Messages postés 67 Statut Membre -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,
Voila mon antivirus vient de détecter des trojan, que puis faire pour éradiquer tout ça ?
Je poste les évenemEnts de ANTIVIR

Dans le fichier 'C:\WINDOWS\Temp\63.tmp'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Dans le fichier 'C:\WINDOWS\Temp\5E.tmp'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Dans le fichier 'C:\Documents and Settings\loïc\Local Settings\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\Cache\12384BA7d01'
un virus ou un programme indésirable 'EXP/Pidief.czz' [exploit] a été détecté.
Action exécutée : Refuser l'accès
Dans le fichier 'C:\Documents and Settings\loïc\Local Settings\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\Cache\12384BA7d01'
un virus ou un programme indésirable 'EXP/Pidief.czz' [exploit] a été détecté.
Action exécutée : Refuser l'accès

Merçi beaucoup pour votre aide
Configuration: Windows XP / Firefox 3.5.7

36 réponses

  • 1
  • 2
Résumé de la discussion

Des infections détectées incluent TR/Rootkit.Gen et EXP/Pidief.czz sur Windows XP avec Firefox 3.5.7, signalant un rootkit actif et des fichiers temporaires compromis. Plusieurs éléments de réponse recommandent de diagnostiquer le MBR et d’utiliser des outils comme mbr.exe -f ou FixMBR, puis d’effectuer des scans complémentaires avec Ad-Remover et Malwarebytes. Des éléments évoquent l’analyse avec GMER, l’identification d’un fichier a9wbnk21.sys et le nettoyage de barres d’outil indésirables ainsi que des mesures comme la désactivation de l’UAC et le nettoyage du navigateur. Des conseils préconisent des sauvegardes avant réinstallation et des précautions liées à l’examen des documents pour éviter la perte de données.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    mawash,

    On fait le point.

    1/ Pour le rootkit MBR, note la différence entre les différents rapports :

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\ACPI -> 0x894a76e0
    \Driver\atapi -> 0x8a6841f8
    NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x88e2d330

    Warning: possible MBR rootkit infection !
    copy of MBR has been found in sector 0x03A384C41
    malicious code @ sector 0x03A384C44 !
    PE file found in sector at 0x03A384C5A !
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


    et après fixmbr :

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x03A384C41
    malicious code @ sector 0x03A384C44 !
    PE file found in sector at 0x03A384C5A !


    FixMBR a réecrit le MasterBoot et du coup éliminé le rootkit. Ce rootkit, lorsqu'il s'est installé la première fois, a installé une copie dans un autre secteur sur le DD.

    copy of MBR has been found in sector 0x03A384C41
    malicious code @ sector 0x03A384C44 !
    PE file found in sector at 0x03A384C5A


    Où elle se trouve, cette copie est inactive.
    Il est par contre impossible de supprimer cette copie sans formater la partition.
    De toute façon, vu que le rootkit a été nettoyé, cette copie est sans incidence.

    2/ Dans le premier rapport de gmer, il y avait la présence d'un fichier a9wbnk21.sys.
    Je t'avais demandé de faire une recherche avec SEAF qui n'a rien trouvé.

    Je viens de comprendre puisque tu as sur le PC DaemonTools qui genère des drivers aléatoires à chaque utilisation.

    Par contre , ce logiciel est accompagné d'une barre d'outil Ask.
    Cette barre d'outil a infecté Firefox en autre.
    A nettoyer.

    Télécharge AD-Remover de C_XX sur ton bureau :
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Tu te déconnectes du net et ferme toutes les applications en cours.

    Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur.

    Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm

    * Double-clique sur AD-R.exe .
    * Au menu principal, choisis l'option "L" pour effectuer le nettotyage .
    * Le PC va redémarrer pour procéder au nettoyage.

    Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.

    Note : Il se trouve en C:\AD-Report-SCAN.log

    3/ Je vois que tu as malwarebytes d'installé sur le PC.
    As-tu fait un scan récemment ? Si non, fais un examen complet et poste le rapport.

    A+
    5
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour,

    1/ télécharge AFT Cleaner et enregistre-le sur le bureau.
    http://www.atribune.org/ccount/click.php?id=1

    Ferme ton navigateur. Double clique sur ATF-Cleaner.exe.
    Choisis l'option Select All puis valide.

    Puis pour Firefox, réouvre le logiciel et clique dans le menu sur Firefox.
    Choisis l'option Select All puis valide.
    Attention tout de même pour tes mots de passe ( Firefox saved passwords ).

    Ceci devrait vider le cache de firefox et les fichiers temporaires.

    2/ Télécharge gmer
    http://www2.gmer.net/gmer.zip

    Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )

    # dézippe-le (clic droit et extraire sur le bureau )
    # Ouvre le dossier crée et double-clique sur gmer.exe .
    # Le scan va se lancer de lui-même.
    # vérifie que l’outil est sur l’onglet RootKit/Malware.
    # A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
    # Enregistre-le sur le bureau ( fichier .log )

    Édite ce rapport dans ta prochaine réponse.

    A+
    0
  3. mawash Messages postés 67 Statut Membre
     
    J'ai un problème mon pc n'arrête pas de se couper, tout est bloqué puis ça sonne alors je suis obligé de faire un reset pour redémarrer
    que puis je faire ?
    0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Citation :
    J'ai un problème mon pc n'arrête pas de se couper, tout est bloqué puis ça sonne alors je suis obligé de faire un reset pour redémarrer
    que puis je faire ?

    Tu n'as pas le temps d'effectuer les manips ?

    Peux-tu te connecter en mode sans échec avec prise en charge réseau ?
    Au démarrage du PC, tapote sur la touche F5 ou F8 puis choisis ce mode démarrage.
    Tu devrais pouvoir te connecter au net et télécharger les outils que je te demanderais d'utiliser.

    Dis moi si tu peux le faire.

    A+
    0
    1. mawach
       
      Voila le rapport de gmer qui a mis environ 4heures,
      mon pc est super lent, je suis désolé si ça met du temps :

      GMER 1.0.15.15281 - http://www.gmer.net

      Rootkit scan 2010-02-18 17:58:17

      Windows 5.1.2600 Service Pack 2

      Running: gmer.exe; Driver: C:\DOCUME~1\LOC~1\LOCALS~1\Temp\uftdqpow.sys





      ---- System - GMER 1.0.15 ----



      SSDT F7B6C3D6 ZwCreateKey

      SSDT F7B6C3CC ZwCreateThread

      SSDT F7B6C3DB ZwDeleteKey

      SSDT F7B6C3E5 ZwDeleteValueKey

      SSDT spnx.sys ZwEnumerateKey [0xF72ACDA4]

      SSDT spnx.sys ZwEnumerateValueKey [0xF72AD132]

      SSDT F7B6C3EA ZwLoadKey

      SSDT spnx.sys ZwOpenKey [0xF72940C0]

      SSDT F7B6C3B8 ZwOpenProcess

      SSDT F7B6C3BD ZwOpenThread

      SSDT spnx.sys ZwQueryKey [0xF72AD20A]

      SSDT spnx.sys ZwQueryValueKey [0xF72AD08A]

      SSDT F7B6C3F4 ZwReplaceKey

      SSDT F7B6C3EF ZwRestoreKey

      SSDT F7B6C3E0 ZwSetValueKey

      SSDT F7B6C3C7 ZwTerminateProcess



      INT 0x73 ? 8A614BF8

      INT 0x73 ? 8A614BF8

      INT 0x73 ? 8A2D2BF8

      INT 0x73 ? 8A614BF8

      INT 0xB4 ? 8A2D2BF8



      ---- Kernel code sections - GMER 1.0.15 ----



      .text ntkrnlpa.exe!ZwCallbackReturn + 2CBC 805038BC 4 Bytes JMP C2F7B6C3

      ? spnx.sys Le fichier spécifié est introuvable. !

      .text USBPORT.SYS!DllUnload F6B9362C 5 Bytes JMP 8A2D21D8

      .text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6718000, 0x236D77, 0xE8000020]

      .text a9wbnk21.SYS F65CE386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]

      .text a9wbnk21.SYS F65CE3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]

      .text a9wbnk21.SYS F65CE3C4 3 Bytes [00, 80, 02]

      .text a9wbnk21.SYS F65CE3C9 1 Byte [30]

      .text a9wbnk21.SYS F65CE3C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}

      .text ...



      ---- User code sections - GMER 1.0.15 ----



      .text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!send 719F428A 5 Bytes JMP 029E2771

      .text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 029E2863

      .text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!recv 719F615A 5 Bytes JMP 029E27A9

      .text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 029E27E1

      .text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 029E28E5

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!send 719F428A 5 Bytes JMP 03952771

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 03952863

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!recv 719F615A 5 Bytes JMP 039527A9

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 039527E1

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 039528E5

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!send 719F428A 5 Bytes JMP 04A12771

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 04A12863

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!recv 719F615A 5 Bytes JMP 04A127A9

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 04A127E1

      .text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 04A128E5

      .text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!send 719F428A 5 Bytes JMP 015A2771

      .text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 015A2863

      .text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!recv 719F615A 5 Bytes JMP 015A27A9

      .text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 015A27E1

      .text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 015A28E5

      .text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!send 719F428A 5 Bytes JMP 01042771

      .text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 01042863

      .text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!recv 719F615A 5 Bytes JMP 010427A9

      .text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 010427E1

      .text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 010428E5

      .text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!send 719F428A 5 Bytes JMP 02252771

      .text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 02252863

      .text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!recv 719F615A 5 Bytes JMP 022527A9

      .text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 022527E1

      .text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 022528E5

      .text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!send 719F428A 5 Bytes JMP 00FC2771

      .text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 00FC2863

      .text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!recv 719F615A 5 Bytes JMP 00FC27A9

      .text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 00FC27E1

      .text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!closesocket 719F9639 5 Bytes JMP 00FC28E5

      .text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!send 719F428A 5 Bytes JMP 00E32771

      .text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00E32863

      .text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!recv 719F615A 5 Bytes JMP 00E327A9

      .text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00E327E1

      .text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00E328E5

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!send 719F428A 5 Bytes JMP 00D82771

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00D82863

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!recv 719F615A 5 Bytes JMP 00D827A9

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00D827E1

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00D828E5

      .text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!send 719F428A 5 Bytes JMP 00CF2771

      .text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00CF2863

      .text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!recv 719F615A 5 Bytes JMP 00CF27A9

      .text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00CF27E1

      .text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00CF28E5

      .text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!send 719F428A 5 Bytes JMP 008B2771

      .text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 008B2863

      .text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!recv 719F615A 5 Bytes JMP 008B27A9

      .text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 008B27E1

      .text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 008B28E5

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!send 719F428A 5 Bytes JMP 00BE2771

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00BE2863

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!recv 719F615A 5 Bytes JMP 00BE27A9

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00BE27E1

      .text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00BE28E5



      ---- Kernel IAT/EAT - GMER 1.0.15 ----



      IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7295042] spnx.sys

      IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F729513E] spnx.sys

      IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F72950C0] spnx.sys

      IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7295800] spnx.sys

      IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72956D6] spnx.sys

      IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F72A4B90] spnx.sys

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfAcquireSpinLock] 0C8D1C46

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!READ_PORT_UCHAR] B48B8932

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KeGetCurrentIrql] 89000001

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfRaiseIrql] 0001C083

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfLowerIrql] 24468B00

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!HalGetInterruptVector] 89820C8D

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!HalTranslateBusAddress] D18BF84D

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KeStallExecutionProcessor] 860F1639

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfReleaseSpinLock] 000000BD

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 020CB389

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!READ_PORT_USHORT] 83660000

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 7400067E

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!WRITE_PORT_UCHAR] 89D60320

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[WMILIB.SYS!WmiSystemControl] 8D168B00

      IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[WMILIB.SYS!WmiCompleteRequest] F0003284



      ---- Devices - GMER 1.0.15 ----



      Device \FileSystem\Ntfs \Ntfs 8A6131F8

      Device \Driver\ACPI \Device\00000041 899F06D0

      Device \Driver\usbohci \Device\USBPDO-0 8A2D11F8

      Device \Driver\ACPI \Device\00000044 899F06D0

      Device \Driver\usbehci \Device\USBPDO-1 8A2D01F8

      Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A6861F8

      Device \Driver\dmio \Device\DmControl\DmConfig 8A6861F8

      Device \Driver\dmio \Device\DmControl\DmPnP 8A6861F8

      Device \Driver\dmio \Device\DmControl\DmInfo 8A6861F8

      Device \Driver\ACPI \Device\00000052 899F06D0

      Device \Driver\PCI_PNP5708 \Device\00000046 spnx.sys

      Device \Driver\ACPI \Device\00000053 899F06D0

      Device \Driver\NetBT \Device\NetBT_Tcpip_{559B9F50-EBCA-46D0-8906-E6661A690F98} 8A3EC1F8

      Device \Driver\ACPI \Device\00000054 899F06D0

      Device \Driver\ACPI \Device\00000061 899F06D0

      Device \Driver\ACPI \Device\00000055 899F06D0

      Device \Driver\ACPI \Device\00000062 899F06D0

      Device \Driver\sptd \Device\2459104458 spnx.sys

      Device \Driver\ACPI \Device\00000056 899F06D0

      Device \Driver\ACPI \Device\00000063 899F06D0

      Device \Driver\Ftdisk \Device\HarddiskVolume1 8A6151F8

      Device \Driver\ACPI \Device\00000064 899F06D0

      Device \Driver\Ftdisk \Device\HarddiskVolume2 8A6151F8

      Device \Driver\Cdrom \Device\CdRom0 8A2B11F8

      Device \Driver\ACPI \Device\00000065 899F06D0

      Device \Driver\Cdrom \Device\CdRom1 8A2B11F8

      Device \Driver\atapi \Device\Ide\IdePort0 8A6141F8

      Device \Driver\atapi \Device\Ide\IdePort1 8A6141F8

      Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e 8A6141F8

      Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 8A6141F8

      Device \Driver\atapi \Device\Ide\IdePort2 8A6141F8

      Device \Driver\atapi \Device\Ide\IdePort3 8A6141F8

      Device \Driver\Ftdisk \Device\HarddiskVolume3 8A6151F8

      Device \Driver\ACPI \Device\00000066 899F06D0

      Device \Driver\Ftdisk \Device\HarddiskVolume4 8A6151F8

      Device \Driver\ACPI \Device\00000067 899F06D0

      Device \Driver\ACPI \Device\00000068 899F06D0

      Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3EC1F8

      Device \Driver\NetBT \Device\NetbiosSmb 8A3EC1F8

      Device \Driver\ACPI \Device\0000005e 899F06D0

      Device \Driver\ACPI \Device\0000006b 899F06D0

      Device \Driver\usbohci \Device\USBFDO-0 8A2D11F8

      Device \Driver\ACPI \Device\0000006c 899F06D0

      Device \Driver\usbehci \Device\USBFDO-1 8A2D01F8

      Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A3B6500

      Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A3B6500

      Device \Driver\usbstor \Device\0000007c 891E1500

      Device \Driver\Ftdisk \Device\FtControl 8A6151F8

      Device \Driver\usbstor \Device\0000007e 891E1500

      Device \Driver\a9wbnk21 \Device\Scsi\a9wbnk211 8A2871F8

      Device \Driver\a9wbnk21 \Device\Scsi\a9wbnk211Port4Path0Target0Lun0 8A2871F8

      Device \FileSystem\Cdfs \Cdfs 8A309500



      ---- Registry - GMER 1.0.15 ----



      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x12 0x1B 0x7D ...

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x92 0x4D 0x24 0x9F ...

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x52 0xCB 0x81 0x2B ...

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x17 0x89 0x43 0x39 ...

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x12 0x1B 0x7D ...

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x92 0x4D 0x24 0x9F ...

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x52 0xCB 0x81 0x2B ...

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)

      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x17 0x89 0x43 0x39 ...



      ---- EOF - GMER 1.0.15 ----
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Pour la lenteur du PC, c'est récent ?

    Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
    https://www.virustotal.com/gui/

    # Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

    Chemin : C:\WINDOWS\System32\Drivers\a9wbnk21.SYS

    # Tu cliques ensuite sur envoyer le fichier.
    # Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

    A+
    0
  7. mawash Messages postés 67 Statut Membre
     
    je suis désolé mais je trouve pas le fichier
    C:\WINDOWS\System32\Drivers\a9wbnk21.SYS
    pour l'envoyer dans virustotal
    0
  8. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    # Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    # Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

    # Lance Combofix.exe et suis les invites.
    # Il te sera demandé d’installer la console de récupération.
    Important. Fais le absolument.

    Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

    # Une fois le scan fini, un rapport va apparaitre.

    Copie/colle ce rapport dans ta prochaine réponse.

    Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

    A+
    0
    1. mawach
       
      Voilà d'un coup pc qui plante avec bip qui ne s'arrête pas, je suis obligé de vers reset
      et au redémarrage un message ( à chaque fois que j'ai redémarrer ca l'a fait) qui me demande d'executer outlook et de le définir comme client or j'utilise thunderbird

      voici le rapport de combofix :

      ComboFix 10-02-18.03 - loïc 18/02/2010 20:18:38.1.2 - x86
      Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3326.2898 [GMT 1:00]
      Lancé depuis: c:\documents and settings\loïc\Bureau\ComboFix.exe
      AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
      .

      ((((((((((((((((((((((((((((( Fichiers créés du 2010-01-18 au 2010-02-18 ))))))))))))))))))))))))))))))))))))
      .

      2010-02-18 13:22 . 2010-02-18 13:22 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
      2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage réseau
      2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage d'impression
      2010-02-18 13:20 . 2009-10-22 22:49 -------- d-----r- c:\documents and settings\HelpAssistant\Menu Démarrer
      2010-02-18 13:20 . 2009-10-22 20:57 -------- d--h--w- c:\documents and settings\HelpAssistant\Modèles
      2010-02-16 18:43 . 2010-02-16 18:43 -------- d-----w- C:\Nathan
      2010-02-05 13:13 . 2010-02-05 13:15 -------- d-----w- c:\program files\Inkscape
      2010-01-28 18:15 . 2010-02-03 17:50 -------- d-----w- c:\program files\GIMP-2.0
      2010-01-27 14:52 . 2010-01-27 14:54 -------- d-----w- c:\program files\eMule
      2010-01-25 10:39 . 2010-01-25 10:39 -------- d-----w- c:\program files\Fichiers communs\SWF Studio
      2010-01-22 16:46 . 2010-01-22 16:46 -------- d-----w- c:\program files\Nvu
      2010-01-22 16:02 . 2004-08-05 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
      2010-01-21 17:53 . 2010-01-21 17:53 1924200 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
      2010-01-21 17:53 . 2010-01-22 08:07 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
      2010-01-21 16:39 . 2010-01-21 16:39 -------- d-----w- c:\program files\Synapse Développement
      2010-01-21 16:39 . 2010-01-21 16:39 24276 ----a-w- c:\windows\system\axd99cab.dll
      2010-01-21 11:23 . 2010-01-25 09:58 -------- d-----w- c:\program files\Spybot - Search & Destroy
      2010-01-21 11:23 . 2010-01-25 09:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

      .
      (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2010-02-18 18:28 . 2009-10-22 22:52 -------- d-----w- c:\program files\Mozilla Thunderbird
      2010-02-18 18:15 . 2009-10-22 21:46 -------- d-----w- c:\program files\lx_cats
      2010-02-02 17:09 . 2009-10-22 21:09 -------- d--h--w- c:\program files\InstallShield Installation Information
      2010-01-10 18:20 . 2010-01-10 18:20 -------- d-----w- c:\program files\DMV
      2009-12-18 15:06 . 2004-08-05 12:00 81040 ----a-w- c:\windows\system32\perfc00C.dat
      2009-12-18 15:06 . 2004-08-05 12:00 501312 ----a-w- c:\windows\system32\perfh00C.dat
      2009-12-10 19:01 . 2009-10-22 22:28 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
      2009-12-01 11:05 . 2009-10-22 21:08 15600 ----a-w- c:\windows\gdrv.sys
      .

      ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\SmartDoctor.exe" [2009-07-18 1191936]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-25 98304]
      "ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2009-05-13 380928]
      "LXCTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 106496]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
      2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
      2004-08-05 12:00 15360 ------w- c:\windows\system32\ctfmon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
      2007-09-19 10:14 16844800 ------r- c:\windows\RTHDCPL.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "c:\\WINDOWS\\system32\\lxctcoms.exe"=
      "c:\\Program Files\\uTorrent\\uTorrent.exe"=
      "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
      "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
      "c:\\Program Files\\DMV\\MaxTV4\\core\\maxtv_xul.exe"=
      "c:\\Program Files\\DMV\\MaxTV4\\maxtv.exe"=
      "c:\\Program Files\\DMV\\MaxTV4\\recorder.exe"=
      "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
      "c:\\Program Files\\eMule\\emule.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "135:TCP"= 135:TCP:TCP Port 135
      "5000:TCP"= 5000:TCP:TCP Port 5000
      "5001:TCP"= 5001:TCP:TCP Port 5001
      "5002:TCP"= 5002:TCP:TCP Port 5002
      "5003:TCP"= 5003:TCP:TCP Port 5003
      "5004:TCP"= 5004:TCP:TCP Port 5004
      "5005:TCP"= 5005:TCP:TCP Port 5005
      "5006:TCP"= 5006:TCP:TCP Port 5006
      "5007:TCP"= 5007:TCP:TCP Port 5007
      "5008:TCP"= 5008:TCP:TCP Port 5008
      "5009:TCP"= 5009:TCP:TCP Port 5009
      "5010:TCP"= 5010:TCP:TCP Port 5010
      "5011:TCP"= 5011:TCP:TCP Port 5011
      "5012:TCP"= 5012:TCP:TCP Port 5012
      "5013:TCP"= 5013:TCP:TCP Port 5013
      "5014:TCP"= 5014:TCP:TCP Port 5014
      "5015:TCP"= 5015:TCP:TCP Port 5015
      "5016:TCP"= 5016:TCP:TCP Port 5016
      "5017:TCP"= 5017:TCP:TCP Port 5017
      "5018:TCP"= 5018:TCP:TCP Port 5018
      "5019:TCP"= 5019:TCP:TCP Port 5019
      "5020:TCP"= 5020:TCP:TCP Port 5020
      "65533:TCP"= 65533:TCP:Services
      "52344:TCP"= 52344:TCP:Services
      "3246:TCP"= 3246:TCP:Services
      "2479:TCP"= 2479:TCP:Services
      "3389:TCP"= 3389:TCP:Remote Desktop

      R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/10/2009 23:28 108289]
      R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [10/11/2007 02:20 29728]
      S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07/11/2009 17:56 691696]
      .
      .
      ------- Examen supplémentaire -------
      .
      uStart Page = hxxp://fr.ask.com?o=15161&l=dis
      mWindow Title =
      uInternet Connection Wizard,ShellNext = hxxp://www.shemes.com/index.php?p=installed&b=997
      FF - ProfilePath - c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\
      FF - prefs.js: browser.search.selectedEngine - Google
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
      FF - prefs.js: keyword.URL -
      FF - component: c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll

      ---- PARAMETRES FIREFOX ----
      FF - user.js: yahoo.homepage.dontask - true.
      - - - - ORPHELINS SUPPRIMES - - - -

      HKLM-Run-NWEReboot - (no file)



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-02-18 20:19
      Windows 5.1.2600 Service Pack 2 NTFS

      Recherche de processus cachés ...

      Recherche d'éléments en démarrage automatique cachés ...

      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      LXCTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

      Recherche de fichiers cachés ...

      Scan terminé avec succès
      Fichiers cachés: 0

      **************************************************************************

      Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

      device: opened successfully
      user: MBR read successfully
      called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x8A2F2250]<<
      kernel: MBR read successfully
      detected MBR rootkit hooks:
      \Driver\Disk -> CLASSPNP.SYS @ 0xf74ebfc3
      \Driver\ACPI -> 0x8a2f2250
      \Driver\atapi -> atapi.sys @ 0xf72ef7b4
      IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c
      ParseProcedure -> ntkrnlpa.exe @ 0x8058146a
      SecurityProcedure -> ntkrnlpa.exe @ 0x80582a0e
      \Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c
      ParseProcedure -> ntkrnlpa.exe @ 0x8058146a
      SecurityProcedure -> ntkrnlpa.exe @ 0x80582a0e
      NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x88f9f330
      PacketIndicateHandler -> NDIS.sys @ 0xf7209b21
      SendHandler -> NDIS.sys @ 0xf71e787b
      Warning: possible MBR rootkit infection !
      copy of MBR has been found in sector 0x03A384C41
      malicious code @ sector 0x03A384C44 !
      PE file found in sector at 0x03A384C5A !
      MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

      **************************************************************************
      .
      --------------------- DLLs chargées dans les processus actifs ---------------------

      - - - - - - - > 'winlogon.exe'(720)
      c:\windows\system32\Ati2evxx.dll
      .
      Heure de fin: 2010-02-18 20:20:38
      ComboFix-quarantined-files.txt 2010-02-18 19:20

      Avant-CF: 11 234 238 464 octets libres
      Après-CF: 11 205 500 928 octets libres

      WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

      - - End Of File - - B133F69E3F5A76D234A14F9E16EA1A48
      0
  9. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Tu as un rootkit nstallé dans le boot du PC.

    Télécharge mbr]exe sur le Bureau ( IMPORTANT )
    http://www2.gmer.net/mbr/mbr.exe

    Clique sur démarrer --> Exécuter --> tape ceci : "%userprofile%\Bureau\mbr.exe" –f
    Fais attention aux guillements et aux espaces
    Un rapport mbr.log est généré. Edite-le.

    A+
    0
  10. mawash Messages postés 67 Statut Membre
     
    voila le rapport mbr.log :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    detected MBR rootkit hooks:
    \Driver\ACPI -> 0x894a76e0
    \Driver\atapi -> 0x8a6841f8
    NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x88e2d330
    Warning: possible MBR rootkit infection !
    copy of MBR has been found in sector 0x03A384C41
    malicious code @ sector 0x03A384C44 !
    PE file found in sector at 0x03A384C5A !
    MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

    A+
    0
  11. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Pas simple.

    1/ Redémarre le PC et tu auras le choix entre démarrer windows ou la console de récupération ( installée avec Combofix ).

    Copie le texte suivant car tu n'auras pas accès à windows.
    tape successivement :

    CD C:\Windows
    fixmbr \Device\HardDisk0
    ( la dernière lettre est un chiffre, le zéro )

    Tu auras un message comme quoi fixmbr peut endommager le secteur de démarrage.
    C'est normal car tu vas réecrire le boot.
    A la question "voulez-vous réécrie .... ". Accepte ( en tapant o ).

    Tape exit pour quitter la console.
    Le PC devrait redémarrer.

    2/ Sous windows, lance mbr.exe et poste le rapport obtenu.

    A+
    0
  12. mawash Messages postés 67 Statut Membre
     
    Voilà le rapport de mbr :

    Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

    device: opened successfully
    user: MBR read successfully
    kernel: MBR read successfully
    user & kernel MBR OK
    copy of MBR has been found in sector 0x03A384C41
    malicious code @ sector 0x03A384C44 !
    PE file found in sector at 0x03A384C5A !
    0
  13. mawash Messages postés 67 Statut Membre
     
    Désolé je pars manger pour l'instant alors ne t'inquiète pas
    si t'as pas de réponse tout de suite
    et merci encore pour ton aide

    A+
    0
  14. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    On avance mais ce n'est pas encore gagné.
    Le PC plante toujours ?
    Et la lenteur ?

    1/ Télécharge SEAF ( de C_XX )
    http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

    # Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) .
    # Tape a9wbnk21 dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ".
    # Laisse l'outil scanner.
    # Copie/Colle le rapport qui s'ouvrira dans ton prochain message

    2/ Télécharge OTL (de OldTimer) sur ton Bureau.
    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    * Double-clique sur OTL.exe pour le lancer.
    Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
    * Dans la partie Customs Scans, copie/colle la liste suivante.

    netsvcs
    Drivers32
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    /md5stop
    %systemroot%\*. /mp /s
    CREATERESTOREPOINT


    * Enfin, clique sur le bouton Quick Scan.

    * Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

    Utilise le site http://www.cijoint.fr pour déposer les deux rapports.
    Indique dans ton prochain message les liens crées.

    A+
    0
    1. mawash Messages postés 67 Statut Membre
       
      et voilà pour le lien du rapport OTL sur cijoint.fr :

      http://www.cijoint.fr/cjlink.php?file=cj201002/cij76LHSVy.txt

      et du rapport Extras.txt :

      http://www.cijoint.fr/cjlink.php?file=cj201002/cijCEo4gu4.txt

      du coup tu pourrais m'expliquer ou on en est ?
      Merci encore pour ton aide précieuse

      A+
      0
  15. mawash Messages postés 67 Statut Membre
     
    Voilà pour le rapport SEAF:

    1. ========================= SEAF 1.0.0.7 - C_XX
    2.
    3. Commencé à: 01:19:52 le 19/02/2010
    4.
    5. Valeur(s) recherchée(s):
    6.
    7. a9wbnk21
    8.
    9.
    10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    11.
    12. Aucun fichier trouvé
    13.
    14. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
    15.
    16. Aucun dossier trouvé
    17.
    18. =========================
    19.
    20. Fin à: 01:20:22 le 19/02/2010 ( E.O.F )
    0
  16. mawash Messages postés 67 Statut Membre
     
    Bonjour verni29,

    si j'ai bien compris y a encore une copie du rootkit inactive présente sur le DD,
    mais qui est sans aucun danger
    et là je viens de supprimer le dernier fichier infecter avec AD-remover ( je te joins le rapport)
    Ensuite je relance un scan avec malwarebytes et je te poste le rapport un peu plus tard sachant que j'avais fait un scan hier qui n'avais rien trouver
    Deuxièmement je parts en vacance ce soir (17H) pendant 15 jours donc à mon retour pour éradiquer définitivement le rootkit et surtout afin qu'il ne revienne plus je peux formater mon C en étant sûr de pouvoir sauvegarder mes documents qui sont présent sur le C en étant sûr qu'ils ne soient pas infectés ?

    car bêtement j'avais encore pas fait de copie de ses documents sur le D

    si je veux formater c'est parce que mon portable avais subi une attaque identique et j'avais suivi les conseils sur ce forum mais le portable en a subi une autre juste avant mon PC du coup je viens de formaté mon portable
    D'ailleurs a tu un conseil pour éviter ces attaques ? ( bizarrement elles coïncident avec la visualisation par ma copine sur alloshowtv.com sur le portable et le PC)
    Je ne sais pas si toutes ces explications sont claires mais bon si tu peux m'éclairer

    AH!!! mon antivirus (antivir) vient de m'alerter du message suivant :
    C:\Ad-Remover\1\List.dat
    contient le modèle de détection du virus de script HTML
    HTML/Malicious.ActiveX.Gen

    Voici le rapport AD-remover :

    .
    ======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
    .
    Mis à jour par C_XX le 05.02.2010 à 17:34
    Contact: AdRemover.contact@gmail.com
    Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
    .
    Lancé à: 13:51:26, 19/02/2010 | Mode Normal | Option: CLEAN
    Exécuté de: C:\Ad-Remover\
    Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
    Nom du PC: BUREAU | Utilisateur actuel: lo‹c
    .
    ============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
    .

    C:\DOCUME~1\LOC~1\APPLIC~1\Mozilla\FireFox\Profiles\cfwrgb0b.default\searchplugins\askcom.xml
    C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Poker 770
    C:\Program Files\Poker 770
    C:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\#SharedObjects\ARPCYM5Z\casino.com
    C:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#casino.com
    C:\DOCUME~1\ALLUSE~1\Bureau\Poker 770.lnk

    (!) -- Fichiers temporaires supprimés.

    .
    HKCU\software\microsoft\internet explorer\searchscopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
    HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
    HKCU\software\Poker 770
    HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
    HKLM\software\Poker 770
    .
    ============== Scan additionnel ==============
    .
    .
    * Mozilla FireFox Version 3.5.8 [fr] *
    .
    Nom du profil: cfwrgb0b.default (lo‹c)
    .
    (LOC~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\loïc\Bureau
    (LOC~1, prefs.js) Browser.search.defaultenginename, Ask.com
    (LOC~1, prefs.js) Browser.search.selectedEngine, Google
    (LOC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/
    (LOC~1, prefs.js) Extensions.enabledItems, DTToolbar@toolbarnet.com:1.1.1.0014,{e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.8.20100211.5,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
    (LOC~1, prefs.js) Keyword.URL,
    .
    (LOC~1, prefs.js) EFFACE - Browser.search.defaultengine, Ask.com
    (LOC~1, prefs.js) EFFACE - Browser.search.defaultenginename, Ask.com
    (LOC~1, prefs.js) EFFACE - Browser.search.order.1, Ask.com
    .
    .
    .
    * Internet Explorer Version 6.0.2900.2180 *
    .
    [HKEY_CURRENT_USER\..\Internet Explorer\Main]
    .
    Do404Search: 01000000
    Local Page: C:\WINDOWS\system32\blank.htm
    Show_ToolBar: yes
    Start Page: hxxp://fr.msn.com/
    Use Custom Search URL: 1 (0x1)
    Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
    .
    Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    Delete_Temp_Files_On_Exit: yes
    Local Page: %SystemRoot%\system32\blank.htm
    Start Page: hxxp://fr.msn.com/
    Search bar: hxxp://search.msn.com/spbasic.htm
    .
    [HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
    .
    Tabs: res://ieframe.dll/tabswelcome.htm
    .
    ============== Suspect (Cracks, Serials, ...) ==============
    .
    C:\Documents and Settings\HelpAssistant\Application Data\uTorrent\Need For Speed Shift 2009 Clone DVD Reloaded Incl Crack.torrent
    C:\Documents and Settings\lo‹c\Application Data\uTorrent\Need For Speed Shift 2009 Clone DVD Reloaded Incl Crack.torrent
    .
    ===================================
    .
    3576 Octet(s) - C:\Ad-Report-CLEAN[1].log
    .
    2 Fichier(s) - C:\DOCUME~1\LOC~1\LOCALS~1\Temp
    6 Fichier(s) - C:\WINDOWS\Temp
    9 Fichier(s) - C:\WINDOWS\Prefetch
    .
    19 Fichier(s) - C:\Ad-Remover\BACKUP
    2127 Fichier(s) - C:\Ad-Remover\QUARANTINE
    .
    Fin à: 13:54:40 | 19/02/2010 - CLEAN[1]
    .
    ============== E.O.F ==============
    .
    0
  17. mawash Messages postés 67 Statut Membre
     
    comme convenu voici le rapport de malwarebytes :
    qui trouve finalement un fichier infecté

    Malwarebytes' Anti-Malware 1.41
    Version de la base de données: 3161
    Windows 5.1.2600 Service Pack 2

    19/02/2010 14:32:01
    mbam-log-2010-02-19 (14-31-56).txt

    Type de recherche: Examen complet (C:\|D:\|)
    Eléments examinés: 165537
    Temps écoulé: 24 minute(s), 52 second(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\System Volume Information\_restore{11636D98-FEDE-4205-B3CF-3FC675F3F5CC}\RP111\A0016040.sys (Rootkit.Agent) -> No action taken.
    0
  18. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonjour, mawash

    Oui, tu m'as bien compris pour le rootkit.
    La copie ne peut pas être supprimé à moins de formater le PC.

    On peut poursuivre après tes vacances.
    Le PC n'est pas loin d'être propre.
    Les supports amovibles ne semblent pas touchés.
    Il restera quelques manips à faire et tu pourras ensuite sauvegarder tes données.

    Pour info, Le rapport de MBAM montre que la restauration système a été touchée donc inutilisable.
    A nettoyer si tu ne formates pas.


    Je garde la discussion dans mes suivis.

    Bonnes vacances.

    @+
    0
    1. mawash Messages postés 67 Statut Membre
       
      Salut Verni29,
      comme convenu je te recontacte après mes vacances
      je ne sais pas où on en était
      je voudrais juste rendre propre mon pc afin de sauvegarder des trucs importants
      et puis après je formaterai afin d'être complètement clean (j'ai pas envie que ça revienne)

      Enfin voilà et merci pour ton aide
      0
  19. mawash Messages postés 67 Statut Membre
     
    Ok et encore un grand merci pour ton aide précieuse

    Je te recontacte dans 15 jours

    @+
    0
  20. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    bonsoir, mawash

    On poursuit. Deux analyses.

    Commence par ceci :

    Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    # Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    # Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

    # Lance Combofix.exe et suis les invites.
    # Il te sera demandé d’installer la console de récupération.
    Important. Fais le absolument.

    Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

    # Une fois le scan fini, un rapport va apparaitre.

    Copie/colle ce rapport dans ta prochaine réponse.

    Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

    A+
    0
  21. mawash Messages postés 67 Statut Membre
     
    Bonjour verni29,
    désolé hier soir j'étais invité à manger, cet aprèm je suis à ta dispo
    comme convenu voici le rapport de ComBoFix :

    ComboFix 10-03-12.04 - loïc 13/03/2010 13:07:30.2.2 - x86
    Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3326.2886 [GMT 1:00]
    Lancé depuis: c:\documents and settings\loïc\Bureau\ComboFix.exe
    AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
    * Un nouveau point de restauration a été créé
    .

    (((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
    .

    J:\Autorun.inf

    .
    ((((((((((((((((((((((((((((( Fichiers créés du 2010-02-13 au 2010-03-13 ))))))))))))))))))))))))))))))))))))
    .

    2010-02-19 13:54 . 2010-02-19 13:54 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
    2010-02-19 12:50 . 2010-02-19 12:54 -------- d-----w- C:\Ad-Remover
    2010-02-19 00:19 . 2010-02-19 00:20 -------- d-----w- c:\program files\SEAF
    2010-02-18 13:22 . 2010-02-18 13:22 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
    2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage réseau
    2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage d'impression
    2010-02-18 13:20 . 2009-10-22 22:49 -------- d-----r- c:\documents and settings\HelpAssistant\Menu Démarrer
    2010-02-18 13:20 . 2009-10-22 20:57 -------- d--h--w- c:\documents and settings\HelpAssistant\Modèles
    2010-02-16 18:43 . 2010-02-16 18:43 -------- d-----w- C:\Nathan

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-03-13 11:43 . 2009-10-22 21:46 -------- d-----w- c:\program files\lx_cats
    2010-03-13 11:36 . 2009-10-22 22:52 -------- d-----w- c:\program files\Mozilla Thunderbird
    2010-02-19 13:54 . 2009-11-13 17:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-02-05 13:15 . 2010-02-05 13:13 -------- d-----w- c:\program files\Inkscape
    2010-02-03 17:50 . 2010-01-28 18:15 -------- d-----w- c:\program files\GIMP-2.0
    2010-02-02 17:09 . 2009-10-22 21:09 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-01-27 14:54 . 2010-01-27 14:52 -------- d-----w- c:\program files\eMule
    2010-01-25 10:39 . 2010-01-25 10:39 -------- d-----w- c:\program files\Fichiers communs\SWF Studio
    2010-01-25 09:58 . 2010-01-21 11:23 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-01-25 09:56 . 2010-01-21 11:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-01-22 16:46 . 2010-01-22 16:46 -------- d-----w- c:\program files\Nvu
    2010-01-22 08:07 . 2010-01-21 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
    2010-01-21 17:53 . 2010-01-21 17:53 1924200 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
    2010-01-21 16:39 . 2010-01-21 16:39 -------- d-----w- c:\program files\Synapse Développement
    2010-01-07 15:07 . 2009-11-13 17:33 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-01-07 15:07 . 2009-11-13 17:33 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
    2009-12-18 15:06 . 2004-08-05 12:00 81040 ----a-w- c:\windows\system32\perfc00C.dat
    2009-12-18 15:06 . 2004-08-05 12:00 501312 ----a-w- c:\windows\system32\perfh00C.dat
    .

    ((((((((((((((((((((((((((((( SnapShot@2010-02-18_19.19.59 )))))))))))))))))))))))))))))))))))))))))
    .
    + 2010-03-13 12:06 . 2010-03-13 12:06 16384 c:\windows\Temp\Perflib_Perfdata_4f0.dat
    .
    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\SmartDoctor.exe" [2009-07-18 1191936]

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-25 98304]
    "ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2009-05-13 380928]
    "LXCTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 106496]
    "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
    2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
    2004-08-05 12:00 15360 ------w- c:\windows\system32\ctfmon.exe

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
    2007-09-19 10:14 16844800 ------r- c:\windows\RTHDCPL.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\system32\\sessmgr.exe"=
    "c:\\WINDOWS\\system32\\lxctcoms.exe"=
    "c:\\Program Files\\uTorrent\\uTorrent.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrA.exe"=
    "c:\\WINDOWS\\system32\\PnkBstrB.exe"=
    "c:\\Program Files\\DMV\\MaxTV4\\core\\maxtv_xul.exe"=
    "c:\\Program Files\\DMV\\MaxTV4\\maxtv.exe"=
    "c:\\Program Files\\DMV\\MaxTV4\\recorder.exe"=
    "c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
    "c:\\Program Files\\eMule\\emule.exe"=

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
    "135:TCP"= 135:TCP:TCP Port 135
    "5000:TCP"= 5000:TCP:TCP Port 5000
    "5001:TCP"= 5001:TCP:TCP Port 5001
    "5002:TCP"= 5002:TCP:TCP Port 5002
    "5003:TCP"= 5003:TCP:TCP Port 5003
    "5004:TCP"= 5004:TCP:TCP Port 5004
    "5005:TCP"= 5005:TCP:TCP Port 5005
    "5006:TCP"= 5006:TCP:TCP Port 5006
    "5007:TCP"= 5007:TCP:TCP Port 5007
    "5008:TCP"= 5008:TCP:TCP Port 5008
    "5009:TCP"= 5009:TCP:TCP Port 5009
    "5010:TCP"= 5010:TCP:TCP Port 5010
    "5011:TCP"= 5011:TCP:TCP Port 5011
    "5012:TCP"= 5012:TCP:TCP Port 5012
    "5013:TCP"= 5013:TCP:TCP Port 5013
    "5014:TCP"= 5014:TCP:TCP Port 5014
    "5015:TCP"= 5015:TCP:TCP Port 5015
    "5016:TCP"= 5016:TCP:TCP Port 5016
    "5017:TCP"= 5017:TCP:TCP Port 5017
    "5018:TCP"= 5018:TCP:TCP Port 5018
    "5019:TCP"= 5019:TCP:TCP Port 5019
    "5020:TCP"= 5020:TCP:TCP Port 5020
    "65533:TCP"= 65533:TCP:Services
    "52344:TCP"= 52344:TCP:Services
    "3246:TCP"= 3246:TCP:Services
    "2479:TCP"= 2479:TCP:Services
    "3389:TCP"= 3389:TCP:Remote Desktop
    "9833:TCP"= 9833:TCP:Services

    R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/10/2009 23:28 108289]
    R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [10/11/2007 02:20 29728]
    S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07/11/2009 17:56 691696]
    .
    .
    ------- Examen supplémentaire -------
    .
    mWindow Title =
    uInternet Connection Wizard,ShellNext = hxxp://www.shemes.com/index.php?p=installed&b=997
    FF - ProfilePath - c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\
    FF - prefs.js: browser.search.selectedEngine - Google
    FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
    FF - prefs.js: keyword.URL -
    FF - component: c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll

    ---- PARAMETRES FIREFOX ----
    FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
    c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
    c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
    .

    **************************************************************************

    catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
    Rootkit scan 2010-03-13 13:10
    Windows 5.1.2600 Service Pack 2 NTFS

    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    LXCTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés: 0

    **************************************************************************
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'winlogon.exe'(720)
    c:\windows\system32\Ati2evxx.dll
    .
    Heure de fin: 2010-03-13 13:10:49
    ComboFix-quarantined-files.txt 2010-03-13 12:10
    ComboFix2.txt 2010-02-18 19:20

    Avant-CF: 10 775 384 064 octets libres
    Après-CF: 10 757 439 488 octets libres

    - - End Of File - - 8AB2353DAB2BFC8A3219CB186286E697
    0
  • 1
  • 2