Sujet Précédent Sujet Suivant

TR/Rootkit.Gen'

Fermé
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014 - 18 févr. 2010 à 13:44
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 - 15 mars 2010 à 17:43
Bonjour,
Voila mon antivirus vient de détecter des trojan, que puis faire pour éradiquer tout ça ?
Je poste les évenemEnts de ANTIVIR

Dans le fichier 'C:\WINDOWS\Temp\63.tmp'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Dans le fichier 'C:\WINDOWS\Temp\5E.tmp'
un virus ou un programme indésirable 'TR/Rootkit.Gen' [trojan] a été détecté.
Action exécutée : Refuser l'accès
Dans le fichier 'C:\Documents and Settings\loïc\Local Settings\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\Cache\12384BA7d01'
un virus ou un programme indésirable 'EXP/Pidief.czz' [exploit] a été détecté.
Action exécutée : Refuser l'accès
Dans le fichier 'C:\Documents and Settings\loïc\Local Settings\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\Cache\12384BA7d01'
un virus ou un programme indésirable 'EXP/Pidief.czz' [exploit] a été détecté.
Action exécutée : Refuser l'accès

Merçi beaucoup pour votre aide

36 réponses

  • 1
  • 2
Réponse 1 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 févr. 2010 à 09:52
mawash,

On fait le point.

1/ Pour le rootkit MBR, note la différence entre les différents rapports :

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x894a76e0
\Driver\atapi -> 0x8a6841f8
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x88e2d330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

et après fixmbr :

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !

FixMBR a réecrit le MasterBoot et du coup éliminé le rootkit. Ce rootkit, lorsqu'il s'est installé la première fois, a installé une copie dans un autre secteur sur le DD.

copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A

Où elle se trouve, cette copie est inactive.
Il est par contre impossible de supprimer cette copie sans formater la partition.
De toute façon, vu que le rootkit a été nettoyé, cette copie est sans incidence.

2/ Dans le premier rapport de gmer, il y avait la présence d'un fichier a9wbnk21.sys.
Je t'avais demandé de faire une recherche avec SEAF qui n'a rien trouvé.

Je viens de comprendre puisque tu as sur le PC DaemonTools qui genère des drivers aléatoires à chaque utilisation.

Par contre , ce logiciel est accompagné d'une barre d'outil Ask.
Cette barre d'outil a infecté Firefox en autre.
A nettoyer.

Télécharge AD-Remover de C_XX sur ton bureau :
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Tu te déconnectes du net et ferme toutes les applications en cours.

Sous Vista, il faut nécessairement désactiver l'UAC ou contrôle de compte utilisateur.
Tuto : https://www.pcastuces.com/pratique/windows/vista/astuces/desactiver_uac.htm

* Double-clique sur AD-R.exe .
* Au menu principal, choisis l'option "L" pour effectuer le nettotyage .
* Le PC va redémarrer pour procéder au nettoyage.

Après redémarrage, un rapport va apparaitre. Poste le contenu dans ton prochain message.

Note : Il se trouve en C:\AD-Report-SCAN.log

3/ Je vois que tu as malwarebytes d'installé sur le PC.
As-tu fait un scan récemment ? Si non, fais un examen complet et poste le rapport.

A+
5
Réponse 2 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 févr. 2010 à 13:58
Bonjour,

1/ télécharge AFT Cleaner et enregistre-le sur le bureau.
http://www.atribune.org/ccount/click.php?id=1

Ferme ton navigateur. Double clique sur ATF-Cleaner.exe.
Choisis l'option Select All puis valide.

Puis pour Firefox, réouvre le logiciel et clique dans le menu sur Firefox.
Choisis l'option Select All puis valide.
Attention tout de même pour tes mots de passe ( Firefox saved passwords ).

Ceci devrait vider le cache de firefox et les fichiers temporaires.

2/ Télécharge gmer
http://www2.gmer.net/gmer.zip

Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )

# dézippe-le (clic droit et extraire sur le bureau )
# Ouvre le dossier crée et double-clique sur gmer.exe .
# Le scan va se lancer de lui-même.
# vérifie que l’outil est sur l’onglet RootKit/Malware.
# A la fin du scan, clique sur le bouton save pour enregistrer le rapport.
# Enregistre-le sur le bureau ( fichier .log )

Édite ce rapport dans ta prochaine réponse.

A+
0
Réponse 3 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
18 févr. 2010 à 14:26
J'ai un problème mon pc n'arrête pas de se couper, tout est bloqué puis ça sonne alors je suis obligé de faire un reset pour redémarrer
que puis je faire ?
0
Réponse 4 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 févr. 2010 à 16:45
Re,

Citation :
J'ai un problème mon pc n'arrête pas de se couper, tout est bloqué puis ça sonne alors je suis obligé de faire un reset pour redémarrer
que puis je faire ?
Tu n'as pas le temps d'effectuer les manips ?

Peux-tu te connecter en mode sans échec avec prise en charge réseau ?
Au démarrage du PC, tapote sur la touche F5 ou F8 puis choisis ce mode démarrage.
Tu devrais pouvoir te connecter au net et télécharger les outils que je te demanderais d'utiliser.

Dis moi si tu peux le faire.

A+
0
mawach
18 févr. 2010 à 18:41
Voila le rapport de gmer qui a mis environ 4heures,
mon pc est super lent, je suis désolé si ça met du temps :

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-02-18 17:58:17

Windows 5.1.2600 Service Pack 2

Running: gmer.exe; Driver: C:\DOCUME~1\LOC~1\LOCALS~1\Temp\uftdqpow.sys





---- System - GMER 1.0.15 ----



SSDT F7B6C3D6 ZwCreateKey

SSDT F7B6C3CC ZwCreateThread

SSDT F7B6C3DB ZwDeleteKey

SSDT F7B6C3E5 ZwDeleteValueKey

SSDT spnx.sys ZwEnumerateKey [0xF72ACDA4]

SSDT spnx.sys ZwEnumerateValueKey [0xF72AD132]

SSDT F7B6C3EA ZwLoadKey

SSDT spnx.sys ZwOpenKey [0xF72940C0]

SSDT F7B6C3B8 ZwOpenProcess

SSDT F7B6C3BD ZwOpenThread

SSDT spnx.sys ZwQueryKey [0xF72AD20A]

SSDT spnx.sys ZwQueryValueKey [0xF72AD08A]

SSDT F7B6C3F4 ZwReplaceKey

SSDT F7B6C3EF ZwRestoreKey

SSDT F7B6C3E0 ZwSetValueKey

SSDT F7B6C3C7 ZwTerminateProcess



INT 0x73 ? 8A614BF8

INT 0x73 ? 8A614BF8

INT 0x73 ? 8A2D2BF8

INT 0x73 ? 8A614BF8

INT 0xB4 ? 8A2D2BF8



---- Kernel code sections - GMER 1.0.15 ----



.text ntkrnlpa.exe!ZwCallbackReturn + 2CBC 805038BC 4 Bytes JMP C2F7B6C3

? spnx.sys Le fichier spécifié est introuvable. !

.text USBPORT.SYS!DllUnload F6B9362C 5 Bytes JMP 8A2D21D8

.text C:\WINDOWS\system32\DRIVERS\ati2mtag.sys section is writeable [0xF6718000, 0x236D77, 0xE8000020]

.text a9wbnk21.SYS F65CE386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]

.text a9wbnk21.SYS F65CE3AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]

.text a9wbnk21.SYS F65CE3C4 3 Bytes [00, 80, 02]

.text a9wbnk21.SYS F65CE3C9 1 Byte [30]

.text a9wbnk21.SYS F65CE3C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}

.text ...



---- User code sections - GMER 1.0.15 ----



.text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!send 719F428A 5 Bytes JMP 029E2771

.text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 029E2863

.text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!recv 719F615A 5 Bytes JMP 029E27A9

.text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 029E27E1

.text C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe[176] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 029E28E5

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!send 719F428A 5 Bytes JMP 03952771

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 03952863

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!recv 719F615A 5 Bytes JMP 039527A9

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 039527E1

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe[528] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 039528E5

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!send 719F428A 5 Bytes JMP 04A12771

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 04A12863

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!recv 719F615A 5 Bytes JMP 04A127A9

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 04A127E1

.text C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe[596] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 04A128E5

.text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!send 719F428A 5 Bytes JMP 015A2771

.text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 015A2863

.text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!recv 719F615A 5 Bytes JMP 015A27A9

.text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 015A27E1

.text C:\Program Files\Avira\AntiVir Desktop\sched.exe[1640] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 015A28E5

.text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!send 719F428A 5 Bytes JMP 01042771

.text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 01042863

.text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!recv 719F615A 5 Bytes JMP 010427A9

.text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 010427E1

.text C:\Program Files\Avira\AntiVir Desktop\avguard.exe[1728] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 010428E5

.text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!send 719F428A 5 Bytes JMP 02252771

.text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 02252863

.text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!recv 719F615A 5 Bytes JMP 022527A9

.text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 022527E1

.text C:\Program Files\Java\jre6\bin\jqs.exe[1780] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 022528E5

.text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!send 719F428A 5 Bytes JMP 00FC2771

.text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!WSARecv 719F4318 5 Bytes JMP 00FC2863

.text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!recv 719F615A 5 Bytes JMP 00FC27A9

.text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!WSASend 719F6233 5 Bytes JMP 00FC27E1

.text C:\WINDOWS\system32\lxctcoms.exe[1832] ws2_32.dll!closesocket 719F9639 5 Bytes JMP 00FC28E5

.text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!send 719F428A 5 Bytes JMP 00E32771

.text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00E32863

.text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!recv 719F615A 5 Bytes JMP 00E327A9

.text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00E327E1

.text C:\WINDOWS\Explorer.EXE[1840] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00E328E5

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!send 719F428A 5 Bytes JMP 00D82771

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00D82863

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!recv 719F615A 5 Bytes JMP 00D827A9

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00D827E1

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[2808] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00D828E5

.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!send 719F428A 5 Bytes JMP 00CF2771

.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00CF2863

.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!recv 719F615A 5 Bytes JMP 00CF27A9

.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00CF27E1

.text C:\WINDOWS\system32\wbem\wmiapsrv.exe[2932] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00CF28E5

.text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!send 719F428A 5 Bytes JMP 008B2771

.text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 008B2863

.text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!recv 719F615A 5 Bytes JMP 008B27A9

.text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 008B27E1

.text C:\WINDOWS\System32\alg.exe[3104] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 008B28E5

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!send 719F428A 5 Bytes JMP 00BE2771

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!WSARecv 719F4318 5 Bytes JMP 00BE2863

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!recv 719F615A 5 Bytes JMP 00BE27A9

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!WSASend 719F6233 5 Bytes JMP 00BE27E1

.text C:\WINDOWS\system32\wbem\wmiprvse.exe[3200] WS2_32.dll!closesocket 719F9639 5 Bytes JMP 00BE28E5



---- Kernel IAT/EAT - GMER 1.0.15 ----



IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7295042] spnx.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F729513E] spnx.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F72950C0] spnx.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7295800] spnx.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72956D6] spnx.sys

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F72A4B90] spnx.sys

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfAcquireSpinLock] 0C8D1C46

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!READ_PORT_UCHAR] B48B8932

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KeGetCurrentIrql] 89000001

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfRaiseIrql] 0001C083

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfLowerIrql] 24468B00

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!HalGetInterruptVector] 89820C8D

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!HalTranslateBusAddress] D18BF84D

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KeStallExecutionProcessor] 860F1639

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!KfReleaseSpinLock] 000000BD

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 020CB389

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!READ_PORT_USHORT] 83660000

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 7400067E

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[HAL.dll!WRITE_PORT_UCHAR] 89D60320

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[WMILIB.SYS!WmiSystemControl] 8D168B00

IAT \SystemRoot\System32\Drivers\a9wbnk21.SYS[WMILIB.SYS!WmiCompleteRequest] F0003284



---- Devices - GMER 1.0.15 ----



Device \FileSystem\Ntfs \Ntfs 8A6131F8

Device \Driver\ACPI \Device\00000041 899F06D0

Device \Driver\usbohci \Device\USBPDO-0 8A2D11F8

Device \Driver\ACPI \Device\00000044 899F06D0

Device \Driver\usbehci \Device\USBPDO-1 8A2D01F8

Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A6861F8

Device \Driver\dmio \Device\DmControl\DmConfig 8A6861F8

Device \Driver\dmio \Device\DmControl\DmPnP 8A6861F8

Device \Driver\dmio \Device\DmControl\DmInfo 8A6861F8

Device \Driver\ACPI \Device\00000052 899F06D0

Device \Driver\PCI_PNP5708 \Device\00000046 spnx.sys

Device \Driver\ACPI \Device\00000053 899F06D0

Device \Driver\NetBT \Device\NetBT_Tcpip_{559B9F50-EBCA-46D0-8906-E6661A690F98} 8A3EC1F8

Device \Driver\ACPI \Device\00000054 899F06D0

Device \Driver\ACPI \Device\00000061 899F06D0

Device \Driver\ACPI \Device\00000055 899F06D0

Device \Driver\ACPI \Device\00000062 899F06D0

Device \Driver\sptd \Device\2459104458 spnx.sys

Device \Driver\ACPI \Device\00000056 899F06D0

Device \Driver\ACPI \Device\00000063 899F06D0

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A6151F8

Device \Driver\ACPI \Device\00000064 899F06D0

Device \Driver\Ftdisk \Device\HarddiskVolume2 8A6151F8

Device \Driver\Cdrom \Device\CdRom0 8A2B11F8

Device \Driver\ACPI \Device\00000065 899F06D0

Device \Driver\Cdrom \Device\CdRom1 8A2B11F8

Device \Driver\atapi \Device\Ide\IdePort0 8A6141F8

Device \Driver\atapi \Device\Ide\IdePort1 8A6141F8

Device \Driver\atapi \Device\Ide\IdeDeviceP2T1L0-e 8A6141F8

Device \Driver\atapi \Device\Ide\IdeDeviceP2T0L0-6 8A6141F8

Device \Driver\atapi \Device\Ide\IdePort2 8A6141F8

Device \Driver\atapi \Device\Ide\IdePort3 8A6141F8

Device \Driver\Ftdisk \Device\HarddiskVolume3 8A6151F8

Device \Driver\ACPI \Device\00000066 899F06D0

Device \Driver\Ftdisk \Device\HarddiskVolume4 8A6151F8

Device \Driver\ACPI \Device\00000067 899F06D0

Device \Driver\ACPI \Device\00000068 899F06D0

Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3EC1F8

Device \Driver\NetBT \Device\NetbiosSmb 8A3EC1F8

Device \Driver\ACPI \Device\0000005e 899F06D0

Device \Driver\ACPI \Device\0000006b 899F06D0

Device \Driver\usbohci \Device\USBFDO-0 8A2D11F8

Device \Driver\ACPI \Device\0000006c 899F06D0

Device \Driver\usbehci \Device\USBFDO-1 8A2D01F8

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8A3B6500

Device \FileSystem\MRxSmb \Device\LanmanRedirector 8A3B6500

Device \Driver\usbstor \Device\0000007c 891E1500

Device \Driver\Ftdisk \Device\FtControl 8A6151F8

Device \Driver\usbstor \Device\0000007e 891E1500

Device \Driver\a9wbnk21 \Device\Scsi\a9wbnk211 8A2871F8

Device \Driver\a9wbnk21 \Device\Scsi\a9wbnk211Port4Path0Target0Lun0 8A2871F8

Device \FileSystem\Cdfs \Cdfs 8A309500



---- Registry - GMER 1.0.15 ----



Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x12 0x1B 0x7D ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x92 0x4D 0x24 0x9F ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x52 0xCB 0x81 0x2B ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x17 0x89 0x43 0x39 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x12 0x1B 0x7D ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x92 0x4D 0x24 0x9F ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x52 0xCB 0x81 0x2B ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq1@hdf12 0x17 0x89 0x43 0x39 ...



---- EOF - GMER 1.0.15 ----
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 févr. 2010 à 19:43
Pour la lenteur du PC, c'est récent ?

Tu vas sur le site de VirusTotal et tu vas pouvoir analyser un fichier.
https://www.virustotal.com/gui/

# Copiez le chemin indiqué ci-dessous et le coller dans la zone à analyser :

Chemin : C:\WINDOWS\System32\Drivers\a9wbnk21.SYS

# Tu cliques ensuite sur envoyer le fichier.
# Tu postes le rapport de l'analyse ( pour cela, tu sélectionnes la zone de résultat --> click droit --> copier )

A+
0
Réponse 6 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
18 févr. 2010 à 19:58
je suis désolé mais je trouve pas le fichier
C:\WINDOWS\System32\Drivers\a9wbnk21.SYS
pour l'envoyer dans virustotal
0
Réponse 7 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 févr. 2010 à 20:06
Re,

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
0
mawach
18 févr. 2010 à 20:34
Voilà d'un coup pc qui plante avec bip qui ne s'arrête pas, je suis obligé de vers reset
et au redémarrage un message ( à chaque fois que j'ai redémarrer ca l'a fait) qui me demande d'executer outlook et de le définir comme client or j'utilise thunderbird

voici le rapport de combofix :

ComboFix 10-02-18.03 - loïc 18/02/2010 20:18:38.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3326.2898 [GMT 1:00]
Lancé depuis: c:\documents and settings\loïc\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-01-18 au 2010-02-18 ))))))))))))))))))))))))))))))))))))
.

2010-02-18 13:22 . 2010-02-18 13:22 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage réseau
2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage d'impression
2010-02-18 13:20 . 2009-10-22 22:49 -------- d-----r- c:\documents and settings\HelpAssistant\Menu Démarrer
2010-02-18 13:20 . 2009-10-22 20:57 -------- d--h--w- c:\documents and settings\HelpAssistant\Modèles
2010-02-16 18:43 . 2010-02-16 18:43 -------- d-----w- C:\Nathan
2010-02-05 13:13 . 2010-02-05 13:15 -------- d-----w- c:\program files\Inkscape
2010-01-28 18:15 . 2010-02-03 17:50 -------- d-----w- c:\program files\GIMP-2.0
2010-01-27 14:52 . 2010-01-27 14:54 -------- d-----w- c:\program files\eMule
2010-01-25 10:39 . 2010-01-25 10:39 -------- d-----w- c:\program files\Fichiers communs\SWF Studio
2010-01-22 16:46 . 2010-01-22 16:46 -------- d-----w- c:\program files\Nvu
2010-01-22 16:02 . 2004-08-05 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2010-01-21 17:53 . 2010-01-21 17:53 1924200 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
2010-01-21 17:53 . 2010-01-22 08:07 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2010-01-21 16:39 . 2010-01-21 16:39 -------- d-----w- c:\program files\Synapse Développement
2010-01-21 16:39 . 2010-01-21 16:39 24276 ----a-w- c:\windows\system\axd99cab.dll
2010-01-21 11:23 . 2010-01-25 09:58 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-21 11:23 . 2010-01-25 09:56 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-02-18 18:28 . 2009-10-22 22:52 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-02-18 18:15 . 2009-10-22 21:46 -------- d-----w- c:\program files\lx_cats
2010-02-02 17:09 . 2009-10-22 21:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-10 18:20 . 2010-01-10 18:20 -------- d-----w- c:\program files\DMV
2009-12-18 15:06 . 2004-08-05 12:00 81040 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-18 15:06 . 2004-08-05 12:00 501312 ----a-w- c:\windows\system32\perfh00C.dat
2009-12-10 19:01 . 2009-10-22 22:28 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-12-01 11:05 . 2009-10-22 21:08 15600 ----a-w- c:\windows\gdrv.sys
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\SmartDoctor.exe" [2009-07-18 1191936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-25 98304]
"ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2009-05-13 380928]
"LXCTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 106496]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-05 12:00 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-09-19 10:14 16844800 ------r- c:\windows\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxctcoms.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\DMV\\MaxTV4\\core\\maxtv_xul.exe"=
"c:\\Program Files\\DMV\\MaxTV4\\maxtv.exe"=
"c:\\Program Files\\DMV\\MaxTV4\\recorder.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3246:TCP"= 3246:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/10/2009 23:28 108289]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [10/11/2007 02:20 29728]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07/11/2009 17:56 691696]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://fr.ask.com?o=15161&l=dis
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://www.shemes.com/index.php?p=installed&b=997
FF - ProfilePath - c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL -
FF - component: c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - true.
- - - - ORPHELINS SUPPRIMES - - - -

HKLM-Run-NWEReboot - (no file)



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-02-18 20:19
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x8A2F2250]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf74ebfc3
\Driver\ACPI -> 0x8a2f2250
\Driver\atapi -> atapi.sys @ 0xf72ef7b4
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c
ParseProcedure -> ntkrnlpa.exe @ 0x8058146a
SecurityProcedure -> ntkrnlpa.exe @ 0x80582a0e
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x8058236c
ParseProcedure -> ntkrnlpa.exe @ 0x8058146a
SecurityProcedure -> ntkrnlpa.exe @ 0x80582a0e
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x88f9f330
PacketIndicateHandler -> NDIS.sys @ 0xf7209b21
SendHandler -> NDIS.sys @ 0xf71e787b
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-02-18 20:20:38
ComboFix-quarantined-files.txt 2010-02-18 19:20

Avant-CF: 11 234 238 464 octets libres
Après-CF: 11 205 500 928 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - B133F69E3F5A76D234A14F9E16EA1A48
0
Réponse 8 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 févr. 2010 à 20:42
Re,

Tu as un rootkit nstallé dans le boot du PC.

Télécharge mbr]exe sur le Bureau ( IMPORTANT )
http://www2.gmer.net/mbr/mbr.exe

Clique sur démarrer --> Exécuter --> tape ceci : "%userprofile%\Bureau\mbr.exe" –f
Fais attention aux guillements et aux espaces
Un rapport mbr.log est généré. Edite-le.

A+
0
Réponse 9 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
18 févr. 2010 à 20:51
voila le rapport mbr.log :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x894a76e0
\Driver\atapi -> 0x8a6841f8
NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> 0x88e2d330
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.


A+
0
Réponse 10 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 févr. 2010 à 21:16
Re,

Pas simple.

1/ Redémarre le PC et tu auras le choix entre démarrer windows ou la console de récupération ( installée avec Combofix ).

Copie le texte suivant car tu n'auras pas accès à windows.
tape successivement :

CD C:\Windows
fixmbr \Device\HardDisk0 ( la dernière lettre est un chiffre, le zéro )

Tu auras un message comme quoi fixmbr peut endommager le secteur de démarrage.
C'est normal car tu vas réecrire le boot.
A la question "voulez-vous réécrie .... ". Accepte ( en tapant o ).

Tape exit pour quitter la console.
Le PC devrait redémarrer.

2/ Sous windows, lance mbr.exe et poste le rapport obtenu.

A+
0
Réponse 11 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
18 févr. 2010 à 21:30
Voilà le rapport de mbr :

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x03A384C41
malicious code @ sector 0x03A384C44 !
PE file found in sector at 0x03A384C5A !
0
Réponse 12 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
18 févr. 2010 à 21:36
Désolé je pars manger pour l'instant alors ne t'inquiète pas
si t'as pas de réponse tout de suite
et merci encore pour ton aide

A+
0
Réponse 13 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
18 févr. 2010 à 21:51
Re,

On avance mais ce n'est pas encore gagné.
Le PC plante toujours ?
Et la lenteur ?

1/ Télécharge SEAF ( de C_XX )
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe

# Double clique sur SEAF.exe ("éxécuter en tant qu'administrateur" pour vista) .
# Tape a9wbnk21 dans la fenêtre qui s'ouvrira et appuie ensuite sur " Entrée ".
# Laisse l'outil scanner.
# Copie/Colle le rapport qui s'ouvrira dans ton prochain message

2/ Télécharge OTL (de OldTimer) sur ton Bureau.
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

* Double-clique sur OTL.exe pour le lancer.
Prends le soin de fermer toutes les autres fenêtres Windows afin de ne pas interrompre le scan.
* Dans la partie Customs Scans, copie/colle la liste suivante.

netsvcs
Drivers32
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT

* Enfin, clique sur le bouton Quick Scan.

* Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau)

Utilise le site http://www.cijoint.fr pour déposer les deux rapports.
Indique dans ton prochain message les liens crées.

A+
0
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
19 févr. 2010 à 01:31
et voilà pour le lien du rapport OTL sur cijoint.fr :

http://www.cijoint.fr/cjlink.php?file=cj201002/cij76LHSVy.txt

et du rapport Extras.txt :

http://www.cijoint.fr/cjlink.php?file=cj201002/cijCEo4gu4.txt

du coup tu pourrais m'expliquer ou on en est ?
Merci encore pour ton aide précieuse

A+
0
Réponse 14 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
19 févr. 2010 à 01:26
Voilà pour le rapport SEAF:

1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 01:19:52 le 19/02/2010
4.
5. Valeur(s) recherchée(s):
6.
7. a9wbnk21
8.
9.
10. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
11.
12. Aucun fichier trouvé
13.
14. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15.
16. Aucun dossier trouvé
17.
18. =========================
19.
20. Fin à: 01:20:22 le 19/02/2010 ( E.O.F )
0
Réponse 15 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
19 févr. 2010 à 14:14
Bonjour verni29,

si j'ai bien compris y a encore une copie du rootkit inactive présente sur le DD,
mais qui est sans aucun danger
et là je viens de supprimer le dernier fichier infecter avec AD-remover ( je te joins le rapport)
Ensuite je relance un scan avec malwarebytes et je te poste le rapport un peu plus tard sachant que j'avais fait un scan hier qui n'avais rien trouver
Deuxièmement je parts en vacance ce soir (17H) pendant 15 jours donc à mon retour pour éradiquer définitivement le rootkit et surtout afin qu'il ne revienne plus je peux formater mon C en étant sûr de pouvoir sauvegarder mes documents qui sont présent sur le C en étant sûr qu'ils ne soient pas infectés ?

car bêtement j'avais encore pas fait de copie de ses documents sur le D

si je veux formater c'est parce que mon portable avais subi une attaque identique et j'avais suivi les conseils sur ce forum mais le portable en a subi une autre juste avant mon PC du coup je viens de formaté mon portable
D'ailleurs a tu un conseil pour éviter ces attaques ? ( bizarrement elles coïncident avec la visualisation par ma copine sur alloshowtv.com sur le portable et le PC)
Je ne sais pas si toutes ces explications sont claires mais bon si tu peux m'éclairer

AH!!! mon antivirus (antivir) vient de m'alerter du message suivant :
C:\Ad-Remover\1\List.dat
contient le modèle de détection du virus de script HTML
HTML/Malicious.ActiveX.Gen


Voici le rapport AD-remover :

.
======= RAPPORT D'AD-REMOVER 1.1.4.6_J | UNIQUEMENT XP/VISTA/7 =======
.
Mis à jour par C_XX le 05.02.2010 à 17:34
Contact: AdRemover.contact@gmail.com
Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html
.
Lancé à: 13:51:26, 19/02/2010 | Mode Normal | Option: CLEAN
Exécuté de: C:\Ad-Remover\
Système d'exploitation: Microsoft® Windows XP™ Service Pack 2 v5.1.2600
Nom du PC: BUREAU | Utilisateur actuel: lo‹c
.
============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============
.

C:\DOCUME~1\LOC~1\APPLIC~1\Mozilla\FireFox\Profiles\cfwrgb0b.default\searchplugins\askcom.xml
C:\DOCUME~1\ALLUSE~1\MENUDM~1\PROGRA~1\Poker 770
C:\Program Files\Poker 770
C:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\#SharedObjects\ARPCYM5Z\casino.com
C:\Documents and Settings\HelpAssistant\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#casino.com
C:\DOCUME~1\ALLUSE~1\Bureau\Poker 770.lnk

(!) -- Fichiers temporaires supprimés.

.
HKCU\software\microsoft\internet explorer\searchscopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
HKCU\software\Poker 770
HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
HKLM\software\Poker 770
.
============== Scan additionnel ==============
.
.
* Mozilla FireFox Version 3.5.8 [fr] *
.
Nom du profil: cfwrgb0b.default (lo‹c)
.
(LOC~1, prefs.js) Browser.download.lastDir, C:\Documents and Settings\loïc\Bureau
(LOC~1, prefs.js) Browser.search.defaultenginename, Ask.com
(LOC~1, prefs.js) Browser.search.selectedEngine, Google
(LOC~1, prefs.js) Browser.startup.homepage, hxxp://www.google.fr/
(LOC~1, prefs.js) Extensions.enabledItems, DTToolbar@toolbarnet.com:1.1.1.0014,{e4a8a97b-f2ed-450b-b12d-ee082ba24781}:0.8.20100211.5,jqs@sun.com:1.0,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.5.8
(LOC~1, prefs.js) Keyword.URL,
.
(LOC~1, prefs.js) EFFACE - Browser.search.defaultengine, Ask.com
(LOC~1, prefs.js) EFFACE - Browser.search.defaultenginename, Ask.com
(LOC~1, prefs.js) EFFACE - Browser.search.order.1, Ask.com
.
.
.
* Internet Explorer Version 6.0.2900.2180 *
.
[HKEY_CURRENT_USER\..\Internet Explorer\Main]
.
Do404Search: 01000000
Local Page: C:\WINDOWS\system32\blank.htm
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Custom Search URL: 1 (0x1)
Default_search_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\Main]
.
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Local Page: %SystemRoot%\system32\blank.htm
Start Page: hxxp://fr.msn.com/
Search bar: hxxp://search.msn.com/spbasic.htm
.
[HKEY_LOCAL_MACHINE\..\Internet Explorer\ABOUTURLS]
.
Tabs: res://ieframe.dll/tabswelcome.htm
.
============== Suspect (Cracks, Serials, ...) ==============
.
C:\Documents and Settings\HelpAssistant\Application Data\uTorrent\Need For Speed Shift 2009 Clone DVD Reloaded Incl Crack.torrent
C:\Documents and Settings\lo‹c\Application Data\uTorrent\Need For Speed Shift 2009 Clone DVD Reloaded Incl Crack.torrent
.
===================================
.
3576 Octet(s) - C:\Ad-Report-CLEAN[1].log
.
2 Fichier(s) - C:\DOCUME~1\LOC~1\LOCALS~1\Temp
6 Fichier(s) - C:\WINDOWS\Temp
9 Fichier(s) - C:\WINDOWS\Prefetch
.
19 Fichier(s) - C:\Ad-Remover\BACKUP
2127 Fichier(s) - C:\Ad-Remover\QUARANTINE
.
Fin à: 13:54:40 | 19/02/2010 - CLEAN[1]
.
============== E.O.F ==============
.
0
Réponse 16 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
19 févr. 2010 à 14:34
comme convenu voici le rapport de malwarebytes :
qui trouve finalement un fichier infecté

Malwarebytes' Anti-Malware 1.41
Version de la base de données: 3161
Windows 5.1.2600 Service Pack 2

19/02/2010 14:32:01
mbam-log-2010-02-19 (14-31-56).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 165537
Temps écoulé: 24 minute(s), 52 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\System Volume Information\_restore{11636D98-FEDE-4205-B3CF-3FC675F3F5CC}\RP111\A0016040.sys (Rootkit.Agent) -> No action taken.
0
Réponse 17 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
19 févr. 2010 à 15:01
Bonjour, mawash

Oui, tu m'as bien compris pour le rootkit.
La copie ne peut pas être supprimé à moins de formater le PC.

On peut poursuivre après tes vacances.
Le PC n'est pas loin d'être propre.
Les supports amovibles ne semblent pas touchés.
Il restera quelques manips à faire et tu pourras ensuite sauvegarder tes données.

Pour info, Le rapport de MBAM montre que la restauration système a été touchée donc inutilisable.
A nettoyer si tu ne formates pas.

Je garde la discussion dans mes suivis.

Bonnes vacances.

@+
0
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
12 mars 2010 à 17:50
Salut Verni29,
comme convenu je te recontacte après mes vacances
je ne sais pas où on en était
je voudrais juste rendre propre mon pc afin de sauvegarder des trucs importants
et puis après je formaterai afin d'être complètement clean (j'ai pas envie que ça revienne)

Enfin voilà et merci pour ton aide
0
Réponse 18 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
19 févr. 2010 à 15:06
Ok et encore un grand merci pour ton aide précieuse

Je te recontacte dans 15 jours

@+
0
Réponse 19 / 36
verni29 Messages postés 6699 Date d'inscription dimanche 6 juillet 2008 Statut Contributeur sécurité Dernière intervention 26 décembre 2016 180
12 mars 2010 à 21:26
bonsoir, mawash

On poursuit. Deux analyses.

Commence par ceci :

Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

# Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
# Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

# Lance Combofix.exe et suis les invites.
# Il te sera demandé d’installer la console de récupération.
Important. Fais le absolument.

Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

# Une fois le scan fini, un rapport va apparaitre.

Copie/colle ce rapport dans ta prochaine réponse.

Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

A+
0
Réponse 20 / 36
mawash Messages postés 66 Date d'inscription jeudi 22 octobre 2009 Statut Membre Dernière intervention 27 février 2014
13 mars 2010 à 13:18
Bonjour verni29,
désolé hier soir j'étais invité à manger, cet aprèm je suis à ta dispo
comme convenu voici le rapport de ComBoFix :

ComboFix 10-03-12.04 - loïc 13/03/2010 13:07:30.2.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.3326.2886 [GMT 1:00]
Lancé depuis: c:\documents and settings\loïc\Bureau\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
* Un nouveau point de restauration a été créé
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

J:\Autorun.inf

.
((((((((((((((((((((((((((((( Fichiers créés du 2010-02-13 au 2010-03-13 ))))))))))))))))))))))))))))))))))))
.

2010-02-19 13:54 . 2010-02-19 13:54 5115824 ----a-w- c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2010-02-19 12:50 . 2010-02-19 12:54 -------- d-----w- C:\Ad-Remover
2010-02-19 00:19 . 2010-02-19 00:20 -------- d-----w- c:\program files\SEAF
2010-02-18 13:22 . 2010-02-18 13:22 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage réseau
2010-02-18 13:20 . 2009-10-22 22:49 -------- d--h--w- c:\documents and settings\HelpAssistant\Voisinage d'impression
2010-02-18 13:20 . 2009-10-22 22:49 -------- d-----r- c:\documents and settings\HelpAssistant\Menu Démarrer
2010-02-18 13:20 . 2009-10-22 20:57 -------- d--h--w- c:\documents and settings\HelpAssistant\Modèles
2010-02-16 18:43 . 2010-02-16 18:43 -------- d-----w- C:\Nathan

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-03-13 11:43 . 2009-10-22 21:46 -------- d-----w- c:\program files\lx_cats
2010-03-13 11:36 . 2009-10-22 22:52 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-02-19 13:54 . 2009-11-13 17:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-02-05 13:15 . 2010-02-05 13:13 -------- d-----w- c:\program files\Inkscape
2010-02-03 17:50 . 2010-01-28 18:15 -------- d-----w- c:\program files\GIMP-2.0
2010-02-02 17:09 . 2009-10-22 21:09 -------- d--h--w- c:\program files\InstallShield Installation Information
2010-01-27 14:54 . 2010-01-27 14:52 -------- d-----w- c:\program files\eMule
2010-01-25 10:39 . 2010-01-25 10:39 -------- d-----w- c:\program files\Fichiers communs\SWF Studio
2010-01-25 09:58 . 2010-01-21 11:23 -------- d-----w- c:\program files\Spybot - Search & Destroy
2010-01-25 09:56 . 2010-01-21 11:23 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-01-22 16:46 . 2010-01-22 16:46 -------- d-----w- c:\program files\Nvu
2010-01-22 08:07 . 2010-01-21 17:53 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2010-01-21 17:53 . 2010-01-21 17:53 1924200 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player.exe
2010-01-21 16:39 . 2010-01-21 16:39 -------- d-----w- c:\program files\Synapse Développement
2010-01-07 15:07 . 2009-11-13 17:33 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-01-07 15:07 . 2009-11-13 17:33 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-12-18 15:06 . 2004-08-05 12:00 81040 ----a-w- c:\windows\system32\perfc00C.dat
2009-12-18 15:06 . 2004-08-05 12:00 501312 ----a-w- c:\windows\system32\perfh00C.dat
.

((((((((((((((((((((((((((((( SnapShot@2010-02-18_19.19.59 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-03-13 12:06 . 2010-03-13 12:06 16384 c:\windows\Temp\Perflib_Perfdata_4f0.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS SmartDoctor"="c:\program files\ASUS\SmartDoctor\SmartDoctor.exe" [2009-07-18 1191936]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-06-25 98304]
"ASUSGamerOSD"="c:\program files\ASUS\GamerOSD\GamerOSD.exe" [2009-05-13 380928]
"LXCTCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll" [2006-06-07 106496]
"avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 10:43 69632 ------r- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-05 12:00 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
2007-09-19 10:14 16844800 ------r- c:\windows\RTHDCPL.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\lxctcoms.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
"c:\\WINDOWS\\system32\\PnkBstrA.exe"=
"c:\\WINDOWS\\system32\\PnkBstrB.exe"=
"c:\\Program Files\\DMV\\MaxTV4\\core\\maxtv_xul.exe"=
"c:\\Program Files\\DMV\\MaxTV4\\maxtv.exe"=
"c:\\Program Files\\DMV\\MaxTV4\\recorder.exe"=
"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=
"c:\\Program Files\\eMule\\emule.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"135:TCP"= 135:TCP:TCP Port 135
"5000:TCP"= 5000:TCP:TCP Port 5000
"5001:TCP"= 5001:TCP:TCP Port 5001
"5002:TCP"= 5002:TCP:TCP Port 5002
"5003:TCP"= 5003:TCP:TCP Port 5003
"5004:TCP"= 5004:TCP:TCP Port 5004
"5005:TCP"= 5005:TCP:TCP Port 5005
"5006:TCP"= 5006:TCP:TCP Port 5006
"5007:TCP"= 5007:TCP:TCP Port 5007
"5008:TCP"= 5008:TCP:TCP Port 5008
"5009:TCP"= 5009:TCP:TCP Port 5009
"5010:TCP"= 5010:TCP:TCP Port 5010
"5011:TCP"= 5011:TCP:TCP Port 5011
"5012:TCP"= 5012:TCP:TCP Port 5012
"5013:TCP"= 5013:TCP:TCP Port 5013
"5014:TCP"= 5014:TCP:TCP Port 5014
"5015:TCP"= 5015:TCP:TCP Port 5015
"5016:TCP"= 5016:TCP:TCP Port 5016
"5017:TCP"= 5017:TCP:TCP Port 5017
"5018:TCP"= 5018:TCP:TCP Port 5018
"5019:TCP"= 5019:TCP:TCP Port 5019
"5020:TCP"= 5020:TCP:TCP Port 5020
"65533:TCP"= 65533:TCP:Services
"52344:TCP"= 52344:TCP:Services
"3246:TCP"= 3246:TCP:Services
"2479:TCP"= 2479:TCP:Services
"3389:TCP"= 3389:TCP:Remote Desktop
"9833:TCP"= 9833:TCP:Services

R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [22/10/2009 23:28 108289]
R3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32.sys [10/11/2007 02:20 29728]
S0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [07/11/2009 17:56 691696]
.
.
------- Examen supplémentaire -------
.
mWindow Title =
uInternet Connection Wizard,ShellNext = hxxp://www.shemes.com/index.php?p=installed&b=997
FF - ProfilePath - c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: keyword.URL -
FF - component: c:\documents and settings\loïc\Application Data\Mozilla\Firefox\Profiles\cfwrgb0b.default\extensions\DTToolbar@toolbarnet.com\components\DTToolbarFF.dll

---- PARAMETRES FIREFOX ----
FF - user.js: yahoo.homepage.dontask - truec:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.debug", false);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("html5.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "https://www.mozilla.org/en-US/firefox/new/?redirect_source=firefox-com");
c:\program files\Mozilla Firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-03-13 13:10
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCTCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXCTtime.dll,_RunDLLEntry@16???????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(720)
c:\windows\system32\Ati2evxx.dll
.
Heure de fin: 2010-03-13 13:10:49
ComboFix-quarantined-files.txt 2010-03-13 12:10
ComboFix2.txt 2010-02-18 19:20

Avant-CF: 10 775 384 064 octets libres
Après-CF: 10 757 439 488 octets libres

- - End Of File - - 8AB2353DAB2BFC8A3219CB186286E697
0

Discussions similaires

Sa veux dire koi??Subject: FW: Tr :FW: TR: TR
france22 -
ghano0666545160 -

12 réponses
casque sans fil Sennheiser TR 4200 ne fonctionne plus
jcb83400 -
DIY -

3 réponses
Signification des abréviations RE: et TR:
La Salamandre -
Iolose -

19 réponses
Signification "TR"
andromeid -
matrix4422 -

3 réponses
Casque sans fil senheiser TR 120
Thiet78 -
baladur13 -

2 réponses