Rootkit Win32 + Pc redémarre au lieu de s'éte

achab -  
verni29 Messages postés 6805 Statut Contributeur sécurité -
Bonjour,

alors voilà j'ai un double problème : depuis 2 jours mon avast flippe dès que j'allume mon pc et me détecte des rootkit partout. commej'ai vu qq part que ca pouvait être des "faux positifs" j'ai telech Malwarebytes' Anti-Malware et fait plusieurs scans (rapports après). j'ai dû supprimer une 10aine de fichiers infectés avec ca. mais dès que je rallume mon pc, avast me détecte d'autres rootkit, donc j'ai pas dû m'en débarasser vraiment
j'en arrive au 2ème problème : quand je clique sur éteindre, mon pc redémarre. je suis obligé d'appuyer 8s sur le bouton pour l'éteindre.
j'ai depuis peu un disc externe lacie qui doit tout chambouler (mon pc aime pas trop les disques durs externes, au démarrage il met tout le temps "no hdd detected" donc je pense qu'il repère pas le dur)
et depuis que j'ai connecté le lacie à un autre pc, c'est la merde sur le mien.
bref, je suis novice, merci de votre aide pour ce double pb....

----------------------
rapport 1 :
----------------------

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3796
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

26/02/2010 21:44:34
mbam-log-2010-02-26 (21-44-34).txt

Type de recherche: Examen rapide
Eléments examinés: 123025
Temps écoulé: 10 minute(s), 23 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 9

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\PCIDump.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDCOMP.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDRELI.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\PDRFRAME.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\WDICA.sys (Rootkit.Agent) -> Delete on reboot.
C:\WINDOWS\Temp\~TM16.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-08.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\_ex-68.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Documents and Settings\Balachnikov\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

----------------------
rapport 2 :
----------------------

Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3796
Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

28/02/2010 19:31:07
mbam-log-2010-02-28 (19-31-07).txt

Type de recherche: Examen rapide
Eléments examinés: 122884
Temps écoulé: 11 minute(s), 37 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\drivers\PCIDump.sys (Rootkit.Agent) -> Delete on reboot.
Configuration: Windows XP / Firefox 3.5.8

5 réponses

  1. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Bonsoir,

    Commence par ceci pour plus d'informations.

    Télécharge Random's System Information Tool (RSIT) de random/random et enregistre le sur ton Bureau.
    http://images.malwareremoval.com/random/RSIT.exe

    # Double-clique sur " RSIT.exe " pour le lancer .
    ( Si sous Vista : Click droit sur le fichier et choisir exécuter en tant qu'administrateur )
    # dans la fenêtre qui va s’ouvrir choisis 1 month pour l'option "List files/folders created ...".
    # clique ensuite sur " Continue " pour lancer l'analyse ...

    Si la dernière version de HijackThis n'est pas trouvée sur ton PC, RSIT la téléchargera et te demandera d'accepter la licence.

    Attends jusqu’à la fin de l’analyse. deux rapports vont être crées.

    # Poste en deux messages le contenu de " log.txt ", et de " info.txt " ( dans la barre des tâches).

    Note : Si tu ne les trouves pas,les rapports sont sauvegardés dans le dossier C:\rsit.

    A+
    0
    1. achab
       
      Logfile of random's system information tool 1.06 (written by random/random)
      Run by Balachnikov at 2010-02-28 20:40:34
      Microsoft Windows XP Professionnel Service Pack 2
      System drive C: has 8 GB (3%) free of 305 GB
      Total RAM: 2047 MB (67% free)

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:40:56, on 28/02/2010
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\csrss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\avast\aswUpdSv.exe
      C:\Program Files\avast\ashServ.exe
      C:\WINDOWS\Explorer.EXE
      C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
      C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
      C:\Program Files\Analog Devices\Core\smax4pnp.exe
      C:\PROGRA~1\avast\ashDisp.exe
      C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe
      C:\Program Files\Musicmatch\Musicmatch Jukebox\MMDiag.exe
      C:\Program Files\iTunes\iTunesHelper.exe
      C:\Program Files\Java\jre6\bin\jusched.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Program Files\Lexmark 3600-4600 Series\lxdxMsdMon.exe
      C:\Program Files\DAEMON Tools Lite\DTLite.exe
      C:\WINDOWS\system32\WiFiCfg.exe
      C:\Documents and Settings\Balachnikov\Application Data\Dropbox\bin\Dropbox.exe
      C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
      C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
      C:\Program Files\Musicmatch\Musicmatch Jukebox\mim.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      C:\WINDOWS\ATKKBService.exe
      C:\Program Files\Bonjour\mDNSResponder.exe
      C:\Program Files\Java\jre6\bin\jqs.exe
      C:\WINDOWS\system32\lxdxcoms.exe
      C:\WINDOWS\system32\nvsvc32.exe
      C:\WINDOWS\system32\svchost.exe
      C:\Program Files\Canon\CAL\CALMAIN.exe
      C:\Program Files\iPod\bin\iPodService.exe
      C:\Program Files\avast\ashMaiSv.exe
      C:\Program Files\avast\ashWebSv.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\System32\alg.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\WINDOWS\system32\wuauclt.exe
      C:\Documents and Settings\Balachnikov\Mes documents\Téléchargements\RSIT.exe
      C:\WINDOWS\system32\wbem\wmiprvse.exe
      C:\Program Files\trend micro\Balachnikov.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
      O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
      O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
      O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
      O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
      O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
      O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
      O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
      O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
      O4 - HKLM\..\Run: [MimBoot] C:\Program Files\Musicmatch\Musicmatch Jukebox\mimboot.exe
      O4 - HKLM\..\Run: [MMTray] C:\Program Files\Musicmatch\Musicmatch Jukebox\mm_tray.exe
      O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
      O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\avast\ashDisp.exe
      O4 - HKLM\..\Run: [lxdxmon.exe] "C:\Program Files\Lexmark 3600-4600 Series\lxdxmon.exe"
      O4 - HKLM\..\Run: [lxdxamon] "C:\Program Files\Lexmark 3600-4600 Series\lxdxamon.exe"
      O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
      O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
      O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
      O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [updateMgr] "C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
      O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Startup: 802.11g USB 2.0 adapter Setting.lnk = C:\WINDOWS\system32\WiFiCfg.exe
      O4 - Startup: Dropbox.lnk = C:\Documents and Settings\Balachnikov\Application Data\Dropbox\bin\Dropbox.exe
      O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
      O4 - Startup: winesm32.exe
      O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
      O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddLink.htm
      O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddVideo.htm
      O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program Files\BitComet\BitComet.exe/AddAllLink.htm
      O9 - Extra button: BitComet Search - {461CC20B-FB6E-4f16-8FE8-C29359DB100E} - C:\Program Files\BitComet\tools\BitCometBHO_1.1.8.30.dll
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
      O15 - Trusted Zone: *.musicmatch.com
      O15 - Trusted Zone: *.musicmatch.com (HKLM)
      O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
      O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
      O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\avast\aswUpdSv.exe
      O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
      O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\avast\ashServ.exe
      O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\avast\ashMaiSv.exe
      O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\avast\ashWebSv.exe
      O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
      O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
      O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
      O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
      O23 - Service: lxdxCATSCustConnectService - Lexmark International, Inc. - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\\lxdxserv.exe
      O23 - Service: lxdx_device - - C:\WINDOWS\system32\lxdxcoms.exe
      O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\MSCSPTISRV.exe
      O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
      O23 - Service: PACSPTISVR - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\PACSPTISVR.exe
      O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Fichiers communs\Sony Shared\AVLib\SPTISRV.exe
      0
    2. achab
       
      merci de ta réponse rapide !

      j'ai posté les 2 messages mais je vois pas info.txt dans le forum. tu le vois ?
      0
      1. verni29 Messages postés 6805 Statut Contributeur sécurité 180 > achab
         
        non plus.

        Tiens, utilise le site http://www.cijoint.fr pour le déposer.
        Indique moi le lien qui sera crée.

        Le rapport info.txt se trouve en C:\RSIT
        0
      2. achab > verni29 Messages postés 6805 Statut Contributeur sécurité
         
        voici le lien pour le fichier info.txt :
        http://www.cijoint.fr/cjlink.php?file=cj201002/cijZenxjJF.txt
        0
  2. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    achad,

    Effectivement, il semble toujours présent.
    Pourtant Malwarebytes traite bien cette infection.
    L'as-tu mis à jour avant de le lancer ?
    Ne le lance pas pour l'instant. On verra plus tard.

    Télécharge gmer sur ton bureau ( IMPORTANT )
    http://www.gmer.net/#files

    Précautions d’usage :
    - Commence par désactiver ou arrêter des logiciels comme Alcolhol Soft ou Daemon tools car ils biaisent le rapport de gmer.
    - Durant l’utilisation du logiciel, désactive tes protections actives ( antivirus et parefeu )
    - Ferme également toutes les applications actives dont ton navigateur.

    # Double-clique sur l’exécutable téléchargé .
    ( Si sous Vista , click droit sur l’exécutable et choisir exécuter en tant qu’administrateur )
    # Le scan va se lancer de lui-même.
    # Après cette première analyse, vérifie que tous les onglets ( System, Sections, … , Files ) sont cochés puis clique sur scan .
    # A la fin de l'analyse, clique sur save pour enregistrer le rapport
    # Enregistre-le sur le bureau ( fichier .log )

    Édite ce rapport dans ta prochaine réponse.

    A+
    0
    1. achab
       
      bon le scan est hyper long j ai arreté...trop de fichiers.

      voici un bilan intermédiaire:

      GMER 1.0.15.15281 - http://www.gmer.net
      Rootkit scan 2010-02-28 21:03:18
      Windows 5.1.2600 Service Pack 2
      Running: o47hdve5.exe; Driver: C:\DOCUME~1\BALACH~1\LOCALS~1\Temp\uwtdqpog.sys


      ---- System - GMER 1.0.15 ----

      SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xB6F746B8]
      SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xB6F74A52]
      SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDuplicateObject [0xB6F7414C]
      SSDT spuz.sys ZwEnumerateKey [0xF74FCDA4]
      SSDT spuz.sys ZwEnumerateValueKey [0xF74FD132]
      SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xB6F7464E]
      SSDT spuz.sys ZwQueryKey [0xF74FD20A]
      SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xB6F7476E]
      SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xB6F7472E]

      INT 0x62 ? 89C11BF8
      INT 0x63 ? 89C11BF8
      INT 0x73 ? 8991BBF8
      INT 0x82 ? 89C11BF8
      INT 0x94 ? 8991BBF8
      INT 0xA4 ? 8991BBF8
      INT 0xB4 ? 8991BBF8

      ---- Kernel code sections - GMER 1.0.15 ----

      ? spuz.sys Le fichier spécifié est introuvable. !
      .text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB9B37380, 0x21F24D, 0xE8000020]
      .text USBPORT.SYS!DllUnload B9ADE62C 5 Bytes JMP 8991B1D8
      .text acy434r2.SYS B9A45386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
      .text acy434r2.SYS B9A453AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
      .text acy434r2.SYS B9A453C4 3 Bytes [00, 80, 02]
      .text acy434r2.SYS B9A453C9 1 Byte [30]
      .text acy434r2.SYS B9A453C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
      .text ...
      init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xB7326A80]
      INIT PCIDump.SYS B707E000 40 Bytes [0C, 7A, 30, 7B, FD, 52, 56, ...]
      INIT PCIDump.SYS B707E03C 2 Bytes [1A, 77]
      INIT PCIDump.SYS B707E040 6 Bytes [2D, 9C, C8, BF, 90, 71]
      INIT PCIDump.SYS B707E048 2 Bytes [9E, 71]
      INIT PCIDump.SYS B707E04C 2 Bytes [B0, 71] {MOV AL, 0x71}
      INIT ...
      .pak2 C:\WINDOWS\System32\Drivers\PCIDump.SYS entry point in ".pak2" section [0xB714D3B6]
      ? C:\WINDOWS\System32\Drivers\PCIDump.SYS Un périphérique attaché au système ne fonctionne pas correctement.
      init C:\WINDOWS\System32\atkosdmini.dll entry point in "init" section [0xBFA0E480]

      ---- Kernel IAT/EAT - GMER 1.0.15 ----

      IAT \WINDOWS\System32\Drivers\SCSIPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 89BA32D8
      IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F750FDDC] spuz.sys
      IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F750FE30] spuz.sys
      IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F74E5042] spuz.sys
      IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F74E513E] spuz.sys
      IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F74E50C0] spuz.sys
      IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F74E5800] spuz.sys
      IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F74E56D6] spuz.sys
      IAT \SystemRoot\system32\DRIVERS\USBPORT.SYS[ntoskrnl.exe!DbgBreakPoint] 8991B2D8
      IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F74F4B90] spuz.sys
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlInitUnicodeString] 00021483
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!swprintf] 01B05E00
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSetEvent] 5DE58B5B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoCreateSymbolicLink] 7E8366C3
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetConfigurationInformation] 0F740028
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDeleteSymbolicLink] 89320C8D
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmFreeMappingAddress] 00022C8B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeErrorLogEntry] 46B70F00
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDisconnectInterrupt] 66D00328
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnmapIoSpace] 002A7E83
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObReferenceObjectByPointer] 0C8D1574
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IofCompleteRequest] 288B8932
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCompareUnicodeString] 0F000002
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IofCallDriver] 832A46B7
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmAllocateMappingAddress] E08303C0
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateErrorLogEntry] 66D003FC
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoConnectInterrupt] 002C7E83
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDetachDevice] 0C8D1E74
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeWaitForSingleObject] 248B8932
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeEvent] 8A000002
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlAnsiStringToUnicodeString] 83880846
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlInitAnsiString] 000001C4
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildDeviceIoControlRequest] 2C4EB70F
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoQueueWorkItem] 8303C183
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapIoSpace] D103FCE1
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInvalidateDeviceRelations] 2E7E8366
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoReportDetectedDevice] 8D1C7400
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoReportResourceForDetection] 83893204
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlxAnsiStringToUnicodeSize] 0000021C
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!NlsMbCodePageTag] 2E4EB70F
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoRequestPowerIrp] 02208B89
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInsertByKeyDeviceQueue] [B70F0000] \SystemRoot\System32\Drivers\PCIDump.SYS
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoRegisterDeviceForIdleDetection] E0C12E46
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!sprintf] 03D00304
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapLockedPagesSpecifyCache] 10B389F2
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObfDereferenceObject] 80000002
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetAttachedDeviceReference] 0975013E
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInvalidateDeviceState] 1BD2E853
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwClose] C4830000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ObReferenceObjectByHandle] B05E5F04
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwCreateDirectoryObject] E58B5B01
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildSynchronousFsdRequest] CCCCC35D
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoStartNextPowerIrp] CCCCCCCC
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoCallDriver] 53EC8B55
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoCreateDevice] 08758B56
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateDriverObjectExtension] 0218BE83
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlQueryRegistryValues] 57000000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwOpenKey] 45C60674
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlFreeUnicodeString] 1EEB010B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartTimer] 0210868B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeTimer] C0850000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInitializeTimer] 808A1074
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeDpc] 00000804
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInitializeSpinLock] A03CF024
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoInitializeIrp] 0B45950F
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwCreateKey] 45C604EB
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlAppendUnicodeStringToString] 458A000B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlIntegerToUnicodeString] 88C0840B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ZwSetValueKey] 840F0946
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeInsertQueueDpc] 000000C1
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KefAcquireSpinLockAtDpcLevel] 14B30E8B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartPacket] 1C8A86C6
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KefReleaseSpinLockFromDpcLevel] 88010000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoBuildAsynchronousFsdRequest] 001C8D9E
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeMdl] A99E8800
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnlockPages] C600001C
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoWriteErrorLogEntry] 001C8E86
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeRemoveByKeyDeviceQueue] 86C60100
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmMapLockedPagesWithReservedMapping] 00001CAA
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnmapReservedMapping] 70518B01
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSynchronizeExecution] 8D52006A
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoStartNextPacket] 001C9086
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeBugCheckEx] E5E85000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeRemoveDeviceQueue] 8B000023
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeSetTimer] 70518B0E
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeCancelTimer] 8D52016A
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_allmul] 001CAC86
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmProbeAndLockPages] D1E85000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_except_handler3] 8B000023
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!PoSetPowerState] 18C4830E
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoOpenDeviceRegistryKey] 1C959E88
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlWriteRegistryValue] 9E880000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_aulldiv] 00001CB1
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!strstr] 0E798366
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!_strupr] 74AAB000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeQuerySystemTime] 8986C636
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoWMIRegistrationControl] 1A00001C
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!KeTickCount] 1C8B86C6
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAttachDeviceToDeviceStack] C6020000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoDeleteDevice] 001C9686
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ExAllocatePoolWithTag] 86C60200
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateWorkItem] 00001CB2
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateIrp] 9D9E8802
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoAllocateMdl] 8800001C
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmBuildMdlForNonPagedPool] 001CB99E
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmLockPagableDataSection] 9E868800
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoGetDriverObjectExtension] 8800001C
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmUnlockPagableImageSection] 001CBA86
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!ExFreePoolWithTag] C61AEB00
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeIrp] 001C8986
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!IoFreeWorkItem] 86C61200
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!InitSafeBootMode] 00001C8B
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCompareMemory] 96868801
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!RtlCopyUnicodeString] 8800001C
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!memmove] 001CB286
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[ntoskrnl.exe!MmHighestUserAddress] 88968B00
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfAcquireSpinLock] 0C8D1C46
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_UCHAR] B48B8932
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KeGetCurrentIrql] 89000001
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfRaiseIrql] 0001C083
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfLowerIrql] 24468B00
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!HalGetInterruptVector] 89820C8D
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!HalTranslateBusAddress] D18BF84D
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KeStallExecutionProcessor] 860F1639
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!KfReleaseSpinLock] 000000BD
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 020CB389
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!READ_PORT_USHORT] 83660000
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 7400067E
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[HAL.dll!WRITE_PORT_UCHAR] 89D60320
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[WMILIB.SYS!WmiSystemControl] 8D168B00
      IAT \SystemRoot\System32\Drivers\acy434r2.SYS[WMILIB.SYS!WmiCompleteRequest] F0003284

      ---- User IAT/EAT - GMER 1.0.15 ----

      IAT C:\WINDOWS\system32\services.exe[736] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00370002
      IAT C:\WINDOWS\system32\services.exe[736] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 00370000

      ---- Devices - GMER 1.0.15 ----

      Device \FileSystem\Ntfs \Ntfs 899830D8
      Device \FileSystem\Ntfs \Ntfs 89C101F8

      AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
      AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

      Device \Driver\usbuhci \Device\USBPDO-0 899CA1F8
      Device \Driver\usbuhci \Device\USBPDO-1 899CA1F8
      Device \Driver\dmio \Device\DmControl\DmIoDaemon 89BA11F8
      Device \Driver\dmio \Device\DmControl\DmConfig 89BA11F8
      Device \Driver\dmio \Device\DmControl\DmPnP 89BA11F8
      Device \Driver\dmio \Device\DmControl\DmInfo 89BA11F8
      Device \Driver\usbuhci \Device\USBPDO-2 899CA1F8
      Device \Driver\usbuhci \Device\USBPDO-3 899CA1F8
      Device \Driver\usbehci \Device\USBPDO-4 899CB500

      AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

      Device \Driver\Ftdisk \Device\HarddiskVolume1 89C121F8
      Device \Driver\Ftdisk \Device\HarddiskVolume2 89C121F8
      Device \Driver\Cdrom \Device\CdRom0 899D81F8
      Device \Driver\Cdrom \Device\CdRom1 899D81F8
      Device \Driver\atapi \Device\Ide\IdePort0 89C111F8
      Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 89C111F8
      Device \Driver\atapi \Device\Ide\IdePort1 89C111F8
      Device \Driver\atapi \Device\Ide\IdePort2 89C111F8
      Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 89C111F8
      Device \Driver\atapi \Device\Ide\IdePort3 89C111F8
      Device \Driver\USBSTOR \Device\00000077 88A311F8
      Device \Driver\NetBT \Device\NetBt_Wins_Export 89633408
      Device \Driver\PCI_PNP0974 \Device\0000004a spuz.sys
      Device \Driver\PCI_PNP0974 \Device\0000004a spuz.sys
      Device \Driver\USBSTOR \Device\00000078 88A311F8
      Device \Driver\NetBT \Device\NetbiosSmb 89633408
      Device \Driver\NetBT \Device\NetBT_Tcpip_{DA97E452-15BD-4760-91F9-0910391D6407} 89633408

      AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
      AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

      Device \Driver\usbuhci \Device\USBFDO-0 899CA1F8
      Device \Driver\usbuhci \Device\USBFDO-1 899CA1F8
      Device \Driver\sptd \Device\1946434724 spuz.sys
      Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89676500
      Device \Driver\usbuhci \Device\USBFDO-2 899CA1F8
      Device \FileSystem\MRxSmb \Device\LanmanRedirector 89676500
      Device \Driver\usbuhci \Device\USBFDO-3 899CA1F8
      Device \Driver\usbehci \Device\USBFDO-4 899CB500
      Device \Driver\Ftdisk \Device\FtControl 89C121F8
      Device \Driver\acy434r2 \Device\Scsi\acy434r21Port4Path0Target0Lun0 898E91F8
      Device \Driver\acy434r2 \Device\Scsi\acy434r21 898E91F8
      Device \FileSystem\Cdfs \Cdfs 8988D500

      ---- Services - GMER 1.0.15 ----

      Service (*** hidden *** ) [SYSTEM] PCIDump <-- ROOTKIT !!!
      0
  3. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Pour utiliser Gmer, il faut comme je te le disais désactiver certaines applications et protections.
    Le scan s'en trouve ralongé.

    Vu que le PC est infecté par un rootkit, lorsque tu vas lancer Gmer, tu vas tomber sur ce type de fenêtre.
    http://img502.imageshack.us/img502/1598/pbrootkit.png

    Clique sur NON pour ne pas effectuer un scan complet.
    Dans la liste des options ( à droite ), sélectionne uniquement Services, Registry et Files.

    Puis clique sur scan pour l'analyse.
    Clique sur save pour enregistrer le rapport.

    et poste le dans ton prochain rapport.

    A+
    0
    1. achab
       
      Ok merci pour ces conseils

      je vais relancer

      une question d'ici là : comme le Gmer prend un nom aléatoire, pour le lancer une seconde fois, ne faut il pas le re-télécharger pour avoir un nouveau nom aléatoire, afin de re-tromper le rootkit ?

      merci

      et sinon, pour le pc qui redémarre au lieu der s'éteindre, tu penses que c'est lié au rootkit ? ou ca peut etre un conflit tout bête de périphériques ?

      @ tte
      0
  4. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    achab,

    non inutile de retélécharger gmer.

    Pour le reboot, cela peut être lié à l'infection qui peut bloquer le PC.
    On verra bien quand le PC sera nettoyé.

    A+
    0
    1. achab
       
      Hello,

      voici le rapport de Gmer.

      le truc c'est que avant cette analyse complète, je n'ai pas eu le message d'erreur "warning system modification" comme j'avais eu la 1ère fois que j'avais lancé le gmer (j'avais interrompu car trop long).

      cette fois j'ai lancé le scan manuellement (sur Services, Registry et Files), et voici le résultat :



      GMER 1.0.15.15281 - http://www.gmer.net
      Rootkit scan 2010-03-02 00:02:39
      Windows 5.1.2600 Service Pack 2
      Running: 1f12re0u.exe; Driver: C:\DOCUME~1\BALACH~1\LOCALS~1\Temp\uwtdqpog.sys


      ---- Registry - GMER 1.0.15 ----

      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x06 0x0D 0xB4 ...
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC1 0xF2 0x72 0x14 ...
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
      Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xD2 0x4A 0x17 ...
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 C:\Program Files\DAEMON Tools Lite\
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x31 0x06 0x0D 0xB4 ...
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0xC1 0xF2 0x72 0x14 ...
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x99 0xD2 0x4A 0x17 ...

      ---- EOF - GMER 1.0.15 ----
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. verni29 Messages postés 6805 Statut Contributeur sécurité 180
     
    Re,

    Surprenant. Il aurait du toujours te détecter le rootkit.

    Tu vas télécharger ComBoFix et enregistre le sur ton bureau ( important pour la suite )
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    # Désactive les protections résidentes de ton ordinateur ( antivirus, antispyware et parefeu )
    # Branche tes différents supports amovibles ( clés USB, disque dur externe ) sans les ouvrir.

    # Lance Combofix.exe et suis les invites.
    # Il te sera demandé d’installer la console de récupération.
    Important. Fais le absolument.

    Il est possible que ComBoFix redémarre l’ordinateur pour supprimer certains fichiers.

    # Une fois le scan fini, un rapport va apparaitre.

    Copie/colle ce rapport dans ta prochaine réponse.

    Note : Si tu ne le trouves pas, il est à C:\ComboFix.txt.

    A+
    0