Sujet Précédent Sujet Suivant

Virus ICPP

Résolu/Fermé
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 - 2 mai 2010 à 23:23
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 - 10 mai 2010 à 02:59
Bonjour, j'ai été infecté par le virus icpp, j'ai suivi la procédure que j'ai trouvé sur comment ca marche et voici donc le rapport que j'obtiens après l'analyse avec Malwarebytes Anti Malware 

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4059

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

02/05/2010 23:18:53
mbam-log-2010-05-02 (23-18-53).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|F:\|)
Elément(s) analysé(s): 188274
Temps écoulé: 1 heure(s), 11 minute(s), 58 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 1
Clé(s) du Registre infectée(s): 8
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 7
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 21

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
f:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.

Clé(s) du Registre infectée(s):
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sshnas (Trojan.Downloader) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> No action taken.
HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> No action taken.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsdefrag (Trojan.Downloader) -> No action taken.

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: f:\windows\system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: f:\documents and settings\marianne\application data\sdra64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (F:\WINDOWS\system32\userinit.exe,F:\Documents and Settings\Marianne\Application Data\sdra64.exe,F:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> No action taken.

Dossier(s) infecté(s):
F:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Fichier(s) infecté(s):
F:\Documents and Settings\HelpAssistant\Local Settings\Temp\gmfrxpgv.exe (Trojan.Downloader) -> No action taken.
F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\hookdll.dll (Rogue.AntimalwareDoctor) -> No action taken.
F:\Documents and Settings\Marianne\Local Settings\Application Data\Mozilla\Firefox\Profiles\hrkb5etn.default\Cache\8ADDC3DFd01 (Trojan.Downloader) -> No action taken.
F:\Documents and Settings\Marianne\Local Settings\Application Data\Mozilla\Firefox\Profiles\hrkb5etn.default\Cache\66929AE1d01 (Trojan.Downloader) -> No action taken.
F:\Documents and Settings\Marianne\Local Settings\Temp\stpe06fc.exe (Trojan.FraudTool) -> No action taken.
F:\Documents and Settings\Marianne\Local Settings\Temp\gmfrxpgv.exe (Trojan.Downloader) -> No action taken.
F:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
F:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
F:\Documents and Settings\HelpAssistant\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
F:\Documents and Settings\Marianne\Menu Démarrer\Programmes\Démarrage\Antimalware Doctor.lnk (Rogue.AntiMalwareDoctor) -> No action taken.
F:\Documents and Settings\All Users\Favoris\_favdata.dat (Malware.Trace) -> No action taken.
F:\Documents and Settings\HelpAssistant\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
F:\Documents and Settings\Marianne\Application Data\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
F:\Documents and Settings\HelpAssistant\Bureau\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
F:\Documents and Settings\HelpAssistant\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
F:\Documents and Settings\Marianne\Menu Démarrer\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> No action taken.
F:\WINDOWS\system32\sshnas21.dll (Trojan.Downloader) -> No action taken.
F:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> No action taken.
F:\Documents and Settings\Marianne\Local Settings\Temp\wxsomanecr.tmp (Trojan.Downloader) -> No action taken.
F:\Documents and Settings\Marianne\Application Data\sdra64.exe (Spyware.Zbot) -> No action taken.
F:\Documents and Settings\HelpAssistant\Application Data\sdra64.exe (Spyware.Zbot) -> No action taken.

14 réponses

Réponse 1 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mai 2010 à 00:05
Bonjour,


Bienvenue sur CCM !
Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels :

- N'ouvre pas d'autres sujets pour le même problème (que ce soit sur ce forum ou sur un autre)
- N'hésite pas à poser des questions en cas de besoin ;)
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément : je suis bénévole et je ne suis pas en permanence devant mon ordinateur. Mais rassure toi, je ne laisse jamais tomber personne ;)
- La désinfection va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai --> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.


Commence par utiliser ce logiciel de diagnostic stp, ça me permettra de t'aider :

* Télécharge ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
3 mai 2010 à 21:52
Bonsoir!
Tout d'abord merci de t'occuper de mon problème!
J'ai bien téléchargé ZHPDiag et effectué le scan!
Voici le lien du rapport : http://www.cijoint.fr/cjlink.php?file=cj201005/cijvEdOXMZ.zip
(J'ai du mettre le txt dans une archive zip car sinon il y'avait un problème lors de l'upload.)
D'avance merci pour ton aide!

Kentain
0
Réponse 2 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mai 2010 à 22:46
Je vois que tu utilises une version "non-officielle" de Windows... Non seulement c'est illégal, mais c'est dangereux pour la sécurité de ton ordinateur : Un peu de lecture

Je vais t'aider malgré ça à désinfecter ton ordinateur, mais sache qu'il ne pourra jamais être sécurisé complètement...


* Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified
[MD5.09ADD4D89B20E1266C00D2E764FF9644] - (.MS - Pas de description.) -- F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\gotnewupdate.exe [745472]
O4 - HKCU\..\Run: [gotnewupdate.exe] . (.MS - Pas de description.) -- F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\gotnewupdate.exe
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU]
[HKCU\Software\Antimalware Doctor Inc]
MBRFix
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS


* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
3 mai 2010 à 22:52
Merci, j'utilise une version non officielle suite a 3 reinstallation d'xp avec ma licence (je sais c'est pas une excuse ^^)

ZHPFix v1.12.3096 by Nicolas Coolman - Rapport de suppression du 03/05/2010 22:51:04
Fichier d'export Registre : F:\ZHPExportRegistry-03-05-2010-22-51-04.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\gotnewupdate.exe [745472] => Supprimé et mis en quarantaine
F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\gotnewupdate.exe [745472] => Fichier absent

Module mémoire :
(Néant)

Clé du Registre :
HKCU\Software\Antimalware Doctor Inc => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Clé supprimée avec succès
HKCU\Software\Antimalware Doctor Inc => Clé absente
O64 - Services: CurCS - (.not file.) - SSHNAS (SSHNAS) .(.Pas de propriétaire - Pas de description.) - LEGACY_SSHNAS => Clé absente

Valeur du Registre :
O4 - HKCU\..\Run: [gotnewupdate.exe] . (.MS - Pas de description.) -- F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\gotnewupdate.exe => Valeur supprimée avec succès
O4 - HKCU\..\Run: [gotnewupdate.exe] . (.MS - Pas de description.) -- F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\gotnewupdate.exe => Valeur absente

Elément de données du Registre :
[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Donnée supprimée avec succès
[HKLM\SOFTWARE\Microsoft\Security Center] FirewallOverride: Modified => Donnée supprimée avec succès

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
f:\documents and settings\marianne\application data\70e8100553eceaa0ee3035a15817e9b3\gotnewupdate.exe => Fichier absent

Logiciel :
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x84089B18]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x84089b18
NDIS: SiS 900-Based PCI Fast Ethernet Adapter -> SendCompleteHandler -> 0x83d515c0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x098A412B
malicious code @ sector 0x098A412E !
PE file found in sector at 0x098A4144 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x84089b18
NDIS: SiS 900-Based PCI Fast Ethernet Adapter -> SendCompleteHandler -> 0x83d515c0
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x098A412B
malicious code @ sector 0x098A412E !
PE file found in sector at 0x098A4144 !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
original MBR restored successfully !
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x84089B18]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x84089b18
NDIS: SiS 900-Based PCI Fast Ethernet Adapter -> SendCompleteHandler -> 0x83d515c0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x098A412B
malicious code @ sector 0x098A412E !
PE file found in sector at 0x098A4144 !
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x84089b18
NDIS: SiS 900-Based PCI Fast Ethernet Adapter -> SendCompleteHandler -> 0x83d515c0
Warning: possible MBR rootkit infection !
user & kernel MBR OK
copy of MBR has been found in sector 0x098A412B
malicious code @ sector 0x098A412E !
PE file found in sector at 0x098A4144 !
Use "Recovery Console" command "fixmbr" to clear infection !

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 2
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 2
Elément de données du Registre : 2
Dossier : 0
Fichier : 1
Logiciel : 1
Master Boot Record : 61
Préférences navigateur : 0
Autre : 0


End of the scan


Voila le rapport! Merci!
0
Réponse 3 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
3 mai 2010 à 23:01
Fais redémarrer l'ordinateur et poste un nouveau rapport zhpdiag stp
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
3 mai 2010 à 23:11
http://www.cijoint.fr/cjlink.php?file=cj201005/cijWQR3bP9.zip

Voila le rapport! Merci!
0
Réponse 4 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 3/05/2010 à 23:49
Bien, on va maintenant vérifier autre chose :


/!\ Il faut IMPERATIVEMENT désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par l'infection)
* Lance Gmer
* Dans l'onglet "Rootkit", clique sur "SCAN" puis patiente...
* A la fin, clique sur "SAVE" et enregistre le rapport sur ton Bureau.
* Héberge le rapport de Gmer sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum



Si ça plante, il faut savoir que certains logiciels peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement puis réessaye Gmer :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
4 mai 2010 à 00:00
Voila le rapport http://www.cijoint.fr/cjlink.php?file=cj201005/ciji93hyK0.txt
(j'ai renommé en txt pour pouvoir l'uploader)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
4 mai 2010 à 00:04
C'est bien ce que je pensais... Tu as aussi le dernier rootkit à la mode, c'est une des infections les plus répandues et les plus coriaces actuellement...


* Télécharge SEAF (de C_XX) sur ton Bureau.
* Lance SEAF
* Dans les options, règle "Calculer le checksum" sur "MD5" puis coche "Informations supplémentaires".
* Tape siside.sys,atapi.sys dans le champs de recherche, clique sur "Lancer la recherche" et patiente.
* A la fin, poste le rapport dans ta prochaine réponse

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
4 mai 2010 à 00:08
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 00:05:28 le 04/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. siside.sys
8. atapi.sys
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "f:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
16. TC: 30/11/2009,23:21:26 | TM: 03/08/2004,23:59:44 | DA: 30/11/2009,23:21:26
17. MD5: cdfe4411a69c224bd1d11b2da92dac51
18.
19.
20. CompagnyName: Microsoft Corporation
21. ProductName: Microsoft® Windows® Operating System
22. InternalName: atapi.sys
23. OriginalFilename: atapi.sys
24. LegalCopyright: © Microsoft Corporation. All rights reserved.
25. ProductVersion: 5.1.2600.2180
26. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
27.
28. =========================
29.
30. "f:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 96512 ]
31. TC: 01/12/2009,22:53:36 | TM: 13/04/2008,20:40:30 | DA: 13/04/2008,20:40:30
32. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
33.
34.
35. CompagnyName: Microsoft Corporation
36. ProductName: Microsoft® Windows® Operating System
37. InternalName: atapi.sys
38. OriginalFilename: atapi.sys
39. LegalCopyright: © Microsoft Corporation. All rights reserved.
40. ProductVersion: 5.1.2600.5512
41. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
42.
43. =========================
44.
45. "f:\WINDOWS\system32\drivers\siside.sys" [ ----A---- | 4096 ]
46. TC: 30/11/2009,23:15:01 | TM: 25/03/2003,18:50:46 | DA: 30/11/2009,23:15:01
47. MD5: b4485881bd8aed9b157a2e6cf43c2d51
48.
49.
50. CompagnyName: Silicon Integrated Systems Corp.
51. ProductName: SiS PCI Mini IDE Driver
52. InternalName: siside.sys
53. OriginalFilename: siside.sys
54. LegalCopyright: Silicon Integrated Systems Corp.
55. ProductVersion: 2.04.00.00
56. FileVersion: 2.04.00.00 built by: WinDDK
57.
58. =========================
59.
60. "f:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----N---- | 96512 ]
61. TC: 13/04/2008,20:40:30 | TM: 13/04/2008,20:40:30 | DA: 13/04/2008,20:40:30
62. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
63.
64.
65. CompagnyName: Microsoft Corporation
66. ProductName: Microsoft® Windows® Operating System
67. InternalName: atapi.sys
68. OriginalFilename: atapi.sys
69. LegalCopyright: © Microsoft Corporation. All rights reserved.
70. ProductVersion: 5.1.2600.5512
71. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
72.
73. =========================
74.
75. "f:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----C---- | 95360 ]
76. TC: 02/12/2009,08:11:58 | TM: 03/08/2004,23:59:44 | DA: 02/12/2009,08:11:58
77. MD5: cdfe4411a69c224bd1d11b2da92dac51
78.
79.
80. CompagnyName: Microsoft Corporation
81. ProductName: Microsoft® Windows® Operating System
82. InternalName: atapi.sys
83. OriginalFilename: atapi.sys
84. LegalCopyright: © Microsoft Corporation. All rights reserved.
85. ProductVersion: 5.1.2600.2180
86. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
87.
88. =========================
89.
90. "f:\Documents and Settings\Marianne\Mes documents\Téléchargements\ide204a\R204a\IDE\winxp\siside.sys" [ ----A---- | 4096 ]
91. TC: 30/11/2009,23:15:01 | TM: 25/03/2003,18:50:46 | DA: 30/11/2009,23:15:01
92. MD5: b4485881bd8aed9b157a2e6cf43c2d51
93.
94.
95. CompagnyName: Silicon Integrated Systems Corp.
96. ProductName: SiS PCI Mini IDE Driver
97. InternalName: siside.sys
98. OriginalFilename: siside.sys
99. LegalCopyright: Silicon Integrated Systems Corp.
100. ProductVersion: 2.04.00.00
101. FileVersion: 2.04.00.00 built by: WinDDK
102.
103. =========================
104.
105. "f:\Documents and Settings\Marianne\Mes documents\Téléchargements\ide204a\R204a\IDE\win2k\siside.sys" [ ----A---- | 6891 ]
106. TC: 30/11/2009,23:15:01 | TM: 21/10/2002,13:47:16 | DA: 30/11/2009,23:15:01
107. MD5: 77edbf3ba164135ecb20c2b2f33c0daa
108.
109.
110. CompagnyName: Silicon Integrated Systems Corp.
111. ProductName: SiS PCI Mini IDE Driver
112. InternalName: siside.sys
113. OriginalFilename: siside.sys
114. LegalCopyright: Silicon Integrated Systems Corp.
115. ProductVersion: 2.03.02.00
116. FileVersion: 2.03.02.00
117.
118. =========================
119.
120. "f:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\ide204a\R204a\IDE\winxp\siside.sys" [ ----A---- | 4096 ]
121. TC: 02/05/2010,21:46:55 | TM: 25/03/2003,18:50:46 | DA: 02/05/2010,21:46:55
122. MD5: b4485881bd8aed9b157a2e6cf43c2d51
123.
124.
125. CompagnyName: Silicon Integrated Systems Corp.
126. ProductName: SiS PCI Mini IDE Driver
127. InternalName: siside.sys
128. OriginalFilename: siside.sys
129. LegalCopyright: Silicon Integrated Systems Corp.
130. ProductVersion: 2.04.00.00
131. FileVersion: 2.04.00.00 built by: WinDDK
132.
133. =========================
134.
135. "f:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\ide204a\R204a\IDE\win2k\siside.sys" [ ----A---- | 6891 ]
136. TC: 02/05/2010,21:46:55 | TM: 21/10/2002,13:47:16 | DA: 02/05/2010,21:46:55
137. MD5: 77edbf3ba164135ecb20c2b2f33c0daa
138.
139.
140. CompagnyName: Silicon Integrated Systems Corp.
141. ProductName: SiS PCI Mini IDE Driver
142. InternalName: siside.sys
143. OriginalFilename: siside.sys
144. LegalCopyright: Silicon Integrated Systems Corp.
145. ProductVersion: 2.03.02.00
146. FileVersion: 2.03.02.00
147.
148. =========================
149.
150. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
151.
152. Aucun dossier trouvé
153.
154. =========================
155.
156. Fin à: 00:07:45 le 04/05/2010 ( E.O.F )

Merci encore pour ton aide, j'sais vraiment pas comment je ferai sans toi!
0
Réponse 6 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
4 mai 2010 à 00:23
/!\ ATTENTION /!\
Le script proposé ici a été écrit spécialement pour Kentain, il n'est pas transposable sur un autre ordinateur !


* Télécharge ce dossier
* Clique sur le fichier Script_batch. Il va placer une copie saine des deux fichiers infectés à la racine de ton disque dur.
* Ensuite, on va utiliser The Avenger pour supprimer le fichier infecté et placer la copie à la place :


/!\ Désactive tous tes logiciels de protection et ferme tous tes programmes /!\

* Télécharge The Avenger (de Swandog46) sur le Bureau --> Lance le --> Un avertissement en anglais va s'afficher concernant la dangerosité de cet outil --> lis le et clique sur OK.
* Ouvre le fichier Script_TheAvenger --> Copie le script qu'il contient, et colle le dans le cadre « Input script here » de The Avenger.
* Vérifie que la case « Scan for rootkits » est cochée et que « Automatically disable any rootkits found » est décochée, puis clique sur Execute. Ne touche à rien pendant que le programme travaille !
* A la fin, il te demandera de redémarrer ("reboot"), accepte en cliquant sur Oui. Pendant le redémarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le Bureau, ceci est normal.
* Après le redémarrage, un rapport va s'ouvrir (il est aussi sauvegardé ici : C:\avenger.txt) --> Copie/colle ce rapport dans ta prochaine réponse stp.

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
4 mai 2010 à 00:30
Hmmm... j'ai fait ce que tu m'as dit, il a exécuté le script et m'a proposé de redémarrer, j'ai cliqué sur oui mais il n'a pas redémarrer et il ne répond plus... je le redémarre manuellement?
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
4 mai 2010 à 00:32
(Il n'y'a pas eu l'apparition de la fenêtre de commande)
Et je suis sur un autre ordi pour envoyer ce message
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
4 mai 2010 à 00:43
Bon j'ai redemarrer manuellement voila le rapport

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "c:\tapi.sys" not found!
File move operation "c:\tapi.sys|C:\Windows\System32\drivers\atapi.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "c:\side.sys" not found!
File move operation "c:\side.sys|C:\Windows\System32\drivers\siside.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.


Le probleme vient peut etre du fait que l'os est installé sur le disque F et non C?
0
Réponse 7 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
4 mai 2010 à 04:34
Exact, je n'avais pas fait attention à ça...
Refais la même chose avec ces scripts (d'abord le batch, ensuite The Avenger) ;)

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
4 mai 2010 à 18:35
Merci, le batch a uniquement réussi la copie du fichier atapi.sys
Pour le secon il me dit que le chemin d'accès spécifié est introuvable?
0
Réponse 8 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 mai 2010 à 13:26
C'est bizarre... Vérifie à la racine de ton disque F si les fichiers tapi.sys et side.sys sont présents

S'ils n'y sont pas tous les deux, refais cette recherche avec SEAF stp
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
5 mai 2010 à 14:30
Non que le tapi.sys, je relance la recherche!
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
5 mai 2010 à 14:36
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 14:32:21 le 05/05/2010
4.
5. Valeur(s) recherchée(s):
6.
7. siside.sys
8. atapi.sys
9.
10. (!) --- Calcul du Hash "MD5"
11. (!) --- Informations supplémentaires
12.
13. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
14.
15. "f:\WINDOWS\system32\ReinstallBackups\0002\DriverFiles\i386\atapi.sys" [ ----A---- | 95360 ]
16. TC: 30/11/2009,23:21:26 | TM: 03/08/2004,23:59:44 | DA: 30/11/2009,23:21:26
17. MD5: cdfe4411a69c224bd1d11b2da92dac51
18.
19.
20. CompagnyName: Microsoft Corporation
21. ProductName: Microsoft® Windows® Operating System
22. InternalName: atapi.sys
23. OriginalFilename: atapi.sys
24. LegalCopyright: © Microsoft Corporation. All rights reserved.
25. ProductVersion: 5.1.2600.2180
26. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
27.
28. =========================
29.
30. "f:\WINDOWS\system32\drivers\atapi.sys" [ ----A---- | 96512 ]
31. TC: 01/12/2009,22:53:36 | TM: 13/04/2008,20:40:30 | DA: 13/04/2008,20:40:30
32. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
33.
34.
35. CompagnyName: Microsoft Corporation
36. ProductName: Microsoft® Windows® Operating System
37. InternalName: atapi.sys
38. OriginalFilename: atapi.sys
39. LegalCopyright: © Microsoft Corporation. All rights reserved.
40. ProductVersion: 5.1.2600.5512
41. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
42.
43. =========================
44.
45. "f:\WINDOWS\system32\drivers\siside.sys" [ ----A---- | 4096 ]
46. TC: 30/11/2009,23:15:01 | TM: 25/03/2003,18:50:46 | DA: 30/11/2009,23:15:01
47. MD5: b4485881bd8aed9b157a2e6cf43c2d51
48.
49.
50. CompagnyName: Silicon Integrated Systems Corp.
51. ProductName: SiS PCI Mini IDE Driver
52. InternalName: siside.sys
53. OriginalFilename: siside.sys
54. LegalCopyright: Silicon Integrated Systems Corp.
55. ProductVersion: 2.04.00.00
56. FileVersion: 2.04.00.00 built by: WinDDK
57.
58. =========================
59.
60. "f:\WINDOWS\ServicePackFiles\i386\atapi.sys" [ ----N---- | 96512 ]
61. TC: 13/04/2008,20:40:30 | TM: 13/04/2008,20:40:30 | DA: 13/04/2008,20:40:30
62. MD5: 9f3a2f5aa6875c72bf062c712cfa2674
63.
64.
65. CompagnyName: Microsoft Corporation
66. ProductName: Microsoft® Windows® Operating System
67. InternalName: atapi.sys
68. OriginalFilename: atapi.sys
69. LegalCopyright: © Microsoft Corporation. All rights reserved.
70. ProductVersion: 5.1.2600.5512
71. FileVersion: 5.1.2600.5512 (xpsp.080413-2108)
72.
73. =========================
74.
75. "f:\WINDOWS\$NtServicePackUninstall$\atapi.sys" [ ----C---- | 95360 ]
76. TC: 02/12/2009,08:11:58 | TM: 03/08/2004,23:59:44 | DA: 02/12/2009,08:11:58
77. MD5: cdfe4411a69c224bd1d11b2da92dac51
78.
79.
80. CompagnyName: Microsoft Corporation
81. ProductName: Microsoft® Windows® Operating System
82. InternalName: atapi.sys
83. OriginalFilename: atapi.sys
84. LegalCopyright: © Microsoft Corporation. All rights reserved.
85. ProductVersion: 5.1.2600.2180
86. FileVersion: 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)
87.
88. =========================
89.
90. "f:\Documents and Settings\Marianne\Mes documents\Téléchargements\ide204a\R204a\IDE\winxp\siside.sys" [ ----A---- | 4096 ]
91. TC: 30/11/2009,23:15:01 | TM: 25/03/2003,18:50:46 | DA: 30/11/2009,23:15:01
92. MD5: b4485881bd8aed9b157a2e6cf43c2d51
93.
94.
95. CompagnyName: Silicon Integrated Systems Corp.
96. ProductName: SiS PCI Mini IDE Driver
97. InternalName: siside.sys
98. OriginalFilename: siside.sys
99. LegalCopyright: Silicon Integrated Systems Corp.
100. ProductVersion: 2.04.00.00
101. FileVersion: 2.04.00.00 built by: WinDDK
102.
103. =========================
104.
105. "f:\Documents and Settings\Marianne\Mes documents\Téléchargements\ide204a\R204a\IDE\win2k\siside.sys" [ ----A---- | 6891 ]
106. TC: 30/11/2009,23:15:01 | TM: 21/10/2002,13:47:16 | DA: 30/11/2009,23:15:01
107. MD5: 77edbf3ba164135ecb20c2b2f33c0daa
108.
109.
110. CompagnyName: Silicon Integrated Systems Corp.
111. ProductName: SiS PCI Mini IDE Driver
112. InternalName: siside.sys
113. OriginalFilename: siside.sys
114. LegalCopyright: Silicon Integrated Systems Corp.
115. ProductVersion: 2.03.02.00
116. FileVersion: 2.03.02.00
117.
118. =========================
119.
120. "f:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\ide204a\R204a\IDE\winxp\siside.sys" [ ----A---- | 4096 ]
121. TC: 02/05/2010,21:46:55 | TM: 25/03/2003,18:50:46 | DA: 02/05/2010,21:46:55
122. MD5: b4485881bd8aed9b157a2e6cf43c2d51
123.
124.
125. CompagnyName: Silicon Integrated Systems Corp.
126. ProductName: SiS PCI Mini IDE Driver
127. InternalName: siside.sys
128. OriginalFilename: siside.sys
129. LegalCopyright: Silicon Integrated Systems Corp.
130. ProductVersion: 2.04.00.00
131. FileVersion: 2.04.00.00 built by: WinDDK
132.
133. =========================
134.
135. "f:\Documents and Settings\HelpAssistant\Mes documents\Téléchargements\ide204a\R204a\IDE\win2k\siside.sys" [ ----A---- | 6891 ]
136. TC: 02/05/2010,21:46:55 | TM: 21/10/2002,13:47:16 | DA: 02/05/2010,21:46:55
137. MD5: 77edbf3ba164135ecb20c2b2f33c0daa
138.
139.
140. CompagnyName: Silicon Integrated Systems Corp.
141. ProductName: SiS PCI Mini IDE Driver
142. InternalName: siside.sys
143. OriginalFilename: siside.sys
144. LegalCopyright: Silicon Integrated Systems Corp.
145. ProductVersion: 2.03.02.00
146. FileVersion: 2.03.02.00
147.
148. =========================
149.
150. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
151.
152. Aucun dossier trouvé
153.
154. =========================
155.
156. Fin à: 14:34:53 le 05/05/2010 ( E.O.F )


Voila le nouveau rapport, merci!
0
Réponse 9 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
5 mai 2010 à 19:49
Le fichier est toujours là et je viens de revérifier une fois de plus le script, je ne comprends pas pourquoi ça n'a pas fonctionné...

Voyons ce que ça donne manuellement :
- Copie ce fichier : F:\Documents and Settings\Marianne\Mes documents\Téléchargements\ide204a\R204a\IDE\winxp\siside.sys
- Colle le à la racine du disque F, puis renomme le : siside --> side
- Lance The Avenger comme indiqué précédemment.

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
5 mai 2010 à 20:17
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

File move operation "F:\tapi.sys|F:\Windows\System32\drivers\atapi.sys" completed successfully.
File move operation "F:\side.sys|F:\Windows\System32\drivers\siside.sys" completed successfully.

Completed script processing.

*******************

Finished! Terminate.


Et voila!
0
Réponse 10 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
6 mai 2010 à 01:05
Parfait :)

Fais redémarrer ton ordinateur et poste un nouveau rapport de Gmer accompagné d'un rapport ZHPDiag
Je pense qu'on va pouvoir passer à la finition ^^

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
6 mai 2010 à 18:30
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-05-06 18:29:32
Windows 5.1.2600 Service Pack 3
Running: cltgqmgn.exe; Driver: F:\DOCUME~1\Marianne\LOCALS~1\Temp\kfdyqaob.sys


---- System - GMER 1.0.15 ----

SSDT F7B2C67E ZwCreateKey
SSDT F7B2C674 ZwCreateThread
SSDT F7B2C683 ZwDeleteKey
SSDT F7B2C68D ZwDeleteValueKey
SSDT spwn.sys ZwEnumerateKey [0xF736DDA4]
SSDT spwn.sys ZwEnumerateValueKey [0xF736E132]
SSDT F7B2C692 ZwLoadKey
SSDT spwn.sys ZwOpenKey [0xF73550C0]
SSDT F7B2C660 ZwOpenProcess
SSDT F7B2C665 ZwOpenThread
SSDT spwn.sys ZwQueryKey [0xF736E20A]
SSDT spwn.sys ZwQueryValueKey [0xF736E08A]
SSDT F7B2C69C ZwReplaceKey
SSDT F7B2C697 ZwRestoreKey
SSDT F7B2C688 ZwSetValueKey
SSDT F7B2C66F ZwTerminateProcess

INT 0x62 ? 84F8CBF8
INT 0x82 ? 84F8CBF8
INT 0x83 ? 84F91BF8
INT 0x84 ? 84507BF8
INT 0x94 ? 84507BF8
INT 0xA4 ? 84507BF8
INT 0xB4 ? 84507BF8

---- Kernel code sections - GMER 1.0.15 ----

? spwn.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload F64328AC 5 Bytes JMP 845071D8
.text a6k8aoz9.SYS F63E1386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a6k8aoz9.SYS F63E13AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a6k8aoz9.SYS F63E13C4 3 Bytes [00, 80, 02]
.text a6k8aoz9.SYS F63E13C9 1 Byte [30]
.text a6k8aoz9.SYS F63E13C9 11 Bytes [30, 00, 00, 00, 5E, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESI; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7356042] spwn.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F735613E] spwn.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F73560C0] spwn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F7356800] spwn.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73566D6] spwn.sys
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!READ_PORT_UCHAR] 1C959E88
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!KfRaiseIrql] 00001CB1
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!HalTranslateBusAddress] 8986C636
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!KfReleaseSpinLock] 1C8B86C6
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!READ_PORT_USHORT] 001C9686
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CB2
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\a6k8aoz9.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB99E
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7365B90] spwn.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 84F891F8

AttachedDevice \FileSystem\Ntfs \Ntfs sisidex.sys (SISIDEX Driver/Windows (R) 2000 DDK provider)

Device \Driver\PCI_PNP9748 \Device\00000043 spwn.sys
Device \Driver\NetBT \Device\NetBT_Tcpip_{6C90B8AF-207D-4505-BA78-D472FE5E6DE6} 8452A500
Device \Driver\usbohci \Device\USBPDO-0 844591F8
Device \Driver\usbohci \Device\USBPDO-1 844591F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 84F8D1F8
Device \Driver\dmio \Device\DmControl\DmConfig 84F8D1F8
Device \Driver\dmio \Device\DmControl\DmPnP 84F8D1F8
Device \Driver\dmio \Device\DmControl\DmInfo 84F8D1F8
Device \Driver\usbohci \Device\USBPDO-2 844591F8
Device \Driver\usbehci \Device\USBPDO-3 844FB1F8
Device \Driver\Ftdisk \Device\HarddiskVolume1 84F8E1F8
Device \Driver\Cdrom \Device\CdRom0 844F81F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 84F8E1F8
Device \Driver\Cdrom \Device\CdRom1 844F81F8
Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 [F72A8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort0 [F72A8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdePort1 [F72A8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e [F72A8B40] atapi.sys[unknown section] {MOV EDX, [ESP+0x8]; LEA ECX, [ESP+0x4]; PUSH EAX; MOV EAX, ESP; PUSH EAX}
Device \Driver\usbstor \Device\00000067 840A6500
Device \Driver\usbstor \Device\00000068 840A6500
Device \Driver\NetBT \Device\NetBt_Wins_Export 8452A500
Device \Driver\NetBT \Device\NetbiosSmb 8452A500
Device \Driver\sptd \Device\3372437248 spwn.sys
Device \Driver\usbstor \Device\0000006b 840A6500
Device \Driver\usbohci \Device\USBFDO-0 844591F8
Device \Driver\usbstor \Device\0000006c 840A6500
Device \Driver\usbohci \Device\USBFDO-1 844591F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 840A7500
Device \Driver\usbohci \Device\USBFDO-2 844591F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 840A7500
Device \Driver\usbehci \Device\USBFDO-3 844FB1F8
Device \Driver\Ftdisk \Device\FtControl 84F8E1F8
Device \Driver\SiSRaid \Device\Scsi\SiSRaid1 84F8B1F8
Device \Driver\a6k8aoz9 \Device\Scsi\a6k8aoz91 844FA1F8
Device \Driver\SiSRaid \Device\Scsi\SiSRaid1Port2Path0Target2Lun0 84F8B1F8
Device \FileSystem\Cdfs \Cdfs 844C6500

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x45 0xE4 0xA1 0x50 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 F:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x49 0xBC 0xAA 0x08 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x68 0x67 0x11 0xED ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x82 0x5E 0x67 0x3B ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x82 0x5E 0x67 0x3B ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x45 0xE4 0xA1 0x50 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 F:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@u0 0xD4 0xC3 0x97 0x02 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x49 0xBC 0xAA 0x08 ...
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x68 0x67 0x11 0xED ...
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update@UnableToDetectTime 2010-05-05 17:20:54
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Detect@LastSuccessTime 2010-05-02 08:59:42
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Detect@LastError -2147012866

---- EOF - GMER 1.0.15 ----

Le scan GMER, et je lance ZHP Diag!
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
6 mai 2010 à 19:13
http://www.cijoint.fr/cjlink.php?file=cj201005/cijpZy3ljQ.txt


Voila le rapport ZHPDiag!
0
Réponse 11 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
7 mai 2010 à 01:31
Je viendrai te répondre demain en fin de journée, là je vais aller dormir ^^ Excuse moi de te faire attendre.

A demain ;)

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
7 mai 2010 à 18:38
Pas de soucis! Je t'attends :)
0
Réponse 12 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 8/05/2010 à 17:25
Me revoila (enfin) !
On va devoir faire encore ce qui suit avant de pouvoir passer à la finition :

1) Lance ZHPFix à partir du raccourci sur ton Bureau
* Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
* Copie/colle les lignes suivantes et place les dans ZHPFix :

O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU]
MBRFix
O64 - Services: CurCS - (.not file.) - kfdyqaob (kfdyqaob) .(.Pas de propriétaire - Pas de description.) - LEGACY_KFDYQAOB

* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse


2) Relance MalwareBytes, mets le à jour et fais un nouveau scan de l'ordinateur. S'il trouve quelque chose, supprime tout et poste le rapport.


3) Fais redémarrer ton ordinateur puis poste un dernier rapport ZHPDiag stp


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
8 mai 2010 à 18:30
ZHPFix v1.12.3096 by Nicolas Coolman - Rapport de suppression du 08/05/2010 18:30:03
Fichier d'export Registre : F:\ZHPExportRegistry-08-05-2010-18-30-03.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] => Clé supprimée avec succès
O64 - Services: CurCS - (.not file.) - kfdyqaob (kfdyqaob) .(.Pas de propriétaire - Pas de description.) - LEGACY_KFDYQAOB => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
O42 - Logiciel: Antimalware Doctor - (.Pas de propriétaire.) [HKCU] => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll atapi.sys spwq.sys >>UNKNOWN [0x84F95938]<<
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x098A412B
malicious code @ sector 0x098A412E !
PE file found in sector at 0x098A4144 !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK
copy of MBR has been found in sector 0x098A412B
malicious code @ sector 0x098A412E !
PE file found in sector at 0x098A4144 !

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 2
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 1
Master Boot Record : 21
Préférences navigateur : 0
Autre : 0


End of the scan

Voilà le rapport ZHPFix!
0
Réponse 13 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
8 mai 2010 à 19:33
C'est parfait :)
J'attends donc le résultat du scan de MBAM et de ZHPDiag ^^

0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
8 mai 2010 à 20:43
Le scan Malwarebytes ;)

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4078

Windows 5.1.2600 Service Pack 3
Internet Explorer 6.0.2900.5512

08/05/2010 20:42:10
mbam-log-2010-05-08 (20-42-10).txt

Type d'examen: Examen complet (A:\|C:\|D:\|F:\|G:\|)
Elément(s) analysé(s): 190060
Temps écoulé: 1 heure(s), 1 minute(s), 5 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
F:\Documents and Settings\HelpAssistant\Application Data\70E8100553ECEAA0EE3035A15817E9B3\gotnewupdate.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
F:\Documents and Settings\HelpAssistant\Local Settings\Temp\cswaxmnreo.tmp (Trojan.Sshnas) -> Quarantined and deleted successfully.
F:\Documents and Settings\HelpAssistant\Local Settings\Temp\wxsomanecr.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
F:\Documents and Settings\HelpAssistant\Local Settings\Temp\Xwz.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
F:\Documents and Settings\Marianne\Application Data\70E8100553ECEAA0EE3035A15817E9B3\hookdll.dll (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.
F:\Documents and Settings\Marianne\Local Settings\Temp\Xwz.exe (Trojan.Fraudpack) -> Quarantined and deleted successfully.
F:\Documents and Settings\Marianne\Local Settings\Temp\cswaxmnreo.tmp (Trojan.Sshnas) -> Quarantined and deleted successfully.
G:\Windows 7 All version Activation Pro [2010]\Windows 7 All version Activation Pro [2010]\Windows_7_Genuine\Windows_7_Genuine\Windows_7_Genuine.exe (Malware.Tool) -> Quarantined and deleted successfully.


Je redémarre puis je te mets le dernier scan ZHPDiag! Merci
0
Kentain Messages postés 206 Date d'inscription lundi 10 novembre 2008 Statut Membre Dernière intervention 1 avril 2011 16
8 mai 2010 à 20:50
http://www.cijoint.fr/cjlink.php?file=cj201005/cij39l7hcn.txt

Et voilà! ;)
0
Réponse 14 / 14
anthony5151 Messages postés 10573 Date d'inscription vendredi 27 juin 2008 Statut Contributeur sécurité Dernière intervention 2 mars 2015 790
Modifié par anthony5151 le 10/05/2010 à 02:59
Très bien, ton ordinateur n'est plus infecté :)

Avant de te laisser partir, voici quelques conseils pour finir le nettoyage et améliorer sensiblement la sécurité de ton ordinateur, ça t'évitera peut-être de devoir revenir ici avec une nouvelle infection dans le futur ;) Mais sache qu'aucun logiciel de sécurité ne te protègera à 100%, ce qui fait la différence, c'est ta vigilance lorsque tu télécharges ou installes quelque chose : pour en savoir plus, je t'invite à bien lire la page indiquée tout en bas de ce message (6).



1) Sécurise ton ordinateur

* Logiciels de protection :
* Antivir est un bon choix, garde le. Juste un petit réglage à faire : Double clique sur l'icone d'Antivir près de l'horloge --> Configuration --> Coche « mode expert » --> coche « Rech. Rootkits au dem. de la recherche »
* En complément, garde MalwareBytes Anti-Malware pour faire des scans de vérification de temps en temps.

* Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'utiliser la dernière version de Firefox : lance le --> clique sur le point d'interrogation dans la barre de menu --> Rechercher des mises à jour. Ensuite, installe les deux extensions de sécurité suivantes :
AdBlockPlus pour bloquer les publicités ;
WOT, pour t'avertir des sites web dangereux.

* N'utilise pas Internet Explorer ou alors mets le à jour (pas sûr que ce soit possible vu ta version piratée de Windows...)

* Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java (n'installe pas la barre d'outil proposée lors de l'installation)

* Je te vois que tu utilises Adobe Reader : pour limiter les vulnérabilités de ce programme, désactive la prise en charge Javascript d'Adobe Reader : clique sur Edition --> Préférences --> JavaScript --> décoche "Activer Acrobat JavaScript" et valide.

* Pour les mêmes raisons, mets à jour Flash Player : Ferme ton navigateur, puis désinstalle Adobe Flash Player 10 Plugin. Ensuite, utilise ce lien pour installer la dernière version.

* Pour vérifier régulièrement que tous tes programmes sont bien à jour, tu peux t'aider de ce petit programme (décoche « run at startup » lors de l'installation) : Update Checker (attention, les liens proposés ne correspondent pas toujours à la version française des programmes, il faut parfois les chercher manuellement)

* Vaccine tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) --> lance l'installation avec les paramètres par défaut --> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3, appareils photos numériques etc...) sans les ouvrir --> Double clique sur le raccourci USBFix sur ton Bureau --> Au menu principal, choisis l'option 3 (Vaccination).



2) Optimisation : Télécharge ce fichier sur ton Bureau --> doubler-clique dessus --> accepte la modification du Registre.



3) Il faut supprimer tous les outils que nous avons utilisés : Lance ZHPFix --> clique sur le « A » rouge (Nettoyeur de Tools) --> clique sur « Nettoyer »
Tutoriel pour t'aider



4) Télécharge Ccleaner. Installe le (décoche l'installation de la barre d'outil Yahoo qui est proposée lors de l'installation), puis lance le.
Clique sur Nettoyeur --> Analyse --> Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche.
Enfin, Registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs.

(Tu peux garder ce logiciel et l'utiliser régulièrement).



5) Pour terminer le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). Pour ça, suis ce tutoriel stp.



6) Je t'invite enfin à visiter cette page qui t'apportera des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile) : Prévention et sécurité sur internet.
Tu y verras notamment que les cracks sont l'un des principaux vecteurs d'infection...



7) Pour finir, je t'invite à faire régulièrement une sauvegarde de tes documents importants sur un support externe (disque dur externe, CD/DVD réinscriptible...)
Dans ce sujet, nous avons pu désinfecter ton ordinateur, mais ce n'est pas toujours le cas. Certaines infections cryptent les documents et demandent une rançon pour les récupérer, d'autres les modifient pour diffuser des infections, obligeant donc à les effacer... Il faut donc toujours avoir une sauvegarde saine de tes documents, sinon tu risques de les perdre.




Bonne lecture, bon courage, et n'hésite pas à poser des questions en cas de besoin ;)


L'habit ne fait pas le moine.
Le savoir n'est utile que s'il est transmis
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses