Sujet Précédent Sujet Suivant

Rootkit

Fermé
bob26 - 7 juin 2010 à 01:26
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 - 6 juil. 2010 à 06:31
Bonjour,
j'ai "chopé" un rootkit
comment le détecter ? rapport hijackthis ? et le supprimer
merci de vos lumieres


A voir également:

52 réponses

Réponse 1 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
7 juin 2010 à 16:26
je ne connais pas tous les rootkits

pour plus de sureté
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/



Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clique sur le fichier GMER téléchargé.
IMPORTANT: Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.


Clique sur l'onglet "rootkit"
A droite, coche seulement tout.
Clique maintenant sur Scan.
Lorsque le scan est terminé, clique sur Copy.
Ouvre le Bloc-notes puis clique sur le Menu Edition / Coller.
Le rapport doit alors apparaître.


Enregistre le fichier sur ton Bureau et poste le contenu ici.
1
Réponse 2 / 52
alhuno1 Messages postés 1874 Date d'inscription lundi 9 novembre 2009 Statut Contributeur Dernière intervention 13 novembre 2018 225
7 juin 2010 à 01:29
Fais ceci:

Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le Bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'administrateur pour Vista et 7 )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton Bureau.

Rend toi sur Cjoint

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message
0
Réponse 3 / 52
bob26
7 juin 2010 à 03:18
j'ai le pb suivant : sur le site que tu m'as donné si je lance le telechargement de ZHP diag ... il me charge un fichier .txt ibuvable !!
voici les premieres lignes
" [COOLMANN²]$MAJ=ZebHelpProcess v2.3.1.4$
[TABLE=Processus]$PRO=ÍÚÝÉüïì ëö뮦Þæáúá®Ãïàïéëü®Ýíüëëà®Íïþúûüë§$CAT=Légitime$ENT=Þæáúá®Ãïàïéëü®Ýíüëëà®Íïþúûüë$ORI=Þæáúá®Ãïàïéëü$AUT=Íüëïúçøë$
[TABLE=ZHPmalware]$LIB=Ắ£®æåíûÒ Òüûà'®Õêýá½¼Ó®êýáÿÿ ëöë$INF=Çàèëíúçáà®Êçøëüýë$PRO=$
[TABLE=DiagHelp]$LIB=ýï½¼öö®êëøçíë®ãïàïéëü$CAT=Légitime$ORI=Þæçâçþý$
[TABLE=DiagHelp]$LIB=èüáéýúëü®çàúëüïíúçøë®þçíúûüëý$CAT=Légitime$ORI=Èüáéýúëü®Çàúëüïíúçøë®Þçíúûüëý$
[TABLE=ZHPmalware]$LIB='Òàÿê÷ãä ëöë$INF=Çàèëíúçáà®ÛÝÌ$PRO=ÛÝÌ Úüáä$
[TABLE=ZHPmalware]$LIB='Ò½½ü ëöë$INF=Çàèëíúçáà®ÛÝÌ$PRO=ÛÝÌ Úüáä$ "

fichier qui comporte environ 2600 lignes !!!!!!!!!!!!
0
Nicolas Coolman Messages postés 1104 Date d'inscription dimanche 25 mai 2008 Statut Contributeur sécurité Dernière intervention 5 octobre 2014 27
7 juin 2010 à 08:51
Hello bob26,

Effectivement il y avait un pb d'upload sur le server, c'est maintenant OK

A bientot....
0
Réponse 4 / 52
bob26
7 juin 2010 à 11:19
ok
donc c'est bon
le lien pour recup le fichier : http://www.cijoint.fr/cjlink.php?file=cj201006/cijrzChg5W.txt
(j'ai du transformer le fichier en .txt .... sinon il n'était pas accepté)
a +
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
7 juin 2010 à 12:29
salut
pour avancer

télécharge Malwarebyte's ici http://www.malwarebytes.org/mbam/program/mbam-setup.exe
le programme va se mettre automatiquement a jour.
S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici
https://www.malekal.com/tutorial-aboutbuster/
Une fois a jour, le programme va se lancer; click sur l'onglet paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".

Click maintenant sur l'onglet recherche et coche la case : "executer un examen rapide".

Puis click sur "rechercher".

Laisse le scanner le pc...

Si des éléments on été trouvés > click sur supprimer la sélection.

si il t'es demandé de redémarrer > click sur "yes".

A la fin un rapport va s'ouvrir; sauvegarde le de manière a le retrouver en vu de le poster sur le forum.

Copie et colle le rapport stp.

PS : les rapport sont aussi rangé dans l onglet rapport/log
0
Réponse 6 / 52
bob26
7 juin 2010 à 14:12
rapport malwarebytes :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4174

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

07/06/2010 12:51:49
mbam-log-2010-06-07 (12-51-49).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 117633
Temps écoulé: 4 minute(s), 35 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
7 juin 2010 à 14:25
comment a tu vu que tu avait un rootkit ?
0
Réponse 7 / 52
bob26
7 juin 2010 à 14:52
vendredi dernier alors que je bossais sur un autre ordi de mon réseau (portable Wifi sur modem routeur) j'ai eut plusieurs fois le son caractéristique de détection d'un virus. mais à chaque fois que je me retournais pour voir ce qui se passait je n'avais que la page du bureau d'affichée (je ne me souviens plus si firefox et thunderbird tournaient .... mais je pense que oui)
au bout de plusieurs alertes du meme genre (3? 4?) je suis allé voir dans avira et j'ai trouvé (un peu au hasard j'avoue) que j'avais la présence de RKIT/agent.10752k (heureusement j'avais noté le nom !!) dans plusieurs fichiers (de mémoire il y avait je crois "system volum information"?).
J'ai fait une analyse avec avira et mailwaresbytes .... RAS .... et je ne retrouve plus trace de ces éléments dans avira .
mais comme depuis qqs temps j'ai des choses bizarres (notamment des lenteurs) j'ai conclut à un rootkit (paranoïa ?)
0
Réponse 8 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
7 juin 2010 à 15:18
peu etre pas

essaye ca
http://www.free-av.com/fr/produits/4/avira_antirootkit_tool.html
0
Réponse 9 / 52
bob26
7 juin 2010 à 16:18
voila c'est fait et résultat : "Scan task finished. No hidden objects detected"
pourtant l'antivir a bien bippé vendredi mais rien d'affiché à l'écran .... ça me parait bizarre
et la mention comme quoi il y avait des fichiers infectés (je pense qu'apres avoir ouvert avira je suis allz dans "protection locale" "guard)
et que signifie RKIT/Agent.10752K
0
Réponse 10 / 52
bob26
7 juin 2010 à 16:24
pourqui le logiciel d'instal de l'imprimante HP s'ouvre tout seul ?
et est il normal qu'avec tcp view je constate sans arret un dialogue avec l'IP de l'imprimante (imprimante reseau directement relié au routeur en filaire) alors qu'aucune application ne tourne ?
0
Réponse 11 / 52
bob26
7 juin 2010 à 17:32
voila le rapport GMER :

"GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-06-07 17:26:10
Windows 5.1.2600 Service Pack 2
Running: flzh61k8.exe; Driver: C:\DOCUME~1\bob\LOCALS~1\Temp\pwloapow.sys


---- System - GMER 1.0.15 ----

SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateKey [0xF7268112]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcess [0xF72472D6]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwCreateProcessEx [0xF72474C8]
SSDT F7B60ABC ZwCreateThread
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteKey [0xF7268900]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwDeleteValueKey [0xF7268BB4]
SSDT F7B60ADA ZwLoadKey
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwOpenKey [0xF7266E12]
SSDT F7B60AA8 ZwOpenProcess
SSDT F7B60AAD ZwOpenThread
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwRenameKey [0xF7269020]
SSDT F7B60AE4 ZwReplaceKey
SSDT F7B60ADF ZwRestoreKey
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwSetValueKey [0xF72683D2]
SSDT PCTCore.sys (PC Tools KDS Core Driver/PC Tools) ZwTerminateProcess [0xF7246F44]

---- Kernel code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF6700380, 0x566465, 0xE8000020]
init C:\WINDOWS\system32\drivers\Senfilt.sys entry point in "init" section [0xF2D25A00]

---- User code sections - GMER 1.0.15 ----

.text C:\WINDOWS\system32\svchost.exe[224] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00D40001
.text C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe[408] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 00860001
.text C:\Program Files\Canon\CAL\CALMAIN.exe[472] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01120001
.text C:\Program Files\Java\jre6\bin\jqs.exe[624] kernel32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 01E30001
.text C:\WINDOWS\system32\csrss.exe[668] KERNEL32.dll!LoadLibraryExW + C4 7C801BB5 4 Bytes CALL 015F0001
.text ...

---- Devices - GMER 1.0.15 ----

Device \Driver\PCTSDInjDriver32 \Device\PCTSDInjDriver32 PCTSDInj32.sys

---- EOF - GMER 1.0.15 ----
0
Réponse 12 / 52
bob26
7 juin 2010 à 17:47
j'ai également passer un coup de "spyware doctor" : RAS
j'ai lu que dans certains cas les hackers pouvaient installer des rootkits et faire en sorte que les logiciels antivir ne les voient pas
Est ce qu'un rapport Hijackthis (ou autre) permet de les repérer ?
Est ce que TCPVIEW permet de trouver des connexions sortantes pirates ?
il yy a quelques temps j'avais eut des indices qui me paraissaient bizarres et qui m'avait amener à penser (parano quand tu nous tiens !!!) que mon modem routeur était "piraté". Un routeur peut il être piraté ? sur les forums j'ai eut les 2 réponses OUI et NON .
j'avais réinitialisé, hangé les IP fixe des appareils reliés au mofrmrouteuchangé le MP, installé une mise à jour du micrologiciel ... sans savoit di c'était ça !
0
Réponse 13 / 52
bob26
8 juin 2010 à 08:49
pour SHERRED
plus de réponse ?
0
Réponse 14 / 52
bob26
8 juin 2010 à 09:03
a tout hasard un rapport Hijaackthis


Scan saved at 08:58:35, on 08/06/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\HPZinw12.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com/?SearchSource=10&ctid=CT2124320
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
R3 - URLSearchHook: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Messenger Plus Live Toolbar - {9b339f6e-ddcd-401b-8764-230adbd01761} - C:\Program Files\Messenger_Plus_Live\tbMess.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Démarrage rapide de HP Photosmart Premier.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer = 80.10.246.1,80.10.246.132
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program Files\Canon\CAL\CALMAIN.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\maconfservice.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
0
Réponse 15 / 52
bob26
10 juin 2010 à 23:13
plus de réponse ????
0
Réponse 16 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
11 juin 2010 à 06:32
desolé j'etait en stage depuis trois jours
bon tu n'a pas eu d alerte avec gmer ?

a ta question ,Un routeur peut il être piraté ? oui si tu a le wifi "en marche"
bien sur , si il faut une clé , c'est compliqué , mais c'est toujours possible

par contre Internet Explorer v6.00 SP2
si ta version est legale je te conseil une mise a jour SP3 et explorer 8

0
Réponse 17 / 52
bob26
11 juin 2010 à 19:05
bjr
oui ras avec gmer
je t'ai également envoyé un rapport HJ ... qu'en penses tu ?
j'avais également posté au sujet de 2 virus trouvés par ESET (scan en ligne) sur l'ordi portable (vista .... celui sur lequel je suis en ce moment)
mon interlocuteur m'a demandé de tout voir avec le même interlocuteur et a donc fermé le post
les 2 virus trouvés étaient : win32/adware.adonapplication et java/trojandownloader.agent.NAN
est ce que cela veut dire que tout mon réseau est "vérolé"? moi je pense que oui
les 2 PC sont devenus lents
s'il s'git d'un rootkit (et sans être, loin de là, un spécialiste) je suppose que le "pirate" doit avoir implanté un programme qui emet pour me repérer à chaque nouvelle connexion (puisque mon IP change à chaque fois). Si c'est le cas peut on le détecter ? j'ai installé tcpview et je constate qu'avant de lancer la moindre application j'ai une demande de connexion sans arrêt sur une IP qui est celle de mon imprimante réseau reliée à mon modem routeur .... c'est surement normal ... mais j'en arrive à douter de tout ( tu m'excuseras dailleurs mais j'en étais arrivé à douter de toi ... tu aurais pu être un "pirate" à qui je fournissais toutes les infos sur mon PC ... et ccomme tu avais disparu de la circulation, j'ai demandé à un modérateur du site .... mais pas de réponse ... j'ai pas du faire ce qu'il fallait !
pour résumer :
- -réseau bati autour d'un modem routeur netgear relié à :
- 1 pc fixe en filaire (avec le rookit supposé)
- 1 pc portable en wifi (avec les 2 virus détectés par ESET en ligne
- 1 imprimante filaire (ethernet)
et j'avais également un disque dur externe filaire (ethernet) qui est tombé en rade !!!
que faire ?

-
0
Réponse 18 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
12 juin 2010 à 06:30
si tu veux te proteger contre le piratage "pas de moi lol"
je te conseil , comme je te le dit plus haut
de faire
1 la mise a jour SP3 et explorer 8
2 de supprimer spyware doctor qui ne t'amenera rien de bon et te ralentis
3 de faire les rapports suivant

Télécharge combofix.exe
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
clique combofix.exe.
touche 1 (Yes) pour démarrer le scan.
une fois fini un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.
Le rapport se trouve également ici : C:\Combofix.txt



Déconnecte toi d'internet ferme les fenêtres de tous les programmes en cours.et provisoirement
arrete les anti virus et autres protection pendand l'analyse
Pendant la durée de l'analyse ne te sert pas de ton pc


une fois l'analyse terminé ,remet toute tes protections antivirus et antispywares
--------------------------------------------------------------------------------------------------
Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe
http://siri.urz.free.fr/Fix/SmitfraudFix.php
- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php
0
Réponse 19 / 52
bo26
12 juin 2010 à 11:27
en attendant de faire les manips ci dessus ... qqs réponses :
- XP n'est pas légal :
- IE : je n'utilise jamais ....suis tjrs avec FF (qui est mon navig par défaut)
- spyware doctor : je l'enleve

et une question :
Comme je ne suis pas un pro de l'informatique .... comment savoir les applic qui se lancent automatiquement au démarrage ? ..... et comment les enlever si elles ne sont pas nécessaires ?

a+
0
Réponse 20 / 52
bo26
12 juin 2010 à 13:11
re
voila les rapports demnadés :

ComboFix 10-06-11.01 - bob 12/06/2010 12:36:46.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.990.661 [GMT 2:00]
Lancé depuis: c:\documents and settings\bob\Mes documents\Téléchargements\ComboFix.exe
AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
.

((((((((((((((((((((((((((((( Fichiers créés du 2010-05-12 au 2010-06-12 ))))))))))))))))))))))))))))))))))))
.

2010-06-07 13:50 . 2010-06-07 13:57 -------- d-----w- C:\avira_anti rootkit
2010-06-07 12:34 . 2010-06-12 09:35 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2010-06-07 07:12 . 2010-06-07 07:15 -------- d-----w- c:\program files\ZHPDiag
2010-06-04 12:11 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\AvgArCln.sys
2010-05-25 09:18 . 2010-05-25 09:18 -------- d-----w- c:\program files\MSECache
2010-05-25 01:47 . 2010-05-25 01:47 503808 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-563156db-n\msvcp71.dll
2010-05-25 01:47 . 2010-05-25 01:47 499712 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-563156db-n\jmc.dll
2010-05-25 01:47 . 2010-05-25 01:47 348160 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-563156db-n\msvcr71.dll
2010-05-25 01:47 . 2010-05-25 01:47 61440 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-3321bb1b-n\decora-sse.dll
2010-05-25 01:47 . 2010-05-25 01:47 12800 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-3321bb1b-n\decora-d3d.dll
2010-05-18 20:08 . 2010-05-18 20:08 -------- d-----w- c:\documents and settings\bob\Local Settings\Application Data\WMTools Downloaded Files

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-12 08:46 . 2010-03-26 09:20 -------- d-----w- c:\program files\Mozilla Thunderbird
2010-06-08 06:58 . 2010-05-06 08:21 -------- d-----w- c:\program files\trend micro
2010-06-07 17:41 . 2010-04-22 20:18 -------- d-----w- c:\documents and settings\bob\Application Data\Image Zone Express
2010-06-07 14:36 . 2010-03-27 00:29 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-05-28 01:11 . 2010-03-26 09:42 42472 ----a-w- c:\documents and settings\bob\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-05-27 18:56 . 2010-03-27 22:19 1 ----a-w- c:\documents and settings\bob\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2010-05-06 08:15 . 2010-03-27 00:19 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-04-29 13:39 . 2010-03-27 00:19 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 13:39 . 2010-03-27 00:19 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-04-28 21:17 . 2010-04-28 21:17 -------- d-----w- c:\program files\Fichiers communs\Java
2010-04-28 21:14 . 2010-04-28 21:14 503808 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-17b3aa46-n\msvcp71.dll
2010-04-28 21:14 . 2010-04-28 21:14 499712 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-17b3aa46-n\jmc.dll
2010-04-28 21:14 . 2010-04-28 21:14 348160 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-17b3aa46-n\msvcr71.dll
2010-04-28 21:14 . 2010-04-28 21:14 61440 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7aaf8f69-n\decora-sse.dll
2010-04-28 21:14 . 2010-04-28 21:14 12800 ----a-w- c:\documents and settings\bob\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-7aaf8f69-n\decora-d3d.dll
2010-04-28 21:14 . 2010-04-28 21:14 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-04-28 21:14 . 2010-04-28 21:14 -------- d-----w- c:\program files\Java
2010-04-22 21:09 . 2010-04-22 20:39 -------- d-----w- c:\documents and settings\bob\Application Data\ZoomBrowser EX
2010-04-22 20:39 . 2010-04-22 20:23 -------- d-----w- c:\documents and settings\All Users\Application Data\ZoomBrowser
2010-04-22 20:23 . 2010-04-22 20:22 -------- d-----w- c:\program files\Canon
2010-04-22 20:22 . 2010-04-22 20:22 -------- d-----w- c:\program files\Fichiers communs\Canon
2010-04-06 20:23 . 2010-04-05 19:53 128044 ----a-w- c:\windows\hpoins11.dat
2010-04-05 20:47 . 2010-04-05 20:47 126 ----a-w- c:\documents and settings\bob\Local Settings\Application Data\fusioncache.dat
2010-04-05 20:36 . 2001-08-28 12:00 68900 ----a-w- c:\windows\system32\perfc00C.dat
2010-04-05 20:36 . 2001-08-28 12:00 501128 ----a-w- c:\windows\system32\perfh00C.dat
2010-03-27 01:17 . 2010-03-27 01:17 5810 ----a-w- c:\windows\system32\drivers\ASACPI.sys
2010-03-27 01:17 . 2010-03-27 01:17 23456 ----a-w- c:\windows\system32\drivers\DrvAgent32.sys
2010-03-26 12:38 . 2010-03-26 12:27 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2010-03-26 12:15 . 2010-03-26 01:51 86331 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-03-26 09:27 . 2010-03-26 09:27 0 ----a-w- c:\windows\nsreg.dat
2010-03-26 01:48 . 2010-03-26 01:48 21892 ----a-w- c:\windows\system32\emptyregdb.dat
2010-03-16 06:51 . 2010-03-26 11:48 61440 ----a-w- c:\windows\system32\OpenCL.dll
2010-03-16 06:51 . 2010-03-26 11:48 2030184 ----a-w- c:\windows\system32\nvcuvid.dll
2010-03-16 06:51 . 2010-03-26 11:48 14757888 ----a-w- c:\windows\system32\nvoglnt.dll
2010-03-16 06:51 . 2010-03-26 11:48 4075520 ----a-w- c:\windows\system32\nvcuda.dll
2010-03-16 06:51 . 2010-03-26 11:48 2646632 ----a-w- c:\windows\system32\nvcuvenc.dll
2010-03-16 06:51 . 2010-03-26 11:48 215656 ----a-w- c:\windows\system32\nvcodins.dll
2010-03-16 06:51 . 2010-03-26 11:48 215656 ----a-w- c:\windows\system32\nvcod.dll
2010-03-16 06:51 . 2010-03-26 11:48 11640832 ----a-w- c:\windows\system32\nvcompiler.dll
2010-03-16 06:51 . 2010-03-26 11:48 1097728 ----a-w- c:\windows\system32\nvapi.dll
2010-03-16 06:51 . 2010-03-26 11:48 2183470 ----a-w- c:\windows\system32\nvdata.bin
2010-03-16 06:51 . 2010-03-26 09:33 10232352 ----a-w- c:\windows\system32\drivers\nv4_mini.sys
2010-03-16 06:51 . 2010-03-26 09:33 6432128 ----a-w- c:\windows\system32\nv4_disp.dll
.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{9b339f6e-ddcd-401b-8764-230adbd01761}"= "c:\program files\Messenger_Plus_Live\tbMess.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{9b339f6e-ddcd-401b-8764-230adbd01761}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{9b339f6e-ddcd-401b-8764-230adbd01761}]
2009-12-31 10:53 2349080 ----a-w- c:\program files\Messenger_Plus_Live\tbMess.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{9b339f6e-ddcd-401b-8764-230adbd01761}"= "c:\program files\Messenger_Plus_Live\tbMess.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{9b339f6e-ddcd-401b-8764-230adbd01761}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
"{9B339F6E-DDCD-401B-8764-230ADBD01761}"= "c:\program files\Messenger_Plus_Live\tbMess.dll" [2009-12-31 2349080]

[HKEY_CLASSES_ROOT\clsid\{9b339f6e-ddcd-401b-8764-230adbd01761}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2010-03-16 13670504]
"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-21 35760]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
D'marrage rapide de HP Photosmart Premier.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2006-2-10 73728]
HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2006-2-19 288472]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Lancement rapide d'Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk
backup=c:\windows\pss\Lancement rapide d'Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^Microsoft Office.lnk]
path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk
backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^bob^Menu Démarrer^Programmes^Démarrage^OpenOffice.org 3.2.lnk]
path=c:\documents and settings\bob\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk
backup=c:\windows\pss\OpenOffice.org 3.2.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^bob^Menu Démarrer^Programmes^Démarrage^Pinnacle Systems - Studio Family.lnk]
path=c:\documents and settings\bob\Menu Démarrer\Programmes\Démarrage\Pinnacle Systems - Studio Family.lnk
backup=c:\windows\pss\Pinnacle Systems - Studio Family.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
2009-03-02 12:08 209153 ----a-w- c:\program files\Avira\AntiVir Desktop\avgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
2004-08-03 22:54 15360 ----a-w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]
2004-10-27 14:21 61952 ------w- c:\windows\system32\HdAShCut.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
2010-03-16 02:37 13670504 ----a-w- c:\windows\system32\nvcpl.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
2010-03-16 02:37 110696 ----a-w- c:\windows\system32\nvmctray.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]
2010-03-26 23:21 26112 ----a-w- c:\program files\Real\RealPlayer\realplay.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAX]
2006-07-13 06:12 729088 ------w- c:\program files\Analog Devices\SoundMAX\SMax4.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMAXPnP]
2006-12-18 20:34 868352 ----a-w- c:\program files\Analog Devices\Core\smax4pnp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-01-26 14:31 2144088 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

R1 Ext2Fsd;Linux ext2 file system driver;c:\windows\system32\drivers\ext2fsd.sys [30/03/2010 10:35 651264]
R2 AntiVirSchedulerService;Avira AntiVir Planificateur;c:\program files\Avira\AntiVir Desktop\sched.exe [26/03/2010 14:27 108289]
R3 CTL511Plus;Video Blaster WebCam 3/WebCam Plus (WDM);c:\windows\system32\drivers\webc3vid.sys [26/03/2010 18:12 166504]
R3 SDVPlus;Pinnacle Studio DVplus WDM Renderer;c:\windows\system32\drivers\SDVPlus.sys [27/03/2010 01:20 63862]
S3 DrvAgent32;DrvAgent32;c:\windows\system32\drivers\DrvAgent32.sys [27/03/2010 03:17 23456]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [26/01/2010 18:45 243056]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2124320
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000
TCP: {F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F} = 80.10.246.1,80.10.246.132
FF - ProfilePath - c:\documents and settings\bob\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2124320&SearchSource=3&q={searchTerms}
FF - prefs.js: browser.startup.homepage - hxxp://www.olweb.fr/
FF - component: c:\documents and settings\bob\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\FFExternalAlert.dll
FF - component: c:\documents and settings\bob\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\extensions\{9b339f6e-ddcd-401b-8764-230adbd01761}\components\RadioWMPCore.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\program files\ma-config.com\nphardwaredetection.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\npdeployJava1.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

MSConfigStartUp-nwiz - nwiz.exe
AddRemove-WebCam Plus - c:\windows\ctdrvins.exe -uninstall usb\vid_05a9&pid_a511 -plugin webc3pin.dll



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2010-06-12 12:39
Windows 5.1.2600 Service Pack 2 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès
Fichiers cachés: 0

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(1948)
c:\windows\system32\msi.dll
.
Heure de fin: 2010-06-12 12:40:00
ComboFix-quarantined-files.txt 2010-06-12 10:39

Avant-CF: 26 393 059 328 octets libres
Après-CF: 26 897 666 048 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - D6A2C3C4E3E5825DF8B75FA16D16FEF5

SmitFraudFix v2.424

Rapport fait à 12:51:08,20, 12/06/2010
Executé à partir de C:\Documents and Settings\bob\Mes documents\Téléchargements\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\HP\Digital Imaging\bin\hpqimzone.exe
C:\Program Files\HP\Digital Imaging\bin\hpqnrs08.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\HPZinw12.exe
C:\Documents and Settings\bob\Mes documents\Téléchargements\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bob


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\bob\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bob\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\bob\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.1
DNS Server Search Order: 80.10.246.132

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0

Discussions similaires

Rootkit détecté par AVG mais ne fait rien?
Hakayami -
hellodu95 -

11 réponses
hacker defender 100 rootkit
andros -
andros -

22 réponses
Avast détecte un rootkit
Marie12345 -
Marie12345 -

2 réponses
win32 Rootkit
Mary -
plopus -

8 réponses
hacktool.rootkit
fabnok -
fabnok -

67 réponses