Sujet Précédent Sujet Suivant

Rootkit

Fermé
bob26 - 7 juin 2010 à 01:26
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 - 6 juil. 2010 à 06:31
Bonjour,
j'ai "chopé" un rootkit
comment le détecter ? rapport hijackthis ? et le supprimer
merci de vos lumieres


A voir également:

52 réponses

Précédent
Réponse 21 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
13 juin 2010 à 06:35
tu a bien fait de me dire que ton windows etait illégal
je ne voudrais pas le bloquer

on va nettoyé un peu ce pc, et si des problemes reviennent , tu me fait signe
si tu a des soucies sur un autre pc ? fait un rapport hijackthis de ce pc
http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe


en premier
ToolsCleaner,
https://www.commentcamarche.net/telecharger/securite/22061-toolscleaner/

> ou http://pc-system.fr/
qui va désinstaller les outils que l'on a utilisés
qui peuvent être dangereux pour ton PC
-----------------------------
ensuite
-----------------------------
NETTOYAGE démarrage
dans le menu DEMARRER
tu clic sur EXECUTER
et tu tape "msconfig"
tu va dans l'onglé démarrage
et tu décoche tout "sauf l'antivirus si jamais il s'y trouve"
tu ne risque rien "ca n'efface rien"
tu redémarre le pc
une fenêtre va s'afficher tu la décoche et ok

-------------------------------
enfin
-------------------------------
Ccleaner https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/
*Décocher dans le menu Options - sous-menu Avancé :
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures .
tu fait le nettoyage
Fichiers temporaires de Windows
Cookies, cache, historique d'Internet Explorer, Opera et Firefox
Documents récents de Windows
et ensuite onglet registre recherche et réparation de la base de registre.
------------------------------
0
Réponse 22 / 52
bob26
14 juin 2010 à 01:13
bsr
voila toutes les manips on été faites
le PC est toujours aussi lent (il me semble même plus lent ??)
Au départ je suis tombé un peu par hasard sur la détection de Rootkit dans avira .... et depuis je ne détecte plus rien . Dans les différents rapports que je t'ai posté as tu trouvé des anomalies ?
Ce qui m'inquiète c'est que la littérature sur les rootkits parle de rootkit indétectable, d'antivirus (ou autres anti) désactivés ....etc
Une question : je me dit que si effectivement il y a un rootkit ... le pirate qui l'a installé n'a qu'une solution pour repérer le PC (puisque son adresse IP change à chaque démarrage) c'est d'avoir implanté un exe qui à chaque démarrage se connecte sur le PC du pirate pour lui communiquer les nouvelles infos. Est ce que je me trompe ? et si c'est la cas comment repérer cette connexion sortante au démmarrage ?
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
14 juin 2010 à 07:01
le probleme c'est que je ne vois rien
tu peu essayer de faire un MBAM en sans echec
0
Réponse 23 / 52
bob26
14 juin 2010 à 16:14
re
j'ai fait MBAM en mode sans échec ... RAS

j'ai trouvé dans Avira le fichier qui contient tous les rapports depuis son install
je te joins un extrait depuis le 01 juin
peux tu regarder les journées des 4 et 12 juin

http://www.cijoint.fr/cjlink.php?file=cj201006/cijkQa2az9.doc

et merci pour ton aimable et important concours
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 15/06/2010 à 09:16
visiblement la detection etait dans C:\System Volume Information\_restore
c'est pour cela qu'il revenait
tu peut Désactiver la Restauration du système
1
Dans la barre des tâches de Windows, cliquez sur Démarrer.
2
Cliquez avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés.
3
Dans l'onglet Restauration du système, sélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.
Si vous ne voyez pas l'onglet Restauration du système, vous n'êtes pas connecté sous Windows comme Administrateur.
4
Cliquez sur Appliquer.
5
Lorsque le message de confirmation apparaît, cliquez sur Oui.

6
Cliquez sur OK.
-----------------------------------PUIS
réActiver la Restauration du système
1
Dans la barre des tâches de Windows, cliquez sur Démarrer.
2
Cliquez avec le bouton droit de la souris sur Poste de travail puis cliquez sur Propriétés.
3
Dans l'onglet Restauration du système, désélectionnez Désactiver la Restauration du système ou Désactiver la Restauration du système sur tous les lecteurs.
Si vous ne voyez pas l'onglet Restauration du système, vous n'êtes pas connecté sous Windows comme Administrateur.
4
Cliquez sur Appliquer.
5
Lorsque le message de confirmation apparaît, cliquez sur Oui.

6
Cliquez sur OK.
----------------------------------------------
quand à avira , je vois "Contrôler les archives : Désactivé" il faut l'activer
0
Réponse 24 / 52
bob26
15 juin 2010 à 23:50
Bsr
j'ai fait ta manip mais :
- 1ére question : pkoi la restauration s'est lancée toute seule le 4/06 ? et s'agit il vraiment d'une détecton de rootkit ?
- 2eme question : est ce que mon scenario sur l'exe qui se lancerait pour gerder le contact avec le pirate est farfelue et sinon est ce que tcpview peux m'aider (sur quel forum puis je poser la question ?)
- 3ème question: pourquoi le PC rame t'il depuis ce jour + diverses anomalies : la souris qui freeze de temps en temps qqs secondes, les mails qui partaient en 2/3 secondes et qui maintenant mettent 30 secondes (en fait c'est la connexion à smtp orange qui prend tout ce temps ! ... etc ... et pourquoi tous les anti vir; anti malwares , anti machin chose donnent des résultats négatifs
J'ai lu que les pirates pouvaient rendre leurs méfaits pratiquement indétectables !!! faudra t'il que je reformate ? mais la MBR et le BIOS peuvent aussi être contaminés !!! (donc formatage de bas niveau et flashage du bios ?)
- 4eme question : connais tu "rootkit revealer" de sysinternals (donc à priori serieux) car j'ai un rapport mais je ne sait pas comment l'interpreter :


HKU\S-1-5-21-2052111302-682003330-839522115-1003\Console 12/06/2010 12:40 0 bytes Security mismatch.
HKU\S-1-5-21-2052111302-682003330-839522115-1003\Software\Conduit\Community Alerts\Settings\UpdateAllFeedsLastTime 14/06/2010 23:45 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 26/03/2010 04:05 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 26/03/2010 04:05 0 bytes Key name contains embedded nulls (*)
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\0DC08FD7d01 14/06/2010 23:54 30.70 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\18A84D1Ad01 14/06/2010 23:54 19.61 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\307EA035d01 14/06/2010 23:56 65.83 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\52E495E3d01 14/06/2010 23:52 20.53 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\5579E2FAd01 14/06/2010 23:54 44.60 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\6A1B8936d01 14/06/2010 23:56 19.04 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\7E5E80D5d01 14/06/2010 23:54 91.83 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\865C53EDd01 14/06/2010 23:52 29.90 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\9ADF0AECd01 14/06/2010 23:52 19.90 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\B12EC296d01 14/06/2010 23:53 56.67 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\B5C7D371d01 14/06/2010 23:56 37.59 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\BF2C94F3d01 14/06/2010 23:52 16.17 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\CEB3AFBDd01 14/06/2010 23:54 32.21 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\D633BF5Ed01 14/06/2010 23:56 138.14 KB Hidden from Windows API.
C:\Documents and Settings\bob\Local Settings\Application Data\Mozilla\Firefox\Profiles\amkk4zdj.default\Cache\FBE8C023d01 14/06/2010 23:56 37.36 KB Hidden from Windows API.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
Modifié par sherred le 16/06/2010 à 07:09
avec une routine on peu relancer effectivement la restauration, ou un plantage systeme, et si le virus est dedans, il se réinstalle

rootkit revealer ? mouai je connais pas ces perf
il a ca aussi https://77b4795d-a-62cb3a1a-s-sites.googlegroups.com/site/eric71mespages/Rooter.exe?attachauth=ANoY7cpzQksLcJt-e1z30LGu7t4JjUhh8amzWs_oSPSJpXbXp8ythGbW2WF8ysioh5NNlarrn7zMnYCRfsT5rCwNrfw5_CZYELApylTiY_MGu0G6uKzWpLEF2YXM3tF7nKZZAWj0JSAajXlZhd8dIyI3MrZ-lAIT5ZrAdcrct9_7bshwVpaZRPizuMTv9SDvmvY31BX4Vvvh2F2Brp1cy_K0jtTTfjttEA%3D%3D&attredirects=2
ou encore https://sherred-aide-info-xp.forumperso.com/t100-securit

mais tu peu faire aussi un scan en ligne
https://www.kaspersky.fr/downloads
https://security.symantec.com/
https://home.mcafee.com/StaticGenericPage.aspx?page=cookienotsupported&url=%2fDownloads%2fFreeScan.aspx%3faffid%3d56http%253a%252f%252fwww.bitdefender.com%252fscan8%26culture%3den-US%26ctst%3d1
https://www.bitdefender.com/toolbox/
http://onecare.live.com/site/en-us/default.htm
http://ca.com/securityadvisor/virusinfo/scan.aspx
https://www.avg.com/en/signal/malware-and-virus-removal-tool
https://www.pandasecurity.com/en/homeusers/online-antivirus/?ref=activescan

Quand les bornes sont franchies, il n'y a plus de limite
Ce que j'ai écrit, je l'ai écrit
0
Réponse 26 / 52
bob26
17 juin 2010 à 00:12
mouais !!!!!!*
la présence d'un rootkit (et derrière dun pirate ... c'est peut etre de la parano.... par contre les lenteurs .. c'est du réel
mais comment les detecter
0
Réponse 27 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
17 juin 2010 à 07:00
apres avoir appuyé sur les touches alt/ctrl/suppr tu vois apparaitre le gestionnaire des taches de windows
puis clic sur l'onglet processus
et enfin je selectionne processeur
si aucun programmes ne tournent
les processus inactif du systeme doivent etre proche de 95 voire 98
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
17 juin 2010 à 12:36
tu peu aussi essayer ca https://www.01net.com/telecharger/windows/Securite/antivirus-antitrojan/fiches/26810.html
0
Réponse 28 / 52
bob26
18 juin 2010 à 22:36
j'ai désactivé et réactivé la restauration systeme
a voir si ça améliore
sinon dans le gestionnaire de programme ... effectivement 98-99% de processus inactifs et par contre il y a 2 processus HPBPRO.exe et HPBOID.exe (chacun en double d'ailleurs) ... connais les tu ?
0
alhuno1 Messages postés 1874 Date d'inscription lundi 9 novembre 2009 Statut Contributeur Dernière intervention 13 novembre 2018 226
19 juin 2010 à 01:04
Ce sont des processus reliés à HP.
Moi aussi je les ai mais pas en double.
0
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
19 juin 2010 à 07:13
donc ton process ne ram pas
regarde en meme temps combien de memoire libre tu dispose
c'est ton pc qui ram ou ta connection internet ?

Télécharge SmitfraudFix : http://siri.urz.free.fr/Fix/SmitfraudFix.exe


- Enregistre-le sur le bureau

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée

- Un rapport sera généré, poste-le dans ta prochaine réponse stp.

Tutoriel ici pour t'aider : http://www.malekal.com//tutorial_SmitFraudfix.php
0
Réponse 29 / 52
bob26
21 juin 2010 à 00:48
bsr
pour ce qui est des valeurs de mémoire :
mémoire physique total : 1014256 Ko
dispo : 573436 Ko
cache system : 676192 Ko
0
Réponse 30 / 52
bob26
21 juin 2010 à 00:55
rapport demandé :

SmitFraudFix v2.424

Rapport fait à 0:50:55,14, 21/06/2010
Executé à partir de C:\Documents and Settings\bob\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBOID.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\HPBPRO.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bob


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\bob\LOCALS~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\bob\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Menu Démarrer


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\bob\Favoris


»»»»»»»»»»»»»»»»»»»»»»»» Bureau


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files


»»»»»»»»»»»»»»»»»»»»»»»» Clés corrompues


»»»»»»»»»»»»»»»»»»»»»»»» Eléments du bureau

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Ma page d'accueil"


»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: NVIDIA nForce Networking Controller - Miniport d'ordonnancement de paquets
DNS Server Search Order: 80.10.246.1
DNS Server Search Order: 80.10.246.132

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132


»»»»»»»»»»»»»»»»»»»»»»»» Recherche infection wininet.dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 31 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
22 juin 2010 à 07:04
tu a suffisament de memoir libre , c'est donc ta connection qui rame
le seul truc c'est HPBOID.EXE qui est repeté plusieur fois
il me semble qu c'est un pilote imprimante , ne l'aurai tu installé plusieur fois ?

redémarre le pc sans échec
Pour démarrer en mode sans échec

>>1--démarre ou redémarre l'ordinateur. L'affichage affichent la progression du BIOS,
>>2--A la fin du chargement du BIOS, tapote sur la touche F8 de ton clavier. jusqu'à ce que le menu des options avancées de Windows apparaisse. Si tu appuie sur la touche F8 trop tôt, il est possible que certains ordinateurs affichent le message "erreur clavier". Dans ce cas redémarre l'ordinateur et essaye de nouveau.
>>4--En utilisant les flèches de ton clavier, sélectionne « Mode sans échec » dans le menu puis appuie sur Entrée.
Aide ici:

https://www.commentcamarche.net/informatique/windows/113-demarrer-windows-10-en-mode-sans-echec/#demarrer-en-mode-sans-echec-avec-windows-xp

une fois dans le bureau
redémarre Smitfraud " et fait l'option nettoyage "2"
Réponds O aux deux questions suivantes: si il les pose
Voulez-vous nettoyer le registre ?
Corriger le fichier infecté ?
Un rapport.txt sera généré et tu le sauve sous ton bureau pour le retrouver plus tard
et tu redémarre le pc
enfin tu le postes le rapport
0
Réponse 32 / 52
bob26
22 juin 2010 à 12:58
re
non ça rame tout le temps
par exemple sur FF si je déroule la liste des marque pages il y a des freezes de la souris .... de qqs secondes parfois
pour le fichier HPBOID.exe .... que puis je y faire ? (avec tcpview le PC n'étant pas connecté à mon réseau je constate une demande permanente de liaison avec l'adresse IP réseau de mon imprimante HP ... est ce lié ? et est ce normal ? )
sinon voila le rapport fait dans les conditions demandées :

SmitFraudFix v2.424

Rapport fait à 12:25:07,70, 22/06/2010
Executé à partir de C:\Documents and Settings\bob\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
192.168.0.5 HP001CC4B83ECB

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132
HKLM\SYSTEM\CS1\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132
HKLM\SYSTEM\CS2\Services\Tcpip\..\{F54C456E-5EB9-43D0-8C7A-4CEBB8B48B3F}: NameServer=80.10.246.1,80.10.246.132


»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK.2



»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» Fin
0
Réponse 33 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
22 juin 2010 à 13:25
Télécharge UsbFix (de Chiquitine29) sur ton bureau
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe

--> Lance l'installation avec les paramêtres par défaut

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d avoir été infectés sans les ouvrir

--> Double clic sur le raccourci UsbFix sur ton bureau

Cliquez sur le bouton 3 fois sur Suivant pour passer à l'étape suivante
puis Cliquez sur le bouton Démarrer et enfin Quitter

Une nouvelle icône sur le bureau te permet de démarrer le programme. Double-clique dessus.
Là tu fait L'option 1 Recherche

connecte clés usb,,disque dur externe,,

appuyez sur une touche

et ne touche plus a rien pendant le scan

Une fois l'analyse terminée, un rapport de scan est proposé... appuye sur une touche pour ouvrir ce rapport.
copier/coller ce rapport dans ta prochaine réponse
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
http://pagesperso-orange.fr/NosTools/usb-1-fr.html
0
Réponse 34 / 52
bob26
22 juin 2010 à 23:36
quand j'ouvre le fichier usbfix que j'ai téléchargé .. j'ai une fenêtre avec 7 boutons ... mais pas d'installation
y a t'il qq chose que je ne fais pas correctement ?
0
Réponse 35 / 52
bob26
28 juin 2010 à 23:50
help Sherred !!!
0
Réponse 36 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
29 juin 2010 à 06:53
non c'est moi qui suis pas a jour
tu telecharge usbfix et tu fait le scan en cliquant sur le bouton recherche
0
Réponse 37 / 52
bob26
29 juin 2010 à 23:56
voila le rapport demandé

############################## | UsbFix 7.013 | [Recherche]

Utilisateur: bob (Administrateur) # BOB-97118BA7D2D [ ]
Mis à jour le 21/06/10 par El Desaparecido / C_XX
Lancé à 23:52:07 | 29/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 Processor 3000+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 990 Mo
C:\ (%systemdrive%) -> Disque fixe # 39 Go (27 Go libre(s) - 69%) [] # NTFS
D:\ -> Disque fixe # 110 Go (75 Go libre(s) - 68%) [] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |

Présent! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
0
Réponse 38 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
30 juin 2010 à 07:29
relance usbfix
et cette fois fait l'option suppression

--> Le pc va redémarer

-->Après redémarrage poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque
Note : Si le Bureau ne réapparait pas presse Ctrl + Alt + Suppr , Onglet "Fichier" , "Nouvelle tâche" , tape explorer.exe et valide!
0
Réponse 39 / 52
bob26
30 juin 2010 à 19:35
rapport demandé :

############################## | UsbFix 7.013 | [Suppression]

Utilisateur: bob (Administrateur) # BOB-97118BA7D2D [ ]
Mis à jour le 21/06/10 par El Desaparecido / C_XX
Lancé à 19:31:30 | 30/06/2010
Site Web: http://pagesperso-orange.fr/NosTools/index.html
Contact: FindyKill.Contact@gmail.com

CPU: AMD Athlon(tm) 64 Processor 3000+
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 2
Internet Explorer 6.0.2900.2180

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 9.0.1.32 [Enabled | Updated]
RAM -> 990 Mo
C:\ (%systemdrive%) -> Disque fixe # 39 Go (27 Go libre(s) - 69%) [] # NTFS
D:\ -> Disque fixe # 110 Go (75 Go libre(s) - 68%) [] # NTFS
E:\ -> CD-ROM

################## | Éléments infectieux |


################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[26/03/2010 - 03:52:05 | A | 0] C:\AUTOEXEC.BAT
[07/06/2010 - 15:57:54 | D ] C:\avira_anti rootkit
[05/04/2010 - 21:36:44 | A | 212] C:\Boot.bak
[14/06/2010 - 00:35:29 | RASH | 282] C:\boot.ini
[28/08/2001 - 14:00:00 | RASH | 4952] C:\Bootfont.bin
[12/06/2010 - 12:30:24 | RASHD ] C:\cmdcons
[03/08/2004 - 23:00:08 | A | 263488] C:\cmldr
[21/06/2010 - 08:11:25 | D ] C:\Config.Msi
[26/03/2010 - 03:52:05 | A | 0] C:\CONFIG.SYS
[06/04/2010 - 14:38:14 | D ] C:\DD
[26/03/2010 - 04:02:07 | D ] C:\Documents and Settings
[28/03/2010 - 00:57:09 | D ] C:\drivers
[27/03/2010 - 19:04:41 | A | 398848] C:\drivers_etats.doc
[07/04/2010 - 15:26:00 | A | 871347] C:\erreur_lors_sauvegarde.jpg
[28/07/2006 - 08:32:44 | A | 7005] C:\Eula.txt
[22/06/2010 - 22:59:28 | D ] C:\fond_ecran
[26/03/2010 - 03:52:05 | RASH | 0] C:\IO.SYS
[19/05/2010 - 14:41:05 | D ] C:\logiciels_ordi
[06/05/2010 - 10:15:52 | A | 127] C:\mbam-error.txt
[26/03/2010 - 03:52:05 | RASH | 0] C:\MSDOS.SYS
[03/08/2004 - 22:38:34 | RASH | 47564] C:\NTDETECT.COM
[03/08/2004 - 22:59:44 | RASH | 251712] C:\ntldr
[26/03/2010 - 16:21:58 | D ] C:\NVIDIA
[30/06/2010 - 09:08:46 | ASH | 1560281088] C:\pagefile.sys
[26/03/2010 - 11:52:58 | D ] C:\pnp
[14/06/2010 - 00:44:33 | RD ] C:\Program Files
[22/06/2010 - 12:31:10 | A | 2167] C:\rapport.txt
[29/06/2010 - 23:59:24 | D ] C:\rapports_antivir
[30/06/2010 - 19:32:15 | SHD ] C:\RECYCLER
[16/06/2010 - 23:57:20 | D ] C:\Rooter$
[18/06/2010 - 18:49:33 | SHD ] C:\System Volume Information
[14/06/2010 - 00:32:53 | A | 2851] C:\TCleaner.txt
[16/03/2009 - 12:16:58 | A | 150888] C:\Tcpvcon.exe
[30/10/2006 - 09:32:50 | A | 40016] C:\tcpview.chm
[16/03/2009 - 12:16:58 | A | 198504] C:\Tcpview.exe
[18/05/2010 - 22:05:18 | D ] C:\TEMP
[30/06/2010 - 19:32:15 | D ] C:\UsbFix
[30/06/2010 - 19:32:15 | A | 787] C:\UsbFix.txt
[22/06/2010 - 12:26:49 | D ] C:\WINDOWS
[23/06/2010 - 17:03:08 | A | 18750] D:\20100616-AROMAN-162298@.txt
[23/06/2010 - 17:11:15 | A | 52736] D:\20100616-AROMAN-162298@.xls
[21/06/2010 - 00:06:52 | A | 1264997795] D:\2010_06_20_sauv_thunderbird.pcv
[14/06/2010 - 11:10:10 | A | 858807] D:\4m3h FP2006.pdf
[18/05/2010 - 16:49:39 | A | 97280] D:\ann1Note-pratiqueIS-IFA2006.doc
[27/04/2010 - 16:05:10 | A | 20480] D:\Annonces bon coin.doc
[01/06/2010 - 15:57:18 | D ] D:\BUDGET
[28/05/2010 - 09:21:09 | D ] D:\cap_agde_scrap
[30/06/2010 - 14:55:16 | D ] D:\colette
[30/06/2010 - 09:10:53 | D ] D:\colette_bis
[07/04/2010 - 11:37:01 | D ] D:\colette_XP
[29/03/2010 - 16:50:03 | D ] D:\fichier_françois
[12/06/2010 - 11:39:50 | A | 6052963] D:\hp cue status.psd
[15/06/2010 - 19:51:08 | A | 25600] D:\impr_scan_bon_coin.doc
[15/06/2010 - 21:28:27 | D ] D:\mes_images
[27/05/2010 - 10:03:37 | D ] D:\modeles_scrap
[18/06/2010 - 00:16:59 | D ] D:\numerisations_temporaires
[25/05/2010 - 21:45:32 | D ] D:\photos_H_redimensionnées
[19/05/2010 - 14:42:53 | D ] D:\PHOTOS_ROME
[25/05/2010 - 21:48:24 | D ] D:\photos_V_redimensionnées
[20/06/2010 - 20:49:25 | D ] D:\PJ_thunderbird
[21/06/2010 - 19:55:02 | D ] D:\pour_mail
[18/06/2010 - 23:35:13 | A | 23040] D:\programme_peruvien.doc
[03/04/2010 - 14:19:10 | A | 357] D:\Raccourci vers BUDGET.lnk
[01/04/2010 - 00:40:14 | A | 429] D:\Raccourci vers mes_images.lnk
[30/06/2010 - 19:32:15 | SHD ] D:\RECYCLER
[17/06/2010 - 12:42:02 | A | 1215954] D:\Sans titre.bmp
[19/05/2010 - 14:41:46 | D ] D:\sauvegarde_thunderbird
[28/04/2010 - 21:26:18 | D ] D:\sauv_AdM
[25/05/2010 - 19:53:33 | D ] D:\sport
[18/06/2010 - 18:49:02 | SHD ] D:\System Volume Information
[09/06/2010 - 08:14:11 | A | 1139101413] D:\Thunderbird 3.0.3 (fr) - 2010-06-09.pcv
[09/06/2010 - 07:45:56 | A | 1401797896] D:\Thunderbird 3.0.3 (fr) - 2010-06-09_mat.pcv

################## | Vaccin |

C:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)
D:\Autorun.inf -> Dossier créé par UsbFix (El Desaparecido & C_XX)

################## | E.O.F |
0
Réponse 40 / 52
sherred Messages postés 8346 Date d'inscription samedi 26 janvier 2008 Statut Membre Dernière intervention 25 mars 2024 350
30 juin 2010 à 20:32
comment ce comporte ton pc ?
0

Discussions similaires

Rootkit détecté par AVG mais ne fait rien?
Hakayami -
hellodu95 -

11 réponses
help rootkit
celine746 -
celine746 -

21 réponses
Avast détecte un rootkit
Marie12345 -
Marie12345 -

2 réponses
win32 Rootkit
Mary -
plopus -

8 réponses