Rootkit? et Live Messenger Résolu/Fermé

Question

Bonjour, 
depuis quelques temps -peut-être depuis la ré-installation de Live Messenger-  ma machine est devenue super lente, pages internet mettant des lustres à s'ouvrir, programmes ne répondant plus, fênetres bloquées.
Il y a dix mois env. j'ai eu un rootkit sur ma machine que j'ai éradiqué avec gmer.(?)

Depuis ma machine fonctionnait normalement. Je pense que le rootkit était lié à Live messenger et qu'il a re-apparu lorsque j'ai ré-installé Live Messenger.
Je viens de faire un scan avec gmer et voici le résultat:
GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-06 09:20:18
Windows 5.1.2600 Service Pack 3
Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\kwloyfob.sys


---- System - GMER 1.0.15 ----

SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwClose [0xB65CD6B8]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwCreateKey [0xB65CD574]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwDeleteValueKey [0xB65CDA52]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwDuplicateObject [0xB65CD14C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwOpenKey [0xB65CD64E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwOpenProcess [0xB65CD08C]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwOpenThread [0xB65CD0F0]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwQueryValueKey [0xB65CD76E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwRestoreKey [0xB65CD72E]
SSDT            \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)      ZwSetValueKey [0xB65CD8AE]

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!ZwCallbackReturn + 2DB8                                                       80504654 2 Bytes  [8C, D0] {MOV EAX, SS}
.text           ntkrnlpa.exe!ZwCallbackReturn + 2DD0                                                       8050466C 2 Bytes  [F0, D0]
.text           C:\WINDOWS\system32\DRIVERS
v4_mini.sys                                                   section is writeable [0xB8D8A360, 0x32E00D, 0xE8000020]
init            C:\WINDOWS\system32\drivers\monfilt.sys                                                    entry point in "init" section [0xB6969280]

---- User code sections - GMER 1.0.15 ----

.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!LoadResource        7C80A055 7 Bytes  JMP 2806C580 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!FindResourceExW     7C80AD28 7 Bytes  JMP 2806C3E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!FindResourceW       7C80BC6E 7 Bytes  JMP 2806C360 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!SizeofResource      7C80BD09 7 Bytes  JMP 2806C630 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!FindResourceA       7C80BF29 7 Bytes  JMP 2806C460 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!LockResource        7C80CD37 5 Bytes  JMP 2806C6A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!CreateEventA        7C8308B5 5 Bytes  JMP 2806BFC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] kernel32.dll!FindResourceExA     7C835FA8 7 Bytes  JMP 2806C4F0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] ADVAPI32.dll!CryptDeriveKey      77DB9FFD 7 Bytes  JMP 2806BAD0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] ADVAPI32.dll!CryptDecrypt        77DBA129 7 Bytes  JMP 2806BB30 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!GetWindowLongW        7E3988A6 7 Bytes  JMP 28070560 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!PeekMessageW          7E39929B 5 Bytes  JMP 2806E560 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!SetWindowPlacement    7E39DE46 5 Bytes  JMP 2806FB00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!CreateDialogParamW    7E39EA3B 5 Bytes  JMP 2806FC50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!LoadImageW            7E3A7B97 5 Bytes  JMP 280702B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!CreateWindowExW       7E3AD0A3 5 Bytes  JMP 2806DB40 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!SetWindowRgn          7E3AE528 7 Bytes  JMP 2806FBA0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!LoadIconW             7E3AE8BC 5 Bytes  JMP 28070430 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!MessageBoxIndirectW   7E3E64D5 5 Bytes  JMP 2806FE50 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] USER32.dll!TrackPopupMenuEx      7E3ECF62 5 Bytes  JMP 2806EBE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WS2_32.dll!closesocket           719F3E2B 5 Bytes  JMP 280748C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WS2_32.dll!send                  719F4C27 5 Bytes  JMP 28074580 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WS2_32.dll!WSARecv               719F4CB5 5 Bytes  JMP 280743D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WS2_32.dll!recv                  719F676F 5 Bytes  JMP 280742A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WS2_32.dll!WSASend               719F68FA 5 Bytes  JMP 280746F0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] SHELL32.dll!Shell_NotifyIconW    7CA3A5BF 5 Bytes  JMP 2806D230 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] ole32.dll!CoInitializeEx         774BEF7B 5 Bytes  JMP 2806C900 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] ole32.dll!CoCreateInstance       774C057E 5 Bytes  JMP 2806CC80 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] ole32.dll!CoRegisterClassObject  774D7E90 5 Bytes  JMP 2806CA00 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WININET.dll!InternetReadFile     404B654B 5 Bytes  JMP 280734B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WININET.dll!InternetCloseHandle  404B9088 5 Bytes  JMP 280735F0 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WININET.dll!HttpOpenRequestA     404BD508 5 Bytes  JMP 28073350 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1616] WININET.dll!HttpSendRequestA     404CEE89 5 Bytes  JMP 28073550 C:\Program Files\Messenger Plus! Live\MsgPlusLive.dll (Messenger Plus! Live Add-On/Yuna Software)
.text           C:\WINDOWS\system32\SearchIndexer.exe[3784] kernel32.dll!WriteFile                         7C810E27 7 Bytes  JMP 00585C0C C:\WINDOWS\system32\MSSRCH.DLL (mssrch.dll/Microsoft Corporation)

---- Devices - GMER 1.0.15 ----

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                                     aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Ip                                                                   aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Tcp                                                                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\Udp                                                                  aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice  \Driver\Tcpip \Device\RawIp                                                                aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

Quelqu'un peut -il m'aider à analyser le message et me dire ce que je dois faire?

MERCI d'avance !
Configuration: Windows XP / Internet Explorer 7.0

Malekal_morte- · Answer

Salut,

mouais :)

c'pas forcément un prb malicieux.

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :    
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT    
* Clique sur le bouton Quick Scan.    
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.

Malekal_morte- · Answer

Mouais.
Rapport OK, pas infecté à priori qui pourrait provoquait tes blocages.
J'imagine que Malwarebyte trouve pas grand chose non plus :)

Search Settings v1.2.3 est un adware, désinstalle le.

Ad-Aware est inefficace, désinstalle le, il bouffe des ressources pour rien.

Yahoo! Toolbar à voir si tu en as réellement besoin, pareil ça bouffe des ressources.

Verifie la température de la CPU : https://www.alcpu.com/CoreTemp/
Si ça persiste et c'est vraiment fréquent, voir du côté  matériel.

Malekal_morte- · Answer

C'est seulement ton navigateur WEB qui plante ?
C'est lequel ?

Malekal_morte- · Answer

c'est bon t'excuses pas :) 

Pour être sûr, tu lances IE8 et là ça se bloque mais quand tu dis bloque, c'est juste Internet Explorer qui répond plus, tu peux plus rien dessus 
ou c'est tout le PC ? 

Si c'est juste Internet Explorer qui plante, ce serait bien  de tester avec un autre navigateur (Opéra ou Firefox). 

Ponds moi un nouveau rapport OTL aussi stp voir si tout a bien été désinstallé car SearchSettings ça peux foutre la grouille. 

Au passage, t'as Avast!4, la dernière c'est la 5 qui est bien mieux. 
Mets le à jour : https://www.malekal.com/tutoriel-antivirus-avast/ 
(test le lancement d'Internet Explorer, quand tu as désinstallé Avast!). 

En plus, il a l'air de faire des trucs chelous : 
  
[ Antivirus Events ] 
Error - 05/11/2009 21:54:44 | Computer Name = PC-FRANCISKA | Source = avast! | ID = 33554522 
Description = AAVM - scanning error: x_AavmCheckFileDirectEx: avfilesScanReal of 
 http://clients1.google.fr/complete/search?hl=fr&q=lunderground&cp=1 failed, 0000A413. 


Bon je me relance un épisode d'Esprit Criminal, à tout à l'heure :)


Rise Against rules :D

Malekal_morte- · Answer

oula, elle se met à parler anglais. 
C'est bon signe quand tu te mets à parler anglais ? :\ 

C'est marrant sur OTL, il liste des programmes comme Ad-Aware, Search Settings etc alors qu'ils ont l'air d'avoir bien été désinstallé! 

Sinon t'as pas trop répondu pour les navigateurs par rapport aux questions que je pose. 
C'est que IE qui plante ou tout le PC quand tu lances IE ?
Ca donne quoi avec un autre navigateur WEB ? 
Ca a donné quoi quand tu as désinstallé Avast! ? 

Rise Against rules :D

Rootkit? et Live Messenger

5 réponses

Discussions similaires