Infecté de rookits

kaloudu66 Messages postés 6 Statut Membre -  
kaloudu66 Messages postés 6 Statut Membre -
Bonjour a tous

voila j ai un un programme anti rookit et il m'a detecté plein de rookits voila mais

j'arrive pas les supprimer merci de votre aide....

9 réponses

  1. alhuno1 Messages postés 2079 Statut Contributeur 226
     
    Fait-il un rapport?
    Si oui pourrait-on l'avoir?
    0
  2. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    Hello,

    Télécharges ComboFix à partir d'un de ces liens :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    https://forospyware.com
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Et important, enregistre le sur le bureau.

    Avant d'utiliser ComboFix :

    ? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    ? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    la protection en temps réel de ton Antivirus et de tes Antispywares,
    qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
    est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    ? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
    avant de te reconnecter à internet.

    ? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  3. kaloudu66 Messages postés 6 Statut Membre
     
    ha oui j'ai pas precisé excusez moi combofix est rempli de virus dans ma

    restauration est mes fichier recycler dll cache veulent pas revenir meme en

    allant dans les outils c est bourré de fichier ***.bat
    0
  4. kaloudu66 Messages postés 6 Statut Membre
     
    mais je vais le faire quand meme on ne sais jamais...
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. kaloudu66 Messages postés 6 Statut Membre
     
    vous voulez que je vous colle le rapport?
    0
  7. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    vous voulez que je vous colle le rapport?


    Ce serait mieux ..
    0
  8. kaloudu66 Messages postés 6 Statut Membre
     
    ComboFix 10-08-19.02 - benjamin 20/08/2010 20:45:53.1.2 - x86
    Microsoft Windows XP Édition familiale 5.1.2600.3.1252.33.1036.18.3327.2835 [GMT 2:00]
    Lancé depuis: c:\documents and settings\benjamin\Bureau\ComboFix.exe
    .

    ((((((((((((((((((((((((((((( Fichiers créés du 2010-07-20 au 2010-08-20 ))))))))))))))))))))))))))))))))))))
    .

    2010-08-20 18:02 . 2010-08-20 18:03 -------- d--h--w- c:\windows\$hf_mig$
    2010-08-20 17:56 . 2010-08-20 17:56 -------- d-----w- c:\program files\Sophos
    2010-08-20 17:51 . 2010-08-20 17:51 -------- d--h--w- c:\windows\PIF
    2010-08-20 16:13 . 2010-08-20 16:13 -------- d-----w- c:\documents and settings\benjamin\Application Data\Malwarebytes
    2010-08-20 16:13 . 2009-04-06 13:32 15504 ----a-w- c:\windows\system32\drivers\mbam.sys
    2010-08-20 16:13 . 2009-04-06 13:32 38496 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
    2010-08-20 16:13 . 2010-08-20 16:15 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
    2010-08-20 16:13 . 2010-08-20 16:13 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
    2010-08-20 15:30 . 2010-08-20 15:30 161296 ----a-w- c:\windows\system32\drivers\tmcomm.sys
    2010-08-20 14:44 . 2010-08-20 14:47 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
    2010-08-20 14:44 . 2010-08-20 14:46 -------- d-----w- c:\program files\Spybot - Search & Destroy
    2010-08-20 14:09 . 2010-08-20 14:09 -------- d-----r- c:\documents and settings\LocalService\Favoris
    2010-08-20 14:02 . 2010-08-20 14:02 -------- d-----w- c:\windows\system32\wbem\Performance
    2010-08-20 14:01 . 2010-08-20 18:42 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
    2010-08-19 11:24 . 2010-08-20 16:25 664 ----a-w- c:\windows\system32\d3d9caps.dat
    2010-08-19 07:52 . 2005-02-25 03:35 22752 ----a-w- c:\windows\system32\spupdsvc.exe
    2010-08-18 14:41 . 2010-08-18 14:41 -------- d-----w- c:\documents and settings\benjamin\Local Settings\Application Data\Identities
    2010-08-18 13:26 . 2010-08-18 13:26 -------- d-----w- c:\windows\system32\wbem\AutoRecover
    2010-08-18 13:15 . 2010-08-18 13:16 2826192 ----a-w- c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe
    2010-08-18 13:15 . 2010-08-18 13:26 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
    2010-08-18 13:11 . 2009-07-10 09:03 1381632 ----a-r- c:\windows\system32\drivers\viahduaa.sys
    2010-08-18 13:11 . 2010-08-18 13:11 -------- d-----w- c:\program files\VIA
    2010-08-18 13:11 . 2007-04-11 13:35 331184 ------w- c:\windows\system32\difxapi.dll
    2010-08-18 13:00 . 2010-08-18 13:00 -------- d-----w- c:\program files\ma-config.com
    2010-08-18 13:00 . 2010-08-18 13:00 -------- d-----w- c:\documents and settings\All Users\Application Data\ma-config.com
    2010-08-18 11:24 . 2010-08-20 18:14 -------- d-----w- c:\windows\system32\wbem\Logs
    2010-08-18 11:23 . 2010-08-18 11:23 -------- d-----w- c:\windows\system32\wbem\mof
    2010-08-18 10:18 . 2010-08-18 10:40 -------- d-----w- c:\documents and settings\All Users\Application Data\Iomatic
    2010-08-18 08:57 . 2010-08-18 08:57 110080 ----a-r- c:\documents and settings\benjamin\Application Data\Microsoft\Installer\{95431C66-CF9A-4913-BFFF-6050785AFB65}\IconF7A21AF7.exe
    2010-08-18 08:57 . 2010-08-18 08:57 110080 ----a-r- c:\documents and settings\benjamin\Application Data\Microsoft\Installer\{95431C66-CF9A-4913-BFFF-6050785AFB65}\IconD7F16134.exe
    2010-08-18 08:57 . 2010-08-18 08:57 -------- d-----w- c:\program files\Enigma Software Group
    2010-08-18 08:49 . 2010-08-18 08:49 -------- d-s---w- c:\documents and settings\benjamin\UserData
    2010-08-18 08:47 . 2010-08-20 14:09 -------- d-----w- c:\program files\List_Kill'em
    2010-08-18 08:45 . 2010-08-20 17:52 13104 ----a-w- c:\documents and settings\benjamin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
    2010-08-18 08:43 . 2008-04-13 09:45 26368 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
    2010-08-18 08:42 . 2010-08-18 08:42 21035 ----a-w- c:\windows\system32\drivers\AegisP.sys
    2010-08-18 08:41 . 2007-02-08 16:46 209152 ----a-w- c:\windows\system32\drivers\rtl8187B.sys
    2010-08-18 08:41 . 2010-08-20 15:41 -------- d-----w- c:\windows\system32\RTL8187
    2010-08-18 08:41 . 2010-08-18 08:41 -------- d--h--w- c:\program files\InstallShield Installation Information
    2010-08-18 08:41 . 2006-11-15 14:23 38144 ----a-r- c:\windows\system32\drivers\EAPPkt.sys
    2010-08-18 08:41 . 2010-08-20 15:42 -------- d-----w- c:\program files\REALTEK USB Wireless LAN Driver and Utility
    2010-08-17 22:54 . 2010-08-17 22:54 -------- d-s---w- c:\windows\system32\Microsoft
    2010-08-17 22:54 . 2010-08-17 22:54 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\Microsoft
    2010-08-17 22:54 . 2010-08-20 14:09 -------- d-sh--w- c:\documents and settings\LocalService

    .
    (((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    2010-08-20 18:22 . 2010-08-20 18:13 -------- d-----w- c:\program files\Spyware Doctor
    2010-08-20 18:13 . 2010-08-20 18:13 -------- d-----w- c:\documents and settings\benjamin\Application Data\PC Tools
    2010-08-20 14:02 . 2008-04-14 12:00 48856 ----a-w- c:\windows\system32\perfc00C.dat
    2010-08-20 14:02 . 2008-04-14 12:00 368076 ----a-w- c:\windows\system32\perfh00C.dat
    2010-08-19 08:07 . 2010-08-17 19:17 76507 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
    2010-08-17 19:18 . 2010-08-17 19:18 -------- d-----w- c:\program files\microsoft frontpage
    2010-08-17 19:15 . 2010-08-17 19:15 21892 ----a-w- c:\windows\system32\emptyregdb.dat
    .

    ((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
    .
    .
    *Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
    REGEDIT4

    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-07-15 33636352]

    [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
    "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

    c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
    REALTEK USB Wireless LAN Utility.lnk - c:\program files\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe [2010-8-18 786432]

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
    @=""

    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
    @=""

    [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
    2010-07-14 13:19 3973464 ----a-w- c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe

    [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
    "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
    "%windir%\\system32\\sessmgr.exe"=

    R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [18/08/2010 10:41 38144]
    R2 SpyHunter 4 Service;SpyHunter 4 Service;c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [14/07/2010 15:19 326488]
    R3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1.tmp --> c:\windows\system32\1.tmp [?]
    R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [18/08/2010 15:11 1381632]
    S1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [20/08/2010 20:22 18816]
    S3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [27/01/2010 18:10 5248]
    S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [13/08/2010 14:43 259440]
    S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\drivers\rtl8187B.sys [18/08/2010 10:41 209152]
    S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [20/08/2010 20:13 747912]

    --- Autres Services/Pilotes en mémoire ---

    *NewlyCreated* - MEMSWEEP2
    *NewlyCreated* - SDAUXSERVICE
    *NewlyCreated* - SDCORESERVICE
    *Deregistered* - mchInjDrv
    .
    .
    ------- Examen supplémentaire -------
    .
    uStart Page = hxxp://www.google.fr/
    .

    **************************************************************************
    Recherche de processus cachés ...

    Recherche d'éléments en démarrage automatique cachés ...

    HKLM\Software\Microsoft\Windows\CurrentVersion\Run
    HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????

    Recherche de fichiers cachés ...

    Scan terminé avec succès
    Fichiers cachés:

    **************************************************************************

    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
    "ImagePath"="\??\c:\windows\system32\1.tmp"
    .
    --------------------- CLES DE REGISTRE BLOQUEES ---------------------

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
    @Denied: (A 2) (Everyone)
    @="FlashBroker"
    "LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
    "Enabled"=dword:00000001

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
    @="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

    [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
    @Denied: (A 2) (Everyone)
    @="IFlashBroker4"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
    @="{00020424-0000-0000-C000-000000000046}"

    [HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
    @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
    "Version"="1.0"
    .
    --------------------- DLLs chargées dans les processus actifs ---------------------

    - - - - - - - > 'explorer.exe'(2400)
    c:\windows\system32\eappprxy.dll
    .
    Heure de fin: 2010-08-20 20:47:13
    ComboFix-quarantined-files.txt 2010-08-20 18:47

    Avant-CF: 495 651 663 872 octets libres
    Après-CF: 495 664 975 872 octets libres

    - - End Of File - - 04484684C9CDF054C3015E31ABA8316E
    0
  9. jfkpresident Messages postés 13877 Statut Contributeur sécurité 1 175
     
    > Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
    - Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :


    Drivers::
    SpyHunter 4

    Folder::

    File::
    c:\windows\system32\1.tmp
    c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE

    Registry::
    [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
    "ImagePath"=-


    - Enregistre ce fichier sous le nom CFScript
    - Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
    - Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
    - Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
    - Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
    - Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  10. kaloudu66 Messages postés 6 Statut Membre
     
    dans le demarrage dans l onglet outil c est normal que j ai ca aussi?

    C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f

    C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f

    C:\Windows\System32\cmd.exe /k %windir%\system32\ipconfig.exe
    0