infecté de rookits

Question

Bonjour a tous

voila j ai un un programme anti rookit et il m'a detecté plein de rookits voila mais 

j'arrive pas les supprimer merci de votre aide....

alhuno1 · Answer

Fait-il un rapport?
Si oui pourrait-on l'avoir?

jfkpresident · Answer

Hello,

Télécharges ComboFix à partir d'un de ces liens :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe
https://forospyware.com
http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboFix :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur Combofix.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

kaloudu66 · Answer

ha oui j'ai pas precisé excusez moi combofix est rempli de virus dans ma 

restauration est mes fichier recycler dll cache veulent pas revenir meme en 

allant dans les outils c est bourré de fichier ***.bat

kaloudu66 · Answer

mais je vais le faire quand meme on ne sais jamais...

kaloudu66 · Answer

vous voulez que je vous colle le rapport?

jfkpresident · Answer

vous voulez que je vous colle le rapport?

Ce serait mieux ..

kaloudu66 · Answer

ComboFix 10-08-19.02 - benjamin 20/08/2010  20:45:53.1.2 - x86
Microsoft Windows XP Édition familiale  5.1.2600.3.1252.33.1036.18.3327.2835 [GMT 2:00]
Lancé depuis: c:\documents and settings\benjamin\Bureau\ComboFix.exe
.

(((((((((((((((((((((((((((((   Fichiers créés du 2010-07-20 au 2010-08-20  ))))))))))))))))))))))))))))))))))))
.

2010-08-20 18:02 . 2010-08-20 18:03	--------	d--h--w-	c:\windows\$hf_mig$
2010-08-20 17:56 . 2010-08-20 17:56	--------	d-----w-	c:\program files\Sophos
2010-08-20 17:51 . 2010-08-20 17:51	--------	d--h--w-	c:\windows\PIF
2010-08-20 16:13 . 2010-08-20 16:13	--------	d-----w-	c:\documents and settings\benjamin\Application Data\Malwarebytes
2010-08-20 16:13 . 2009-04-06 13:32	15504	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-08-20 16:13 . 2009-04-06 13:32	38496	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-20 16:13 . 2010-08-20 16:15	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2010-08-20 16:13 . 2010-08-20 16:13	--------	d-----w-	c:\documents and settings\All Users\Application Data\Malwarebytes
2010-08-20 15:30 . 2010-08-20 15:30	161296	----a-w-	c:\windows\system32\drivers	mcomm.sys
2010-08-20 14:44 . 2010-08-20 14:47	--------	d-----w-	c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2010-08-20 14:44 . 2010-08-20 14:46	--------	d-----w-	c:\program files\Spybot - Search & Destroy
2010-08-20 14:09 . 2010-08-20 14:09	--------	d-----r-	c:\documents and settings\LocalService\Favoris
2010-08-20 14:02 . 2010-08-20 14:02	--------	d-----w-	c:\windows\system32\wbem\Performance
2010-08-20 14:01 . 2010-08-20 18:42	--------	d---a-w-	c:\documents and settings\All Users\Application Data\TEMP
2010-08-19 11:24 . 2010-08-20 16:25	664	----a-w-	c:\windows\system32\d3d9caps.dat
2010-08-19 07:52 . 2005-02-25 03:35	22752	----a-w-	c:\windows\system32\spupdsvc.exe
2010-08-18 14:41 . 2010-08-18 14:41	--------	d-----w-	c:\documents and settings\benjamin\Local Settings\Application Data\Identities
2010-08-18 13:26 . 2010-08-18 13:26	--------	d-----w-	c:\windows\system32\wbem\AutoRecover
2010-08-18 13:15 . 2010-08-18 13:16	2826192	----a-w-	c:\documents and settings\All Users\Application Data\NOS\Adobe_Downloads\install_flash_player_ax.exe
2010-08-18 13:15 . 2010-08-18 13:26	--------	d-----w-	c:\documents and settings\All Users\Application Data\NOS
2010-08-18 13:11 . 2009-07-10 09:03	1381632	----a-r-	c:\windows\system32\drivers\viahduaa.sys
2010-08-18 13:11 . 2010-08-18 13:11	--------	d-----w-	c:\program files\VIA
2010-08-18 13:11 . 2007-04-11 13:35	331184	------w-	c:\windows\system32\difxapi.dll
2010-08-18 13:00 . 2010-08-18 13:00	--------	d-----w-	c:\program files\ma-config.com
2010-08-18 13:00 . 2010-08-18 13:00	--------	d-----w-	c:\documents and settings\All Users\Application Data\ma-config.com
2010-08-18 11:24 . 2010-08-20 18:14	--------	d-----w-	c:\windows\system32\wbem\Logs
2010-08-18 11:23 . 2010-08-18 11:23	--------	d-----w-	c:\windows\system32\wbem\mof
2010-08-18 10:18 . 2010-08-18 10:40	--------	d-----w-	c:\documents and settings\All Users\Application Data\Iomatic
2010-08-18 08:57 . 2010-08-18 08:57	110080	----a-r-	c:\documents and settings\benjamin\Application Data\Microsoft\Installer\{95431C66-CF9A-4913-BFFF-6050785AFB65}\IconF7A21AF7.exe
2010-08-18 08:57 . 2010-08-18 08:57	110080	----a-r-	c:\documents and settings\benjamin\Application Data\Microsoft\Installer\{95431C66-CF9A-4913-BFFF-6050785AFB65}\IconD7F16134.exe
2010-08-18 08:57 . 2010-08-18 08:57	--------	d-----w-	c:\program files\Enigma Software Group
2010-08-18 08:49 . 2010-08-18 08:49	--------	d-s---w-	c:\documents and settings\benjamin\UserData
2010-08-18 08:47 . 2010-08-20 14:09	--------	d-----w-	c:\program files\List_Kill'em
2010-08-18 08:45 . 2010-08-20 17:52	13104	----a-w-	c:\documents and settings\benjamin\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2010-08-18 08:43 . 2008-04-13 09:45	26368	-c--a-w-	c:\windows\system32\dllcache\usbstor.sys
2010-08-18 08:42 . 2010-08-18 08:42	21035	----a-w-	c:\windows\system32\drivers\AegisP.sys
2010-08-18 08:41 . 2007-02-08 16:46	209152	----a-w-	c:\windows\system32\driverstl8187B.sys
2010-08-18 08:41 . 2010-08-20 15:41	--------	d-----w-	c:\windows\system32\RTL8187
2010-08-18 08:41 . 2010-08-18 08:41	--------	d--h--w-	c:\program files\InstallShield Installation Information
2010-08-18 08:41 . 2006-11-15 14:23	38144	----a-r-	c:\windows\system32\drivers\EAPPkt.sys
2010-08-18 08:41 . 2010-08-20 15:42	--------	d-----w-	c:\program files\REALTEK USB Wireless LAN Driver and Utility
2010-08-17 22:54 . 2010-08-17 22:54	--------	d-s---w-	c:\windows\system32\Microsoft
2010-08-17 22:54 . 2010-08-17 22:54	--------	d-----w-	c:\documents and settings\LocalService\Local Settings\Application Data\Microsoft
2010-08-17 22:54 . 2010-08-20 14:09	--------	d-sh--w-	c:\documents and settings\LocalService

.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-08-20 18:22 . 2010-08-20 18:13	--------	d-----w-	c:\program files\Spyware Doctor
2010-08-20 18:13 . 2010-08-20 18:13	--------	d-----w-	c:\documents and settings\benjamin\Application Data\PC Tools
2010-08-20 14:02 . 2008-04-14 12:00	48856	----a-w-	c:\windows\system32\perfc00C.dat
2010-08-20 14:02 . 2008-04-14 12:00	368076	----a-w-	c:\windows\system32\perfh00C.dat
2010-08-19 08:07 . 2010-08-17 19:17	76507	----a-w-	c:\windows\pchealth\helpctr\OfflineCache\index.dat
2010-08-17 19:18 . 2010-08-17 19:18	--------	d-----w-	c:\program files\microsoft frontpage
2010-08-17 19:15 . 2010-08-17 19:15	21892	----a-w-	c:\windows\system32\emptyregdb.dat
.

(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HDAudDeck"="c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe" [2009-07-15 33636352]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
REALTEK USB Wireless LAN Utility.lnk - c:\program files\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe [2010-8-18 786432]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdauxservice]
@=""

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sdcoreservice]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpyHunter Security Suite]
2010-07-14 13:19	3973464	----a-w-	c:\program files\Enigma Software Group\SpyHunter\SpyHunter4.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"%windir%\system32\sessmgr.exe"=

R2 EAPPkt;Realtek EAPPkt Protocol;c:\windows\system32\drivers\EAPPkt.sys [18/08/2010 10:41 38144]
R2 SpyHunter 4 Service;SpyHunter 4 Service;c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE [14/07/2010 15:19 326488]
R3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\1.tmp --> c:\windows\system32\1.tmp [?]
R3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys [18/08/2010 15:11 1381632]
S1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [20/08/2010 20:22 18816]
S3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [27/01/2010 18:10 5248]
S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfservice.exe [13/08/2010 14:43 259440]
S3 RTL8187B;Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\driverstl8187B.sys [18/08/2010 10:41 209152]
S3 sdAuxService;PC Tools Auxiliary Service;c:\program files\Spyware Doctor\pctsAuxs.exe [20/08/2010 20:13 747912]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - MEMSWEEP2
*NewlyCreated* - SDAUXSERVICE
*NewlyCreated* - SDCORESERVICE
*Deregistered* - mchInjDrv
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
.

**************************************************************************
Recherche de processus cachés ... 

Recherche d'éléments en démarrage automatique cachés ... 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  HDAudDeck = c:\program files\VIA\VIAudioi\HDADeck\HDeck.exe 1???????????????????????????????????????????????? 

Recherche de fichiers cachés ... 

Scan terminé avec succès
Fichiers cachés: 

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
"ImagePath"="\??\c:\windows\system32\1.tmp"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'explorer.exe'(2400)
c:\windows\system32\eappprxy.dll
.
Heure de fin: 2010-08-20  20:47:13
ComboFix-quarantined-files.txt  2010-08-20 18:47

Avant-CF: 495 651 663 872 octets libres
Après-CF: 495 664 975 872 octets libres

- - End Of File - - 04484684C9CDF054C3015E31ABA8316E

jfkpresident · Answer

> Ferme tout tes navigateurs (donc copie ou imprime les instructions avant)
- Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie/colle dedans les lignes suivantes :

           
Drivers::
SpyHunter 4 

Folder::

File::
c:\windows\system32\1.tmp
c:\progra~1\ENIGMA~1\SPYHUN~1\SH4SER~1.EXE 

Registry::
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]  
"ImagePath"=-

- Enregistre ce fichier sous le nom CFScript
- Fait un glisser/déposer de ce fichier CFScrïpt sur le fichier ComboFix.exe comme sur cette image. (Clique sur le fichier CFScript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFScript vienne recouvrir l'icône de Combofix. Relache la souris.) Combofix va démarrer.
- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
- Ne touche à rien tant que le scan n'est pas terminé sinon le PC peut planter !
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Note : Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

kaloudu66 · Answer

dans le demarrage dans l onglet outil c est normal que j ai ca aussi?

C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 1 /f


C:\Windows\System32\cmd.exe /k %windir%\System32\reg.exe ADD HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v EnableLUA /t REG_DWORD /d 0 /f


C:\Windows\System32\cmd.exe /k %windir%\system32\ipconfig.exe

Infecté de rookits

9 réponses

Votre réponse

Discussions similaires

Newsletters