Sujet Précédent Sujet Suivant

Trojan impossible à éradiquer

Résolu/Fermé
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011 - 6 oct. 2010 à 16:47
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011 - 8 oct. 2010 à 21:45
Bonjour à tous,

Après avoir passé plusieurs semaines à écumer différents forums et essayé de multiples logiciels anti-virus et autres nettoyeurs, je me décide à m'inscrire afin de vous soumettre mon problème.

-----------------------------------------------------------------------------------------------------------------

Voici les symptômes contre lesquels je me bats en vain depuis plusieurs semaines :

- Au démarrage de pon PC portable, j'ai presque systématiquement un message m'indiquant que "Generic Host Process for Win32 Services" a rencontré un problème et doit fermer.

- De temps à autres, je suis obligé de redémarrer le service "Audio Windows" sans quoi je n'ai plus de son dans Winamp et WMP.

- Explorer se ferme (parfois sans rien dire !!) et il ne me reste que mon fond d'écran (je l'aime bien mais je préfèrerais garder l'accès aux raccourcis ainsi qu'au menu "démarrer"). Dans ce cas, même l'ouverture d'explorer en passant par le gestionnaire des tâches ne donne rien.

- Dans IE et Firefox, j'ai des fenêtres et des onglets qui s'ouvrent tout seuls.

- L'affichage de mon bureau change régulièrement d'apparence (passe de XP à windows 95 ou 98 ?).

-----------------------------------------------------------------------------------------------------------------

MBAM et Spybot ne trouvent rien d'anormal, pas plus que la version "scan en ligne" de Kaspersky qui, au bout de 2h, ne fait plus rien et bloque à 99% de fichiers scannés. Au bout de 3h d'attente, j'ai stoppé le scan -> impossible d'obtenir un rapport mais les 99% scannés ne montraient aucun fichier dangereux ou potentiellement infecté.

J'ai tenté plusieurs scan en ligne (ESET, bitdefender) et ce dernier m'a indiqué un éventuel troyan sur le fichier : C:\WINDOWS\system32\dlo90.dll.

Cette dll s'incruste dans explorer, iexplore et svchost. J'ai essayé de la supprimer par différents moyens (fix dans HiJackThis, suppression avec unlocker et killbox) -> rien n'y fait !! Même en arrêtant les services qui l'utilisent avec ProcessExplorer, impossible de la supprimer (y compris en "mode sans échec").

Caractéristiques de cette dll de 722ko : version 5.1.2600.5167 - Description : tiovmixf DLL - copyright : oxnviunbrm Corporation - nom d'origine du fichier : tiovmixf.dll

Si une âme charitable pouvait se pencher sur mon cas et m'aider, ce serait génial parce que là, après pratiquement 3 semaines de recherches et d'essais, je sèche...

Un grand merci d'avance.

PS : aucun site ne me permettant d'uploader mes rapports (ZHPDIAG et MBAM), je ne sais comment vous les transmettre (j'ai essayé cijoint.fr, 1fichier.com, http://dl.free.fr et j'obtiens le message suivant : "La connexion a été réinitialisée. La connexion avec le serveur a été réinitialisée pendant le chargement de la page.") Je n'ai pourtant ni pare-feu (pas bien, ni proxy).









La connexion avec le serveur a été réinitialisée pendant le chargement de la page.






A voir également:

64 réponses

Réponse 1 / 64
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
6 oct. 2010 à 16:50
Salut,

Commence par analyser le fichier suspect comme ceci :

On va analyser un fichier :

● Va sur le site VirusTotal

● Clique sur le bouton "parcourir"

● Recherche le fichier présent ici ==> C:\WINDOWS\system32\dlo90.dll

● Clique sur le bouton "Send file"

● Patiente pendant le transfert du fichier

● Si un message apparaît, clique sur Reanalyse

● Copie/colle l'adresse présente dans la barre d'adresse dans ta réponse

Aide en images
0
Réponse 2 / 64
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 oct. 2010 à 16:51
slt

analyse ce fichier sur virus total et colle nous le rapport https://www.virustotal.com/gui/


C:\WINDOWS\system32\dlo90.dll

_______________


Télécharge OTL de OLDTimer ici :

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

et enregistre le sur ton Bureau.

Double clic sur OTL.exe pour le lancer.

Coche les 2 cases Lop et Purity

Coche la case devant "scan all users"

Clic sur Run Scan.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)


Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

Clique sur Parcourir et cherche le fichier ci-dessus.

Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
Réponse 3 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
Modifié par Plop999 le 6/10/2010 à 17:47
Bonjour à tous les 2 et merci pour votre aide :

Je procède par étape donc voici déjà le lien de l'analyse faite avec VirusTotal :

http://www.virustotal.com/...

Par contre jlpjlp, je ne peux pas uploader sur cijoint.fr : j'ai toujours le message dont j'ai parlé en fin de mon premier post :-(
0
Réponse 4 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
6 oct. 2010 à 17:53
Je viens de retenter un upload sur cijoint.fr : toujours pas moyen... Si je poste les rapports directement ici, ça va faire une sacrée longueur...
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 64
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
6 oct. 2010 à 17:55
Ca sera trop long ici, essaie sur ce site : http://ww38.toofiles.com/fr/documents-homepage.html
0
Réponse 6 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
Modifié par Plop999 le 6/10/2010 à 18:19
http://ww38.toofiles.com/fr/oip/documents/txt/rapportmbam-log-2010-10-0611-09-49.html

http://ww38.toofiles.com/fr/oip/documents/txt/7930_otl.html

http://ww38.toofiles.com/fr/oip/documents/txt/extras.html

Par contre, impossible d'uploader le rapport ZHPDiag même en le renommant !! A chaque fois je me retrouve avec le message "la connexion a été réinitialisée"...

Pour info, voilà ce que m'avait annoncé bitdefender :

"1 fichier infecté a été détecté !
---------------------------------

C:\WINDOWS\system32\dlo90.dll --> Gen:Trojan.Heur.TC8ayyIyf6ac
--> HKCR\CLSID\{47D63E6A-6E46-4EE0-BB8A-980143EEB951}\InprocServer32\(default)
--> HKLM\System\ControlSet001\services\mnhvhfsv\Parameters\"ServiceDll"
--> Processus explorer.exe (1936)
--> Processus svchost.exe (1216)"
0
Réponse 7 / 64
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
6 oct. 2010 à 18:26
OK, apparemment, il y a du rootkit, fais ceci :

● Télécharge ComboFix (de sUBs) sur ton Bureau de cette manière :
Fais un clic droit sur ce lien

● Choisis "enregistrer la cible sous ... " et dans la fenêtre qui s'ouvre choisis ton bureau pour l'emplacement et tape CBFix.exe pour le nom.

Ferme tous tes logiciels de protection et les programmes en cours

▲ ComboFix peut être amené à accéder à internet, il faut dans ce cas l'autoriser

● Sous XP : Double clique sur CBFix.exe
● Sous Vista/7 : Fais un clic droit sur CBFix.exe et sélectionne "Exécuter en tant qu'administrateur"

● Clique sur le bouton Oui dans la fenêtre d'avertissement

● Si tu es sous XP et que la console de récupération n'est pas installée, ComboFix va te proposer de l'installer, accepte en cliquant sur Oui.

● Laisse travailler l'outil et si il te demande de redémarrer le PC, accepte.

● Un rapport va s'ouvrir à la fin du processus, copie/colle le dans ta réponse
Le rapport est sauvegardé dans C:\ComboFix.txt

Tutorial officiel de ComboFix
0
Réponse 8 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
6 oct. 2010 à 19:30
Le rapport vient seulement d'arriver; le voici :

ComboFix 10-10-05.06 - atec 06/10/2010 18:59:06.1.1 - x86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.33.1036.18.503.168 [GMT 2:00]
Lancé depuis: c:\documents and settings\atec\Bureau\CBFix.exe
* Un antivirus résident est actif

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users.\documents\settings
c:\windows\system32\dlo90.dll
c:\windows\system32\drivers\bhorzupd.sys
c:\windows\system32\driVERs\nilix.sys
c:\windows\system32\drivers\sntkmakj.sys
c:\windows\system32\dumphive.exe
c:\windows\system32\ltoku.dll
c:\windows\system32\SrchSTS.exe
c:\windows\system32\tmp.reg
c:\windows\system32\VCCLSID.exe

c:\windows\system32\drivers\nilix.sys . . . est infecté!! . . . Impossible de trouver un substitut valide.
.
((((((((((((((((((((((((((((((((((((((( Pilotes/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MNHVHFSV
-------\Legacy_SNTKMAKJ
-------\Legacy_SSHNAS
-------\Service_mnhvhfsv
-------\Service_sntkmakj
-------\Legacy_nilix
-------\Service_nilix


((((((((((((((((((((((((((((( Fichiers créés du 2010-09-06 au 2010-10-06 ))))))))))))))))))))))))))))))))))))
.

2010-10-06 17:14 . 2010-10-06 17:14 53248 ----a-w- c:\temp\catchme.dll
2010-10-06 17:13 . 2010-10-06 17:13 16384 ----atw- c:\temp\Perflib_Perfdata_724.dat
2010-10-06 16:59 . 2010-10-06 16:59 -------- d-----w- C:\quarantine
2010-10-06 15:58 . 2010-10-06 16:26 -------- d-----w- c:\temp\plugtmp-1
2010-10-06 13:23 . 2010-10-06 13:27 -------- d-----w- c:\temp\plugtmp
2010-10-06 09:56 . 2010-10-06 13:33 -------- d-----w- c:\temp\KAV Updater update files
2010-10-06 09:55 . 2010-10-06 17:07 -------- d-----w- c:\temp\jkos-atec
2010-10-06 09:49 . 2010-10-06 09:49 503808 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-508a16b5-n\msvcp71.dll
2010-10-06 09:49 . 2010-10-06 09:49 499712 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-508a16b5-n\jmc.dll
2010-10-06 09:49 . 2010-10-06 09:49 348160 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-508a16b5-n\msvcr71.dll
2010-10-06 09:49 . 2010-10-06 09:49 61440 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-21b6320c-n\decora-sse.dll
2010-10-06 09:49 . 2010-10-06 09:49 12800 ----a-w- c:\documents and settings\atec\Application Data\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-21b6320c-n\decora-d3d.dll
2010-10-06 09:48 . 2010-10-06 13:31 -------- d-----w- c:\temp\hsperfdata_atec
2010-10-06 09:47 . 2010-10-06 09:47 411368 ----a-w- c:\windows\system32\deployJava1.dll
2010-10-06 08:45 . 2010-10-06 08:45 -------- d-----w- c:\program files\ZHPDiag
2010-09-30 09:37 . 2010-09-30 09:37 -------- d-----w- c:\documents and settings\NetworkService\Local Settings\Application Data\Adobe
2010-09-28 17:34 . 2010-09-28 17:35 -------- d-----w- c:\documents and settings\atec\Application Data\QuickScan
2010-09-28 17:34 . 2010-09-08 18:45 615568 ----a-w- c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
2010-09-28 17:34 . 2010-09-08 18:45 640264 ----a-w- c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
2010-09-27 05:46 . 2010-09-27 05:46 0 ----a-w- c:\windows\nsreg.dat
2010-09-27 05:45 . 2010-09-27 05:45 -------- d-----w- c:\documents and settings\atec\Local Settings\Application Data\Mozilla
2010-09-23 11:32 . 2010-09-23 11:32 -------- d-----w- c:\documents and settings\atec\Application Data\TeamViewer
2010-09-23 11:32 . 2010-09-23 11:32 -------- d-----w- c:\documents and settings\atec\temp
2010-09-22 12:50 . 2010-09-22 12:50 -------- d-----w- C:\pcs
2010-09-22 12:43 . 2010-09-22 12:48 -------- d-----w- c:\program files\Systec
2010-09-22 12:42 . 2010-09-22 12:48 73216 ----a-w- c:\windows\ST6UNST.EXE
2010-09-21 07:07 . 1997-01-16 04:00 71680 ----a-w- c:\windows\ST5UNST.EXE
2010-09-21 07:07 . 1997-01-16 04:00 29696 ----a-w- c:\windows\system32\VB5StKit.dll
2010-09-17 19:07 . 2010-09-17 19:07 -------- d-----w- C:\VundoFix Backups
2010-09-17 08:33 . 2010-09-17 08:33 -------- d-----w- C:\!KillBox
2010-09-17 08:11 . 2010-09-17 08:12 -------- d-----w- c:\program files\Unlocker
2010-09-16 17:19 . 2010-09-17 07:17 -------- d-----w- c:\windows\BDOSCAN8

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-10-06 09:49 . 2007-04-23 15:24 -------- d-----w- c:\program files\Fichiers communs\Java
2010-10-06 09:47 . 2007-04-23 15:24 -------- d-----w- c:\program files\Java
2010-10-06 09:46 . 2004-08-17 08:20 79176 ----a-w- c:\windows\system32\perfc00C.dat
2010-10-06 09:46 . 2004-08-17 08:20 480448 ----a-w- c:\windows\system32\perfh00C.dat
2010-10-06 08:56 . 2010-08-02 06:59 -------- d-----w- c:\program files\CCleaner
2010-09-28 17:43 . 2010-07-24 10:57 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-09-15 14:28 . 2010-04-09 08:03 -------- d-----w- c:\program files\Winamp
2010-08-02 17:43 . 2010-07-30 19:07 112 ----a-w- c:\documents and settings\All Users\Application Data\5r7lvI0.dat
2010-07-31 08:34 . 2010-07-31 08:34 664 ----a-w- c:\windows\system32\d3d9caps.dat
.
[code]<pre>
c:\program files\Analog Devices\Core\smax4pnp .exe
c:\program files\Fichiers communs\Network Associates\TalkBack\TBMon .exe
c:\program files\HPQ\Default Settings\cpqset .exe
c:\program files\Java\jre1.5.0_06\bin\jusched .exe
c:\program files\Network Associates\Common Framework\UpdaterUI .exe
c:\program files\Synaptics\SynTP\SynTPEnh .exe
</pre>/code

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DKab1err"="c:\program files\Dell\Printer Software\ErrorApp\DKab1err.exe" [2006-10-21 521112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsmqIntCert"="mqrt.dll" [2004-08-05 177152]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"ShStatEXE"="c:\program files\Network Associates\VirusScan\SHSTAT.EXE" [2004-09-22 94208]
"UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2010-07-04 17408]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-02-18 248040]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-05 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"FlashPlayerUpdate"="c:\windows\system32\Macromed\Flash\FlashUtil10d.exe" [2009-11-03 257440]

c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
2009-03-05 14:07 2260480 --sha-r- c:\program files\Spybot - Search & Destroy\TeaTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WatchDog]
c:\program files\InterVideo\DVD Check\DVDCheck.exe [N/A]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"gusvc"=3 (0x3)
"gupdate"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\WINDOWS\\system32\\DKabcoms.exe"=
"c:\\Program Files\\Mozilla Firefox\\firefox.exe"=

R1 NaiAvTdi1;NaiAvTdi1;c:\windows\system32\drivers\mvstdi5x.sys [23/04/2007 09:58 58464]
R3 dkab_device;dkab_device;c:\windows\system32\DKabcoms.exe -service --> c:\windows\system32\DKabcoms.exe -service [?]
S3 GTIPCI21;GTIPCI21;c:\windows\system32\DRIVERS\gtipci21.sys --> c:\windows\system32\DRIVERS\gtipci21.sys [?]
S3 STCFUx32;STC DFU Driver;c:\windows\system32\drivers\STCFUx32.sys [13/11/2008 15:10 7680]
S4 gupdate;Service Google Update (gupdate);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]

--- Autres Services/Pilotes en mémoire ---

*NewlyCreated* - ENTDRV51
*NewlyCreated* - SNTKMAKJ
*Deregistered* - sntkmakj
.
Contenu du dossier 'Tâches planifiées'

2008-08-20 c:\windows\Tasks\shutdown.job
- c:\windows\system32\shutdown.exe [2004-08-05 08:00]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
uInternet Connection Wizard,ShellNext = hxxp://www.hp.com/
uInternet Settings,ProxyOverride = <local>
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
FF - ProfilePath - c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
FF - prefs.js: network.proxy.type - 0
FF - component: c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
FF - plugin: c:\documents and settings\atec\Application Data\Mozilla\Firefox\Profiles\humyin12.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
FF - plugin: c:\program files\Java\jre6\bin\new_plugin\npdeployJava1.dll

---- PARAMETRES FIREFOX ----
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);
c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
c:\program files\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
.
- - - - ORPHELINS SUPPRIMES - - - -

AddRemove-SLABCOMM&10C4&EA60 - c:\windows\system32\Silabs\DriverUninstaller.exe VCP CP210x Cardinal\SLABCOMM&10C4&EA60
AddRemove-Winamp Detect - c:\program files\Winamp Detect\UninstWaDetect.exe



Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x8226CEC5]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\Disk -> CLASSPNP.SYS @ 0xf84e6fc3
\Driver\ACPI -> ACPI.sys @ 0xf8348cb8
\Driver\atapi -> atapi.sys @ 0xf82bc7b4
\Driver\iaStor -> iaStor.sys @ 0xf81f2b58
IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582490
ParseProcedure -> ntkrnlpa.exe @ 0x805815d0
SecurityProcedure -> ntkrnlpa.exe @ 0x80582b32
\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80582490
ParseProcedure -> ntkrnlpa.exe @ 0x805815d0
SecurityProcedure -> ntkrnlpa.exe @ 0x80582b32
NDIS: Réseau local Broadcom 802.11b/g -> SendCompleteHandler -> NDIS.sys @ 0xf80f2b30
PacketIndicateHandler -> NDIS.sys @ 0xf80ff9a1
SendHandler -> NDIS.sys @ 0xf80dd87b
user & kernel MBR OK

**************************************************************************
.
--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(868)
c:\windows\system32\sxs.dll

- - - - - - - > 'lsass.exe'(928)
c:\windows\system32\EntApi.dll

- - - - - - - > 'explorer.exe'(4012)
c:\windows\system32\EntApi.dll
c:\windows\system32\ieframe.dll
c:\windows\system32\browselc.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
c:\progra~1\SPYBOT~1\SDHelper.dll
c:\windows\system32\SXS.DLL
c:\windows\system32\ODBC32.dll
c:\program files\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\windows\system32\msdtc.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\LightScribe\LSSrvc.exe
c:\program files\Network Associates\Common Framework\FrameworkService.exe
c:\progra~1\NETWOR~1\COMMON~1\naPrdMgr.exe
c:\program files\Network Associates\VirusScan\Mcshield.exe
c:\program files\Network Associates\VirusScan\VsTskMgr.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\mqsvc.exe
c:\windows\system32\mqtgsvc.exe
c:\windows\system32\DKabcoms.exe
c:\windows\system32\wscntfy.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\program files\Fichiers communs\Java\Java Update\jucheck.exe
.
**************************************************************************
.
Heure de fin: 2010-10-06 19:26:58 - La machine a redémarré
ComboFix-quarantined-files.txt 2010-10-06 17:26

Avant-CF: 41 718 894 592 octets libres
Après-CF: 41 784 229 888 octets libres

WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect

- - End Of File - - 36FC4BCC05DEA14CDD6E3BBBC44EF7B2
0
Réponse 9 / 64
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
6 oct. 2010 à 20:02
Bien, il y a eu du ménage, comment va ton PC ?
0
Réponse 10 / 64
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 oct. 2010 à 20:03
slt pour avancer


copier/coller le texte suivant en gras dans un fichier.txt que tu enregistres au format .bat (par exemple recherche.bat) puis lance le fichier et postes nous le rapport log.txt obtenu



@echo
dir %systemdrive%\nilix.sys /s >> log.txt
notepad log.txt
pause
del log.txt
0
Réponse 11 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
6 oct. 2010 à 20:35
@ H3RV3 : j'ai suivi en live le déroulement de ComboFix et il y a effectivement eu du ménage (dont le fichier dlo.dll dont je n'arrivait pas à me débarrasser depuis 3 bonnes semaines). A un moment donné, ComboFix a bien confirmé la présence d'un rootkit. Bien vu de ta part et merci pour toutes ces manips.

Ca fait près d'une heure que le PC tourne et que je ne constate plus les problèmes qui m'empoisonnaient ces derniers temps :-D

@jlpjlp : J'ai suivi ta manip'. Ca fait une dizaine de minute que ça mouline et pour le moment, je n'ai qu'un message dans la fenêtre DOS qui me dit que le fichier C:\nilix.sys est introuvable.
Le bloc-note ne m'indique que ceci : " Le volume dans le lecteur C n'a pas de nom.
Le numéro de série du volume est 5D16-ECEA". Je laisse ouverte la fenêtre DOS ou c'est terminé une fois le bloc-note apparu ?
0
Réponse 12 / 64
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
6 oct. 2010 à 20:46
Une fois le bloc note ouvert, la recherche est terminée, il n'a rien trouvé.
Je ne trouve aucune information concernant ce fichier nilix.sys je ne sais pas s'il est légitime.

Peux-tu essayer d'héberger à présent le rapport ZHPDiag stp.
0
Réponse 13 / 64
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
Modifié par jlpjlp le 6/10/2010 à 20:58
à la place

fais cei:

utilise SEAF comme ceci

https://forum.pcastuces.com/default.asp

et recherche ceci nilix

________________

et si tu peux l'analyser sur virus total pour nous donner le rapport d'analyse

il est ici

c:\windows\system32\drivers\nilix.sys
0
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
6 oct. 2010 à 20:49
Tu sais à quoi correspond ce fichier ? Je n'ai rien trouvé sur lui.
0
Réponse 14 / 64
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 oct. 2010 à 20:55
slt pas vraiment non plus mais j'aimerai voir si il en existe une copie dans son pc pour en mettre un non infecté
0
Réponse 15 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
6 oct. 2010 à 21:41
Bon alors je viens de faire une nouvelle tentative pour héberger le rapport ZHPDiag : toujours le même message de connexion réinitialisée. Ce qui me surprend, c'est que ce problème ne survient qu'avec le rapport ZHPDiag !! J'ai essayé d'uploader d'autres rapports : aucun soucis.
J'ai tenté de renommer le txt en doc, de copier/coller le contenu du rapport dans un document Word tout neuf : impossible à uploader (malgré tentative sur plusieurs sites).

Concernant le fichier nilix.sys, il ne se trouve plus dans c:\windows\system32\drivers\nilix.sys. Je suppose qu'il a été effacé par ComboFix ??

Je tente SEAF de suite...
0
Réponse 16 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
Modifié par Plop999 le 6/10/2010 à 21:57
Voilà le rapport SEAFlog :

1. ========================= SEAF 1.0.0.8 - C_XX
2.
3. Commencé à: 21:43:39 le 06/10/2010
4.
5. Valeur(s) recherchée(s):
6. nilix
7.
8. (!) --- Informations supplémentaires
9. (!) --- Recherche registre
10.
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12.
13.
14. "C:\Qoobox\Quarantine\C\WINDOWS\system32\Drivers\nilix.sys.vir" [ ----A---- | 0 o ]
15. TC: 24/07/2010,11:22:36 | TM: 24/07/2010,13:03:23 | DA: 06/10/2010,18:59:34
16.
17.
18. =========================
19.
20.
21. "C:\Qoobox\Quarantine\Registry_backups\Legacy_nilix.reg.dat" [ ----A---- | 1 Ko ]
22. TC: 06/10/2010,19:08:54 | TM: 06/10/2010,19:08:54 | DA: 06/10/2010,19:08:54
23.
24.
25. =========================
26.
27.
28. "C:\Qoobox\Quarantine\Registry_backups\Service_nilix.reg.dat" [ ----A---- | 1 Ko ]
29. TC: 06/10/2010,19:08:54 | TM: 06/10/2010,19:08:54 | DA: 06/10/2010,19:08:54
30.
31.
32. =========================
33.
34.
35.
36. ====== Entrée(s) du registre ======
37.
38.
39. [HKLM\System\ControlSet002\Enum\Root\LEGACY_BEEP\xx_nilix_xx]
40.
41. =========================
42.
43. Fin à: 21:45:48 le 06/10/2010 ( E.O.F )
44.
45. =========================

Je retrouve aussi des traces de dlo90.dll dans le dossier Qoobox\quarantine ainsi que d'autres fichiers portant une extension supplémentaire ".vir". Vous pesez que je peux supprimer carrément ces fichiers ?
0
Réponse 17 / 64
jlpjlp Messages postés 51580 Date d'inscription vendredi 18 mai 2007 Statut Contributeur sécurité Dernière intervention 3 mai 2022 5 040
6 oct. 2010 à 21:56
si tu à le temps ce soir et que H3RV3 n'est pas dispo , pour avancer colle le rapport d'un antivirus en ligne ( <= ici) avec bitdefender ou F secure

je laisse la main

bonne soirée
0
Réponse 18 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
6 oct. 2010 à 22:01
Je vais relancer un coup de bitdefender en ligne. Merci pour ton aide précieuse; j'espère que H3RV3 est encore dans les parages... Sinon, j'attendrai demain matin :-)

Bonne soirée à toi également.
0
Réponse 19 / 64
H3RV3 Messages postés 3591 Date d'inscription samedi 17 octobre 2009 Statut Contributeur sécurité Dernière intervention 7 novembre 2014 280
6 oct. 2010 à 22:03
Les fichiers trouvés par SEAF sont dans la quarantaine de ComboFix et ne sont donc plus actifs.
Je pense que le fichier nilix.sys n'avais rien de légitime, concernant le problème d'hébergement du rapport ZHPDiag, c'est étrange.

Fais le scan antivirus comme demandé par jlpjlp.
0
Réponse 20 / 64
Plop999 Messages postés 95 Date d'inscription mercredi 6 octobre 2010 Statut Membre Dernière intervention 20 septembre 2011
6 oct. 2010 à 22:08
Clair que c'est étrange pour l'hébergement du rapport ZHPDiag. J'ai pourtant essayé plusieurs hébergeurs et différents "trucs" pour éventuellement tromper le site d'hébergement (renommer, changer l'extension, retiré les premières lignes du rapport, copier/coller le contenu du rapport dans un nouveau document word).

L'analyse avec BitDefender est en cours...
0

Discussions similaires

Virus : trojan:win32/wacatac.h!ml
Alky09 -
bazfile -

8 réponses
Comment supprimer le virus Trojan
vitsou -
vitsou -

18 réponses
C'est quoi "Win32:Trojan-gen {Other}"
Uzumaki -
Utilisateur anonyme -

5 réponses
Trojan alerte
Titou43 -
gen-hackman -

23 réponses
qu'est ce qu'un "trojan agent/gen" ? svp
Saber03 -
jacques.gache -

33 réponses