Capacité d'un rootkit ??? jusqua quoi ??!!!!!
rabbi1948
Messages postés
15
Statut
Membre
-
juju666 Messages postés 38404 Statut Contributeur sécurité -
juju666 Messages postés 38404 Statut Contributeur sécurité -
Bonjour,
j'ai télecharge combofix y a pas longtemps, et aprés l'avoir exicuté il a decellai une activité de rootkit et il a generé ce rapport qui va suivre et avec un message qui dit que le fichier registre est infecté.
alors je voudrai savoir si je dois craidre pour mes fichiers personel ou pas ?
ComboFix 11-03-05.02 - azerty 06/03/2011 14:05:28.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1978.1457 [GMT 1:00]
Lancé depuis: G:\ComboFix.exe
* Un antivirus résident est actif
.
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\PIF\cmd.vbe
c:\windows\PIF\firewall.vbe
c:\windows\PIF\reg.reg
c:\windows\PIF\reg1.reg
c:\windows\system32\28463
c:\windows\system32\28463\DVYY.001
c:\windows\system32\AVSredirect.dll
c:\windows\system32\Desktop_.ini
D:\autorun.inf
.
c:\windows\regedit.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-06 au 2011-03-06 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-06 12:10 . 2011-03-06 12:10 -------- d-----w- C:\rsit
2011-03-05 18:53 . 2011-03-05 18:53 -------- d-----w- C:\Quarantine
2011-02-18 18:40 . 2011-02-18 18:44 -------- d-----w- C:\Perl
2011-02-06 21:39 . 2011-02-15 11:05 -------- d-----w- C:\Temp
2011-02-05 23:08 . 2011-02-05 23:08 -------- d-----r- C:\MSOCache
2011-02-05 22:06 . 2011-02-05 22:06 -------- d-----w- C:\Intel
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2009-02-17 11:05 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-13 18:31 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-13 17:58 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2008-04-13 18:33 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2009-02-20 09:47 43520 ------w- c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2009-02-17 11:05 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2009-02-17 11:05 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:26 . 2008-04-13 18:33 736768 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2009-02-20 09:47 385024 ------w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2008-04-13 18:33 743424 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2008-04-13 19:07 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 15:14 . 2009-02-20 09:04 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 14:30 . 2008-04-13 18:33 33280 ----a-w- c:\windows\system32\csrsrv.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
.
[-] 2009-02-20 09:03 . 699D22B70D6CD1B9759A14D10256A715 . 1587712 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2009-02-20 . DE669722494CF41F6E39A62B3B08525C . 561152 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2009-02-17 . 8D94786F48553651FDB92CE307D23B95 . 1492992 . . [6.0] . . c:\windows\system32\comctl32.dll
[7] 2008-04-13 . F92E6BEA9349D49341383F8403B4DFE5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[7] 2001-08-23 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
.
[-] 2009-02-17 . 97CCFDD0F9F73E4158D9461C01DC1D5A . 573952 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
.
[-] 2009-02-17 . 94DF26097D850D6A67743E853A6FC832 . 3193344 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
.
[-] 2009-02-20 . 956F9D20E5D23944F3F2D34CB2850663 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2009-02-20 . 58DB2EE838D5B7BAD0F7F10A6C920390 . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
c:\windows\System32\wscntfy.exe ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-02-06 396152]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-09-09 3118512]
"Memory Improve Ultimate"="c:\program files\Memory Improve Ultimate\MemoryImproveUltimate.exe" [2008-12-15 4994560]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-27 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-27 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-27 150040]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-07-17 53248]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-01-25 421160]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2010-04-12 180224]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-07-21 159744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2009-02-20 40960]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
RKLauncher.lnk - c:\program files\Gadget\RKLauncher\RKLauncher.exe [2011-2-5 393216]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5445:TCP"= 5445:TCP:@xpsp2res.dll,-22003
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16/11/2009 09:03 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16/11/2009 09:06 96408]
R1 MpKsl4827b603;MpKsl4827b603;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{ABAFE76B-7358-49EF-ACE4-475282BB4074}\MpKsl4827b603.sys [06/03/2011 14:02 28752]
R1 vcdrom;Virtual CD-ROM Device Driver;c:\program files\System\CPL Bonus\vcdrom.sys [05/02/2011 19:57 8576]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [16/11/2009 09:04 735960]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [05/02/2011 23:19 38912]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [25/03/2010 10:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 21:37 4640000]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MPKSL4827B603
*NewlyCreated* - VCDROM
*Deregistered* - BootScreen
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-03-06 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
2011-03-06 c:\windows\Tasks\User_Feed_Synchronization-{F7C58CE4-E825-41D7-B6C8-420E76C91A84}.job
- c:\windows\system32\msfeedssync.exe [2009-02-20 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath -
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-06 14:12
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\cscui.dll
.
- - - - - - - > 'lsass.exe'(1060)
c:\windows\system32\setupapi.dll
.
Heure de fin: 2011-03-06 14:14:33
ComboFix-quarantined-files.txt 2011-03-06 13:14
.
Avant-CF: 97 924 333 568 octets libres
Après-CF: 97 852 424 192 octets libres
.
- - End Of File - - E6EF02D6FE0E87D86D7EA17F62E8E64C
MERCI
j'ai télecharge combofix y a pas longtemps, et aprés l'avoir exicuté il a decellai une activité de rootkit et il a generé ce rapport qui va suivre et avec un message qui dit que le fichier registre est infecté.
alors je voudrai savoir si je dois craidre pour mes fichiers personel ou pas ?
ComboFix 11-03-05.02 - azerty 06/03/2011 14:05:28.1.2 - x86
Microsoft Windows XP Professionnel 5.1.2600.3.1252.33.1036.18.1978.1457 [GMT 1:00]
Lancé depuis: G:\ComboFix.exe
* Un antivirus résident est actif
.
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\PIF\cmd.vbe
c:\windows\PIF\firewall.vbe
c:\windows\PIF\reg.reg
c:\windows\PIF\reg1.reg
c:\windows\system32\28463
c:\windows\system32\28463\DVYY.001
c:\windows\system32\AVSredirect.dll
c:\windows\system32\Desktop_.ini
D:\autorun.inf
.
c:\windows\regedit.exe . . . est infecté!!
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2011-02-06 au 2011-03-06 ))))))))))))))))))))))))))))))))))))
.
.
2011-03-06 12:10 . 2011-03-06 12:10 -------- d-----w- C:\rsit
2011-03-05 18:53 . 2011-03-05 18:53 -------- d-----w- C:\Quarantine
2011-02-18 18:40 . 2011-02-18 18:44 -------- d-----w- C:\Perl
2011-02-06 21:39 . 2011-02-15 11:05 -------- d-----w- C:\Temp
2011-02-05 23:08 . 2011-02-05 23:08 -------- d-----r- C:\MSOCache
2011-02-05 22:06 . 2011-02-05 22:06 -------- d-----w- C:\Intel
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-01-21 14:44 . 2009-02-17 11:05 441344 ----a-w- c:\windows\system32\shimgvw.dll
2011-01-07 14:09 . 2008-04-13 18:31 290048 ----a-w- c:\windows\system32\atmfd.dll
2010-12-31 14:04 . 2008-04-13 17:58 1855104 ----a-w- c:\windows\system32\win32k.sys
2010-12-22 12:34 . 2008-04-13 18:33 301568 ----a-w- c:\windows\system32\kerberos.dll
2010-12-20 23:53 . 2009-02-20 09:47 43520 ------w- c:\windows\system32\licmgr10.dll
2010-12-20 23:53 . 2009-02-17 11:05 916480 ----a-w- c:\windows\system32\wininet.dll
2010-12-20 23:53 . 2009-02-17 11:05 1469440 ------w- c:\windows\system32\inetcpl.cpl
2010-12-20 17:26 . 2008-04-13 18:33 736768 ----a-w- c:\windows\system32\lsasrv.dll
2010-12-20 12:55 . 2009-02-20 09:47 385024 ------w- c:\windows\system32\html.iec
2010-12-09 15:15 . 2008-04-13 18:33 743424 ----a-w- c:\windows\system32\ntdll.dll
2010-12-09 15:14 . 2008-04-13 19:07 2029056 ----a-w- c:\windows\system32\ntkrnlpa.exe
2010-12-09 15:14 . 2009-02-20 09:04 2150912 ----a-w- c:\windows\system32\ntoskrnl.exe
2010-12-09 14:30 . 2008-04-13 18:33 33280 ----a-w- c:\windows\system32\csrsrv.dll
2006-05-03 09:06 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 10:47 31232 --sh--r- c:\windows\system32\msfDX.dll
2008-03-16 12:30 216064 --sh--r- c:\windows\system32\nbDX.dll
.
.
------- Sigcheck -------
.
[-] 2009-02-20 09:03 . 699D22B70D6CD1B9759A14D10256A715 . 1587712 . . [2001.12.4414.700] . . c:\windows\system32\comres.dll
.
[-] 2009-02-20 . DE669722494CF41F6E39A62B3B08525C . 561152 . . [5.1.2600.5512] . . c:\windows\system32\winlogon.exe
.
[-] 2009-02-17 . 8D94786F48553651FDB92CE307D23B95 . 1492992 . . [6.0] . . c:\windows\system32\comctl32.dll
[7] 2008-04-13 . F92E6BEA9349D49341383F8403B4DFE5 . 1054208 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
[7] 2001-08-23 . AEF3D788DBF40C7C4D204EA45EB0C505 . 921088 . . [6.0] . . c:\windows\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
.
[-] 2009-02-17 . 97CCFDD0F9F73E4158D9461C01DC1D5A . 573952 . . [5.1.2600.5512] . . c:\windows\system32\user32.dll
.
[-] 2009-02-17 . 94DF26097D850D6A67743E853A6FC832 . 3193344 . . [6.00.2900.5512] . . c:\windows\explorer.exe
.
.
[-] 2009-02-20 . 956F9D20E5D23944F3F2D34CB2850663 . 1571840 . . [5.1.2600.5512] . . c:\windows\system32\sfcfiles.dll
.
[-] 2009-02-20 . 58DB2EE838D5B7BAD0F7F10A6C920390 . 40960 . . [5.1.2600.5512] . . c:\windows\system32\ctfmon.exe
.
c:\windows\System32\wscntfy.exe ... manque !!
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"uTorrent"="c:\program files\uTorrent\uTorrent.exe" [2011-02-06 396152]
"IDMan"="c:\program files\Internet Download Manager\IDMan.exe" [2009-09-09 3118512]
"Memory Improve Ultimate"="c:\program files\Memory Improve Ultimate\MemoryImproveUltimate.exe" [2008-12-15 4994560]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-27 150040]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-27 178712]
"Persistence"="c:\windows\system32\igfxpers.exe" [2008-10-27 150040]
"RTHDCPL"="RTHDCPL.EXE" [2009-01-13 18084864]
"AzMixerSel"="c:\program files\Realtek\Audio\Drivers\AzMixerSel.exe" [2006-07-17 53248]
"PLFSetL"="c:\windows\PLFSetL.exe" [2008-07-03 94208]
"BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-11-16 2054360]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2010-11-29 421888]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2011-01-25 421160]
"SunJavaUpdateSched"="c:\program files\Fichiers communs\Java\Java Update\jusched.exe" [2010-05-14 248552]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2010-11-30 997408]
"PWRISOVM.EXE"="c:\program files\PowerISO\PWRISOVM.EXE" [2010-04-12 180224]
"Apoint"="c:\program files\Apoint2K\Apoint.exe" [2007-07-21 159744]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2009-02-20 40960]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"_nltide_2"="shell32" [X]
"_nltide_3"="advpack.dll" [2009-03-08 128512]
.
c:\documents and settings\All Users\Menu D'marrer\Programmes\D'marrage\
RKLauncher.lnk - c:\program files\Gadget\RKLauncher\RKLauncher.exe [2011-2-5 393216]
.
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Microsoft Office\\Office14\\GROOVE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\ONENOTE.EXE"=
"c:\\Program Files\\Microsoft Office\\Office14\\OUTLOOK.EXE"=
"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=
"c:\\Program Files\\iTunes\\iTunes.exe"=
"c:\\Program Files\\uTorrent\\uTorrent.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5445:TCP"= 5445:TCP:@xpsp2res.dll,-22003
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [16/11/2009 09:03 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [16/11/2009 09:06 96408]
R1 MpKsl4827b603;MpKsl4827b603;c:\documents and settings\All Users\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{ABAFE76B-7358-49EF-ACE4-475282BB4074}\MpKsl4827b603.sys [06/03/2011 14:02 28752]
R1 vcdrom;Virtual CD-ROM Device Driver;c:\program files\System\CPL Bonus\vcdrom.sys [05/02/2011 19:57 8576]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [16/11/2009 09:04 735960]
R3 L1c;NDIS Miniport Driver for Atheros AR8131/AR8132 PCI-E Ethernet Controller;c:\windows\system32\drivers\l1c51x86.sys [05/02/2011 23:19 38912]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [25/03/2010 10:25 30969208]
S3 osppsvc;Office Software Protection Platform;c:\program files\Fichiers communs\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 21:37 4640000]
.
--- Autres Services/Pilotes en mémoire ---
.
*NewlyCreated* - MPKSL4827B603
*NewlyCreated* - VCDROM
*Deregistered* - BootScreen
.
Contenu du dossier 'Tâches planifiées'
.
2011-03-01 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2009-10-22 10:50]
.
2011-03-06 c:\windows\Tasks\MP Scheduled Scan.job
- c:\program files\Microsoft Security Client\Antimalware\MpCmdRun.exe [2010-11-11 11:26]
.
2011-03-06 c:\windows\Tasks\User_Feed_Synchronization-{F7C58CE4-E825-41D7-B6C8-420E76C91A84}.job
- c:\windows\system32\msfeedssync.exe [2009-02-20 03:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.com/
IE: &Envoyer à OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Télécharger avec IDM - c:\program files\Internet Download Manager\IEExt.htm
IE: Télécharger le contenu de video FLV avec IDM - c:\program files\Internet Download Manager\IEGetVL.htm
IE: Télécharger tous les liens avec IDM - c:\program files\Internet Download Manager\IEGetAll.htm
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - c:\program files\Fichiers communs\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
FF - ProfilePath -
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-03-06 14:12
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10m_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(1004)
c:\windows\system32\SETUPAPI.dll
c:\windows\system32\sfc_os.dll
c:\windows\system32\cscui.dll
.
- - - - - - - > 'lsass.exe'(1060)
c:\windows\system32\setupapi.dll
.
Heure de fin: 2011-03-06 14:14:33
ComboFix-quarantined-files.txt 2011-03-06 13:14
.
Avant-CF: 97 924 333 568 octets libres
Après-CF: 97 852 424 192 octets libres
.
- - End Of File - - E6EF02D6FE0E87D86D7EA17F62E8E64C
MERCI
A voir également:
- Capacité d'un rootkit ??? jusqua quoi ??!!!!!
- Test capacité pc - Guide
- Créer un compte yahoo mail gratuit avec capacité de - Guide
- Yahoo Mail - Télécharger - Mail
- Capacité google drive gratuit - Guide
- Rootkit - Télécharger - Antivirus & Antimalwares
22 réponses
salut, nickel
refais ça : https://forums.commentcamarche.net/forum/affich-21108372-capacite-d-un-rootkit-jusqua-quoi#1
pour controler
refais ça : https://forums.commentcamarche.net/forum/affich-21108372-capacite-d-un-rootkit-jusqua-quoi#1
pour controler
salut juju666
Pardon pour ce retard suite a des obligations (mon casse-croute exigeant et paresseux mais je l'aime trop .......)
enfin le mot magique NIIIIIIIIICKEL MEEEEEEEERCI, voici le rapport :
https://pjjoint.malekal.com/files.php?id=a6b540c8a35128
Pardon pour ce retard suite a des obligations (mon casse-croute exigeant et paresseux mais je l'aime trop .......)
enfin le mot magique NIIIIIIIIICKEL MEEEEEEEERCI, voici le rapport :
https://pjjoint.malekal.com/files.php?id=a6b540c8a35128
