Ordinateur très lent, Root-Kit detecté Résolu

Question

Bonjour,

j'ai eu ce matin un petit coup de fils de ma Möman ( alias Madame Michu) pour me dire que son anti-virus ( avast ) lancé l'alerte rouge en disant qu'il avait trouvé un RootKit. 

Je suis donc en possession de la dite machine.

Quelqu'un pourrait il m'aider pour voir le niveau de l'infection et éradiqué toute présente menace.

(Le pc en question est un peu vieux , je n'ai pas de disque de re-installe du système.)



Thomas

Configuration: Linux Fedora / Firefox 3.6.16

Jawaryinti · Answer

Bonjour
Le PC est sous quel OS ?
Serait-il possible d'avoir le nom du rootkit ?

Th0m45 · Answer

Le pc tourne sous Windows Xp sp3. Pour le nom du RootKit, je vais regarder ce que me dis avast.

Jawaryinti · Answer

Télécharge TDSSKiller sur ton bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.zip
Crée un nouveau dossier sur ton bureau puis décompresse l'archive dedans
Lance le programme en cliquant sur TDSSKiller.exe, l'analyse se fait automatiquement, si l'infection est détectée, des éléments cachés (= hidden) seront alors affichés.
Coche les, et clique sur Dele

Th0m45 · Answer

ok, je te tien au courant, est il possible que le pc ai d'autre infection qu'avast n'aurait pas vu ?
Une erreur ne devient pas vérité parce que tout le monde y croit.

Th0m45 · Answer

Select Action for found objects:

kernel driver, c:\Windows\system32\driver\sptd.sys
c'est grave ca ?

Jawaryinti · Answer

Non, c'est un pilote d'un logiciel émulateur

On va vérifier si le PC est réellement infecté

* Télécharge ZHPDiag (de Nicolas Coolman)
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

Au cas où le premier lien ne marcherai pas, clique sur celui de dessous
ftp://zebulon.fr/ZHPDiag2.exe

* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Surtout, n'oublie pas d'installer son icône sur le bureau
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
Héberge le rapport ICI

Th0m45 · Answer

Hum Avast me propose de lancer ZHPDiag2 dans la sandBox, je lui dis non ?

Jawaryinti · Answer

Désactive Avast, car il va nous importuner celui là
Lance ZHPDiag à partir du raccourci du bureau

thomas · Answer

Voilà le rapport : ' target='_blank'>http://up.sur-la-toile.com/iMaN

Jawaryinti · Answer

Excuse moi pour tout à l'heure, je croyais que c'était un autre internaute qui venait polluer le topic

J'ai pu faire passer le lien

Y'a pas de rootkit apparemment, c'est un émulateur qui installe un hook sur
le secteur d'amorçage du disque dur

Par contre, il y a des restants d'autres infections
Télécharge Ad-Remover (de C_XX) sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html    ( Lien officiel )
https://www.androidworld.fr/ ( Miroir )
[b]Désactive l'anti-virus[/b]

Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur [b]Scanner[/b].
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Il est sauvegardé dans [b]C:\Ad-Remover-SCAN[1].txt[/b]

thomas · Answer

le rapport Ad-Remover: ' target='_blank'>http://up.sur-la-toile.com/iMaR

Jawaryinti · Answer

Relance AD Remover, et clique sur nettoyer, et poste
le rapport

thomas · Answer

rapport du néttoyage by AD Remover:
http://up.sur-la-toile.com/iMaT

Jawaryinti · Answer

C'est bon
Pourrais tu me poster un nouveau rapport ZHPDiag, en hébergeant le
rapport et en me donnant le lien

thomas · Answer

rapport ZHPDiag2:
http://up.sur-la-toile.com/iMaZ

Jawaryinti · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessus>copier 

O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service)  .(...) - LEGACY_QUESTBROWSE_SERVICE    => Infection BT (Adware.QuestBrowse)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754}]    => Infection BT (Adware.SmartShopper)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939}]    => Infection BT (Adware.ShoppingReport2)
O4 - HKLM\..\Run: [NWEReboot] Clé orpheline    => Orphean Key not necessary
O41 - Driver:  (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.)    => Fichier absent
O41 - Driver:  (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.)    => Fichier absent
O44 - LFC:[MD5.EF55FA3B3B435B8E5BA81C0DFEE4B377] - 30/04/2011 - 14:15:40 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [2640]
O44 - LFC:[MD5.E5EA4B92DDDA9FF9910784C18DED8944] - 30/04/2011 - 14:08:47 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt   [2655]
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe (.not file.)    => Fichier absent
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe (.not file.)    => Fichier absent


* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

Redémarre ton PC

thomas · Answer

Rapport de ZHPFix 1.12.3279 par Nicolas Coolman, Update du 27/04/2011
Fichier d'export Registre : C:\ZHPExportRegistry-30-04-2011-15-52-43.txt
Run by Thomas at 30/04/2011 15:52:43
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service) .(...) - LEGACY_QUESTBROWSE_SERVICE  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{258c9770-1713-4021-8d7e-1f184a2bd754}  => Clé supprimée avec succès
HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939}  => Clé non supprimée
O41 - Driver: (InCDPass) . (. - .) - C:\Windows\System32\drivers\InCDPass.sys (.not file.)  => Clé supprimée avec succès
O41 - Driver: (InCDRm) . (. - .) - C:\Windows\System32\drivers\InCDRm.sys (.not file.)  => Clé supprimée avec succès

========== Valeur(s) du Registre ==========
O4 - HKLM\..\Run: [NWEReboot] Clé orpheline  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe" [Enabled] .(.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\apache\Apache.exe (.not file.)  => Valeur supprimée avec succès
O47 - AAKE:Key Export SP - "E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe" [Enabled] .(.) -- E:\EASY PHP\EasyPHP1-8-ModGSI\mysql\bin\mysqld.exe (.not file.)  => Valeur supprimée avec succès

========== Fichier(s) ==========
c:\ad-report-clean[1].txt  => Supprimé et mis en quarantaine
c:\ad-report-scan[1].txt  => Supprimé et mis en quarantaine
e:\easy php\easyphp1-8-modgsi\apache\apache.exe  => Fichier absent
e:\easy php\easyphp1-8-modgsi\mysql\bin\mysqld.exe  => Fichier absent


========== Récapitulatif ==========
5 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Fichier(s)


End of the scan

Jawaryinti · Answer

Télécharge USBFix (de El Desaparecido, C_XX)  sur ton bureau
http://www.teamxscript.org/usbfixTelechargement.html
ou
http://teamxscript.changelog.fr/UsbFix.html (miroir)

# Double clic sur UsbFix présent sur ton bureau, et clique sur 
exécuter pour lancer l'installation qui se fera automatiquement 

# Clique sur Suppression 

# Branche toutes tes sources et données externes (clé USB, disque dur
externe...) sans les ouvrir sur ton PC, et clique sur OK

# La suppression est lancée. Le bureau va disparaitre, c'est normal

# Une fois le nettoyage terminé, le bureau va réapparaitre, et il se
pourrai que ton navigateur s'ouvre à la page d'upload de l'outil te
demandant d'envoyer le fichier UsbFix_Upload_Me

# Clique sur Parcourir pour aller chercher le fichier 
compressé qui se trouve à la racine du disque

# Dans le menu déroulant, sélectionne UsbFix, et clique sur Envoyer
le fichier

# Ensuite poste le rapport UsbFix.txt qui est apparu avec le bureau .

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

thomas · Answer

voila le rapport usbFix :
http://up.sur-la-toile.com/iMbj

Jawaryinti · Answer

On va faire un scan généraliste
Télécharge malwarebytes' anti-malware
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Enregistre le sur le bureau
Double-clique sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour pousuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur supprimer la sélection
Malwarebytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malewarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur Malewarebytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition en haut du
bloc-note puis sur sélectionner tout
Revient sur édition, puis sur copier et revient sur le forum et dans ta réponse
Clic droit dans le cadre de la réponse et coller

thomas · Answer

voila le rapport ComboFix:

ComboFix 11-04-30.02 - Thomas 30/04/2011  22:58:15.1.1 - x86
Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.1023.648 [GMT 2:00]
Lancé depuis: c:\documents and settings\Thomas\Bureau\combo-fix\ComboFix.exe
AV: avast! Antivirus *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}
.
.
((((((((((((((((((((((((((((((((((((   Autres suppressions   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings	om\Application Data\inst.exe
.
.
(((((((((((((((((((((((((((((((((((((((   Pilotes/Services   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_QUESTBROWSE_SERVICE
.
.
(((((((((((((((((((((((((((((   Fichiers créés du 2011-03-28 au 2011-04-30  ))))))))))))))))))))))))))))))))))))
.
.
2011-04-30 15:48 . 2011-04-30 15:48	--------	d-----w-	c:\documents and settings\Thomas\Application Data\Malwarebytes
2011-04-30 15:48 . 2011-04-30 15:48	--------	d-----w-	c:\documents and settings\All Users.WINDOWS\Application Data\Malwarebytes
2011-04-30 15:48 . 2010-11-29 15:42	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2011-04-30 15:48 . 2011-04-30 15:48	--------	d-----w-	c:\program files\Malwarebytes' Anti-Malware
2011-04-30 15:48 . 2010-11-29 15:42	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2011-04-30 15:12 . 2011-04-30 15:15	--------	d-----w-	C:\UsbFix
2011-04-30 13:07 . 2011-04-30 13:07	--------	d-----w-	c:\program files\Ad-Remover
2011-04-30 12:50 . 2011-04-30 12:50	512	------w-	C:\PhysicalDisk0_MBR.bin
2011-04-30 12:46 . 2011-04-30 19:42	--------	d-----w-	c:\program files\ZHPDiag
.
.
.
((((((((((((((((((((((((((((((((((   Compte-rendu de Find3M   ))))))))))))))))))))))))))))))))))))))))))))))))
.
2011-02-23 15:04 . 2011-01-16 11:39	40648	----a-w-	c:\windows\avastSS.scr
2011-02-23 15:04 . 2009-02-18 19:47	190016	----a-w-	c:\windows\system32\aswBoot.exe
2011-02-23 14:56 . 2011-03-10 20:03	371544	----a-w-	c:\windows\system32\drivers\aswSnx.sys
2011-02-23 14:56 . 2009-02-18 19:47	301528	----a-w-	c:\windows\system32\drivers\aswSP.sys
2011-02-23 14:55 . 2009-02-18 19:47	49240	----a-w-	c:\windows\system32\drivers\aswTdi.sys
2011-02-23 14:55 . 2009-02-18 19:47	102232	----a-w-	c:\windows\system32\drivers\aswmon2.sys
2011-02-23 14:55 . 2009-02-18 19:47	96344	----a-w-	c:\windows\system32\drivers\aswmon.sys
2011-02-23 14:55 . 2009-02-18 19:47	25432	----a-w-	c:\windows\system32\drivers\aswRdr.sys
2011-02-23 14:54 . 2009-02-18 19:47	30680	----a-w-	c:\windows\system32\drivers\aavmker4.sys
2011-02-23 14:54 . 2009-02-18 19:47	19544	----a-w-	c:\windows\system32\drivers\aswFsBlk.sys
2009-02-20 21:38 . 2009-02-20 21:38	26596640	----a-w-	c:\program files\AdbeRdr90_fr_FR.exe
2006-05-03 10:06	163328	--sh--r-	c:\windows\system32\flvDX.dll
.
.
(((((((((((((((((((((((((((((((((   Points de chargement Reg   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés 
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]
@="{472083B0-C522-11CF-8763-00608CC02F24}"
[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]
2011-02-23 15:04	122512	----a-w-	c:\program files\Alwil Software\Avast5\ashShell.dll
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-09-17 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Fichiers communs\Ahead\lib\NMBgMonitor.exe" [2005-11-24 94208]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2007-04-16 577536]
"VIARaidUtl"="c:\program files\VIA\RAIDaid_tool.exe" [2009-02-19 4918936]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-02-27 148888]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]
"LogitechCommunicationsManager"="c:\program files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe" [2007-03-06 488984]
"LogitechQuickCamRibbon"="c:\program files\Labtec\WebCam10\WebCam10.exe" [2007-03-06 1060376]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2009-11-12 141600]
"avast"="c:\program files\Alwil Software\Avast5\avastUI.exe" [2011-02-23 3451496]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users.WINDOWS\Menu D'marrer\Programmes\D'marrage\
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-2-17 65588]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
otify\LMIinit]
2008-10-16 19:35	87352	----a-w-	c:\windows\system32\LMIinit.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
2001-07-09 09:50	155648	----a-w-	c:\windows\system32\NeroCheck.exe
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\system32\sessmgr.exe"=
"%windir%\Network Diagnostic\xpnetdiag.exe"=
"c:\WINDOWS\PCHealth\HelpCtr\Binaries\helpctr.exe"=
"c:\Program Files\Bonjour\mDNSResponder.exe"=
"c:\Program Files\iTunes\iTunes.exe"=
"c:\Program Files\Warcraft III\Warcraft III.exe"=
"c:\MPS\TTWin95\TTDLOADW.OVL"=
"c:\Program Files\Microsoft Games\Age of Empires II\EMPIRES2.ICD"=
"c:\WINDOWS\system32\dplaysvr.exe"=
"c:\Program Files\Windows Live\Messenger\msnmsgr.exe"=
"c:\Program Files\Windows Live\Sync\WindowsLiveSync.exe"=
"c:\Program Files\Pando Networks\Media Booster\PMB.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"56844:TCP"= 56844:TCP:Pando Media Booster
"56844:UDP"= 56844:UDP:Pando Media Booster
"8396:TCP"= 8396:TCP:League of Legends Launcher
"8396:UDP"= 8396:UDP:League of Legends Launcher
"6971:TCP"= 6971:TCP:League of Legends Launcher
"6971:UDP"= 6971:UDP:League of Legends Launcher
"6881:TCP"= 6881:TCP:League of Legends Launcher
"6881:UDP"= 6881:UDP:League of Legends Launcher
.
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [06/06/2010 03:10 691696]
R1 aswSnx;aswSnx;c:\windows\system32\drivers\aswSnx.sys [10/03/2011 22:03 371544]
R1 aswSP;aswSP;c:\windows\system32\drivers\aswSP.sys [18/02/2009 21:47 301528]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [19/08/2004 16:10 14336]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [18/02/2009 21:47 19544]
R2 VRAID Log Service;VRAID Log Service;c:\program files\VIA\RAID\vialogsv.exe [19/02/2009 20:21 52888]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [02/02/2010 17:24 135664]
S2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\program files\LogMeIn\x86\RaInfo.sys --> c:\program files\LogMeIn\x86\RaInfo.sys [?]
S3 npggsvc;nProtect GameGuard Service;c:\windows\system32\GameMon.des -service --> c:\windows\system32\GameMon.des -service [?]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Akamai	REG_MULTI_SZ   	Akamai
.
Contenu du dossier 'Tâches planifiées'
.
2011-04-26 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2011-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 15:24]
.
2011-04-30 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-02 15:24]
.
2011-04-30 c:\windows\Tasks\User_Feed_Synchronization-{E51FA0E6-9304-4B38-96CE-33947154EEF0}.job
- c:\windows\system32\msfeedssync.exe [2007-08-13 03:31]
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyOverride = *.local
IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2011-04-30 23:08
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ... 
.
Recherche d'éléments en démarrage automatique cachés ... 
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  VIARaidUtl = c:\program files\VIA\RAIDaid_tool.exe?windows_v- 
.
Recherche de fichiers cachés ... 
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services
pggsvc]
"ImagePath"="c:\windows\system32\GameMon.des -service"
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\WINDOWS\system32\Macromed\Flash\FlashUtil10o_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
@="c:\WINDOWS\system32\Macromed\Flash\FlashUtil10o_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
@Denied: (A 2) (Everyone)
@="IFlashBroker4"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(692)
c:\windows\system32\LMIinit.dll
c:\windows\system32\LMIRfsClientNP.dll
.
- - - - - - - > 'explorer.exe'(2704)
c:\program files\Windows Media Player\wmpband.dll
c:\windows\system32\eappprxy.dll
c:\windows\system32\msls31.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\system32\WgaTray.exe
c:\program files\Alwil Software\Avast5\AvastSvc.exe
c:\windows\SOUNDMAN.EXE
c:\program files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\program files\Bonjour\mDNSResponder.exe
c:\program files\Fichiers communs\LogiShrd\LComMgr\LVComSX.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
c:\program files\iPod\bin\iPodService.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2011-04-30  23:12:56 - La machine a redémarré
ComboFix-quarantined-files.txt  2011-04-30 21:12
.
Avant-CF: 9 037 824 000 octets libres
Après-CF: 11 670 081 536 octets libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-FRA.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professionnel" /noexecute=optin /fastdetect
.
- - End Of File - - 717F348849D733626B305DD592318D8F

Th0m45 · Answer

j'ai lancé une analyse MBAM , celle ci a l'air de bien tourner. Je posterais le rapport. 
Ensuite je referais un petit coup de ZHPDiag et posterais également le rapport. 

( si tu reviens avant que je fasses les manips, et qu'elles sont inutiles, n'hésite pas à me prévenir ) 
Une erreur ne devient pas vérité parce que tout le monde y croit.

Thomas · Answer

voici un rapport MBAM:

http://www.cijoint.fr/cjlink.php?file=cj201105/cijN3yB6Un.txt

patrick7338 · Answer

bonjour
le mieux serait d' aller sur: https://support.kaspersky.com/fr/viruses/utility

et de télécharger le programme: pmaxkiller

ensuite un scan profond avec: emsisoft  puis malwarebyte.
et tu ne devrais plus avoir de problémes.

(sur une clée usb propre, bien sur.)

Th0m45 · Answer

Merci pour ton coup de main Patrick7338, mais Jawaryinti m'a déjà pris en charge pour la désinfection. Pour évité des conflits logiciel ou autre, je vais attendre son retour. 
Une erreur ne devient pas vérité parce que tout le monde y croit.

patrick7338 · Answer

no problémo

en ce moment, les rootkits sont une véritable épidémie, mais ce n' est pas si méchant que cela.

une quarantaine d' infections, c' est tout. apres; le P.C aura des ailes...

(ne sort jamais la carte bleu; c' est le plus important.  :-)  )

Jawaryinti · Answer

Bonjour,
Patrick
en ce moment, les rootkits sont une véritable épidémie, mais ce n' est pas si méchant que cela. 
C'est ce que tu crois, c'est une véritable plaie, c'est dangereux car ils installent
d'autres cochonneries, et ils deviennent maitre du PC lorsqu'ils sont installés

Thomas
Tu as deux failles de sécurité, Adobe et Java ne sont pas à jour désinstalle les
Installe la nouvelle version d'Adobe en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose

Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien

Télécharge et installe la nouvelle version de Java
https://java.com/fr/

Thomas · Answer

Voilà, Adobe / Java sont à jour.

Jawaryinti · Answer

Pourrais tu me refaire ZHPDiag, car je voudrais voir quelque chose

Th0m45 · Answer

dac, en revanche je viens de voir que le système n'était pas à jour.  
Il est actuellement en train de ce mettre à jour aussi ( à l'heure ou je te parles," installation de la mise à jour 8 / 60 "). 
Des qu'il est redémarrer, je te poste un Scan. 
Une erreur ne devient pas vérité parce que tout le monde y croit.

Thomas · Answer

et un petit rapport ZHPDiag2 UN !

http://www.cijoint.fr/cjlink.php?file=cj201105/cijRio8pHZ.txt

Jawaryinti · Answer

C'est très bien, mon fix a fonctionné

Tu as mis à jour Java, c'est très bien, par contre tu dois mettre à jour Adobe
Désinstalle le
Installe la nouvelle version en cliquant sur ce lien
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html
Prend le temps de lire les instructions, et tu dois refuser
le complément qu'on te propose

Ensuite, fait ceci:
* Lance Adobe Reader
* Clique sur Edition --> Préférences --> JavaScript
* Décoche Activer Acrobat JavaScript
* Valide
C'est pour désactiver l'interprétation de Javascript dans Adobe,
car c'est source d'infections, et cela ne sert à rien

Java et Adobe sont deux logiciels très sensibles aux failles de sécurité

Thomas · Answer

Et voila, Adobe est lui aussi à jour, et le JS est désactivé.

Jawaryinti · Answer

Copie les lignes suivantes en gras ci dessous, c'est à dire 
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait 
clic droit dessus>copier  



SysRestore 
EmptyTemp 
EmptyFlash 
CTFDisabled 
OPT:O4 - HKLM\..\Run: [SunJavaUpdateSched] . (.Sun Microsystems, Inc. - Java Platform SE binary.) -- C:\Program Files\Java\jre6\bin\jusched.exe 
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe 
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe 
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe 
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 
OPT:O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Démarrage\Microsoft Office.lnk . (.Microsoft Corporation.)  -- C:\Program Files\Microsoft Office\Office\OSA9.EXE 
 

* Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de 
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en 
tant qu'administrateur) 
Clique sur l'icône représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage, 
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Redémarre ton PC 

Ensuite, poste moi un nouveau rapport ZHPDiag 



O.o°*??? Ex Nathandre aux 12938 messages depuis le 27.10.2008 °.Oø¤º°'°º¤ø

Jawaryinti · Answer

On va nettoyer tous les outils qui ont servi


Télécharge Del Fix (de Xplode), sur ton bureau

http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix 

Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
  
Sélectionne Suppression

Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.



*Désactive ta restauration pour supprimer les points de restauration infectés:

Clique droit sur Poste de travail, clique sur Propriétés, puis sur Restauration système                                                                                            Coche la case désactiver la restauration                                                            Clique sur appliquer, puis sur OK
---> Redémarre ton PC ...

*Réactive ta restauration :
Clique droit sur Poste de travail,  clique sur Propriétés, puis sur Restauration système                                                                                           Décoche la case désactiver la restauration                                                                                                                                                                       Clique sur appliquer, puis sur OK
--->Redémarre ton PC ...

( Note : tu peux aussi y accéder via panneau de configuration->" système "->" restauration système " ). 

Créer un point de restauration propre manuellement:
Démarrer, Programmes
Va dans accessoires, et dans outils système
Sélectionne restauration système
Clique sur suivant
Entre la date du point de restauration que tu veux créer
Clique sur créer, et le point de restauration se crée automatiquement

Ensuite tu me diras si Avast ne détecte plus rien normalement

Thomas · Answer

Voila le rapport de Del fix ( j'avais commencer a faire le ménages deja )

# DelFix v7.7B - Rapport créé le 01/05/2011 à 18:56
# Mis à jour le 15/04/11 à 19h30 par Xplode
# Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
# Nom d'utilisateur : Thomas - PC01 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Thomas\Local Settings\Temporary Internet Files\Content.IE5\1O0K26LC\delfix[1].exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Menu Démarrer\Programmes\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.21.0_30.04.2011_14.38.53_log.txt
Supprimé : C:\TDSSKiller.2.4.21.0_30.04.2011_14.43.57_log.txt
Supprimé : C:\ZHPExportRegistry-01-05-2011-16-54-54.txt
Supprimé : C:\ZHPExportRegistry-30-04-2011-15-52-43.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\WINDOWS\grep.exe
Supprimé : C:\WINDOWS\PEV.exe
Supprimé : C:\WINDOWS\NIRCMD.exe
Supprimé : C:\WINDOWS\MBR.exe
Supprimé : C:\WINDOWS\sed.exe
Supprimé : C:\WINDOWS\SWREG.exe
Supprimé : C:\WINDOWS\SWSC.exe
Supprimé : C:\WINDOWS\SWXCACLS.exe
Supprimé : C:\WINDOWS\zip.exe
Supprimé : C:\Documents and Settings\Thomas\Bureau\ZHPDiag2.zip
Supprimé : C:\Documents and Settings\Thomas\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users.WINDOWS\Bureau\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
ACL [0] -> [7] & Clé Supprimée : HKLM\SOFTWARE\Swearware

~~~~~~ Autre ~~~~~~

-> Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2032 octets] ##########

Ordinateur très lent, Root-Kit detecté

36 réponses

Discussions similaires

Newsletters