Infection des ports USB ?
Fermé
Zephir45
Messages postés
14
Date d'inscription
mercredi 21 septembre 2011
Statut
Membre
Dernière intervention
8 octobre 2011
-
21 sept. 2011 à 19:23
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 9 oct. 2011 à 16:14
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 9 oct. 2011 à 16:14
A voir également:
- Infection des ports USB ?
- Cle usb non reconnu - Guide
- Nettoyer port usb c - Guide
- Medicat usb - Guide
- Clé usb bootable windows 10 - Guide
- Formater clé usb mac - Guide
22 réponses
Zephir45
Messages postés
14
Date d'inscription
mercredi 21 septembre 2011
Statut
Membre
Dernière intervention
8 octobre 2011
8 oct. 2011 à 20:27
8 oct. 2011 à 20:27
Désolé du retard mais j'ai dû attendre le weekend car le scan a duré au moins 4h.
Pas de lignes rouges, voici le rapport :
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-10-08 20:25:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 WDC_WD6400AAKS-22A7B2 rev.01.03B01
Running: hhl6dsqb.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\kgldrpow.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcess [0xBA772CC6]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcessEx [0xBA772CE0]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateThread [0xBA771E7C]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwLoadDriver [0xBA7721AC]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwMapViewOfSection [0xBA771BBC]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwOpenSection [0xBA7725DE]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwRenameKey [0xBA77387C]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSetSystemInformation [0xBA77242E]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendProcess [0xBA771A3C]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendThread [0xBA771EB0]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSystemDebugControl [0xBA772032]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateProcess [0xBA771996]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateThread [0xBA771AF6]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwWriteVirtualMemory [0xBA771F76]
Code fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation) IoCreateDevice
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwYieldExecution + 46A 804E4CC4 12 Bytes [3C, 1A, 77, BA, B0, 1E, 77, ...] {CMP AL, 0x1a; JA 0xffffffffffffffbe; MOV AL, 0x1e; JA 0xffffffffffffffc2; XOR AH, [EAX]; JA 0xffffffffffffffc6}
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB992F360, 0x32E00D, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB3880300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF77D7300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!DispatchMessageW 7E398A01 5 Bytes JMP 068D5110
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!PeekMessageW 7E39929B 5 Bytes JMP 068DD150
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!DispatchMessageA 7E3996B8 5 Bytes JMP 068D4108
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!AnimateWindow 7E3A2156 5 Bytes JMP 068D9130
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!SetForegroundWindow 7E3A42ED 5 Bytes JMP 068DA138
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!WindowFromPoint 7E3A9766 5 Bytes JMP 068D3100
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!SetWindowPos 7E3A99F3 5 Bytes JMP 068D8128
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!PeekMessageA 7E3AA340 5 Bytes JMP 068DC148
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!ShowWindow 7E3AAF56 5 Bytes JMP 068D6118
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!DestroyWindow 7E3AB19C 5 Bytes JMP 068D7120
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!SetCapture 7E3AC35E 5 Bytes JMP 068DB140
.text C:\PROGRA~1\Raptr\raptr.exe[2740] GDI32.dll!BitBlt 77EF6F79 5 Bytes JMP 068D20F8
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 06DB100C
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 06DB200C
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] ntdll.dll!LdrLoadDll 7C92632D 5 Bytes JMP 0121F860 C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 06DB000C
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!SetWindowLongA 7E3AC29D 5 Bytes JMP 1069DD6C C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!SetWindowLongW 7E3AC2BB 5 Bytes JMP 1069DCFE C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!GetWindowInfo 7E3AC49C 5 Bytes JMP 10458420 C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!TrackPopupMenu 7E3E531E 5 Bytes JMP 104589D4 C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\Tcp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\Udp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\RawIp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\IPMULTICAST fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
Pas de lignes rouges, voici le rapport :
GMER 1.0.15.15641 - http://www.gmer.net
Rootkit scan 2011-10-08 20:25:22
Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-6 WDC_WD6400AAKS-22A7B2 rev.01.03B01
Running: hhl6dsqb.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\kgldrpow.sys
---- System - GMER 1.0.15 ----
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcess [0xBA772CC6]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateProcessEx [0xBA772CE0]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwCreateThread [0xBA771E7C]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwLoadDriver [0xBA7721AC]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwMapViewOfSection [0xBA771BBC]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwOpenSection [0xBA7725DE]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwRenameKey [0xBA77387C]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSetSystemInformation [0xBA77242E]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendProcess [0xBA771A3C]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSuspendThread [0xBA771EB0]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwSystemDebugControl [0xBA772032]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateProcess [0xBA771996]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwTerminateThread [0xBA771AF6]
SSDT \??\C:\Program Files\Orange\Antivirus Firewall\HIPS\drivers\fshs.sys (HIPS 32-bit kernel module/F-Secure Corporation) ZwWriteVirtualMemory [0xBA771F76]
Code fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation) IoCreateDevice
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!ZwYieldExecution + 46A 804E4CC4 12 Bytes [3C, 1A, 77, BA, B0, 1E, 77, ...] {CMP AL, 0x1a; JA 0xffffffffffffffbe; MOV AL, 0x1e; JA 0xffffffffffffffc2; XOR AH, [EAX]; JA 0xffffffffffffffc6}
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xB992F360, 0x32E00D, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\atksgt.sys section is writeable [0xB3880300, 0x3ACC8, 0xE8000020]
.text C:\WINDOWS\system32\DRIVERS\lirsgt.sys section is writeable [0xF77D7300, 0x1B7E, 0xE8000020]
---- User code sections - GMER 1.0.15 ----
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!DispatchMessageW 7E398A01 5 Bytes JMP 068D5110
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!PeekMessageW 7E39929B 5 Bytes JMP 068DD150
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!DispatchMessageA 7E3996B8 5 Bytes JMP 068D4108
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!AnimateWindow 7E3A2156 5 Bytes JMP 068D9130
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!SetForegroundWindow 7E3A42ED 5 Bytes JMP 068DA138
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!WindowFromPoint 7E3A9766 5 Bytes JMP 068D3100
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!SetWindowPos 7E3A99F3 5 Bytes JMP 068D8128
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!PeekMessageA 7E3AA340 5 Bytes JMP 068DC148
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!ShowWindow 7E3AAF56 5 Bytes JMP 068D6118
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!DestroyWindow 7E3AB19C 5 Bytes JMP 068D7120
.text C:\PROGRA~1\Raptr\raptr.exe[2740] USER32.dll!SetCapture 7E3AC35E 5 Bytes JMP 068DB140
.text C:\PROGRA~1\Raptr\raptr.exe[2740] GDI32.dll!BitBlt 77EF6F79 5 Bytes JMP 068D20F8
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] ntdll.dll!NtCreateProcess 7C91D14E 5 Bytes JMP 06DB100C
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] ntdll.dll!NtCreateProcessEx 7C91D15E 5 Bytes JMP 06DB200C
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] ntdll.dll!LdrLoadDll 7C92632D 5 Bytes JMP 0121F860 C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\firefox.exe[2928] kernel32.dll!LoadLibraryExW 7C801AF5 5 Bytes JMP 06DB000C
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!SetWindowLongA 7E3AC29D 5 Bytes JMP 1069DD6C C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!SetWindowLongW 7E3AC2BB 5 Bytes JMP 1069DCFE C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!GetWindowInfo 7E3AC49C 5 Bytes JMP 10458420 C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
.text C:\Program Files\Mozilla Firefox 4.0 Beta 9\plugin-container.exe[4084] USER32.dll!TrackPopupMenu 7E3E531E 5 Bytes JMP 104589D4 C:\Program Files\Mozilla Firefox 4.0 Beta 9\xul.dll (Mozilla Foundation)
---- Devices - GMER 1.0.15 ----
Device \Driver\Tcpip \Device\Ip fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\Tcp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\Udp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\RawIp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
Device \Driver\Tcpip \Device\IPMULTICAST fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)
AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)
---- EOF - GMER 1.0.15 ----
salut Juju m'a demandé de t'aider à finir :)
desinstalle Adobe reader 9
===========================================
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\windows\system32\c_29110.nl_
Folder::
c:\windows\system32\config\systemprofile\Application Data\Toolbar4
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"nwiz"=-
"QuickTime Task"=-
"iTunesHelper"=-
RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
desinstalle Adobe reader 9
===========================================
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
File::
c:\windows\system32\c_29110.nl_
Folder::
c:\windows\system32\config\systemprofile\Application Data\Toolbar4
Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"nwiz"=-
"QuickTime Task"=-
"iTunesHelper"=-
RegLock::
[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
9 oct. 2011 à 16:14
9 oct. 2011 à 16:14
merci :>