Smart hdd

[Fermé]
Signaler
-
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,

je suis sous XP et j"ai choppé smart HDD

j'ai téléchargé rogue killer

soila le rapprt

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: BCaillard [Droits d'admin]
Mode: Recherche -- Date: 19/04/2012 11:21:26

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 15 ¤¤¤
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.10sek.com
127.0.0.1 10sek.com
127.0.0.1 www.123topsearch.com
127.0.0.1 123topsearch.com
127.0.0.1 www.132.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3402111AS +++++
--- User ---
[MBR] 89b697e126dd4894750958311ea62281
[BSP] 795a14b832cd706607cccac50ac6066c : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 18002 Mo
1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 36869175 | Size: 20136 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Intenso Rainbow Line USB Device +++++
--- User ---
[MBR] 019001fa31c27c41de670208410384a5
[BSP] 33a07a59d299ab4ea9f4ab0156f9d86f : Windows XP MBR Code
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 2616 | Size: 7558 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt



que doie je faire maintenant ?

6 réponses

Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 927
Salut,

Télécharge et lance une analyse de BitDefender ZeroAccess removal tool : https://forum.malekal.com/viewtopic.php?t=36424&start=
Si des fichiers sont détectés, note les.
Redémarre l'ordinateur si proposé.


puis :

Désactive les logiciels de protection (Antivirus, Antispywares)
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)

Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

Si Combofix émet toujours une alerte sur l'antivirus : Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
Hébergement du rapport : Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.


Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

voila le rapport ! merci

ComboFix 12-04-19.01 - ******** 19/04/2012 13:51:09.1.2 - x86
Lancé depuis: c:\documents and settings\*******\Bureau\ComboFix.exe
AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
* Un antivirus résident est actif
.
.
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users\Application Data\drBbKKzykPaAcw
C:\Thumbs.db
c:\windows\$NtUninstallKB55236$\3224005362
c:\windows\$NtUninstallKB55236$\4171706211\@
c:\windows\$NtUninstallKB55236$\4171706211\cfg.ini
c:\windows\$NtUninstallKB55236$\4171706211\Desktop.ini
c:\windows\$NtUninstallKB55236$\4171706211\L\ojnekthw
c:\windows\$NtUninstallKB55236$\4171706211\oemid
c:\windows\$NtUninstallKB55236$\4171706211\U\00000001.@
c:\windows\$NtUninstallKB55236$\4171706211\U\00000002.@
c:\windows\$NtUninstallKB55236$\4171706211\U\00000004.@
c:\windows\$NtUninstallKB55236$\4171706211\U\80000000.@
c:\windows\$NtUninstallKB55236$\4171706211\U\80000004.@
c:\windows\$NtUninstallKB55236$\4171706211\U\80000032.@
c:\windows\$NtUninstallKB55236$\4171706211\version
c:\windows\system32\dds_trash_log.cmd
c:\windows\system32\MsMAsk32.ocx
D:\setup.exe
c:\windows\$NtUninstallKB55236$ . . . . impossible à supprimer
.
.
((((((((((((((((((((((((((((( Fichiers créés du 2012-03-19 au 2012-04-19 ))))))))))))))))))))))))))))))))))))
.
.
2012-04-19 07:34 . 2012-04-19 07:34 243712 ----a-w- c:\documents and settings\All Users\Application Data\drBbKKzykPaAcw.exe
2012-04-19 07:31 . 2012-04-19 07:31 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache
2012-04-19 07:26 . 2012-04-19 07:26 -------- d-----w- c:\documents and settings\BCaillard\Local Settings\Application Data\ESET
2012-04-03 10:10 . 2012-04-03 10:10 -------- d-----w- C:\081102
2012-04-03 10:03 . 2012-04-03 10:03 -------- d-----w- C:\081005
2012-04-03 09:56 . 2012-04-03 09:56 -------- d-----w- C:\080934
2012-04-03 09:50 . 2012-04-03 09:50 -------- d-----w- C:\081152
2012-04-03 09:44 . 2012-04-03 09:44 -------- d-----w- C:\081098
2012-04-03 08:47 . 2012-04-03 08:47 -------- d-----w- C:\081182
2012-04-03 07:44 . 2012-04-03 07:44 -------- d-----w- C:\081120
2012-04-03 07:34 . 2012-04-03 07:34 -------- d-----w- C:\080882
2012-04-02 08:10 . 2012-04-02 08:10 -------- d-----w- C:\081092
2012-04-02 07:23 . 2012-04-02 07:23 -------- d-----w- C:\081028
2012-03-26 15:41 . 2012-03-26 15:41 103864 ----a-w- c:\program files\Internet Explorer\PLUGINS\nppdf32.dll
.
.
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-03-01 11:00 . 2006-03-04 03:35 916992 ----a-w- c:\windows\system32\wininet.dll
2012-03-01 11:00 . 2004-08-05 10:00 43520 ----a-w- c:\windows\system32\licmgr10.dll
2012-03-01 11:00 . 2004-08-05 10:00 1469440 ------w- c:\windows\system32\inetcpl.cpl
2012-02-29 14:10 . 2004-08-05 10:00 177664 ----a-w- c:\windows\system32\wintrust.dll
2012-02-29 14:10 . 2004-08-05 10:00 148480 ----a-w- c:\windows\system32\imagehlp.dll
2012-02-29 12:17 . 2004-08-05 10:00 385024 ----a-w- c:\windows\system32\html.iec
2012-02-03 09:58 . 2004-08-05 10:00 1860224 ----a-w- c:\windows\system32\win32k.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[7] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ipsec.sys
[-] 2008-04-13 19:19 . DDD7DE1FFE91EF5FA33D1BBD4E4DC106 . 75264 . . [------] . . c:\windows\system32\drivers\ipsec.sys
.
[7] 2008-04-13 . 23C74D75E36E7158768DD63D92789A91 . 75264 . . [5.1.2600.5512] . . c:\windows\ServicePackFiles\i386\ipsec.sys
[-] 2008-04-13 19:19 . DDD7DE1FFE91EF5FA33D1BBD4E4DC106 . 75264 . . [------] . . c:\windows\system32\drivers\ipsec.sys
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="c:\program files\Analog Devices\Core\smax4pnp.exe" [2004-10-14 1404928]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-10-14 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-10-14 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-10-14 114688]
"DLA"="c:\windows\System32\DLA\DLACTRLW.EXE" [2005-09-08 122940]
"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143872]
"IRIScan 2 button manager"="c:\program files\iriscn2i\bmanm12.exe" [2007-11-21 2298544]
"SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-03-19 148888]
"HPUsageTracking"="c:\program files\HP\HP UT\bin\hppusg.exe" [2008-05-07 36864]
"YpsidCertTool"="c:\windows\system32\TSSHelper32.exe" [2011-03-10 102400]
"YpsidLauncher"="c:\program files\Morpho Middleware ypsID\Launcher32.exe" [2011-03-10 1777664]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"Adobe ARM"="c:\program files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-04-07 2145000]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\*****\Menu Démarrer\Programmes\Démarrage\
Script.bat.lnk - \\Srvvitre\APP\Script.bat [N/A]
.
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\
QuadraBUREAU.lnk - \\SRVVITRE\qappli\Quadra\PGM32\QBureau2.exe [N/A]
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableNotifications"= 1 (0x1)
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\PVSW\\Bin\\w3dbsmgr.exe"=
"c:\\Program Files\\EBP\\GestionCommerciale14.0\\Gestion.exe"=
"c:\\Program Files\\EBP\\Compta14.1\\compta.exe"=
"c:\\Program Files\\EBP\\Compta15.0\\compta.exe"=
"c:\\Program Files\\Canon\\Color Network ScanGear\\SgTool.exe"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Program Files\\Google\\Google Earth\\client\\googleearth.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
.
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [07/04/2010 22:07 114984]
R2 EBP Pervasive.SQL;EBP Pervasive.SQL;c:\pvsw\Bin\WGE_SRV.exe [07/12/2006 17:08 32768]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [07/04/2010 22:07 810120]
R2 LogWatch;Event Log Watch;c:\program files\CA\SharedComponents\CA_LIC\LogWatNT.exe [20/09/2002 16:29 53248]
R2 StdTokenShareSrv_Service;SAGEM Cryptographic Token Server v5.02 ;c:\windows\system32\TokenShareSrv32.exe [10/03/2011 13:35 1789952]
S1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [07/04/2010 22:08 95872]
S2 gupdate;Service Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [08/02/2012 10:26 136176]
S3 ACSSCR;ACR38 Smart Card Reader;c:\windows\system32\drivers\a38usb.sys [08/12/2011 16:54 37632]
S3 actccid;ActivCard USB Reader V2;c:\windows\system32\DRIVERS\actccid.sys --> c:\windows\system32\DRIVERS\actccid.sys [?]
S3 CA_LIC_CLNT;Client de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmt.exe [20/09/2002 16:27 77824]
S3 CA_LIC_SRVR;Serveur de licence CA;c:\program files\CA\SharedComponents\CA_LIC\lic98rmtd.exe [20/09/2002 16:41 77824]
S3 gupdatem;Service Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [08/02/2012 10:26 136176]
S3 Navcar;Navman In-car Navigator USB Driver Service;c:\windows\system32\drivers\Navcar.sys [13/05/2011 16:26 30329]
S3 SCR24x PCMCIA Smart Card Reader;SCR24x PCMCIA Smart Card Reader;c:\windows\system32\drivers\SCR24X.sys [19/08/2003 02:10 47900]
.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
ctusfsyn
avgarcln
mpfirewl
cs429x
GTWModem
.
Contenu du dossier 'Tâches planifiées'
.
2012-04-19 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-02-08 08:26]
.
2012-04-19 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2012-02-08 08:26]
.
2012-04-13 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job
- c:\program files\Spybot - Search & Destroy\SpybotSD.exe [2007-03-19 14:31]
.
.
------- Examen supplémentaire -------
.
uStart Page = hxxp://www.google.fr/
IE: c:\program files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: Interfaces\{8DCAE21E-3740-48C6-AC70-203EE4A7D8E1}: NameServer = 194.2.0.20,194.2.0.50
.
- - - - ORPHELINS SUPPRIMES - - - -
.
AddRemove-FCGA-ANPRECEGA - Statistiques 2009 - l:\dossier commun\MiseaJour\stats2009\FCGA-ANPRECEGA - Statistiques 2009\uninstall.exe
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-04-19 14:07
Windows 5.1.2600 Service Pack 3 NTFS
.
Recherche de processus cachés ...
.
c:\program files\Internet Explorer\iexplore.exe [3324] 0x85C526B8
.
Recherche d'éléments en démarrage automatique cachés ...
.
Recherche de fichiers cachés ...
.
Scan terminé avec succès
Fichiers cachés: 0
.
**************************************************************************
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600
.
CreateFile("\\.\PHYSICALDRIVE0"): Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus.
device: opened successfully
user: error reading MBR
kernel: MBR read successfully
detected disk devices:
detected hooks:
\Driver\atapi DriverStartIo -> 0x85DCD0AE
\Driver\atapi -> 0x85dccf76
IoDeviceObjectType -> ParseProcedure -> 0x85dcc20c
\Device\Harddisk0\DR0 -> ParseProcedure -> 0x85dcc20c
user != kernel MBR !!!
.
**************************************************************************
.
--------------------- CLES DE REGISTRE BLOQUEES ---------------------
.
[HKEY_USERS\S-1-5-21-1957994488-1425521274-839522115-1003\Software\Microsoft\SystemCertificates\AddressBook*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€-€|ÿÿÿÿÀ*€|ù*9~*]
"C040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLs chargées dans les processus actifs ---------------------
.
- - - - - - - > 'winlogon.exe'(516)
c:\windows\system32\cryptdll.dll
.
- - - - - - - > 'explorer.exe'(3892)
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
c:\windows\system32\eappprxy.dll
.
------------------------ Autres processus actifs ------------------------
.
c:\windows\System32\SCardSvr.exe
c:\program files\Java\jre6\bin\jqs.exe
c:\program files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\pvsw\BIN\W3dbsmgr.EXE
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Heure de fin: 2012-04-19 14:15:40 - La machine a redémarré
ComboFix-quarantined-files.txt 2012-04-19 12:15
.
Avant-CF: 2 402 787 328 octets libres
Après-CF: 2 643 804 160 octets libres
.
- - End Of File - - D1B297350C7B015CE7E55B4A1A1AA16E
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 927
Tu as fait bitdefender avant ?

j ai du merder ! :-(

je recommence

bitdefender : echec a la desifection
Messages postés
180265
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
23 927
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

puis :

Passe un coup d'aswmbr : https://forum.malekal.com/viewtopic.php?t=31619&start=
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.
Poste le rapport ici.