Sujet Précédent Sujet Suivant

Infection ???

Résolu/Fermé
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012 - 14 sept. 2012 à 11:03
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012 - 18 sept. 2012 à 16:02
Bonjour, j'ai été infecté par le virus Live Security Platinum, et j'ai fait des scans de roguekiller et je poste le résultat :

J'ai aussi passé malwarebytes et adwcleaner.

Merci de me venir en aide.


RogueKiller V8.0.3 [13/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : HP_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 14/09/2012 07:50:45

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> SUPPRIMÉ
[APPINIT][SUSP PATH] HKLM\[...]\Windows : AppInit_DLLs (c:\docume~1\alluse~1\applic~1\browse~1\22580~1.182\{d1538~1\brwmngr.dll) -> REMPLACÉ ()

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1D78 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6F80)
SSDT[37] : NtCreateFile @ 0x8056E36E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6552)
SSDT[41] : NtCreateKey @ 0x8061ABE2 -> HOOKED (Unknown @ 0xBA73E0CE)
SSDT[47] : NtCreateProcess @ 0x805C7576 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF5A1A)
SSDT[48] : NtCreateProcessEx @ 0x805C74C0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF5910)
SSDT[53] : NtCreateThread @ 0x805C735E -> HOOKED (Unknown @ 0xBA73E0C4)
SSDT[62] : NtDeleteFile @ 0x8056BF0E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF7034)
SSDT[63] : NtDeleteKey @ 0x8061B07E -> HOOKED (Unknown @ 0xBA73E0D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B24E -> HOOKED (Unknown @ 0xBA73E0DD)
SSDT[97] : NtLoadDriver @ 0x80579694 -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB48DBF64)
SSDT[98] : NtLoadKey @ 0x8061CE06 -> HOOKED (Unknown @ 0xBA73E0E2)
SSDT[108] : NtMapViewOfSection @ 0x805A75AE -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB48DC24A)
SSDT[116] : NtOpenFile @ 0x8056F48C -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6906)
SSDT[119] : NtOpenKey @ 0x8061BFC0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF2B78)
SSDT[122] : NtOpenProcess @ 0x805C13E2 -> HOOKED (Unknown @ 0xBA73E0B0)
SSDT[128] : NtOpenThread @ 0x805C166E -> HOOKED (Unknown @ 0xBA73E0B5)
SSDT[193] : NtReplaceKey @ 0x8061CCB6 -> HOOKED (Unknown @ 0xBA73E0EC)
SSDT[204] : NtRestoreKey @ 0x8061C5C2 -> HOOKED (Unknown @ 0xBA73E0E7)
SSDT[206] : NtResumeThread @ 0x805CADE0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF60DC)
SSDT[224] : NtSetInformationFile @ 0x80570376 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6CE0)
SSDT[247] : NtSetValueKey @ 0x80619154 -> HOOKED (Unknown @ 0xBA73E0D8)
SSDT[274] : NtWriteFile @ 0x8057233A -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6BB2)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] sfsync02.sys @ 0xBA0E98B4)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3160021A +++++
--- User ---
[MBR] 0cb782d9cb83a9854acc3e5bae878fce
[BSP] 915ef25eae400d47896df96a4b0f83f4 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 4392 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 8996400 | Size: 148224 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

4 réponses

Réponse 1 / 4
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
14 sept. 2012 à 11:26
Salut

Tu peux poster le rapport de Malwarebytes?
0
Réponse 2 / 4
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012
Modifié par Ordi sos le 15/09/2012 à 08:44
Bonjour et merci pour ton aide,
je te poste le 1er rapport et plus bas le 2ème rapport de :

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.11.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
HP_Propriétaire :: CATHERINE [administrateur]

11/09/2012 09:20:58
mbam-log-2012-09-11 (09-20-58).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 335967
Temps écoulé: 1 heure(s), 36 minute(s), 58 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Documents and Settings\HP_Propriétaire\Application Data\Sun\Java\Deployment\cache\6.0\58\100eddfa-52e7f2ee (Trojan.Downloader) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\HP_Propriétaire\Bureau\RK_Quarantine\80000000.@.vir (Trojan.Small) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\HP_Propriétaire\Bureau\RK_Quarantine\800000cb.@.vir (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{F75EEC69-6E97-419B-93B4-6A3A275301C4}\RP1043\A0327392.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 3 / 4
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012
Modifié par Ordi sos le 15/09/2012 à 08:43
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.13.02

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
HP_Propriétaire :: CATHERINE [administrateur]

13/09/2012 10:15:31
mbam-log-2012-09-13 (10-15-31).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 339158
Temps écoulé: 1 heure(s), 40 minute(s), 47 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012
15 sept. 2012 à 08:47
Je ne suis pas là de la journée mais je me reconnecte dès que possible.
Merci.
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
15 sept. 2012 à 16:38
Tu as du passer RogueKiller plusieurs fois et supprimer les rapports, car le rapport MBAM trouve des choses dans la quarantaine RK.
Je dirais que c'est bon
0
Réponse 4 / 4
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012
Modifié par Ordi sos le 16/09/2012 à 12:31
oui, Roguekiller plusieurs fois, mais dans l'onglet driver, ça m'inquiète parce qu'il y a ceci qui m'inquiète !!

¤¤ Driver : [CHARGE] ¤¤¤
SSDT[37] : NtCreateFile @ 0x8056E36E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6552)
SSDT[41] : NtCreateKey @ 0x8061ABE2 -> HOOKED (Unknown @ 0xBA73E0CE)
SSDT[47] : NtCreateProcess @ 0x805C7576 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF5A1A)
SSDT[48] : NtCreateProcessEx @ 0x805C74C0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF5910)
SSDT[53] : NtCreateThread @ 0x805C735E -> HOOKED (Unknown @ 0xBA73E0C4)
SSDT[62] : NtDeleteFile @ 0x8056BF0E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF7034)
SSDT[63] : NtDeleteKey @ 0x8061B07E -> HOOKED (Unknown @ 0xBA73E0D3)
SSDT[65] : NtDeleteValueKey @ 0x8061B24E -> HOOKED (Unknown @ 0xBA73E0DD)
SSDT[97] : NtLoadDriver @ 0x80579694 -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB48DBF64)
SSDT[98] : NtLoadKey @ 0x8061CE06 -> HOOKED (Unknown @ 0xBA73E0E2)
SSDT[108] : NtMapViewOfSection @ 0x805A75AE -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB48DC24A)
SSDT[116] : NtOpenFile @ 0x8056F48C -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6906)
SSDT[119] : NtOpenKey @ 0x8061BFC0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF2B78)
SSDT[122] : NtOpenProcess @ 0x805C13E2 -> HOOKED (Unknown @ 0xBA73E0B0)
SSDT[128] : NtOpenThread @ 0x805C166E -> HOOKED (Unknown @ 0xBA73E0B5)
SSDT[193] : NtReplaceKey @ 0x8061CCB6 -> HOOKED (Unknown @ 0xBA73E0EC)
SSDT[204] : NtRestoreKey @ 0x8061C5C2 -> HOOKED (Unknown @ 0xBA73E0E7)
SSDT[206] : NtResumeThread @ 0x805CADE0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF60DC)
SSDT[224] : NtSetInformationFile @ 0x80570376 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6CE0)
SSDT[247] : NtSetValueKey @ 0x80619154 -> HOOKED (Unknown @ 0xBA73E0D8)
SSDT[274] : NtWriteFile @ 0x8057233A -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4AF6BB2)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] sfsync02.sys @ 0xBA0E98B4)

C'est quoi alors toutes ces lignes : SSDT et IRP à la fin ??? parce que ceci est bien le dernier rapport de Roguekiller.
0
Tigzy Messages postés 7498 Date d'inscription lundi 15 février 2010 Statut Contributeur sécurité Dernière intervention 15 septembre 2021 582
Modifié par Tigzy le 17/09/2012 à 15:37
C'est des drivers que je vais rajouter dans la liste blanche
https://www.file.net/process/fwdrv.sys.html
https://www.file.net/process/sfsync02.sys.html
https://www.file.net/process/khips.sys.html
0
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012
17 sept. 2012 à 15:40
Bonjour, aujourd'hui, j'ai refait un scan de roguekiller et ça a donné ceci !!

RogueKiller V8.0.3 [13/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : HP_Propriétaire [Droits d'admin]
Mode : Recherche -- Date : 17/09/2012 15:16:28

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1D78 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4F80)
SSDT[37] : NtCreateFile @ 0x8056E36E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4552)
SSDT[41] : NtCreateKey @ 0x8061ABE2 -> HOOKED (Unknown @ 0xBA7015DE)
SSDT[47] : NtCreateProcess @ 0x805C7576 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB3A1A)
SSDT[48] : NtCreateProcessEx @ 0x805C74C0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB3910)
SSDT[53] : NtCreateThread @ 0x805C735E -> HOOKED (Unknown @ 0xBA7015D4)
SSDT[62] : NtDeleteFile @ 0x8056BF0E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB5034)
SSDT[63] : NtDeleteKey @ 0x8061B07E -> HOOKED (Unknown @ 0xBA7015E3)
SSDT[65] : NtDeleteValueKey @ 0x8061B24E -> HOOKED (Unknown @ 0xBA7015ED)
SSDT[97] : NtLoadDriver @ 0x80579694 -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB4B71F64)
SSDT[98] : NtLoadKey @ 0x8061CE06 -> HOOKED (Unknown @ 0xBA7015F2)
SSDT[108] : NtMapViewOfSection @ 0x805A75AE -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB4B7224A)
SSDT[116] : NtOpenFile @ 0x8056F48C -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4906)
SSDT[119] : NtOpenKey @ 0x8061BFC0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB0B78)
SSDT[122] : NtOpenProcess @ 0x805C13E2 -> HOOKED (Unknown @ 0xBA7015C0)
SSDT[128] : NtOpenThread @ 0x805C166E -> HOOKED (Unknown @ 0xBA7015C5)
SSDT[193] : NtReplaceKey @ 0x8061CCB6 -> HOOKED (Unknown @ 0xBA7015FC)
SSDT[204] : NtRestoreKey @ 0x8061C5C2 -> HOOKED (Unknown @ 0xBA7015F7)
SSDT[206] : NtResumeThread @ 0x805CADE0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB40DC)
SSDT[224] : NtSetInformationFile @ 0x80570376 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4CE0)
SSDT[247] : NtSetValueKey @ 0x80619154 -> HOOKED (Unknown @ 0xBA7015E8)
SSDT[274] : NtWriteFile @ 0x8057233A -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4BB2)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] sfsync02.sys @ 0xBA0E98B4)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3160021A +++++
--- User ---
[MBR] 0cb782d9cb83a9854acc3e5bae878fce
[BSP] 915ef25eae400d47896df96a4b0f83f4 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 4392 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 8996400 | Size: 148224 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[9].txt >>

et ensuite, j'ai fait supression, qui donne ceci :

RogueKiller V8.0.3 [13/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : HP_Propriétaire [Droits d'admin]
Mode : Suppression -- Date : 17/09/2012 15:17:13

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x805B1D78 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4F80)
SSDT[37] : NtCreateFile @ 0x8056E36E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4552)
SSDT[41] : NtCreateKey @ 0x8061ABE2 -> HOOKED (Unknown @ 0xBA7015DE)
SSDT[47] : NtCreateProcess @ 0x805C7576 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB3A1A)
SSDT[48] : NtCreateProcessEx @ 0x805C74C0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB3910)
SSDT[53] : NtCreateThread @ 0x805C735E -> HOOKED (Unknown @ 0xBA7015D4)
SSDT[62] : NtDeleteFile @ 0x8056BF0E -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB5034)
SSDT[63] : NtDeleteKey @ 0x8061B07E -> HOOKED (Unknown @ 0xBA7015E3)
SSDT[65] : NtDeleteValueKey @ 0x8061B24E -> HOOKED (Unknown @ 0xBA7015ED)
SSDT[97] : NtLoadDriver @ 0x80579694 -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB4B71F64)
SSDT[98] : NtLoadKey @ 0x8061CE06 -> HOOKED (Unknown @ 0xBA7015F2)
SSDT[108] : NtMapViewOfSection @ 0x805A75AE -> HOOKED (\SystemRoot\system32\drivers\khips.sys @ 0xB4B7224A)
SSDT[116] : NtOpenFile @ 0x8056F48C -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4906)
SSDT[119] : NtOpenKey @ 0x8061BFC0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB0B78)
SSDT[122] : NtOpenProcess @ 0x805C13E2 -> HOOKED (Unknown @ 0xBA7015C0)
SSDT[128] : NtOpenThread @ 0x805C166E -> HOOKED (Unknown @ 0xBA7015C5)
SSDT[193] : NtReplaceKey @ 0x8061CCB6 -> HOOKED (Unknown @ 0xBA7015FC)
SSDT[204] : NtRestoreKey @ 0x8061C5C2 -> HOOKED (Unknown @ 0xBA7015F7)
SSDT[206] : NtResumeThread @ 0x805CADE0 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB40DC)
SSDT[224] : NtSetInformationFile @ 0x80570376 -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4CE0)
SSDT[247] : NtSetValueKey @ 0x80619154 -> HOOKED (Unknown @ 0xBA7015E8)
SSDT[274] : NtWriteFile @ 0x8057233A -> HOOKED (\SystemRoot\system32\drivers\fwdrv.sys @ 0xB4DB4BB2)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : atapi.sys -> HOOKED ([MAJOR] sfsync02.sys @ 0xBA0E98B4)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3160021A +++++
--- User ---
[MBR] 0cb782d9cb83a9854acc3e5bae878fce
[BSP] 915ef25eae400d47896df96a4b0f83f4 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 63 | Size: 4392 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 8996400 | Size: 148224 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[10].txt >>

Donc, j'ai relancé adwcleaner sur recherche et qui donne ça :

# AdwCleaner v2.001 - Rapport créé le 13/09/2012 à 09:50:40
# Mis à jour le 09/09/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : HP_Propriétaire - CATHERINE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\HP_Propriétaire\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : Browser Manager

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\IBUpdaterService
Dossier Supprimé : C:\Documents and Settings\HP_Propriétaire\Application Data\Toolbar4
Dossier Supprimé : C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Conduit
Dossier Supprimé : C:\Program Files\Conduit
Supprimé au redémarrage : C:\Documents and Settings\All Users\Application Data\Browser Manager

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\bProtector
Clé Supprimée : HKCU\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\Headlight
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}
Clé Supprimée : HKCU\Software\SmartBar
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\TBSB02609
Clé Supprimée : HKLM\Software\bProtector
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{35C1605E-438B-4D64-AAB1-8885F097A9B1}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4CE516A7-F7AC-4628-B411-8F886DC5733E}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{4E1E9D45-8BF9-4139-915C-9F83CC3D5921}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{B12E99ED-69BD-437C-86BE-C862B9E5444D}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D7EE8177-D51E-4F89-92B6-83EA2EC40800}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortApp.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escortEng.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escorTlbr.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbCommonUtils.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\TbHelper.EXE
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1C950DE5-D31E-42FB-AFB9-91B0161633D8}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3BDF4CE9-E81D-432B-A55E-9F0570CE811F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3BF72F68-72D8-461D-A884-329D936C5581}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{78E9D883-93CD-4072-BEF3-38EE581E2839}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{80922EE0-8A76-46AE-95D5-BD3C3FE0708D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{83AC1413-FCE4-4A46-9DD5-4F31F306E71F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9F34B17E-FF0D-4FAB-97C4-9713FEE79052}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A9A56B8E-2DEB-4ED3-BC92-1FA450BCE1A5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{AE338F6D-5A7C-4D1D-86E3-C618532079B5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C339D489-FABC-41DD-B39D-276101667C70}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D433A9D0-8267-40CB-8AD5-24F22FA5373F}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D565B35E-B787-40FA-95E3-E3562F8FC1A0}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{D89031C2-10DA-4C90-9A62-FCED012BC46B}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FE9271F2-6EFD-44B0-A826-84C829536E93}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{01221FCC-4BFB-461C-B08C-F6D2DF309921}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{0FA32667-9A8A-4E9C-902F-CA3323180003}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{2A42D13C-D427-4787-821B-CF6973855778}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{3D8478AA-7B88-48A9-8BCB-B85D594411EC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{452AE416-9A97-44CA-93DA-D0F15C36254F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{45CDA4F7-594C-49A0-AAD1-8224517FE979}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{45D59156-647B-4B06-B20E-0E297A1077BD}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4D8ED2B3-DC62-43EC-ABA3-5B74F046B1BE}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{6B458F62-592F-4B25-8967-E6A350A59328}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{81E852CC-1FD5-4004-8761-79A48B975E29}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{95B6A271-FEB4-4160-B0FF-44394C21C8DC}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B2CA345D-ADB8-4F5D-AC64-4AB34322F659}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{B9F43021-60D4-42A6-A065-9BA37F38AC47}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BF921DD3-732A-4A11-933B-A5EA49F2FD2C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{D83B296A-2FA6-425B-8AE8-A1F33D99FBD6}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FCC9CDD3-EFFF-11D1-A9F0-00A0244AC403}
Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages
Clé Supprimée : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils
Clé Supprimée : HKLM\SOFTWARE\Classes\TbCommonUtils.CommonUtils.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbDownloadManager.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbPropertyManager.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbRequest
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbRequest.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbTask
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.TbTask.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper
Clé Supprimée : HKLM\SOFTWARE\Classes\TbHelper.ToolbarHelper.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3227983
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.ContextMenuNotifier
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.ContextMenuNotifier.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.CustomInternetSecurityImpl
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.CustomInternetSecurityImpl.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.SearchProviderManager
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.SearchProviderManager.1
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{B87F8B63-7274-43FD-87FA-09D3B7496148}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{C4BAE205-5E02-4E32-876E-F34B4E2D000C}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EC4085F2-8DB3-45A6-AD0B-CA289F3C5D7E}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\Iminent
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{628F3201-34D0-49C0-BB9A-82A26AEFB291}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C0924543-15FD-4F3D-889C-0B4562A9CB45}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{15D2D75C-9CB2-4EFD-BAD7-B9B4CB4BC693}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}
Clé Supprimée : HKU\S-1-5-21-1204821781-2210650053-3893445595-1008\Software\Microsoft\Internet Explorer\SearchScopes\{AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}]
Valeur Supprimée : HKCU\Software\Mozilla\Firefox\Extensions [{b64982b1-d112-42b5-b1e4-d3867c4533f8}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{CDB982ED-F9D6-4E3B-B94B-96F705D35AD1}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com/?st=5&barid={7D763BD3-7523-11E1-B0C4-5CD998A77DA1} --> hxxp://www.google.com

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

Supprimée [l.16] : homepage = "hxxp://home.sweetim.com/?barid={7D763BD3-7523-11E1-B0C4-5CD998A77DA1}",

*************************

AdwCleaner[R1].txt - [10211 octets] - [13/09/2012 09:48:04]
AdwCleaner[R2].txt - [10272 octets] - [13/09/2012 09:49:23]
AdwCleaner[S1].txt - [10766 octets] - [13/09/2012 09:50:40]

########## EOF - C:\AdwCleaner[S1].txt - [10827 octets] ##########


Mantenant je vais lancer malwarebytes et je donne le résultat :
0
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012
17 sept. 2012 à 18:56
Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.17.07

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
HP_Propriétaire :: CATHERINE [administrateur]

17/09/2012 16:39:39
mbam-log-2012-09-17 (16-39-39).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 334376
Temps écoulé: 2 heure(s), 11 minute(s), 5 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
0
Ordi sos Messages postés 255 Date d'inscription vendredi 14 septembre 2012 Statut Membre Dernière intervention 25 novembre 2012
Modifié par Ordi sos le 18/09/2012 à 16:02
Résolu
0

Discussions similaires

Infection d'une URL.blacklist
marina41 -
Malekal_morte- -

6 réponses
Infection ?
Tomy -
MisteryBean -

10 réponses
Infection ou pas ???
karissia -
helpcenter -

1 réponse
infection ou pas?
jpn1000 -
mcvivien2 -

5 réponses
Infection ad.doubleclick.net
93 -
93 -

66 réponses