Virus wintems.exe
Fermé
aupatx
-
29 janv. 2008 à 19:12
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 30 janv. 2008 à 21:42
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 30 janv. 2008 à 21:42
A voir également:
- Virus wintems.exe
- Virus mcafee - Accueil - Piratage
- Youtu.be virus - Accueil - Guide virus
- Virus facebook demande d'amis - Accueil - Facebook
- Faux message virus ordinateur - Accueil - Arnaque
- Svchost.exe virus - Guide
25 réponses
voici le log de Elibagla.
Hijack this ne veut pas se lancer (application win32 non valide, même erreur que avast)
Hijack this ne veut pas se lancer (application win32 non valide, même erreur que avast)
Tue Jan 29 19:04:39 2008 EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle Por favor, envienos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado. Por favor, envienos una muestra del fichero C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado. Restaurada Clave: "SafeBoot\Minimal y Network" Tue Jan 29 19:07:47 2008 EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 24026 Nº Total de Ficheros: 216327 Nº de Ficheros Analizados: 22144 Nº de Ficheros Infectados: 1 Nº de Ficheros Limpiados: 0
Voici le log de blacklight :
J'ai essayé de supprimer les fichiers wintems.exe et srosa.sys avec killbox mais les fichiers sont encore présents au reboot. Je ne peux pas booter en mode sans echec.
Quelqu'un aurait une idée?
01/29/08 20:56:24 [Info]: BlackLight Engine 1.0.67 initialized 01/29/08 20:56:24 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/29/08 20:56:24 [Note]: 7019 4 01/29/08 20:56:24 [Note]: 7005 0 01/29/08 20:56:36 [Note]: 7006 0 01/29/08 20:56:36 [Note]: 7011 2068 01/29/08 20:56:45 [Note]: 7026 0 01/29/08 20:56:54 [Note]: 7026 0 01/29/08 20:56:54 [Note]: 7024 3 01/29/08 20:56:54 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe 01/29/08 20:57:01 [Note]: FSRAW library version 1.7.1024 01/29/08 20:59:32 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll 01/29/08 20:59:32 [Note]: 10002 3 01/29/08 20:59:32 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 01/29/08 20:59:32 [Note]: 10002 3 01/29/08 20:59:32 [Note]: 10002 2 01/29/08 20:59:32 [Note]: 10002 2 01/29/08 20:59:47 [Note]: 10002 3 01/29/08 20:59:47 [Note]: 10002 3 01/29/08 20:59:47 [Note]: 10002 2 01/29/08 20:59:47 [Note]: 10002 2 01/29/08 20:59:50 [Info]: Hidden file: c:\Program Files\HPQ\Shared\hpqsmcs.dll 01/29/08 20:59:50 [Note]: 10002 3 01/29/08 20:59:50 [Info]: Hidden file: c:\Program Files\HPQ\Shared\HpqToaster.exe 01/29/08 20:59:50 [Note]: 10002 3 01/29/08 20:59:50 [Note]: 10002 2 01/29/08 20:59:50 [Note]: 10002 2 01/29/08 20:59:56 [Note]: 10002 3 01/29/08 20:59:56 [Note]: 10002 3 01/29/08 20:59:56 [Note]: 10002 2 01/29/08 20:59:56 [Note]: 10002 2 01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt 01/29/08 21:00:58 [Note]: 10002 3 01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml 01/29/08 21:00:58 [Note]: 10002 3 01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png 01/29/08 21:00:58 [Note]: 10002 3 01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png 01/29/08 21:00:58 [Note]: 10002 3 01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt 01/29/08 21:00:58 [Note]: 10002 3 01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg 01/29/08 21:00:58 [Note]: 10002 3 01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg 01/29/08 21:00:58 [Note]: 10002 3 01/29/08 21:00:58 [Note]: 10002 2 01/29/08 21:00:58 [Note]: 10002 2 01/29/08 21:07:49 [Note]: 10002 2 01/29/08 21:07:49 [Note]: 10002 2 01/29/08 21:09:02 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe 01/29/08 21:09:02 [Note]: 10002 2 01/29/08 21:09:25 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys 01/29/08 21:09:25 [Note]: 10002 2 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14713125.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\126484.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\132750.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\139812.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\142968.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14635468.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14638640.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14645140.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14645406.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14653203.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14657421.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14660828.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14675250.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14675281.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14680562.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14703203.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14704312.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14705265.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14706906.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14714718.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14715515.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14724828.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14725109.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14726765.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14728078.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14751937.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14753703.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14756171.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\152015.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\152578.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\158484.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\173156.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\178562.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\179921.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\182203.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\186734.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\188296.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\189750.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\190125.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\190546.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\196500.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\198031.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\224093.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\229656.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\231140.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\76953.exe 01/29/08 21:09:30 [Note]: 10002 3 01/29/08 21:09:30 [Note]: 10002 2 01/29/08 21:09:30 [Note]: 10002 2 01/29/08 21:14:03 [Note]: 7007 0
J'ai essayé de supprimer les fichiers wintems.exe et srosa.sys avec killbox mais les fichiers sont encore présents au reboot. Je ne peux pas booter en mode sans echec.
Quelqu'un aurait une idée?
un conseil pour l’avenir
Pour ne attraper de virus pas il ne faut jamais utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.
Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm
Pour ne attraper de virus pas il ne faut jamais utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.
Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm
Personne n'aurait une idée?
J'ai essayé le combofix, mais cela m'ouvre un terminal bleu avec rien dedans.
J'ai essayé le combofix, mais cela m'ouvre un terminal bleu avec rien dedans.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
30 janv. 2008 à 09:57
30 janv. 2008 à 09:57
bonjour je regarde tes rapports
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
30 janv. 2008 à 10:05
30 janv. 2008 à 10:05
si tu as téléchargé des cracks, et c'est le cas puisque c'est comme cela que bagle s'installe, supprime les car ils relancent l'infection dès que les ouvres
suis mes consignes dans l'ordre
supprime ta version de eliblagla, car il faut toujours la toute dernière version
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,
clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
c'est tout pour le moment
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.
il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt
Si, dans le rapport, tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer.
relance blacklight et poste le rapport obtenu
avec un rapport hijack this
suis mes consignes dans l'ordre
supprime ta version de eliblagla, car il faut toujours la toute dernière version
Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,
clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
c'est tout pour le moment
Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
C:\WINDOWS\system32\wintems.exe c:\WINDOWS\system32\drivers\srosa.sys c:\WINDOWS\system32\drivers\down C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE
clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.
il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.
ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt
Si, dans le rapport, tu vois un texte semblable à celui-ci
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;
envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).
L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer.
relance blacklight et poste le rapport obtenu
avec un rapport hijack this
Rapport MoveIT :
Rapport elibagle :
Je ne peux pas lancer Hijack, erreur win32
Blacklight est en train de scanner
J'ai déjà envoyé le fichier srosa.sys hier soir.
Merci beaucoup de m'aider
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot. File move failed. c:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot. c:\WINDOWS\system32\drivers\down moved successfully. File/Folder C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE not found. OTMoveIt2 v1.0.15 log created on 01302008_100830
Rapport elibagle :
Wed Jan 30 10:14:04 2008 EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Acción Directa): C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado. Por favor, envienos una muestra del fichero C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93 a "virus@satinfo.es". Gracias. C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado. Wed Jan 30 10:14:09 2008 EliBagle v10.93 (c)2008 S.G.H. / Satinfo S.L. ---------------------------------------------- Lista de Acciones (por Exploración): Explorando Unidad C:\ Nº Total de Directorios: 24029 Nº Total de Ficheros: 216605 Nº de Ficheros Analizados: 22172 Nº de Ficheros Infectados: 1 Nº de Ficheros Limpiados: 0
Je ne peux pas lancer Hijack, erreur win32
Blacklight est en train de scanner
J'ai déjà envoyé le fichier srosa.sys hier soir.
Merci beaucoup de m'aider
Voici le log blacklight :
01/30/08 10:28:48 [Info]: BlackLight Engine 1.0.67 initialized 01/30/08 10:28:48 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/30/08 10:28:48 [Note]: 7019 4 01/30/08 10:28:48 [Note]: 7005 0 01/30/08 10:28:59 [Note]: 7006 0 01/30/08 10:28:59 [Note]: 7011 1392 01/30/08 10:29:08 [Note]: 7026 0 01/30/08 10:29:16 [Note]: 7026 0 01/30/08 10:29:16 [Note]: 7024 3 01/30/08 10:29:16 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe 01/30/08 10:29:24 [Note]: FSRAW library version 1.7.1024 01/30/08 10:31:58 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll 01/30/08 10:31:58 [Note]: 10002 3 01/30/08 10:31:58 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe 01/30/08 10:31:58 [Note]: 10002 3 01/30/08 10:31:58 [Note]: 10002 2 01/30/08 10:31:58 [Note]: 10002 2 01/30/08 10:32:15 [Note]: 10002 3 01/30/08 10:32:15 [Note]: 10002 3 01/30/08 10:32:15 [Note]: 10002 2 01/30/08 10:32:15 [Note]: 10002 2 01/30/08 10:32:18 [Info]: Hidden file: c:\Program Files\HPQ\Shared\hpqsmcs.dll 01/30/08 10:32:18 [Note]: 10002 3 01/30/08 10:32:18 [Info]: Hidden file: c:\Program Files\HPQ\Shared\HpqToaster.exe 01/30/08 10:32:18 [Note]: 10002 3 01/30/08 10:32:18 [Note]: 10002 2 01/30/08 10:32:18 [Note]: 10002 2 01/30/08 10:32:24 [Note]: 10002 3 01/30/08 10:32:24 [Note]: 10002 3 01/30/08 10:32:24 [Note]: 10002 2 01/30/08 10:32:24 [Note]: 10002 2 01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt 01/30/08 10:33:27 [Note]: 10002 3 01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml 01/30/08 10:33:27 [Note]: 10002 3 01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png 01/30/08 10:33:27 [Note]: 10002 3 01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png 01/30/08 10:33:27 [Note]: 10002 3 01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt 01/30/08 10:33:27 [Note]: 10002 3 01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg 01/30/08 10:33:27 [Note]: 10002 3 01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg 01/30/08 10:33:27 [Note]: 10002 3 01/30/08 10:33:27 [Note]: 10002 2 01/30/08 10:33:27 [Note]: 10002 2 01/30/08 10:40:53 [Note]: 10002 2 01/30/08 10:40:53 [Note]: 10002 2 01/30/08 10:42:06 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe 01/30/08 10:42:06 [Note]: 10002 2 01/30/08 10:42:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys 01/30/08 10:42:30 [Note]: 10002 2 01/30/08 10:42:35 [Note]: 10002 2 01/30/08 10:42:35 [Note]: 10002 2 01/30/08 10:45:18 [Note]: 7007 0
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
30 janv. 2008 à 10:56
30 janv. 2008 à 10:56
relance blacklight et fais rename
puis poste le rapport obtenu
puis poste le rapport obtenu
J'ai fais un premier scan, j'ai fais rename (pour tout), reboot.
Un second scan dont voici le log :
Un second scan dont voici le log :
01/30/08 11:21:44 [Info]: BlackLight Engine 1.0.67 initialized 01/30/08 11:21:44 [Info]: OS: 5.1 build 2600 (Service Pack 2) 01/30/08 11:21:44 [Note]: 7019 4 01/30/08 11:21:44 [Note]: 7005 0 01/30/08 11:21:59 [Note]: 7006 0 01/30/08 11:21:59 [Note]: 7011 1592 01/30/08 11:22:09 [Note]: 7026 0 01/30/08 11:22:18 [Note]: 7026 0 01/30/08 11:22:18 [Note]: 7024 3 01/30/08 11:22:18 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe 01/30/08 11:22:27 [Note]: FSRAW library version 1.7.1024 01/30/08 11:24:03 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll.ren 01/30/08 11:24:03 [Note]: 10002 3 01/30/08 11:24:03 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe.ren 01/30/08 11:24:03 [Note]: 10002 3 01/30/08 11:24:03 [Note]: 10002 2 01/30/08 11:24:03 [Note]: 10002 2 01/30/08 11:24:15 [Note]: 10002 3 01/30/08 11:24:15 [Note]: 10002 3 01/30/08 11:24:15 [Note]: 10002 2 01/30/08 11:24:15 [Note]: 10002 2 01/30/08 11:24:17 [Info]: Hidden file: c:\Program Files\HPQ\Shared\hpqsmcs.dll.ren 01/30/08 11:24:17 [Note]: 10002 3 01/30/08 11:24:17 [Info]: Hidden file: c:\Program Files\HPQ\Shared\HpqToaster.exe.ren 01/30/08 11:24:17 [Note]: 10002 3 01/30/08 11:24:17 [Note]: 10002 2 01/30/08 11:24:17 [Note]: 10002 2 01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt.ren 01/30/08 11:25:15 [Note]: 10002 3 01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml.ren 01/30/08 11:25:15 [Note]: 10002 3 01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png.ren 01/30/08 11:25:15 [Note]: 10002 3 01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png.ren 01/30/08 11:25:15 [Note]: 10002 3 01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt.ren 01/30/08 11:25:15 [Note]: 10002 3 01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg.ren 01/30/08 11:25:15 [Note]: 10002 3 01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg.ren 01/30/08 11:25:15 [Note]: 10002 3 01/30/08 11:25:15 [Note]: 10002 2 01/30/08 11:25:15 [Note]: 10002 2 01/30/08 11:26:43 [Note]: 10002 3 01/30/08 11:26:43 [Note]: 10002 3 01/30/08 11:26:43 [Note]: 10002 2 01/30/08 11:26:43 [Note]: 10002 2 01/30/08 11:31:29 [Note]: 10002 2 01/30/08 11:31:29 [Note]: 10002 2 01/30/08 11:32:54 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe 01/30/08 11:32:54 [Note]: 10002 2 01/30/08 11:33:20 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys 01/30/08 11:33:20 [Note]: 10002 2 01/30/08 11:33:26 [Note]: 10002 2 01/30/08 11:33:26 [Note]: 10002 2 01/30/08 11:36:22 [Note]: 7007 0
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
30 janv. 2008 à 11:44
30 janv. 2008 à 11:44
* Télécharge Gmer
http://www2.gmer.net/gmer.zip
* décompresse-le.
* Double-clique sur l'icone Gmer, puis sélectionne l'onglet "Rootkit" ; vérifie que tout soit coché à droite :
1. System
2. Devices
3. Proceses
4. Libraries
5. Modules
6. Services
7. Registry
8. Files
Clique ensuite sur "Scan" et laisse-le faire son travail.
poste le rapport obtenu et un rapport hiacj this si possible
http://www2.gmer.net/gmer.zip
* décompresse-le.
* Double-clique sur l'icone Gmer, puis sélectionne l'onglet "Rootkit" ; vérifie que tout soit coché à droite :
1. System
2. Devices
3. Proceses
4. Libraries
5. Modules
6. Services
7. Registry
8. Files
Clique ensuite sur "Scan" et laisse-le faire son travail.
poste le rapport obtenu et un rapport hiacj this si possible
aupatx
Messages postés
6
Date d'inscription
mercredi 30 janvier 2008
Statut
Membre
Dernière intervention
30 janvier 2008
30 janv. 2008 à 12:44
30 janv. 2008 à 12:44
Voici le log en plusieurs post :
GMER 1.0.14.14116 - http://www.gmer.net Rootkit scan 2008-01-30 12:17:36 Windows 5.1.2600 Service Pack 2 ---- System - GMER 1.0.14 ---- SSDT sptd.sys ZwCreateKey [0xBA6D9AC8] SSDT sptd.sys ZwEnumerateKey [0xBA6D9C22] SSDT sptd.sys ZwEnumerateValueKey [0xBA6D9F9A] SSDT sptd.sys ZwOpenKey [0xBA6D998E] SSDT sptd.sys ZwQueryKey [0xBA6DA064] SSDT sptd.sys ZwQueryValueKey [0xBA6D9EFC] SSDT sptd.sys ZwSetValueKey [0xBA6DA0EC] Code \??\C:\WINDOWS\system32\drivers\srosa.sys ZwOpenProcess [0x9DE3A31C] Code \??\C:\WINDOWS\system32\drivers\srosa.sys ZwQuerySystemInformation [0x9DE3FB16] Code \??\C:\WINDOWS\system32\drivers\srosa.sys NtOpenProcess Code \??\C:\WINDOWS\system32\drivers\srosa.sys NtQuerySystemInformation ---- Kernel code sections - GMER 1.0.14 ---- PAGE ntkrnlpa.exe!ZwCancelIoFile + 141 80575AB5 7 Bytes JMP 9DE3A3CE \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!ZwRemoveIoCompletion + 12F1 80577ECD 7 Bytes JMP 9DE3F24A \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!NtUnlockFile + 809 80578CAD 7 Bytes JMP 9DE3F968 \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!NtNotifyChangeDirectoryFile + 2B3 80578FCB 7 Bytes JMP 9DE3F368 \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!NtQueryInformationFile + 5C7 80579E33 7 Bytes JMP 9DE3A41E \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!NtOpenProcess 805C9CFE 5 Bytes JMP 9DE3A320 \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!NtQuerySystemInformation 8060F89C 2 Bytes JMP 9DE3FB1A \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!NtQuerySystemInformation + 3 8060F89F 2 Bytes [ 83, 1D ] PAGE ntkrnlpa.exe!ZwSaveMergedKeys + B5 806207BF 7 Bytes JMP 9DE3A546 \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!ZwCreateKey + 48B 8062258F 1 Byte [ E9 ] PAGE ntkrnlpa.exe!ZwCreateKey + 48D 80622591 5 Bytes [ 83, 81, 1D, EB, F9 ] PAGE ntkrnlpa.exe!ZwDeleteKey + 1CB 8062275F 7 Bytes JMP 9DE3A760 \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!ZwDeleteValueKey + 1DB 8062293F 7 Bytes JMP 9DE3F6C2 \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!ZwEnumerateKey + 265 80622BA9 7 Bytes JMP 9DE3F418 \??\C:\WINDOWS\system32\drivers\srosa.sys PAGE ntkrnlpa.exe!ZwOpenKey + 31F 806237B9 7 Bytes JMP 9DE3FD4A \??\C:\WINDOWS\system32\drivers\srosa.sys ? C:\WINDOWS\system32\drivers\sptd.sys The process cannot access the file because it is being used by another process. ? C:\WINDOWS\System32\Drivers\SPTD3613.SYS The process cannot access the file because it is being used by another process. .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 AA30F4F0 16 Bytes [ CF, 7E, CA, 0F, 34, 93, FD, ... ] .text dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11 AA30F501 31 Bytes [ E0, 30, AA, 6B, 50, A0, E4, ... ] ? C:\WINDOWS\System32\Drivers\dtscsi.sys The process cannot access the file because it is being used by another process. ---- User code sections - GMER 1.0.14 ---- .text C:\Program Files\MSN Messenger\msnmsgr.exe[4844] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 004DE392 C:\Program Files\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation) ---- Kernel IAT/EAT - GMER 1.0.14 ---- IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [BA6D5AD2] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [BA6D5C0E] sptd.sys IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [BA6D5B96] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [BA6D676C] sptd.sys IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [BA6D6642] sptd.sys IAT \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6F8056] sptd.sys ---- Devices - GMER 1.0.14 ---- Device \FileSystem\Ntfs \Ntfs 8A31AEB0 Device \FileSystem\Fastfat \FatCdrom 88962EB0 AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.) Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A2CD9C0 Device \Driver\dmio \Device\DmControl\DmConfig 8A2CD9C0 Device \Driver\dmio \Device\DmControl\DmPnP 8A2CD9C0 Device \Driver\dmio \Device\DmControl\DmInfo 8A2CD9C0 Device \Driver\NetBT \Device\NetBT_Tcpip_{83092126-C468-4464-BC56-FED82F08B9FE} 889DB690 Device \Driver\00000056 \Device\00000061 sptd.sys Device \Driver\NetBT \Device\NetBT_Tcpip_{6832B512-2AD4-4B7B-99AD-9B3DAC7324C1} 889DB690 Device \Driver\Ftdisk \Device\HarddiskVolume1 8A2CDC78 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume1 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume2 8A2CDC78 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume2 snapman.sys (Acronis Snapshot API/Acronis) Device \FileSystem\Rdbss \Device\FsWrap 88C67A80 Device \Driver\iaStor \Device\Ide\iaStor0 8A2CD450 Device \Driver\iaStor \Device\Ide\IAAStorageDevice-0 8A2CD450 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A2CDC78 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume3 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume4 8A2CDC78 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume4 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\Ftdisk \Device\HarddiskVolume5 8A2CDC78 AttachedDevice \Driver\Ftdisk \Device\HarddiskVolume5 snapman.sys (Acronis Snapshot API/Acronis) Device \Driver\NetBT \Device\NetBt_Wins_Export 889DB690 Device \Driver\NetBT \Device\NetbiosSmb 889DB690 Device \Driver\NetBT \Device\NetBT_Tcpip_{E44FAC4F-AC5F-4D65-B685-4640663BF20E} 889DB690 Device \Driver\Disk \Device\Harddisk0\DR0 8A31A0E8 Device \Driver\Disk \Device\Harddisk1\DR6 8A31A0E8 Device \Driver\Disk \Device\Harddisk1\DP(1)0-0+7 8A31A0E8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 88AC30E8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 88AC30E8 Device \FileSystem\Npfs \Device\NamedPipe 88B7E0E8 Device \Driver\Ftdisk \Device\FtControl 8A2CDC78 Device \FileSystem\Msfs \Device\Mailslot 88A504D8 Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 88B640E8 Device \Driver\dtscsi \Device\Scsi\dtscsi1 88B640E8 Device \FileSystem\Fastfat \Fat 88962EB0 Device \FileSystem\Cdfs \Cdfs 88A9DD18 ---- Processes - GMER 1.0.14 ---- Process C:\WINDOWS\system32\wintems.exe (*** hidden *** )
aupatx
Messages postés
6
Date d'inscription
mercredi 30 janvier 2008
Statut
Membre
Dernière intervention
30 janvier 2008
30 janv. 2008 à 12:47
30 janv. 2008 à 12:47
---- Files - GMER 1.0.14 ---- File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared 0 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics 0 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage 0 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\grey_callout.gif 742 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\ov_high.gif 727 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\ov_med.gif 310 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\tu-sa_high.gif 772 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\tu-sa_med.gif 449 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wn-fs_high.gif 745 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wn-fs_med.gif 690 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wr-mi_high.gif 784 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wr-mi_med.gif 460 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons 0 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool 0 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_closed.gif 53 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_closed_hov.gif 53 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_open.gif 52 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_open_hov.gif 52 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\html 0 bytes File C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\html\shared.css 4117 bytes File C:\Program Files\Movie Maker\shared 0 bytes File C:\Program Files\Movie Maker\shared\empty.txt.ren 18 bytes File C:\Program Files\Movie Maker\shared\filters.xml.ren 7591 bytes File C:\Program Files\Movie Maker\shared\news.png.ren 138660 bytes File C:\Program Files\Movie Maker\shared\paint.png.ren 67213 bytes File C:\Program Files\Movie Maker\shared\profiles 0 bytes File C:\Program Files\Movie Maker\shared\profiles\blank.txt.ren 21 bytes File C:\Program Files\Movie Maker\shared\sample1.jpg.ren 62732 bytes File C:\Program Files\Movie Maker\shared\sample2.jpg.ren 46822 bytes File C:\Program Files\HPQ\Shared 0 bytes File C:\Program Files\HPQ\Shared\hpqsmcs.dll.ren 106496 bytes File C:\Program Files\HPQ\Shared\HpqToaster.exe.ren 491606 bytes File C:\Program Files\Hewlett-Packard\Shared 0 bytes File C:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll.ren 176128 bytes File C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe.ren 135168 bytes File C:\RECYCLER\S-1-5-21-776561741-616249376-725345543-500\Dc3\hldrrr.exe 705517 bytes File C:\RECYCLER\S-1-5-21-776561741-616249376-725345543-500\Dc3\srosa.sys 118618 bytes File C:\RECYCLER\S-1-5-21-776561741-616249376-725345543-500\Dc3\wintems.exe 71172 bytes File C:\WINDOWS\system32\wintems.exe 71172 bytes File C:\WINDOWS\system32\drivers\srosa.sys 118618 bytes <-- ROOTKIT !!! File C:\WINDOWS\system32\drivers\down 0 bytes File C:\WINDOWS\ime\shared 0 bytes File C:\WINDOWS\ime\shared\res 0 bytes File C:\_OTMoveIt\MovedFiles\01302008_100830\WINDOWS\system32\drivers\down 0 bytes ---- Services - GMER 1.0.14 ---- Service C:\WINDOWS\system32\drivers\srosa.sys [SYSTEM] srosa <-- ROOTKIT !!! ---- EOF - GMER 1.0.14 ----
aupatx
Messages postés
6
Date d'inscription
mercredi 30 janvier 2008
Statut
Membre
Dernière intervention
30 janvier 2008
30 janv. 2008 à 12:51
30 janv. 2008 à 12:51
Je ne peux pas poster les clé registres, il y en a beaucoup trop. Le fichier log fait 2,5mo.
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
30 janv. 2008 à 14:29
30 janv. 2008 à 14:29
démarrer>Exécuter>cmd :
gmer -killall
gmer -del service srosa.sys
gmer -del file "E:\WINDOWS\system32\drivers\hldrrr.exe"
gmer -del file "E:\WINDOWS\system32\wintems.exe"
gmer -del file "E:\WINDOWS\system32\drivers\srosa.sys"
relance ensuite blacklight et poste les rapports obtenus
dis moi si ton antivirus s'est réactivé, si oui, désactive le,
télécharge antivir,
https://www.pcastuces.com/logitheque/antivir.htm
scanne ton Pc avec et poste le rappport obtenu
gmer -killall
gmer -del service srosa.sys
gmer -del file "E:\WINDOWS\system32\drivers\hldrrr.exe"
gmer -del file "E:\WINDOWS\system32\wintems.exe"
gmer -del file "E:\WINDOWS\system32\drivers\srosa.sys"
relance ensuite blacklight et poste les rapports obtenus
dis moi si ton antivirus s'est réactivé, si oui, désactive le,
télécharge antivir,
https://www.pcastuces.com/logitheque/antivir.htm
scanne ton Pc avec et poste le rappport obtenu
aupatx
Messages postés
6
Date d'inscription
mercredi 30 janvier 2008
Statut
Membre
Dernière intervention
30 janvier 2008
30 janv. 2008 à 16:06
30 janv. 2008 à 16:06
j'ai essayé les commandes mais j'ai plusieurs soucis :
- gmer -del service srosa.sys => on me signale une erreur de syntaxe
-gmer -del file "E:\WINDOWS\system32\drivers\hldrrr.exe"
gmer -del file "E:\WINDOWS\system32\wintems.exe"
gmer -del file "E:\WINDOWS\system32\drivers\srosa.sys"
Erreur : le programme gmer a du se couper ....
J'ai donc réussi à supprimer les fichiers sous linux.
Blacklight ne trouve pas de fichier cachés.
Voici un log HijackThis (qui se lance enfin :) ) :
Je lance antivir :)
- gmer -del service srosa.sys => on me signale une erreur de syntaxe
-gmer -del file "E:\WINDOWS\system32\drivers\hldrrr.exe"
gmer -del file "E:\WINDOWS\system32\wintems.exe"
gmer -del file "E:\WINDOWS\system32\drivers\srosa.sys"
Erreur : le programme gmer a du se couper ....
J'ai donc réussi à supprimer les fichiers sous linux.
Blacklight ne trouve pas de fichier cachés.
Voici un log HijackThis (qui se lance enfin :) ) :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:04, on 2008-01-30 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\ActivIdentity\ActivClient Mini\acachsrv.exe C:\Program Files\ActivIdentity\ActivClient Mini\accoca.exe C:\WINDOWS\system32\agrsmsvc.exe C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe C:\Program Files\FarStone\DriveClone Pro\CBP\DCSchdler.exe C:\Program Files\FarStone\DriveClone Pro\EFB\efbfs.exe C:\WINDOWS\system32\IFXSPMGT.exe C:\Program Files\FarStone\DriveClone Pro\EFB\EfbSchedule.exe C:\WINDOWS\system32\IFXTCS.exe C:\Program Files\Common Files\LightScribe\LSSrvc.exe C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\Explorer.EXE C:\Program Files\HPQ\IAM\bin\asghost.exe C:\WINDOWS\system32\nutsrv4.exe C:\Program Files\ProtectTools\Embedded Security Software\PSDsrvc.EXE C:\WINDOWS\system32\PSIService.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\Novadigm\ManagementAgent\nvdkit.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\tardisnt.EXE c:\wamp\apache2\bin\httpd.exe c:\wamp\mysql\bin\mysqld-nt.exe C:\wamp\apache2\bin\httpd.exe C:\Program Files\ProtectTools\Embedded Security Software\PSDrt.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Analog Devices\Core\smax4pnp.exe C:\Program Files\ActivIdentity\ActivClient Mini\accrdsub.exe C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\Google\Gmail Notifier\gnotify.exe C:\Program Files\ActivIdentity\ActivClient Mini\acevents.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\MSN Messenger\msnmsgr.exe C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe C:\wamp\wampmanager.exe C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe C:\Program Files\iPod\bin\iPodService.exe C:\Apps\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\SAS\SAS9~1.1\CORE\SASEXE\SASOACT.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cergy.eisti.fr:3128 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16.*;172.17.*;42.*;1.1.1.1;*.eisti.fr;192.168.*;localhost O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [accrdsub] "C:\Program Files\ActivIdentity\ActivClient Mini\accrdsub.exe" O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\RATIONAL\RATION~1\NUTCROOT\bin\ncoeenv.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Apps\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ObjectDock] C:\Program Files\WinOSX\Administrator\ObjectDock\ObjectDock.exe O4 - HKCU\..\Run: [HSIMargin] C:\Program Files\WinOSX\Administrator\HSI\HSI.exe "C:\Program Files\WinOSX\Administrator\HSI\Margin.hss" O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: WampServer.lnk = C:\wamp\wampmanager.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/... O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O20 - AppInit_DLLs: APSHook.dll C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL O20 - Winlogon Notify: ackpbsc - C:\Program Files\ActivIdentity\ActivClient Mini\ackpbsc.dll O20 - Winlogon Notify: acunlock - C:\Program Files\ActivIdentity\ActivClient Mini\acunlock.dll O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll O20 - Winlogon Notify: OneCard - C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll O23 - Service: ActivClient Authentication Service (acachsrv) - ActivIdentity - C:\Program Files\ActivIdentity\ActivClient Mini\acachsrv.exe O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Program Files\ActivIdentity\ActivClient Mini\accoca.exe O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe O23 - Service: DriveClone Scheduler (DCScheduler) - Unknown owner - C:\Program Files\FarStone\DriveClone Pro\CBP\DCSchdlerSRVC.exe O23 - Service: Restore FarStone File Event Manager (efbfs) - FarStone Technology, Inc. - C:\Program Files\FarStone\DriveClone Pro\EFB\efbfs.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Desktop Manager 5.1.709.19590 (GoogleDesktopManager-091907-194040) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe O23 - Service: hpqwmiex - Unknown owner - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Program Files\ProtectTools\Embedded Security Software\PSDsrvc.EXE O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Radia Management Agent (rma) - Unknown owner - C:/Novadigm/ManagementAgent/nvdkit.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Tardis time service (Tardis) - Unknown owner - C:\WINDOWS\system32\tardisnt.EXE O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe -- End of file - 11998 bytes
Je lance antivir :)
papyber
Messages postés
6406
Date d'inscription
samedi 24 mars 2007
Statut
Contributeur sécurité
Dernière intervention
3 octobre 2010
257
30 janv. 2008 à 16:15
30 janv. 2008 à 16:15
O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe
à supprimer, tu vas te réinfecter dès que tu vas le lancer pour t'en servir
ton antivirus ne fonctionne toujours pas semble t il
télécharge antivir
https://www.pcastuces.com/logitheque/antivir.htm
et installe le puis scanne ton Pc avec et poste le rapport obtenu avec un rapport hijack this
essaie d'aller en mode sans échec avec F8 ou F5, pas autrement et dis moi ce que cela donne, si tu n'y arrives pas, n'essaie pas autrement dis le moi c'est tout
fais aussi ceci afin de supprimer tout ce qui a été renommé
Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/
* Coche uniquement cette case, décoche tout le reste :
- Recent Files, 30 days
Puis clic sur scan now, soit patient.
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages.
à supprimer, tu vas te réinfecter dès que tu vas le lancer pour t'en servir
ton antivirus ne fonctionne toujours pas semble t il
télécharge antivir
https://www.pcastuces.com/logitheque/antivir.htm
et installe le puis scanne ton Pc avec et poste le rapport obtenu avec un rapport hijack this
essaie d'aller en mode sans échec avec F8 ou F5, pas autrement et dis moi ce que cela donne, si tu n'y arrives pas, n'essaie pas autrement dis le moi c'est tout
fais aussi ceci afin de supprimer tout ce qui a été renommé
Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/
* Coche uniquement cette case, décoche tout le reste :
- Recent Files, 30 days
Puis clic sur scan now, soit patient.
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages.