Virus wintems.exe

Fermé
aupatx - 29 janv. 2008 à 19:12
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 - 30 janv. 2008 à 21:42
Bonjour,

Je pense avoir été infecté par un virus présent dans wintems.exe (désactivation de avast).
J'ai vu qu'il fallait utiliser Elibagla ou Hi jack this pour l'éradiqué mais pourriez vous m'indiquer la marche à suivre?


Merci
A voir également:

25 réponses

voici le log de Elibagla.
Hijack this ne veut pas se lancer (application win32 non valide, même erreur que avast)

	  Tue Jan 29 19:04:39 2008
EliBagle v10.93  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
C:\WINDOWS\SYSTEM32\BAN_LIST.TXT --> Eliminado Bagle
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.93
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE --> Bagle Acceso Denegado.
Restaurada Clave: "SafeBoot\Minimal y Network"

	  Tue Jan 29 19:07:47 2008
EliBagle v10.93  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   24026
Nº Total de Ficheros:      216327
Nº de Ficheros Analizados: 22144
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0
0
Voici le log de blacklight :
01/29/08 20:56:24 [Info]: BlackLight Engine 1.0.67 initialized
01/29/08 20:56:24 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/29/08 20:56:24 [Note]: 7019 4
01/29/08 20:56:24 [Note]: 7005 0
01/29/08 20:56:36 [Note]: 7006 0
01/29/08 20:56:36 [Note]: 7011 2068
01/29/08 20:56:45 [Note]: 7026 0
01/29/08 20:56:54 [Note]: 7026 0
01/29/08 20:56:54 [Note]: 7024 3
01/29/08 20:56:54 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
01/29/08 20:57:01 [Note]: FSRAW library version 1.7.1024
01/29/08 20:59:32 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll
01/29/08 20:59:32 [Note]: 10002 3
01/29/08 20:59:32 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
01/29/08 20:59:32 [Note]: 10002 3
01/29/08 20:59:32 [Note]: 10002 2
01/29/08 20:59:32 [Note]: 10002 2
01/29/08 20:59:47 [Note]: 10002 3
01/29/08 20:59:47 [Note]: 10002 3
01/29/08 20:59:47 [Note]: 10002 2
01/29/08 20:59:47 [Note]: 10002 2
01/29/08 20:59:50 [Info]: Hidden file: c:\Program Files\HPQ\Shared\hpqsmcs.dll
01/29/08 20:59:50 [Note]: 10002 3
01/29/08 20:59:50 [Info]: Hidden file: c:\Program Files\HPQ\Shared\HpqToaster.exe
01/29/08 20:59:50 [Note]: 10002 3
01/29/08 20:59:50 [Note]: 10002 2
01/29/08 20:59:50 [Note]: 10002 2
01/29/08 20:59:56 [Note]: 10002 3
01/29/08 20:59:56 [Note]: 10002 3
01/29/08 20:59:56 [Note]: 10002 2
01/29/08 20:59:56 [Note]: 10002 2
01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
01/29/08 21:00:58 [Note]: 10002 3
01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
01/29/08 21:00:58 [Note]: 10002 3
01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
01/29/08 21:00:58 [Note]: 10002 3
01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
01/29/08 21:00:58 [Note]: 10002 3
01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
01/29/08 21:00:58 [Note]: 10002 3
01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
01/29/08 21:00:58 [Note]: 10002 3
01/29/08 21:00:58 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
01/29/08 21:00:58 [Note]: 10002 3
01/29/08 21:00:58 [Note]: 10002 2
01/29/08 21:00:58 [Note]: 10002 2
01/29/08 21:07:49 [Note]: 10002 2
01/29/08 21:07:49 [Note]: 10002 2
01/29/08 21:09:02 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
01/29/08 21:09:02 [Note]: 10002 2
01/29/08 21:09:25 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/29/08 21:09:25 [Note]: 10002 2
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14713125.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\126484.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\132750.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\139812.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\142968.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14635468.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14638640.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14645140.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14645406.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14653203.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14657421.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14660828.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14675250.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14675281.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14680562.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14703203.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14704312.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14705265.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14706906.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14714718.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14715515.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14724828.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14725109.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14726765.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14728078.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14751937.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14753703.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\14756171.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\152015.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\152578.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\158484.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\173156.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\178562.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\179921.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\182203.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\186734.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\188296.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\189750.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\190125.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\190546.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\196500.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\198031.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\224093.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\229656.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\231140.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\down\76953.exe
01/29/08 21:09:30 [Note]: 10002 3
01/29/08 21:09:30 [Note]: 10002 2
01/29/08 21:09:30 [Note]: 10002 2
01/29/08 21:14:03 [Note]: 7007 0



J'ai essayé de supprimer les fichiers wintems.exe et srosa.sys avec killbox mais les fichiers sont encore présents au reboot. Je ne peux pas booter en mode sans echec.

Quelqu'un aurait une idée?
0
un conseil pour l’avenir
Pour ne attraper de virus pas il ne faut jamais utiliser XP en mode Administrateur
Windows XP crée un compte Administrateur pendant la procédure d'installation. La plupart des utilisateurs se simplifient la vie, croient-ils, en conservant ce compte pour exploiter leur machine. Un virus, un cheval de Troie ou une fausse manipulation peut donner le contrôle à un attaquant extérieur qui en tant qu'Administrateur aura alors tous pouvoirs pour supprimer des comptes, changer les mots de passe, installer des logiciels, supprimer les fichiers, etc...
En revanche, si vous utilisez votre machine avec des droits réduits, Utilisateur ou Utilisateur avec pouvoir, les dégâts possibles seront très limités. Je vous conseille donc de créer un utilisateur et d'utiliser ce mode pour travailler. Il suffira de repasser en mode Administrateur le temps nécessaire pour installer de nouveaux logiciels ou pour faire des opérations sur le système. Pour ceux qui ont besoin de repasser souvent en mode Administrateur, il existe une commande Exécuter comme... (en faisant clic droit) qui permet d'exécuter un programme en mode administrateur sans changer de session.

Plus de précision ici :
https://www.figer.com/Publications/xpgroupes.htm
0
Personne n'aurait une idée?

J'ai essayé le combofix, mais cela m'ouvre un terminal bleu avec rien dedans.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 janv. 2008 à 09:57
bonjour je regarde tes rapports
0
merci
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 janv. 2008 à 10:05
si tu as téléchargé des cracks, et c'est le cas puisque c'est comme cela que bagle s'installe, supprime les car ils relancent l'infection dès que les ouvres
suis mes consignes dans l'ordre

supprime ta version de eliblagla, car il faut toujours la toute dernière version

Rends toi sur ce site :
http://www.zonavirus.com/datos/descargas/95/elibagla.asp
tout en bas de cette page tu trouveras un outil à télécharger,
clique sur "escargar Elibagla" (le numéro de version change au fur et à mesure des mises à jour)
installe ce fichier sur le bureau.
c'est tout pour le moment

Télécharge OTMoveIt (de Old_Timer) sur ton Bureau.
http://download.bleepingcomputer.com/oldtimer/OTMoveIt2.exe
clic double sur OTMoveIt.exe pour le lancer.
copie la liste qui se trouve en citation ci-dessous,
et colle-la dans le cadre de gauche de OTMoveIt :
Paste List of Files/Folders to be moved.
C:\WINDOWS\system32\wintems.exe
c:\WINDOWS\system32\drivers\srosa.sys
c:\WINDOWS\system32\drivers\down
C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE

clique sur MoveIt! pour lancer la suppression.
le résultat apparaîtra dans le cadre Results.
clique sur Exit pour fermer.
poste le rapport situé dans C:\\\_OTMoveIt\MovedFiles.
il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Yes.

ensuite double-clic sur Elibagla.exe
>laisse la case "eliminar ficheros automaticamente" coché
>clique sur"explorar"
>laisse-le travailler
>poste le rapport final qui sera dans c:\infosat.txt

Si, dans le rapport, tu vois un texte semblable à celui-ci

Por favor, envienos una muestra del fichero
C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24
a "virus@satinfo.es". Gracias;

envoie ce(s) fichier(s) (dans l'exemple C:\Muestras\HLDRRR.EXE.Muestra EliBagle v10.24 ) à l'adresse e-mail indiquée (virus@satinfo.es).

L'outil a rencontré un fichier qu'il reconnait mais ne sait pas encore éradiquer.

relance blacklight et poste le rapport obtenu
avec un rapport hijack this



0
Rapport MoveIT :
File move failed. C:\WINDOWS\system32\wintems.exe scheduled to be moved on reboot.
File move failed. c:\WINDOWS\system32\drivers\srosa.sys scheduled to be moved on reboot.
c:\WINDOWS\system32\drivers\down moved successfully.
File/Folder C:\WINDOWS\SYSTEM32\DRIVERS\HLDRRR.EXE not found.
 
OTMoveIt2 v1.0.15 log created on 01302008_100830


Rapport elibagle :

  Wed Jan 30 10:14:04 2008
EliBagle v10.93  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\WINTEMS.EXE --> Bagle Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\SROSA.SYS.Muestra EliBagle v10.93
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DRIVERS\SROSA.SYS --> Bagle Acceso Denegado.

	  Wed Jan 30 10:14:09 2008
EliBagle v10.93  (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   24029
Nº Total de Ficheros:      216605
Nº de Ficheros Analizados: 22172
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  0


Je ne peux pas lancer Hijack, erreur win32

Blacklight est en train de scanner


J'ai déjà envoyé le fichier srosa.sys hier soir.

Merci beaucoup de m'aider
0
Voici le log blacklight :

01/30/08 10:28:48 [Info]: BlackLight Engine 1.0.67 initialized
01/30/08 10:28:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/30/08 10:28:48 [Note]: 7019 4
01/30/08 10:28:48 [Note]: 7005 0
01/30/08 10:28:59 [Note]: 7006 0
01/30/08 10:28:59 [Note]: 7011 1392
01/30/08 10:29:08 [Note]: 7026 0
01/30/08 10:29:16 [Note]: 7026 0
01/30/08 10:29:16 [Note]: 7024 3
01/30/08 10:29:16 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
01/30/08 10:29:24 [Note]: FSRAW library version 1.7.1024
01/30/08 10:31:58 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll
01/30/08 10:31:58 [Note]: 10002 3
01/30/08 10:31:58 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
01/30/08 10:31:58 [Note]: 10002 3
01/30/08 10:31:58 [Note]: 10002 2
01/30/08 10:31:58 [Note]: 10002 2
01/30/08 10:32:15 [Note]: 10002 3
01/30/08 10:32:15 [Note]: 10002 3
01/30/08 10:32:15 [Note]: 10002 2
01/30/08 10:32:15 [Note]: 10002 2
01/30/08 10:32:18 [Info]: Hidden file: c:\Program Files\HPQ\Shared\hpqsmcs.dll
01/30/08 10:32:18 [Note]: 10002 3
01/30/08 10:32:18 [Info]: Hidden file: c:\Program Files\HPQ\Shared\HpqToaster.exe
01/30/08 10:32:18 [Note]: 10002 3
01/30/08 10:32:18 [Note]: 10002 2
01/30/08 10:32:18 [Note]: 10002 2
01/30/08 10:32:24 [Note]: 10002 3
01/30/08 10:32:24 [Note]: 10002 3
01/30/08 10:32:24 [Note]: 10002 2
01/30/08 10:32:24 [Note]: 10002 2
01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt
01/30/08 10:33:27 [Note]: 10002 3
01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml
01/30/08 10:33:27 [Note]: 10002 3
01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png
01/30/08 10:33:27 [Note]: 10002 3
01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png
01/30/08 10:33:27 [Note]: 10002 3
01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt
01/30/08 10:33:27 [Note]: 10002 3
01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg
01/30/08 10:33:27 [Note]: 10002 3
01/30/08 10:33:27 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg
01/30/08 10:33:27 [Note]: 10002 3
01/30/08 10:33:27 [Note]: 10002 2
01/30/08 10:33:27 [Note]: 10002 2
01/30/08 10:40:53 [Note]: 10002 2
01/30/08 10:40:53 [Note]: 10002 2
01/30/08 10:42:06 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
01/30/08 10:42:06 [Note]: 10002 2
01/30/08 10:42:30 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/30/08 10:42:30 [Note]: 10002 2
01/30/08 10:42:35 [Note]: 10002 2
01/30/08 10:42:35 [Note]: 10002 2
01/30/08 10:45:18 [Note]: 7007 0
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 janv. 2008 à 10:56
relance blacklight et fais rename
puis poste le rapport obtenu
0
J'ai fais un premier scan, j'ai fais rename (pour tout), reboot.
Un second scan dont voici le log :

01/30/08 11:21:44 [Info]: BlackLight Engine 1.0.67 initialized
01/30/08 11:21:44 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/30/08 11:21:44 [Note]: 7019 4
01/30/08 11:21:44 [Note]: 7005 0
01/30/08 11:21:59 [Note]: 7006 0
01/30/08 11:21:59 [Note]: 7011 1592
01/30/08 11:22:09 [Note]: 7026 0
01/30/08 11:22:18 [Note]: 7026 0
01/30/08 11:22:18 [Note]: 7024 3
01/30/08 11:22:18 [Info]: Hidden process: C:\WINDOWS\system32\wintems.exe
01/30/08 11:22:27 [Note]: FSRAW library version 1.7.1024
01/30/08 11:24:03 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll.ren
01/30/08 11:24:03 [Note]: 10002 3
01/30/08 11:24:03 [Info]: Hidden file: c:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe.ren
01/30/08 11:24:03 [Note]: 10002 3
01/30/08 11:24:03 [Note]: 10002 2
01/30/08 11:24:03 [Note]: 10002 2
01/30/08 11:24:15 [Note]: 10002 3
01/30/08 11:24:15 [Note]: 10002 3
01/30/08 11:24:15 [Note]: 10002 2
01/30/08 11:24:15 [Note]: 10002 2
01/30/08 11:24:17 [Info]: Hidden file: c:\Program Files\HPQ\Shared\hpqsmcs.dll.ren
01/30/08 11:24:17 [Note]: 10002 3
01/30/08 11:24:17 [Info]: Hidden file: c:\Program Files\HPQ\Shared\HpqToaster.exe.ren
01/30/08 11:24:17 [Note]: 10002 3
01/30/08 11:24:17 [Note]: 10002 2
01/30/08 11:24:17 [Note]: 10002 2
01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\empty.txt.ren
01/30/08 11:25:15 [Note]: 10002 3
01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\filters.xml.ren
01/30/08 11:25:15 [Note]: 10002 3
01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\news.png.ren
01/30/08 11:25:15 [Note]: 10002 3
01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\paint.png.ren
01/30/08 11:25:15 [Note]: 10002 3
01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\profiles\blank.txt.ren
01/30/08 11:25:15 [Note]: 10002 3
01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample1.jpg.ren
01/30/08 11:25:15 [Note]: 10002 3
01/30/08 11:25:15 [Info]: Hidden file: c:\Program Files\Movie Maker\shared\sample2.jpg.ren
01/30/08 11:25:15 [Note]: 10002 3
01/30/08 11:25:15 [Note]: 10002 2
01/30/08 11:25:15 [Note]: 10002 2
01/30/08 11:26:43 [Note]: 10002 3
01/30/08 11:26:43 [Note]: 10002 3
01/30/08 11:26:43 [Note]: 10002 2
01/30/08 11:26:43 [Note]: 10002 2
01/30/08 11:31:29 [Note]: 10002 2
01/30/08 11:31:29 [Note]: 10002 2
01/30/08 11:32:54 [Info]: Hidden file: C:\WINDOWS\system32\wintems.exe
01/30/08 11:32:54 [Note]: 10002 2
01/30/08 11:33:20 [Info]: Hidden file: c:\WINDOWS\system32\drivers\srosa.sys
01/30/08 11:33:20 [Note]: 10002 2
01/30/08 11:33:26 [Note]: 10002 2
01/30/08 11:33:26 [Note]: 10002 2
01/30/08 11:36:22 [Note]: 7007 0
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 janv. 2008 à 11:44
* Télécharge Gmer
http://www2.gmer.net/gmer.zip
* décompresse-le.
* Double-clique sur l'icone Gmer, puis sélectionne l'onglet "Rootkit" ; vérifie que tout soit coché à droite :

1. System
2. Devices
3. Proceses
4. Libraries
5. Modules
6. Services
7. Registry
8. Files

Clique ensuite sur "Scan" et laisse-le faire son travail.

poste le rapport obtenu et un rapport hiacj this si possible
0
test
0
Désolé je n'arrive pas a poster le log (d'ou le "test"). Il est trop long?
0
aupatx Messages postés 6 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 12:44
Voici le log en plusieurs post :

GMER 1.0.14.14116 - http://www.gmer.net
Rootkit scan 2008-01-30 12:17:36
Windows 5.1.2600 Service Pack 2


---- System - GMER 1.0.14 ----

SSDT            sptd.sys                                                                                                                                                                                                                                                                                  ZwCreateKey [0xBA6D9AC8]
SSDT            sptd.sys                                                                                                                                                                                                                                                                                  ZwEnumerateKey [0xBA6D9C22]
SSDT            sptd.sys                                                                                                                                                                                                                                                                                  ZwEnumerateValueKey [0xBA6D9F9A]
SSDT            sptd.sys                                                                                                                                                                                                                                                                                  ZwOpenKey [0xBA6D998E]
SSDT            sptd.sys                                                                                                                                                                                                                                                                                  ZwQueryKey [0xBA6DA064]
SSDT            sptd.sys                                                                                                                                                                                                                                                                                  ZwQueryValueKey [0xBA6D9EFC]
SSDT            sptd.sys                                                                                                                                                                                                                                                                                  ZwSetValueKey [0xBA6DA0EC]

Code            \??\C:\WINDOWS\system32\drivers\srosa.sys                                                                                                                                                                                                                                                 ZwOpenProcess [0x9DE3A31C]
Code            \??\C:\WINDOWS\system32\drivers\srosa.sys                                                                                                                                                                                                                                                 ZwQuerySystemInformation [0x9DE3FB16]
Code            \??\C:\WINDOWS\system32\drivers\srosa.sys                                                                                                                                                                                                                                                 NtOpenProcess
Code            \??\C:\WINDOWS\system32\drivers\srosa.sys                                                                                                                                                                                                                                                 NtQuerySystemInformation

---- Kernel code sections - GMER 1.0.14 ----

PAGE            ntkrnlpa.exe!ZwCancelIoFile + 141                                                                                                                                                                                                                                                         80575AB5 7 Bytes  JMP 9DE3A3CE \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!ZwRemoveIoCompletion + 12F1                                                                                                                                                                                                                                                  80577ECD 7 Bytes  JMP 9DE3F24A \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!NtUnlockFile + 809                                                                                                                                                                                                                                                           80578CAD 7 Bytes  JMP 9DE3F968 \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!NtNotifyChangeDirectoryFile + 2B3                                                                                                                                                                                                                                            80578FCB 7 Bytes  JMP 9DE3F368 \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!NtQueryInformationFile + 5C7                                                                                                                                                                                                                                                 80579E33 7 Bytes  JMP 9DE3A41E \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!NtOpenProcess                                                                                                                                                                                                                                                                805C9CFE 5 Bytes  JMP 9DE3A320 \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!NtQuerySystemInformation                                                                                                                                                                                                                                                     8060F89C 2 Bytes  JMP 9DE3FB1A \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!NtQuerySystemInformation + 3                                                                                                                                                                                                                                                 8060F89F 2 Bytes  [ 83, 1D ]
PAGE            ntkrnlpa.exe!ZwSaveMergedKeys + B5                                                                                                                                                                                                                                                        806207BF 7 Bytes  JMP 9DE3A546 \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!ZwCreateKey + 48B                                                                                                                                                                                                                                                            8062258F 1 Byte  [ E9 ]
PAGE            ntkrnlpa.exe!ZwCreateKey + 48D                                                                                                                                                                                                                                                            80622591 5 Bytes  [ 83, 81, 1D, EB, F9 ]
PAGE            ntkrnlpa.exe!ZwDeleteKey + 1CB                                                                                                                                                                                                                                                            8062275F 7 Bytes  JMP 9DE3A760 \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!ZwDeleteValueKey + 1DB                                                                                                                                                                                                                                                       8062293F 7 Bytes  JMP 9DE3F6C2 \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!ZwEnumerateKey + 265                                                                                                                                                                                                                                                         80622BA9 7 Bytes  JMP 9DE3F418 \??\C:\WINDOWS\system32\drivers\srosa.sys
PAGE            ntkrnlpa.exe!ZwOpenKey + 31F                                                                                                                                                                                                                                                              806237B9 7 Bytes  JMP 9DE3FD4A \??\C:\WINDOWS\system32\drivers\srosa.sys
?               C:\WINDOWS\system32\drivers\sptd.sys                                                                                                                                                                                                                                                      The process cannot access the file because it is being used by another process.
?               C:\WINDOWS\System32\Drivers\SPTD3613.SYS                                                                                                                                                                                                                                                  The process cannot access the file because it is being used by another process.
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7                                                                                                                                                                                                                                               AA30F4F0 16 Bytes  [ CF, 7E, CA, 0F, 34, 93, FD, ... ]
.text           dtscsi.sys!A0DB34FC6FE35D429A28ADDE5467D4D7 + 11                                                                                                                                                                                                                                          AA30F501 31 Bytes  [ E0, 30, AA, 6B, 50, A0, E4, ... ]
?               C:\WINDOWS\System32\Drivers\dtscsi.sys                                                                                                                                                                                                                                                    The process cannot access the file because it is being used by another process.

---- User code sections - GMER 1.0.14 ----

.text           C:\Program Files\MSN Messenger\msnmsgr.exe[4844] kernel32.dll!SetUnhandledExceptionFilter                                                                                                                                                                                                 7C84467D 5 Bytes  JMP 004DE392 C:\Program Files\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation)

---- Kernel IAT/EAT - GMER 1.0.14 ----

IAT             atapi.sys[HAL.dll!READ_PORT_UCHAR]                                                                                                                                                                                                                                                        [BA6D5AD2] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT]                                                                                                                                                                                                                                                [BA6D5C0E] sptd.sys
IAT             atapi.sys[HAL.dll!READ_PORT_USHORT]                                                                                                                                                                                                                                                       [BA6D5B96] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT]                                                                                                                                                                                                                                               [BA6D676C] sptd.sys
IAT             atapi.sys[HAL.dll!WRITE_PORT_UCHAR]                                                                                                                                                                                                                                                       [BA6D6642] sptd.sys
IAT             \SystemRoot\System32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                                                                                                                                                                                                                        [BA6F8056] sptd.sys

---- Devices - GMER 1.0.14 ----

Device          \FileSystem\Ntfs \Ntfs                                                                                                                                                                                                                                                                    8A31AEB0
Device          \FileSystem\Fastfat \FatCdrom                                                                                                                                                                                                                                                             88962EB0

AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                                                                                                                                                                   SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)
AttachedDevice  \Driver\Kbdclass \Device\KeyboardClass0                                                                                                                                                                                                                                                   eabfiltr.sys (QLB PS/2 Keyboard filter driver/Hewlett-Packard Development Company, L.P.)

Device          \Driver\dmio \Device\DmControl\DmIoDaemon                                                                                                                                                                                                                                                 8A2CD9C0
Device          \Driver\dmio \Device\DmControl\DmConfig                                                                                                                                                                                                                                                   8A2CD9C0
Device          \Driver\dmio \Device\DmControl\DmPnP                                                                                                                                                                                                                                                      8A2CD9C0
Device          \Driver\dmio \Device\DmControl\DmInfo                                                                                                                                                                                                                                                     8A2CD9C0
Device          \Driver\NetBT \Device\NetBT_Tcpip_{83092126-C468-4464-BC56-FED82F08B9FE}                                                                                                                                                                                                                  889DB690
Device          \Driver\00000056 \Device\00000061                                                                                                                                                                                                                                                         sptd.sys
Device          \Driver\NetBT \Device\NetBT_Tcpip_{6832B512-2AD4-4B7B-99AD-9B3DAC7324C1}                                                                                                                                                                                                                  889DB690
Device          \Driver\Ftdisk \Device\HarddiskVolume1                                                                                                                                                                                                                                                    8A2CDC78

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                                                                                                                                                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)

Device          \Driver\Ftdisk \Device\HarddiskVolume2                                                                                                                                                                                                                                                    8A2CDC78

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                                                                                                                                                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)

Device          \FileSystem\Rdbss \Device\FsWrap                                                                                                                                                                                                                                                          88C67A80
Device          \Driver\iaStor \Device\Ide\iaStor0                                                                                                                                                                                                                                                        8A2CD450
Device          \Driver\iaStor \Device\Ide\IAAStorageDevice-0                                                                                                                                                                                                                                             8A2CD450
Device          \Driver\Ftdisk \Device\HarddiskVolume3                                                                                                                                                                                                                                                    8A2CDC78

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                                                                                                                                                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)

Device          \Driver\Ftdisk \Device\HarddiskVolume4                                                                                                                                                                                                                                                    8A2CDC78

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4                                                                                                                                                                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)

Device          \Driver\Ftdisk \Device\HarddiskVolume5                                                                                                                                                                                                                                                    8A2CDC78

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume5                                                                                                                                                                                                                                                    snapman.sys (Acronis Snapshot API/Acronis)

Device          \Driver\NetBT \Device\NetBt_Wins_Export                                                                                                                                                                                                                                                   889DB690
Device          \Driver\NetBT \Device\NetbiosSmb                                                                                                                                                                                                                                                          889DB690
Device          \Driver\NetBT \Device\NetBT_Tcpip_{E44FAC4F-AC5F-4D65-B685-4640663BF20E}                                                                                                                                                                                                                  889DB690
Device          \Driver\Disk \Device\Harddisk0\DR0                                                                                                                                                                                                                                                        8A31A0E8
Device          \Driver\Disk \Device\Harddisk1\DR6                                                                                                                                                                                                                                                        8A31A0E8
Device          \Driver\Disk \Device\Harddisk1\DP(1)0-0+7                                                                                                                                                                                                                                                 8A31A0E8
Device          \FileSystem\MRxSmb \Device\LanmanDatagramReceiver                                                                                                                                                                                                                                         88AC30E8
Device          \FileSystem\MRxSmb \Device\LanmanRedirector                                                                                                                                                                                                                                               88AC30E8
Device          \FileSystem\Npfs \Device\NamedPipe                                                                                                                                                                                                                                                        88B7E0E8
Device          \Driver\Ftdisk \Device\FtControl                                                                                                                                                                                                                                                          8A2CDC78
Device          \FileSystem\Msfs \Device\Mailslot                                                                                                                                                                                                                                                         88A504D8
Device          \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0                                                                                                                                                                                                                                  88B640E8
Device          \Driver\dtscsi \Device\Scsi\dtscsi1                                                                                                                                                                                                                                                       88B640E8
Device          \FileSystem\Fastfat \Fat                                                                                                                                                                                                                                                                  88962EB0
Device          \FileSystem\Cdfs \Cdfs                                                                                                                                                                                                                                                                    88A9DD18

---- Processes - GMER 1.0.14 ----

Process         C:\WINDOWS\system32\wintems.exe (*** hidden *** )   
0
aupatx Messages postés 6 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 12:47
---- Files - GMER 1.0.14 ----

File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared                                                                                                                                                                             0 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics                                                                                                                                                                    0 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage                                                                                                                                                        0 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\grey_callout.gif                                                                                                                                       742 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\ov_high.gif                                                                                                                                            727 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\ov_med.gif                                                                                                                                             310 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\tu-sa_high.gif                                                                                                                                         772 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\tu-sa_med.gif                                                                                                                                          449 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wn-fs_high.gif                                                                                                                                         745 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wn-fs_med.gif                                                                                                                                          690 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wr-mi_high.gif                                                                                                                                         784 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\contentpage\wr-mi_med.gif                                                                                                                                          460 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons                                                                                                                                                              0 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool                                                                                                                                                        0 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_closed.gif                                                                                                                                      53 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_closed_hov.gif                                                                                                                                  53 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_open.gif                                                                                                                                        52 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\graphics\icons\ctool\widget_open_hov.gif                                                                                                                                    52 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\html                                                                                                                                                                        0 bytes
File            C:\Apps\eclipse-SDK-3.3-win32\eclipse\plugins\org.eclipse.ui.intro.universal_3.2.100.v20070530A\themes\shared\html\shared.css                                                                                                                                                             4117 bytes
File            C:\Program Files\Movie Maker\shared                                                                                                                                                                                                                                                       0 bytes
File            C:\Program Files\Movie Maker\shared\empty.txt.ren                                                                                                                                                                                                                                         18 bytes
File            C:\Program Files\Movie Maker\shared\filters.xml.ren                                                                                                                                                                                                                                       7591 bytes
File            C:\Program Files\Movie Maker\shared\news.png.ren                                                                                                                                                                                                                                          138660 bytes
File            C:\Program Files\Movie Maker\shared\paint.png.ren                                                                                                                                                                                                                                         67213 bytes
File            C:\Program Files\Movie Maker\shared\profiles                                                                                                                                                                                                                                              0 bytes
File            C:\Program Files\Movie Maker\shared\profiles\blank.txt.ren                                                                                                                                                                                                                                21 bytes
File            C:\Program Files\Movie Maker\shared\sample1.jpg.ren                                                                                                                                                                                                                                       62732 bytes
File            C:\Program Files\Movie Maker\shared\sample2.jpg.ren                                                                                                                                                                                                                                       46822 bytes
File            C:\Program Files\HPQ\Shared                                                                                                                                                                                                                                                               0 bytes
File            C:\Program Files\HPQ\Shared\hpqsmcs.dll.ren                                                                                                                                                                                                                                               106496 bytes
File            C:\Program Files\HPQ\Shared\HpqToaster.exe.ren                                                                                                                                                                                                                                            491606 bytes
File            C:\Program Files\Hewlett-Packard\Shared                                                                                                                                                                                                                                                   0 bytes
File            C:\Program Files\Hewlett-Packard\Shared\hpqDisp.dll.ren                                                                                                                                                                                                                                   176128 bytes
File            C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe.ren                                                                                                                                                                                                                                  135168 bytes
File            C:\RECYCLER\S-1-5-21-776561741-616249376-725345543-500\Dc3\hldrrr.exe                                                                                                                                                                                                                     705517 bytes
File            C:\RECYCLER\S-1-5-21-776561741-616249376-725345543-500\Dc3\srosa.sys                                                                                                                                                                                                                      118618 bytes
File            C:\RECYCLER\S-1-5-21-776561741-616249376-725345543-500\Dc3\wintems.exe                                                                                                                                                                                                                    71172 bytes
File            C:\WINDOWS\system32\wintems.exe                                                                                                                                                                                                                                                           71172 bytes
File            C:\WINDOWS\system32\drivers\srosa.sys                                                                                                                                                                                                                                                     118618 bytes                                                                                                                                                                                            <-- ROOTKIT !!!
File            C:\WINDOWS\system32\drivers\down                                                                                                                                                                                                                                                          0 bytes
File            C:\WINDOWS\ime\shared                                                                                                                                                                                                                                                                     0 bytes
File            C:\WINDOWS\ime\shared\res                                                                                                                                                                                                                                                                 0 bytes
File            C:\_OTMoveIt\MovedFiles\01302008_100830\WINDOWS\system32\drivers\down                                                                                                                                                                                                                     0 bytes

---- Services - GMER 1.0.14 ----

Service         C:\WINDOWS\system32\drivers\srosa.sys                                                                                                                                                                                                                                                     [SYSTEM] srosa                                                                                                                                                                                          <-- ROOTKIT !!!

---- EOF - GMER 1.0.14 ----
0
aupatx Messages postés 6 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 12:51
Je ne peux pas poster les clé registres, il y en a beaucoup trop. Le fichier log fait 2,5mo.
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 janv. 2008 à 14:29
démarrer>Exécuter>cmd :
gmer -killall
gmer -del service srosa.sys
gmer -del file "E:\WINDOWS\system32\drivers\hldrrr.exe"
gmer -del file "E:\WINDOWS\system32\wintems.exe"
gmer -del file "E:\WINDOWS\system32\drivers\srosa.sys"

relance ensuite blacklight et poste les rapports obtenus
dis moi si ton antivirus s'est réactivé, si oui, désactive le,
télécharge antivir,
https://www.pcastuces.com/logitheque/antivir.htm
scanne ton Pc avec et poste le rappport obtenu
0
aupatx Messages postés 6 Date d'inscription mercredi 30 janvier 2008 Statut Membre Dernière intervention 30 janvier 2008
30 janv. 2008 à 16:06
j'ai essayé les commandes mais j'ai plusieurs soucis :
- gmer -del service srosa.sys => on me signale une erreur de syntaxe
-gmer -del file "E:\WINDOWS\system32\drivers\hldrrr.exe"
gmer -del file "E:\WINDOWS\system32\wintems.exe"
gmer -del file "E:\WINDOWS\system32\drivers\srosa.sys"
Erreur : le programme gmer a du se couper ....

J'ai donc réussi à supprimer les fichiers sous linux.
Blacklight ne trouve pas de fichier cachés.
Voici un log HijackThis (qui se lance enfin :) ) :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:04, on 2008-01-30
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\ActivIdentity\ActivClient Mini\acachsrv.exe
C:\Program Files\ActivIdentity\ActivClient Mini\accoca.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
C:\Program Files\FarStone\DriveClone Pro\CBP\DCSchdler.exe
C:\Program Files\FarStone\DriveClone Pro\EFB\efbfs.exe
C:\WINDOWS\system32\IFXSPMGT.exe
C:\Program Files\FarStone\DriveClone Pro\EFB\EfbSchedule.exe
C:\WINDOWS\system32\IFXTCS.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\HPQ\IAM\bin\asghost.exe
C:\WINDOWS\system32\nutsrv4.exe
C:\Program Files\ProtectTools\Embedded Security Software\PSDsrvc.EXE
C:\WINDOWS\system32\PSIService.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Novadigm\ManagementAgent\nvdkit.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\tardisnt.EXE
c:\wamp\apache2\bin\httpd.exe
c:\wamp\mysql\bin\mysqld-nt.exe
C:\wamp\apache2\bin\httpd.exe
C:\Program Files\ProtectTools\Embedded Security Software\PSDrt.exe
C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe
C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\ActivIdentity\ActivClient Mini\accrdsub.exe
C:\Program Files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe
C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\Google\Gmail Notifier\gnotify.exe
C:\Program Files\ActivIdentity\ActivClient Mini\acevents.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Program Files\WIDCOMM\Logiciel Bluetooth\BTTray.exe
C:\wamp\wampmanager.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Apps\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\SAS\SAS9~1.1\CORE\SASEXE\SASOACT.EXE
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.cergy.eisti.fr:3128
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 172.16.*;172.17.*;42.*;1.1.1.1;*.eisti.fr;192.168.*;localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: HP Credential Manager for ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\HPQ\IAM\Bin\ItIeAddIN.dll
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\HPQ\IAM\Bin\AsTsVcc.dll,RegisterModule
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [accrdsub] "C:\Program Files\ActivIdentity\ActivClient Mini\accrdsub.exe"
O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start
O4 - HKLM\..\Run: [NuTCSetupEnviron] C:\PROGRA~1\RATIONAL\RATION~1\NUTCROOT\bin\ncoeenv.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program Files\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Apps\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ObjectDock] C:\Program Files\WinOSX\Administrator\ObjectDock\ObjectDock.exe
O4 - HKCU\..\Run: [HSIMargin] C:\Program Files\WinOSX\Administrator\HSI\HSI.exe "C:\Program Files\WinOSX\Administrator\HSI\Margin.hss"
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: WampServer.lnk = C:\wamp\wampmanager.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Envoyer à &Bluetooth - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Logiciel Bluetooth\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.zebulon.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: APSHook.dll C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: ackpbsc - C:\Program Files\ActivIdentity\ActivClient Mini\ackpbsc.dll
O20 - Winlogon Notify: acunlock - C:\Program Files\ActivIdentity\ActivClient Mini\acunlock.dll
O20 - Winlogon Notify: DeviceNP - C:\WINDOWS\SYSTEM32\DeviceNP.dll
O20 - Winlogon Notify: OneCard - C:\Program Files\HPQ\IAM\Bin\AsWlnPkg.dll
O23 - Service: ActivClient Authentication Service (acachsrv) - ActivIdentity - C:\Program Files\ActivIdentity\ActivClient Mini\acachsrv.exe
O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - C:\Program Files\ActivIdentity\ActivClient Mini\accoca.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Logiciel Bluetooth\bin\btwdins.exe
O23 - Service: DriveClone Scheduler (DCScheduler) - Unknown owner - C:\Program Files\FarStone\DriveClone Pro\CBP\DCSchdlerSRVC.exe
O23 - Service: Restore FarStone File Event Manager (efbfs) - FarStone Technology, Inc. - C:\Program Files\FarStone\DriveClone Pro\EFB\efbfs.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Desktop Manager 5.1.709.19590 (GoogleDesktopManager-091907-194040) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: hpqwmiex - Unknown owner - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\IFXSPMGT.exe
O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\IFXTCS.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe
O23 - Service: Personal Secure Drive Service (PersonalSecureDriveService) - Infineon Technologies AG - C:\Program Files\ProtectTools\Embedded Security Software\PSDsrvc.EXE
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Radia Management Agent (rma) - Unknown owner - C:/Novadigm/ManagementAgent/nvdkit.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Tardis time service (Tardis) - Unknown owner - C:\WINDOWS\system32\tardisnt.EXE
O23 - Service: wampapache - Apache Software Foundation - c:\wamp\apache2\bin\httpd.exe
O23 - Service: wampmysqld - Unknown owner - c:\wamp\mysql\bin\mysqld-nt.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Program Files\Windows Live\installer\WLSetupSvc.exe

--
End of file - 11998 bytes


Je lance antivir :)
0
papyber Messages postés 6406 Date d'inscription samedi 24 mars 2007 Statut Contributeur sécurité Dernière intervention 3 octobre 2010 257
30 janv. 2008 à 16:15
O23 - Service: NuTCRACKER Service (NuTCRACKERService) - DataFocus, Inc. - C:\WINDOWS\system32\nutsrv4.exe
à supprimer, tu vas te réinfecter dès que tu vas le lancer pour t'en servir
ton antivirus ne fonctionne toujours pas semble t il
télécharge antivir
https://www.pcastuces.com/logitheque/antivir.htm
et installe le puis scanne ton Pc avec et poste le rapport obtenu avec un rapport hijack this

essaie d'aller en mode sans échec avec F8 ou F5, pas autrement et dis moi ce que cela donne, si tu n'y arrives pas, n'essaie pas autrement dis le moi c'est tout

fais aussi ceci afin de supprimer tout ce qui a été renommé
Télécharge ce programme puis double clic dessus (ferme ton antivirus s'il te détecte quoi que ce soit)
http://www.suspectfile.com/systemscan/

* Coche uniquement cette case, décoche tout le reste :

- Recent Files, 30 days

Puis clic sur scan now, soit patient.
Une fois qu'il aura terminé, un rapport va s'ouvrir, copie et colle son contenu ici et vérifie qu'il soit bien en entier, si besoin crée deux messages.

0