Rootkit mbr physical drive 0 HELP

Fermé
bs59 - 14 mai 2008 à 22:58
Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 - 23 mai 2008 à 08:37
Bonjour,

après avoir lu quelques posts suite à la détection par avast du rootkit MBR physical drive0

voici les résultats de combofix, merci d'avance pour vos lumières

ComboFix 08-05-12.1 - Christophe 2008-05-14 22:33:12.1 - NTFSx86
Microsoft Windows XP Édition familiale 5.1.2600.1.1252.1.1036.18.214 [GMT 2:00]
Endroit: C:\Documents and Settings\Christophe\Mes documents\blandine.samson0622\combofix.exe
* Création d'un nouveau point de restauration

[color=red][b]AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !![/b][/color]
.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_6TO4
-------\Service_6to4


((((((((((((((((((((((((((((( Fichiers cr‚‚s 2008-04-14 to 2008-05-14 ))))))))))))))))))))))))))))))))))))
.

2008-05-14 21:41 . 2008-05-14 21:41 0 --a------ C:\Program1
2008-04-21 23:29 . 2008-04-21 23:29 <REP> d-------- C:\Program Files\T‚l‚chargement PHOTOWAYS
2008-04-20 11:16 . 2006-05-29 18:04 217,088 -ra------ C:\WINDOWS\system32\drivers\sis163u.sys
2008-04-20 11:16 . 2006-03-15 19:24 45,056 -ra------ C:\WINDOWS\system32\unwlsdrv.exe
2008-04-19 21:51 . 2008-04-19 21:51 <REP> d-------- C:\Program Files\Utilitaire r‚seau pour SAGEM Wi-Fi 11g USB adapter
2008-04-19 21:51 . 2006-01-18 14:08 102,400 --a------ C:\WINDOWS\system32\W32N55.DLL
2008-04-19 21:51 . 2006-01-18 14:08 31,744 --a------ C:\WINDOWS\system32\drivers\ZDPSp50a64.sys
2008-04-19 21:51 . 2006-01-18 14:08 29,184 --a------ C:\WINDOWS\system32\drivers\BRGSp50a64.sys
2008-04-19 21:51 . 2006-01-18 14:08 20,608 --a------ C:\WINDOWS\system32\drivers\BRGSp50.sys
2008-04-19 21:51 . 2006-01-18 14:08 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.sys
2008-04-19 21:51 . 2006-01-18 14:08 1,162 --a------ C:\WINDOWS\system32\W32N55.INI

.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-05-14 20:43 --------- d-----w C:\Program Files\Wanadoo
2008-05-14 20:27 3,059,712 ----a-w C:\WINDOWS\Internet Logs\xDBCD.tmp
2008-04-30 06:20 80,384 ----a-w C:\WINDOWS\Internet Logs\xDBCC.tmp
2008-04-24 20:54 --------- d-----w C:\Program Files\Extrafilm FotoFacil
2008-04-24 12:11 161,280 ----a-w C:\WINDOWS\Internet Logs\xDBCB.tmp
2008-04-21 21:29 --------- d-----w C:\Program Files\Téléchargement PHOTOWAYS
2008-04-21 21:22 --------- d-----w C:\Program Files\Picasa2
2008-04-21 18:40 230,432 ----a-w C:\SPC220NC.DAT
2008-04-20 09:15 17,134 ----a-w C:\WINDOWS\system32\PCANDIS5.SYS
2008-04-19 19:51 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-04-19 19:51 --------- d-----w C:\Program Files\Utilitaire réseau pour SAGEM Wi-Fi 11g USB adapter
2008-04-18 05:41 24,576 ----a-w C:\WINDOWS\Internet Logs\xDBCA.tmp
2008-04-17 20:00 256,000 ----a-w C:\WINDOWS\Internet Logs\xDBC9.tmp
2008-03-31 15:10 34,304 ----a-w C:\WINDOWS\Internet Logs\xDBC8.tmp
2008-03-30 14:43 230,912 ----a-w C:\WINDOWS\Internet Logs\xDBC7.tmp
2008-03-28 08:33 9,127,303 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip
2008-03-18 09:28 47,616 ----a-w C:\WINDOWS\Internet Logs\xDBC6.tmp
2008-03-10 18:38 344,576 ----a-w C:\WINDOWS\Internet Logs\xDBC5.tmp
2008-02-18 19:08 69,689 ----a-w C:\WINDOWS\UNZIP.DLL
2008-02-18 19:08 507,904 ----a-w C:\WINDOWS\TMUPDATE.DLL
2008-02-18 19:08 286,720 ----a-w C:\WINDOWS\PATCH.EXE
2008-02-17 22:13 147,968 ----a-w C:\WINDOWS\Internet Logs\xDBC4.tmp
2006-10-31 22:02 26,985,695 ----a-w C:\Program Files\fotofacil2.exe
.

------- Sigcheck -------

.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NVIEW"="nview.dll" [2003-06-18 07:31 852038 C:\WINDOWS\system32\nview.dll]
"Win32 USB2 Driver"="pomedsrv.exe" []
"deejay"="forboo.exe" []
"H/PC Connection Agent"="C:\Program Files\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-24 15:20 401491]
"Skwswg"="C:\WINDOWS\System32\j?vaw.exe" [ ]
"WOOKIT"="C:\PROGRA~1\Wanadoo\Shell.exe" [2004-08-23 15:50 122880]
"Yahoo! Pager"="C:\Program Files\Yahoo!\Messenger\YahooMessenger.exe" [2007-08-30 18:43 4670704]
"SpybotSD TeaTimer"="C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 17:46 1460560]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BluetoothAuthenticationAgent"="irprops.cpl" [2002-09-24 13:27 111616 C:\WINDOWS\system32\irprops.cpl]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-06-18 07:31 4734976]
"nwiz"="nwiz.exe" [2003-06-18 07:31 323584 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-06-10 19:12 55296 C:\WINDOWS\SOUNDMAN.EXE]
"NeroCheck"="C:\WINDOWS\System32\\NeroCheck.exe" [2001-07-09 12:50 155648]
"AdslTaskBar"="stmctrl.dll" [2005-02-11 09:38 167936 C:\WINDOWS\system32\stmctrl.dll]
"Bhr1"="C:\documents and settings\christophe\local settings\temp\Bhr1.exe" [ ]
"Win32 USB2 Driver"="pomedsrv.exe" []
"deejay"="forboo.exe" []
"Bhr1.exe"="C:\documents and settings\christophe\local settings\temp\Bhr1.exe" [ ]
"ExtraFilmHemmaAgent"="C:\Program Files\Extrafilm FotoFacil\Agent.exe" [2006-10-03 10:40 323584]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02 919280]
"Monitor"="C:\WINDOWS\Philips\SPC220NC\Monitor.exe" [2006-11-03 12:01 319488]
"WOOWATCH"="C:\PROGRA~1\Wanadoo\Watch.exe" [2004-08-23 15:49 20480]
"WOOTASKBARICON"="C:\PROGRA~1\Wanadoo\GestMaj.exe" [2004-10-14 17:55 32768]
"Gestionnaire de liaison sans fil"="C:\Program Files\Inventel\Gateway\wlancfg.exe" [2008-04-20 11:16 1466368]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices]
"Win32 USB2 Driver"="pomedsrv.exe" []
"deejay"="forboo.exe" []

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-08-30 14:00 13312]
"Win32 USB2 Driver"="pomedsrv.exe" []
"deejay"="forboo.exe" []
"Picasa Media Detector"="C:\Program Files\Picasa2\PicasaMediaDetector.exe" [2008-02-26 03:23 443968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Win32 USB2 Driver"="pomedsrv.exe" []
"deejay"="forboo.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.PIXL"= PCLEpixl.dll
"MSVIDEO"= pctvcap.dll
"vidc.vixl"= miroxl32.dll
"MSACM.CEGSM"= mobilev.acm
"msacm.dvacm"= C:\PROGRA~1\FICHIE~1\ULEADS~1\Vio\Dvacm.acm

R1 aswSP;avast! Self Protection;C:\WINDOWS\System32\drivers\aswSP.sys [2008-03-29 19:31]
R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\System32\DRIVERS\sis163u.sys [2006-05-29 18:04]
R3 SPC220NC;Philips SPC220NC Webcam;C:\WINDOWS\System32\DRIVERS\SPC220NC.SYS [2007-01-09 18:59]
R3 Stmatm;ATM/ADSL miniport;C:\WINDOWS\System32\DRIVERS\stmatm.sys [2004-11-16 15:48]
S1 PCTVNT40;Studio PCTV;C:\WINDOWS\System32\drivers\PCTVNT40.sys [1999-09-08 18:10]
S3 {DEF85C80-216A-43ab-AF70-1665EDBE2780};{DEF85C80-216A-43ab-AF70-1665EDBE2780};C:\WINDOWS\TEMP\4C.tmp []
S3 SG762_XP;SAGEM 802.11g XG762 1211B Driver;C:\WINDOWS\System32\DRIVERS\WlanBZXP.sys [2006-01-18 14:08]
S3 TaurusUsb;ADSL Modem USB Service;C:\WINDOWS\System32\DRIVERS\torususb.sys [2005-04-19 14:54]
S3 ZDCndis5;ZDCndis5 Protocol Driver;C:\WINDOWS\System32\ZDCndis5.SYS []

.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-14 22:42:57
Windows 5.1.2600 Service Pack 1 NTFS

Balayage processus cach‚s ...

Balayage cach‚ autostart entries ...

Balayage des fichiers cach‚s ...

Scan termin‚ avec succŠs
Les fichiers cach‚s: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\{DEF85C80-216A-43ab-AF70-1665EDBE2780}]
"ImagePath"="\??\C:\WINDOWS\TEMP\4C.tmp"
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\FTRTSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Wanadoo\TaskBarIcon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Sony Corporation\Image Transfer\SonyTray.exe
C:\Program Files\Yahoo!\Messenger\Ymsgr_tray.exe
C:\Program Files\Philips\Philips SPC220NC Webcam\TrayMin220.exe
.
**************************************************************************
.
Temps d'accomplissement: 2008-05-14 22:45:17 - machine was rebooted [Christophe]
ComboFix-quarantined-files.txt 2008-05-14 20:45:10

Pre-Run: 121,752,662,016 octets libres
Post-Run: 122,943,447,040 octets libres

150
A voir également:

1 réponse

Lyonnais92 Messages postés 25159 Date d'inscription vendredi 23 juin 2006 Statut Contributeur sécurité Dernière intervention 16 septembre 2016 1 536
23 mai 2008 à 08:37
Bonjour,

je tombe par hasard sur ce topic.

Si tu es encore là, fais ça :

Télécharge mbr.exe de Gmer ici :
http://www2.gmer.net/mbr/mbr.exe
et enregistre le fichier sur le Bureau.

Merci à Malekal pour le tutoriel

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Lance mbr.exe par clic droit et Exécuter en tant qu'administrateu
Un rapport sera généré : mbr.log
En cas d'infection, ce message "MBR rootkit code detected" va apparaitre.

Dans le menu Démarrer- Exécuter tape : "%userprofile%\Bureau\mbr" -f
Dans le mbr.log cette ligne apparaitra "original MBR restored successfully !"

Réactive tes protections
Poste ce rapport et supprimes-le ensuite.

Pour vérifier

Désactive tes protections et coupe la connexion. (Antivirus et antispywares, HIPS et autre résident)
Relance mbr.exe (clic droit et exécuter en tant qu'administrateur)

Réactive tes protections.

Le nouveau mbr.log devrait être celui-ci :

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK


Note : Si le fichier mbr.exe se trouve dans Téléchargement, cela fonctionne aussi et mbr.log s'y inscrira.

si tu n'as pas la commande Exécuter, ouvre ce lien pour l'installer :

https://www.generation-nt.com/windows-vista-commande-executer-activer-afficher-astuce-41574-1.html
0