Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business

|-  SECURITE


|||-  

Probleme Rootkit

 

12 utilisateurs inconnus
Ajouter une réponse
 

 
Page photos
 
     
Vider la liste des messages à citer
 
 Page :
1
Auteur
 Sujet :

Probleme Rootkit

Prévenir les modérateurs en cas d'abus 
Vannoo
vannoo
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 21/08/2009 à 00:13:28  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Bonjour à tous et surtout merci de m'aider,

 J'ai quelques problemes de ralentissement avec mon ordinateur et j'ai depuis un moment des logiciel qui s'ouvre tout seul (et surtout quand je suis pas là) comme la calculatrice windows et Outlook express. J'ai bien sûr penser à un virus ou autre, j'ai donc fait un scan avec NOD32: rien, avec search&destroy: rien; Par contre avec RootKit Revealer (1.71, là j'ai 5 attaques que je n'arrive pas à suprimer:

 HKLM\SYSTEM\ControlSet001\Serv​ices\sptd\Cfg 01/08/2009 19:16 0 bytes Access is denied.

 C:\WINDOWS\assembly\GAC_32\Sys​tem.EnterpriseServices\2.0.0.0​__b03f5f7f11d50a3a\System.Ente​rpriseServices.dll 23/04/2009 15:06 252.00 KB Visible in Windows API, but not in MFT or directory index.

 C:\WINDOWS\assembly\GAC_32\Sys​tem.EnterpriseServices\2.0.0.0​__b03f5f7f11d50a3a\System.Ente​rpriseServices.Wrapper.dll 23/04/2009 15:06 111.00 KB Visible in Windows API, but not in MFT or directory index.

 C:\WINDOWS\assembly\GAC_MSIL\I​EExecRemote\2.0.0.0__b03f5f7f1​1d50a3a\IEExecRemote.dll 23/04/2009 15:06 8.00 KB Visible in Windows API, but not in MFT or directory index.

 C:\WINDOWS\SoftwareDistributio​n\DataStore\Logs\tmp.edb 20/08/2009 23:37 64.00 KB Visible in Windows API, but not in MFT or directory index.

 POuvez-vous m'aider?

 Vannoo21

Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 21/08/2009 à 01:03:37  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Vannoo


 Télécharge combofix.exe (de sUBs) sur le bureau :
 Faire un clic droit sur ce lien :

 http://subs.geekstogo.com/ComboFix.exe

 Pour Internet Explorer

 - Choisi Enregistrer la cible sous ...

 Pour Firefox

 - Choisi Enregistrer la cible du lien sous...


 - Choisi le bureau comme lieu d'enregistrement

 - Donne lui ce nom bibite.exe clique sur Enregistrer

 Important Désactive ton Antivirus et antispyware avant le scan avec Combofix :
 http://forum.pcastuces.com/des [...] -f31s4.htm


 ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n’est pas fini. <==

 Double clique sur bibite.exe, clique sur OUI et valide par Entrée

 Il te sera demandé d’installer la console si elle n’est pas installer, clique sur NON

 Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

 NOTE : Le rapport se trouve également ici : C:\ Combofix.txt

 Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure


 @++  :)

(Publicité)
vannoo
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 21/08/2009 à 01:21:11  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Voilà le log:

 ComboFix 09-08-20.02 - Administrateur 21/08/2009  3:11.1.2 - NTFSx86
 Microsoft Windows XP Professionnel  5.1.2600.3.1252.33.1036.18.204​6.1603 [GMT 2:00]
 Running from: c:\documents and settings\Administrateur\Bureau​\bibite.exe
 AV: ESET Smart Security 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96AC​A4F34C0}
 FW: Pare-feu personnel d'ESET *enabled* {E5E70D32-0101-4340-86A3-A7B0F​1C8FFE0}

 WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
 .

 ((((((((((((((((((((((((((((((​(((((((((   Other Deletions   ))))))))))))))))))))))))))))))​)))))))))))))))))))
 .

 c:\documents and settings\Administrateur\Applic​ation Data\inst.exe
 c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloa​der\qmgr0.dat
 c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloa​der\qmgr1.dat
 c:\windows\Installer\107404.ms​i
 c:\windows\Installer\14b8ee.ms​i
 c:\windows\setup.exe

 ----- BITS: Possible infected sites -----

 hxxp://78.157.143.163
 .
 (((((((((((((((((((((((((   Files Created from 2009-07-21 to 2009-08-21  ))))))))))))))))))))))))))))))​)
 .

 2009-08-21 01:05 . 2009-08-21 01:11 -------- d-s---w- C:\ComboFix
 2009-08-21 00:35 . 2009-08-21 00:35 -------- d-----w- c:\program files\Sophos
 2009-08-20 19:37 . 2007-01-18 12:00 3968 ----a-w- c:\windows\system32\drivers\Av​gArCln.sys
 2009-08-20 09:31 . 2009-08-20 09:31 -------- d-----w- c:\program files\MagicISO
 2009-08-20 09:26 . 2009-08-20 09:26 -------- d-----w- c:\program files\Fichiers communs\Steinberg
 2009-08-20 09:16 . 2006-11-23 15:20 18432 ----a-w- c:\windows\system32\drivers\sy​nasUSB.sys
 2009-08-20 09:16 . 2006-01-29 09:48 45056 ----a-w- c:\windows\system32\Synsopos.e​xe
 2009-08-20 09:16 . 2007-12-30 21:01 35328 ----a-w- c:\windows\system32\SYNSOACC.d​ll
 2009-08-20 09:16 . 2006-01-29 09:48 147456 ----a-w- c:\windows\system32\SynsoLChk.​dll
 2009-08-20 09:16 . 2009-08-20 09:16 -------- d-----w- c:\program files\Syncrosoft
 2009-08-20 09:15 . 2009-08-20 09:26 -------- d-----w- c:\documents and settings\Administrateur\Applic​ation Data\Steinberg
 2009-08-20 09:15 . 2009-08-20 09:16 -------- d-----w- c:\program files\Steinberg
 2009-08-18 21:56 . 2009-08-18 21:56 -------- d-----w- c:\program files\UPHClean
 2009-08-13 10:26 . 2009-05-19 20:29 3007352 ----a-w- c:\documents and settings\Administrateur\Applic​ation Data\Simply Super Software\Trojan Remover\vvg3A0.exe
 2009-08-12 17:16 . 2008-04-14 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
 2009-08-12 17:14 . 2009-06-10 06:17 134144 -c----w- c:\windows\system32\dllcache\w​kssvc.dll
 2009-08-12 17:14 . 2009-08-05 09:00 205312 -c----w- c:\windows\system32\dllcache\m​swebdvd.dll
 2009-08-12 17:14 . 2009-06-15 11:09 82944 -c----w- c:\windows\system32\dllcache\t​lntsess.exe
 2009-08-12 17:14 . 2009-06-15 10:44 78848 -c----w- c:\windows\system32\dllcache\t​elnet.exe
 2009-08-12 17:14 . 2009-07-17 19:03 58880 -c----w- c:\windows\system32\dllcache\a​tl.dll
 2009-08-12 17:14 . 2009-07-10 13:27 1315328 -c----w- c:\windows\system32\dllcache\m​soe.dll
 2009-08-12 17:13 . 2009-06-10 14:14 85504 -c----w- c:\windows\system32\dllcache\a​vifil32.dll
 2009-08-12 17:13 . 2009-06-25 08:41 301568 -c----w- c:\windows\system32\dllcache\k​erberos.dll
 2009-08-12 17:13 . 2009-06-25 08:41 54272 -c----w- c:\windows\system32\dllcache\w​digest.dll
 2009-08-12 17:13 . 2009-06-25 08:41 136704 -c----w- c:\windows\system32\dllcache\m​sv1_0.dll
 2009-08-12 17:13 . 2009-06-24 10:28 92928 -c----w- c:\windows\system32\dllcache\k​secdd.sys
 2009-08-12 10:52 . 2009-08-12 10:52 -------- d-----w- c:\program files\Fichiers communs\EZB Systems
 2009-08-09 11:28 . 2009-08-09 11:28 -------- d-----w- C:\Output Files
 2009-08-09 11:09 . 2009-08-09 15:41 -------- d-----w- c:\program files\Advanced Pdf to Word Converter
 2009-08-09 10:44 . 2009-08-09 15:41 -------- d-----w- c:\program files\Free PDF to Word Converter
 2009-08-09 09:46 . 2009-08-09 09:46 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
 2009-08-03 16:34 . 2009-08-03 16:34 -------- d-----w- c:\documents and settings\Administrateur\Local Settings\Application Data\ESET
 2009-08-02 23:26 . 2008-06-19 15:24 28544 ----a-w- c:\windows\system32\drivers\pa​vboot.sys
 2009-08-02 23:26 . 2009-08-02 23:26 -------- d-----w- c:\program files\Panda Security
 2009-08-02 14:56 . 2009-08-02 14:56 -------- d-----w- c:\program files\Alcohol Soft
 2009-07-28 22:23 . 2009-06-29 16:13 17408 -c----w- c:\windows\system32\dllcache\c​orpol.dll

 .
 ((((((((((((((((((((((((((((((​((((((((((   Find3M Report   ))))))))))))))))))))))))))))))​))))))))))))))))))))))
 .
 2009-08-21 01:08 . 2009-04-23 17:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
 2009-08-17 14:44 . 2009-07-14 00:00 -------- d-----w- c:\program files\TuneUp Utilities 2008
 2009-08-16 11:30 . 2009-04-23 22:20 44904 ----a-w- c:\documents and settings\Administrateur\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
 2009-08-12 17:17 . 2009-04-23 12:18 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
 2009-08-12 10:52 . 2009-04-23 16:38 -------- d-----w- c:\program files\UltraISO
 2009-08-09 09:41 . 2009-04-23 16:16 -------- d-----w- c:\program files\Fichiers communs\Adobe
 2009-08-05 09:00 . 2008-04-14 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.d​ll
 2009-08-03 11:19 . 2009-04-23 16:55 -------- d-----w- c:\documents and settings\Administrateur\Applic​ation Data\Vso
 2009-07-31 15:52 . 2009-04-23 17:02 -------- d-----w- c:\program files\Spybot - Search & Destroy
 2009-07-28 16:15 . 2009-04-23 22:48 -------- d-----w- c:\program files\SC
 2009-07-27 16:00 . 2009-04-23 16:19 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
 2009-07-17 19:03 . 2008-04-14 12:00 58880 ----a-w- c:\windows\system32\atl.dll
 2009-07-16 18:31 . 2009-07-16 18:31 -------- d-----w- c:\program files\iTunes
 2009-07-16 18:31 . 2009-07-16 18:31 -------- d-----w- c:\program files\iPod
 2009-07-16 18:31 . 2009-04-23 16:29 -------- d-----w- c:\program files\Fichiers communs\Apple
 2009-07-16 18:28 . 2009-07-16 18:28 75040 ----a-w- c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.2.1.6\SetupAdmin.exe
 2009-07-14 01:09 . 2009-07-14 01:09 -------- d-----w- c:\program files\ESET
 2009-07-14 00:14 . 2009-07-14 00:14 -------- d-----w- c:\program files\VS Revo Group
 2009-07-14 00:04 . 2009-07-14 00:04 355584 ----a-w- c:\windows\system32\TuneUpDefr​agService.exe
 2009-07-14 00:01 . 2009-07-14 00:01 -------- d-----w- c:\documents and settings\Administrateur\Applic​ation Data\TuneUp Software
 2009-07-14 00:00 . 2009-07-14 00:00 -------- d-----w- c:\program files\Fichiers communs\Wise Installation Wizard
 2009-07-13 23:57 . 2009-07-13 23:57 -------- d-----w- c:\documents and settings\Administrateur\Applic​ation Data\ESET
 2009-07-13 21:43 . 2008-09-13 10:28 286208 ----a-w- c:\windows\system32\wmpdxm.dll
 2009-06-29 16:13 . 2008-09-27 10:27 828928 ----a-w- c:\windows\system32\wininet.dl​l
 2009-06-29 16:13 . 2008-08-28 14:33 78336 ----a-w- c:\windows\system32\ieencode.d​ll
 2009-06-29 16:13 . 2008-08-28 14:33 17408 ----a-w- c:\windows\system32\corpol.dll
 2009-06-26 15:02 . 2009-06-26 15:02 -------- d-----w- c:\documents and settings\Administrateur\Applic​ation Data\ATI
 2009-06-26 14:55 . 2009-06-26 14:55 -------- d-----w- c:\documents and settings\All Users\Application Data\ATI
 2009-06-26 14:53 . 2009-06-26 14:53 -------- d-----w- c:\program files\ATI
 2009-06-26 14:51 . 2009-05-29 13:45 -------- d-----w- c:\program files\ATI Technologies
 2009-06-26 14:50 . 2009-04-23 12:45 -------- d--h--w- c:\program files\InstallShield Installation Information
 2009-06-26 13:11 . 2008-04-17 04:52 736768 ----a-w- c:\windows\system32\lsasrv.dll
 2009-06-25 08:41 . 2008-04-14 12:00 56832 ----a-w- c:\windows\system32\secur32.dl​l
 2009-06-25 08:41 . 2008-04-14 12:00 54272 ----a-w- c:\windows\system32\wdigest.dl​l
 2009-06-25 08:41 . 2008-05-05 11:06 136704 ----a-w- c:\windows\system32\msv1_0.dll
 2009-06-25 08:41 . 2008-04-14 12:00 301568 ----a-w- c:\windows\system32\kerberos.d​ll
 2009-06-25 08:41 . 2008-04-14 12:00 147456 ----a-w- c:\windows\system32\schannel.d​ll
 2009-06-24 10:28 . 2008-04-14 12:00 92928 ----a-w- c:\windows\system32\drivers\ks​ecdd.sys
 2009-06-16 15:29 . 2009-06-16 15:29 45096 ----a-w- c:\documents and settings\NetworkService\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
 2009-06-16 15:28 . 2009-06-16 15:19 81836 ----a-w- c:\windows\HPHins08.dat
 2009-06-16 14:40 . 2008-04-14 12:00 81920 ----a-w- c:\windows\system32\fontsub.dl​l
 2009-06-16 14:40 . 2008-04-14 12:00 119808 ----a-w- c:\windows\system32\t2embed.dl​l
 2009-06-15 11:09 . 2008-04-14 12:00 82944 ----a-w- c:\windows\system32\tlntsess.e​xe
 2009-06-15 10:44 . 2008-04-14 12:00 78848 ----a-w- c:\windows\system32\telnet.exe
 2009-06-14 20:25 . 2009-06-14 20:25 152576 ----a-w- c:\documents and settings\Administrateur\Applic​ation Data\Sun\Java\jre1.6.0_14\lzma​.dll
 2009-06-10 14:14 . 2008-04-14 12:00 85504 ----a-w- c:\windows\system32\avifil32.d​ll
 2009-06-10 07:21 . 2009-04-23 12:07 2066432 ----a-w- c:\windows\system32\mstscax.dl​l
 2009-06-10 06:17 . 2008-04-28 14:06 134144 ----a-w- c:\windows\system32\wkssvc.dll
 2009-06-03 19:10 . 2008-09-27 10:26 1297408 ----a-w- c:\windows\system32\quartz.dll
 2009-06-03 18:18 . 2009-06-03 18:18 23 ----a-w- c:\documents and settings\Administrateur\Applic​ation Data\SLLOG.sys
 2009-06-03 18:18 . 2009-06-03 18:18 23 ----a-w- c:\documents and settings\Administrateur\Applic​ation Data\SLLOG.sys
 2009-05-30 15:17 . 2009-05-30 14:57 664 ----a-w- c:\windows\system32\d3d9caps.d​at
 2009-05-29 11:36 . 2009-06-02 20:18 39424 ----a-w- c:\windows\system32\drivers\us​baapl.sys
 2009-05-29 11:36 . 2009-06-02 20:18 2060288 ----a-w- c:\windows\system32\usbaaplrc.​dll
 .

 ------- Sigcheck -------

 [-] 2008-09-27 10:27 517632 EF31A8266AF7996746392E4F455025​36 c:\windows\system32\user32.dll

 [-] 2008-09-27 10:27 593408 4BB6301D634C857A5089E8B24C5555​E4 c:\windows\system32\winlogon.e​xe

 [-] 2008-09-27 10:24 1573888 BFBBBFE0913E6C9706F97598A6588B​8F c:\windows\explorer.exe

 [-] 2008-09-27 10:24 37376 B3D95BCB6D0B033BEBFB81FADDA8B8​AC c:\windows\system32\ctfmon.exe

 [-] 2008-09-27 10:24 1504256 0F350F1870E65C510FFFF60D7EE14B​A8 c:\windows\system32\comres.dll

 [-] 2008-09-27 10:24 693248 AAC42FD16A1976DE9A0773E7405976​44 c:\windows\system32\comctl32.d​ll
 [7] 2008-04-14 12:00 921088 AEF3D788DBF40C7C4D204EA45EB0C5​05 c:\windows\WinSxS\x86_Microsof​t.Windows.Common-Controls_6595​b64144ccf1df_6.0.0.0_x-ww_1382​d70a\comctl32.dll
 [7] 2008-04-14 12:00 1054208 F92E6BEA9349D49341383F8403B4DF​E5 c:\windows\WinSxS\x86_Microsof​t.Windows.Common-Controls_6595​b64144ccf1df_6.0.2600.5512_x-w​w_35d4ce83\comctl32.dll
 .
 ((((((((((((((((((((((((((((((​(((((((   Reg Loading Points   ))))))))))))))))))))))))))))))​))))))))))))))))))))
 .
 .
 *Note* empty entries & legit default entries are not shown
 REGEDIT4

 [HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Run]
 "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

 [HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows\CurrentVersion​\Run]
 "egui"="c:\program files\ESET\ESET Smart Security\egui.exe" [2009-05-14 2029640]

 [HKEY_USERS\.DEFAULT\Software\M​icrosoft\Windows\CurrentVersio​n\RunOnce]
 "JkDefrag"="advpack.dll" - c:\windows\system32\advpack.dl​l [2009-06-29 124928]
 "SweetRegistry"="advpack.dll" - c:\windows\system32\advpack.dl​l [2009-06-29 124928]

 c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
 Post-it© Software Notes Lite.lnk - c:\program files\3M\PSNLite\PsnLite.exe [2004-10-15 2080768]

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\policies\explorer]
 "HideRunAsVerb"= 1 (0x1)
 "NoNetConnectDisconnect"= 1 (0x1)
 "NoResolveTrack"= 1 (0x1)

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​policies\explorer]
 "ForceClassicControlPanel"= 1 (0x1)
 "NoResolveTrack"= 1 (0x1)
 "NoSMBalloonTip"= 1 (0x1)
 "NoSMConfigurePrograms"= 1 (0x1)
 "NoStrCmpLogical"= 0 (0x0)
 "NoWelcomeScreen"= 1 (0x1)

 [HKEY_USERS\.default\software\m​icrosoft\windows\currentversio​n\policies\explorer]
 "ForceClassicControlPanel"= 1 (0x1)
 "NoResolveTrack"= 1 (0x1)
 "NoSMBalloonTip"= 1 (0x1)
 "NoSMConfigurePrograms"= 1 (0x1)
 "NoSMHelp"= 1 (0x1)
 "NoStrCmpLogical"= 0 (0x0)
 "NoWelcomeScreen"= 1 (0x1)

 [HKEY_CURRENT_USER\software\mic​rosoft\windows\currentversion\​run-]
 "WOOKIT"=c:\progra~1\Wanadoo\S​hell.exe appLaunchClientZone.shl|DEFAUL​T=cnx|PARAM=

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\windows\currentversion​\run-]
 "QuickTime Task"="c:\program files\QuickTime\qttask.exe" -atboottime
 "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe"
 "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
 "WOOTASKBARICON"=c:\progra~1\W​anadoo\GestMaj.exe TaskBarIcon.exe
 "CloneCDTray"="c:\program files\SlySoft\CloneCD\CloneCDT​ray.exe" /s
 "WOOWATCH"=c:\progra~1\Wanadoo​\Watch.exe
 "SysTrayApp"=%ProgramFiles%\ID​T\WDM\sttray.exe
 "TrojanScanner"=c:\program files\Trojan Remover\Trjscan.exe /boot
 "SigmatelSysTrayApp"=stsystra.​exe
 "StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Stat​ic\CLIStart.exe"
 "HPHUPD08"=c:\program files\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A1​1D-98895B3A3729}\hphupd08.exe
 "SunJavaUpdateSched"="c:\progr​am files\Java\jre6\bin\jusched.ex​e"
 "LVCOMSX"=c:\windows\system32\​LVCOMSX.EXE

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\security center]
 "UpdatesDisableNotify"=dword:0​0000001

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile]
 "EnableFirewall"= 0 (0x0)
 "DisableUnicastResponsesToMult​icastBroadcast"= 0 (0x0)

 [HKLM\~\services\sharedaccess\p​arameters\firewallpolicy\stand​ardprofile\AuthorizedApplicati​ons\List]
 "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
 "%windir%\\system32\\sessmgr.e​xe"=
 "c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
 "c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

 R0 iastor85;iastor85;c:\windows\s​ystem32\drivers\iastor85.sys [28/09/2008 01:41 324120]
 R0 pavboot;pavboot;c:\windows\sys​tem32\drivers\pavboot.sys [03/08/2009 01:26 28544]
 R1 ehdrv;ehdrv;c:\windows\system3​2\drivers\ehdrv.sys [14/05/2009 15:47 107256]
 R2 ekrn;ESET Service;c:\program files\ESET\ESET Smart Security\ekrn.exe [14/05/2009 15:47 731840]
 R2 TomTomHOMEService;TomTomHOMESe​rvice;c:\program files\TomTom HOME 2\TomTomHOMEService.exe [08/04/2009 12:38 92008]
 S3 maconfservice;Ma-Config Service;c:\program files\ma-config.com\maconfserv​ice.exe [29/05/2009 17:13 234864]
 S3 MEMSWEEP2;MEMSWEEP2;\??\c:\win​dows\system32\ABA.tmp --> c:\windows\system32\ABA.tmp [?]
 S3 SynasUSB;SynasUSB;c:\windows\s​ystem32\drivers\synasUSB.sys [20/08/2009 11:16 18432]

 --- Other Services/Drivers In Memory ---

 *NewlyCreated* - BROWSER
 *Deregistered* - uphcleanhlp

 HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
 UxTuneUp

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\active setup\installed components\>{D10A0BD6-DEAB-423e-8A6B-373B4BDB3C7B}]
 rundll32.exe advpack.dll,LaunchINFSection c:\windows\INF\firefox.inf,Per​UserStub

 [HKEY_LOCAL_MACHINE\software\mi​crosoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
 rundll32 advpack.dll,LaunchINFSection c:\windows\INF\ie.inf,IE7Stub
 .
 Contents of the 'Scheduled Tasks' folder

 2009-08-07 c:\windows\Tasks\AppleSoftware​Update.job
 - c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]
 .
 .
 ------- Supplementary Scan -------
 .
 uStart Page = hxxp://www.wanadoo.fr
 uDefault_Search_URL = hxxp://www.google.com/ie
 mStart Page = hxxp://www.google.com/
 uSearchURL,(Default) = hxxp://www.google.com/search?q​=%s
 IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.sc​r/200
 IE: Ajouter la cible du lien à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\​AcroIEFavClient.dll/AcroIEAppe​ndSelLinks.html
 IE: Ajouter à un fichier PDF existant - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\​AcroIEFavClient.dll/AcroIEAppe​nd.html
 IE: Convertir au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\​AcroIEFavClient.dll/AcroIECapt​ure.html
 IE: Convertir la cible du lien au format Adobe PDF - c:\program files\Fichiers communs\Adobe\Acrobat\ActiveX\​AcroIEFavClient.dll/AcroIECapt​ureSelLinks.html
 IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\​EXCEL.EXE/3000
 FF - ProfilePath - c:\documents and settings\Administrateur\Applic​ation Data\Mozilla\Firefox\Profiles\​w3h46dr3.default\
 FF - prefs.js: browser.startup.homepage - hxxp://www.google.fr/
 FF - plugin: c:\program files\Google\Picasa3\npPicasa3​.dll
 FF - plugin: c:\program files\ma-config.com\nphardware​detection.dll
 FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825​760534b} - c:\windows\Microsoft.NET\Frame​work\v3.5\Windows Presentation Foundation\DotNetAssistantExte​nsion\

 ---- FIREFOX POLICIES ----
 FF - user.js: network.http.max-persistent-co​nnections-per-server - 4
 FF - user.js: content.max.tokenizing.time - 200000
 FF - user.js: content.notify.interval - 100000
 FF - user.js: content.switch.threshold - 650000
 FF - user.js: nglayout.initialpaint.delay - 300
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.enforce_same_site_​origin", false);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.cache_size", 51200);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.ogg.enabled", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.wave.enabled", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("media.autoplay.enabled", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("browser.urlbar.autocompl​ete.enabled", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("capability.policy.mailne​ws.*.wholeText", "noAccess" );
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.storage.default_quot​a",      5120);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("content.sink.event_probe​_rate", 3);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.http.prompt-temp​-redirect", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.dpi", -1);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("layout.css.devPixelsPerP​x", -1);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("gestures.enable_single_f​inger_input", true);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("dom.max_chrome_script_ru​n_time", 0);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("network.tcp.sendbuffer", 131072);
 c:\program files\Mozilla Firefox\greprefs\all.js - pref("geo.enabled", true);
 c:\program files\Mozilla Firefox\greprefs\security-pref​s.js - pref("security.remember_cert_c​heckbox_default_setting", true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox-​branding.js - pref("browser.search.param.yah​oo-fr", "moz35" );
 c:\program files\Mozilla Firefox\defaults\pref\firefox-​branding.js - pref("browser.search.param.yah​oo-fr-cjkt", "moz35" );
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("extensions.blocklist.lev​el", 2);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("browser.urlbar.restrict.​typed", "~" );
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("browser.urlbar.default.b​ehavior", 0);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​history",     true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​formdata",    true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​passwords",   false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​downloads",   true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​cookies",     true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​cache",       true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​sessions",    true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​offlineApps", false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.clearOnShutdown.​siteSettings", false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.history",                 true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.formdata",                true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.passwords",               false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.downloads",               true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.cookies",                 true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.cache",                   true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.sessions",                true);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.offlineApps"​,             false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.cpd.siteSettings​",            false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("privacy.sanitize.migrate​Fx3Prefs",    false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("browser.ssl_override_beh​avior", 2);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("security.alternate_certi​ficate_error_page", "certerror" );
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("browser.privatebrowsing.​autostart", false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("browser.privatebrowsing.​dont_prompt_on_enter", false);
 c:\program files\Mozilla Firefox\defaults\pref\firefox.​js - pref("geo.wifi.uri", "https://www.google.com/loc/js​on" );
 .

 ******************************​******************************​**************

 catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
 Rootkit scan 2009-08-21 03:14
 Windows 5.1.2600 Service Pack 3 NTFS

 scanning hidden processes ...  

 scanning hidden autostart entries ...

 scanning hidden files ...  

 scan completed successfully
 hidden files: 0

 ******************************​******************************​**************

 [HKEY_LOCAL_MACHINE\System\Cont​rolSet001\Services\MEMSWEEP2]
 "ImagePath"="\??\c:\windows\sy​stem32\ABA.tmp"
 .
 --------------------- DLLs Loaded Under Running Processes ---------------------

 - - - - - - - > 'winlogon.exe'(1340)
 c:\windows\system32\SETUPAPI.d​ll
 c:\windows\system32\Ati2evxx.d​ll
 c:\windows\system32\COMRes.dll
 c:\windows\system32\cscui.dll

 - - - - - - - > 'lsass.exe'(1432)
 c:\windows\system32\setupapi.d​ll
 c:\windows\system32\scecli.dll
 .
 Completion time: 2009-08-21  3:16
 ComboFix-quarantined-files.txt  2009-08-21 01:15

 Pre-Run: 11 671 719 936 octets libres
 Post-Run: 11 639 631 872 octets libres

 303




Profil : Equipe sécurité
dedetraque
Célèbre sur tout le forum (de 30 000 à 99 999 messages postés)
  1. Posté le 21/08/2009 à 01:33:43  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Salut Vannoo


 -Télécharge et installe MalwareByte's Anti-Malware
 http://www.malwarebytes.org/mb [...] -setup.exe

 - Mets le à jour

 ---

 - Redémarre en mode sans échec :

 Au redémarrage de ton PC tapote sur la touche F8 ou F5, sur l'écran suivant déplace toi avec les flèches de direction et choisis Mode sans échec. Choisis ta session habituelle et non la session Administrateur

 ---

 - Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
 - Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
 - clique sur Rechercher

 - Une fois le scan terminé, une fenêtre s'ouvre, clique sur  sur Ok

 - Si MalwareByte's n'a rien détecté, clique sur Ok  Un rapport va apparaître ferme-le.

 - Si MalwareByte's a détecté des infections, clique sur Afficher les résultats  ensuite sur Supprimer la sélection

 - Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

 Note : Si MalwareByte's  a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

 Tutoriel pour MalwareByte's ici :
 http://www.malekal.com/tutoria [...] alware.php


 @++   :)

vannoo
Bébé forumeur (De 10 à 49 messages postés)
  1. Posté le 21/08/2009 à 02:04:15  
  1. answer
  1. Prévenir les modérateurs en cas d'abus
 
Je viens de finir, voici le log: (et encore merci)

 Malwarebytes' Anti-Malware 1.40
 Version de la base de données: 2667
 Windows 5.1.2600 Service Pack 3 (Safe Mode)

 21/08/2009 03:55:13
 mbam-log-2009-08-21 (03-55-07).txt

 Type de recherche: Examen complet (C:\|D:\|E:\|K:\|O:\|)
 Eléments examinés: 182837
 Temps écoulé: 17 minute(s), 18 second(s)

 Processus mémoire infecté(s): 0
 Module(s) mémoire infecté(s): 0
 Clé(s) du Registre infectée(s): 0
 Valeur(s) du Registre infectée(s): 1
 Elément(s) de données du Registre infecté(s): 4
 Dossier(s) infecté(s): 0
 Fichier(s) infecté(s): 3

 Processus mémoire infecté(s):
 (Aucun élément nuisible détecté)

 Module(s) mémoire infecté(s):
 (Aucun élément nuisible détecté)

 Clé(s) du Registre infectée(s):
 (Aucun élément nuisible détecté)

 Valeur(s) du Registre infectée(s):
 HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Windows\CurrentVersion\​Policies\Explorer\ForceClassic​ControlPanel (Hijack.ControlPanelStyle) -> No action taken.

 Elément(s) de données du Registre infecté(s):
 HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 HKEY_CURRENT_USER\SOFTWARE\Mic​rosoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
 HKEY_LOCAL_MACHINE\SOFTWARE\Mi​crosoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

 Dossier(s) infecté(s):
 (Aucun élément nuisible détecté)

 Fichier(s) infecté(s):
 E:\ça peut servir\Les setup\Alcohol 120% v1.9.6.5429\Loader\Alcohol.exe (Trojan.Agent) -> No action taken.
 E:\ça peut servir\Les setup\Nero.8.3.6.0.Europe.Lite​.Incl.Keygen\keygen.exe (Trojan.Agent) -> No action taken.
 E:\ça peut servir\Les setup\Nero.8.3.6.0.Europe.Micr​o.Incl.Keygen\keygen.exe (Trojan.Agent) -> No action taken.

 Par contre, on ne retrouve pas ce qu'avait trouvé Rootkit revealer?

(Publicité)
 Page :
1

Aller à :
 

Sujets relatifs
Plus de sujets relatifs à : Probleme Rootkit

Les 5 sujets de discussion précédents Nombre de réponses Dernier message
Besoin d'aide, trojan win32.Hrup.a 5
Infecté par Win32.Mabezat et autres [résolu] 27
Virtumonde (bis) 1
Gen:rootkit.heur.cuw@eufl jti 5
Windows Xp n'est plus en mesure d'executer des .EXE 0