Rootkit.agent.aiul

patdefender

Bonjour

Je dispose de :

Bitdefender total security 2008 (mise à jour automatique)

Windows XP (mise à jour automatique)

J'ai un problème de messages récurrents (Alerte Virus) qui annonce avoir bloqué Rootkit.Agent.AIUL

------------------------------------------------------

Dernier exemple stocké dans l'historique de bitdefender – protection en temps réel

Fichier C:\Documents and Settings\pat\Local Settings\Temp\rdl1B.tmp

Est infecté avec Rootkit.Agent.AIUL

Date : lundi, 5.janvier 2009 01:53:54

Nom du virus : Rootkit.Agent.AIUL

Action prise : déplacé

---------------------------------------------------

Le message (Bitdefender Alerte Virus) apparaît :

Parfois lors du démarrage de l'ordinateur et parfois ou toujours lors des analyses avec Bitdefender.

Le message (Bitdefender Alerte Virus) apparaît :

A chaque fois que je veut lire le journal d'une analyse en passant par l'historique de Bitdefender.

(ouvrir l'historique de Bitdefender\dans évènements des tâches à la demande, sélectionner l'analyse désirée\puis sélectionner journal )

J'ai cette fenêtre BitDefender Alerte Virus qui s'ouvre, puis le fichier mes documents s'ouvre dans une autre fenêtre.

Je ne peut pas avoir le journal directement depuis l'historique.( je passe par l'explorateur de fichier ou recherche de fichier)

------------------------------------------------------

Je me souvient avoir bloqué, puis débloqué quelques paramètres dans Filtrage du pare-feu, peut être ai-je commis une erreur.

Actuellement (dans Filtrage dans la colonne action) j'ai ces deux actions qui sont paramétrées sur refuser :

Chemin de l'application : .\system

1 system / TPC / dedans / tous:tous / refuser (avec non pour : autoriser les autres PC à se connecter à cette application)

Chemin de l'application : c:\windows\system32\drivers\svchost.exe

1 svchost.exe / TPC / tous les deux / tous:tous / refuser (avec oui pour : autoriser les autres PC à se connecter à cette application)

Merci de me venir en aide

Trouver d'autres publications étiquetées avec

Réponses

Yann A.

Bonjour,

Concernant les réglages du parefeu, ce sont des règles génériques pour des processus système, il est donc difficile à quels programmes ils correspondent.

Concernant cette détection de rootkit, nous allons essayer d'utiliser d'autres outils :

* Téléchargement des programmes qui permettront d'analyser et nettoyer votre système de la présence de malware

Téléchargez Smitfraudfix, sauvegardez le sur votre disque à la racine :

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Téléchargez le programme Combofix, sauvegardez le sur votre disque dur C à la racine :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Ensuite téléchargez et exécutez le programme FindyKill pour l'installer:

http://sd-1.archive-host.com/membres/up/11...8/FindyKill.exe

* Redémarrage en mode sans échec

Redemarrez l'ordinateur en mode sans échec (au démarrage de l'ordinateur, avant que Windows démarre, tapez sur la touche F8 successivement jusqu'à ce qu'un menu de démarrage apparaisse)

* Nettoyage avec Smitfraudfix (peut ne pas fonctionner sur Vista)

- Ouvrez votre disque dur c:

- Double cliquer sur le programme smitfraudfix.exe, appuyez sur une touche pour continuer quand cela vous est proposé (Si vous êtes sur Vista, cliquez avec le bouton droit de la souris sur smitfraudfix et choisissez 'éxécuter en tant qu'administrateur')

- Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.

- A la question: Voulez-vous nettoyer le registre ? répondre O(oui) afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

- Le programme déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

- Pour effacer la liste des sites de confiance et sensibles (qui ont pu être modifié par des spyware), sélectionner 3 dans le menu.

Une fois les opérations terminées, fermez la fenêtre et passez à la suite.

* Recherche FindyKill :

- Double-cliquez sur l'icône FindyKill qui se trouve sur le bureau.

- Une fenêtre noire s'ouvrira avec trois choix, choisissez le choix numéro 1 pour faire une recherche.

- Une fois la recherche terminée, un rapport sera créé

* Nettoyage Combofix :

- Exécutez combofix depuis l'endroit où vous l'avez sauvegardé. Autorisez toutes les alertes que Windows pourrait lancer (necliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)

- Ensuite quand il vous sera proposer le 'disclamer', appuyez sur 1 pour continuer

- Combofix va lancer la sauvegarde du registre puis commencer le nettoyage

(il va surement vous déconnecter d'internet, c'est normal)

Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.

- Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.

( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)

Redémarrez Windows ensuite.

* Si l'infection est toujours présente, suivez alors les manipulations ci-dessous pour nous renvoyer les fichiers demandé.

1. Analyse Gmer

- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :

http://www.gmer.net/gmer.zip

- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque

- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:

- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se temrine puis cliquez sur le bouton 'Scan' en bas à droite. Une analyse va démarrer, attendez qu'elle se termine, puis cliquez sur 'Save'. Il vous sera proposé d'enregistrer le rapport d'analyse, choisissez le bureau, et nommez le fichier 'rapportgmer'.

- Un fichier rapportgmer.log (ou fichier rapportgmer de type texte sans l'extension .log) sera créé sur votre bureau, envoyez-nous ce rapport

2. Téléchargez le programme Hijackthis qui se trouve en téléchargement sur la page web suivante (cliquez sur le lien ci-dessous puis cliquez sur Télécharger sur le page):

http://www.clubic.com/lancer-le-telecharge...hijackthis.html

Après avoir sauvegarder le programme sur votre bureau, exécutez le pour démarrer l'installation. Ensuite éxécutez le pour nous envoyer le fichier de diagnostic nous permettant d'avoir plus

d'informations sur votre problème vous devez :

- cliquer sur "ok" dans le cas où une fenêtre d'alerte se déclare

- choisir le bouton "Do a system scan and save a logfile"

3. Enfin veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :

ftp://ftp.editions-profil.fr/support/runscanner1-6.exe

- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".

- Il vous faudra ensuite sur la prochaine fenêtre cocher en supplément la case "Save a binary .run file (optional)" et cliquer en bas sur "Start full computer scan".

- Deux écrans s'afficheront l'un après l'autre vous proposant l'enregistrement de deux fichiers qu'il faudra ensuite nous faire parvenir en pièces jointes (si le fichier avec pour extension .run est refusé, renommez le en .log2)

Et renvoyez-nous aussi les rapports combofix et smitfraudfix, créés suite à l'éxécution des programmes du même nom.

Cordialement,

Yann

Bonjour

Je dispose de :

Bitdefender total security 2008 (mise à jour automatique)

Windows XP (mise à jour automatique)

J'ai un problème de messages récurrents (Alerte Virus) qui annonce avoir bloqué Rootkit.Agent.AIUL

------------------------------------------------------

Dernier exemple stocké dans l'historique de bitdefender – protection en temps réel

Fichier C:\Documents and Settings\pat\Local Settings\Temp\rdl1B.tmp

Est infecté avec Rootkit.Agent.AIUL

Date : lundi, 5.janvier 2009 01:53:54

Nom du virus : Rootkit.Agent.AIUL

Action prise : déplacé

---------------------------------------------------

Le message (Bitdefender Alerte Virus) apparaît :

Parfois lors du démarrage de l'ordinateur et parfois ou toujours lors des analyses avec Bitdefender.

Le message (Bitdefender Alerte Virus) apparaît :

A chaque fois que je veut lire le journal d'une analyse en passant par l'historique de Bitdefender.

(ouvrir l'historique de Bitdefender\dans évènements des tâches à la demande, sélectionner l'analyse désirée\puis sélectionner journal )

J'ai cette fenêtre BitDefender Alerte Virus qui s'ouvre, puis le fichier mes documents s'ouvre dans une autre fenêtre.

Je ne peut pas avoir le journal directement depuis l'historique.( je passe par l'explorateur de fichier ou recherche de fichier)

------------------------------------------------------

Je me souvient avoir bloqué, puis débloqué quelques paramètres dans Filtrage du pare-feu, peut être ai-je commis une erreur.

Actuellement (dans Filtrage dans la colonne action) j'ai ces deux actions qui sont paramétrées sur refuser :

Chemin de l'application : .\system

1 system / TPC / dedans / tous:tous / refuser (avec non pour : autoriser les autres PC à se connecter à cette application)

Chemin de l'application : c:\windows\system32\drivers\svchost.exe

1 svchost.exe / TPC / tous les deux / tous:tous / refuser (avec oui pour : autoriser les autres PC à se connecter à cette application)

Merci de me venir en aide

patdefender

Bonjour

Merci pour votre réponse.

Après avoir fait les analyses avec smitfraudfix.exe, FindyKill et Combofix selon vos explications, le message (Bitdefender Alerte Virus) Rootkit.Agent.AIUL a l'air d'avoir définitivement disparu.

Surtout le journal des analyses de bitdefender apparaît de nouveau à la fin de chaque analyse et il est de nouveau accessible en passant par l'historique de Bitdefender.

Je vous remercie pour votre précieuse aide et vous souhaite une bonne continuation.

Je poste les résultats des analyses dans le cas ou ils pourraient être utile à une tierce personne.

***************************************************************************

SmitFraudFix v2.388

Rapport fait à 1:09:28.21, 07.01.2009

Executé à partir de C:\SmitfraudFix

OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT

Le type du système de fichiers est NTFS

Fix executé en mode sans echec

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix

Agent.OMZ.Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» RK

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{87D84623-EC20-4D01-9354-3998C3350114}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{87D84623-EC20-4D01-9354-3998C3350114}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{87D84623-EC20-4D01-9354-3998C3350114}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre

Nettoyage terminé.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix

!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Fin

***********************************************************************

----------------- FindyKill V4.711 ------------------

* User : pat - -

* Emplacement : C:\Program Files\FindyKill

* Outils Mis a jours le 05/01/09 par Chiquitine29

* Recherche effectuée à 1:19:28 le 07.01.2009

* Windows XP - Internet Explorer 7.0.5730.11

((((((((((((((((( *** Recherche *** ))))))))))))))))))

--------------- [ Processus actifs ] ----------------

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\explorer.exe

--------------- [ Fichiers/Dossiers infectieux ] ----------------

»»»» Presence des fichiers dans C:

»»»» Presence des fichiers dans C:\WINDOWS

»»»» Presence des fichiers dans C:\WINDOWS\Prefetch

»»»» Presence des fichiers dans C:\WINDOWS\system32

»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers

»»»» Presence des fichiers dans C:\Documents and Settings\pat\Application Data

»»»» Presence des fichiers dans C:\DOCUME~1\pat\LOCALS~1\Temp

»»»» Presence des fichiers dans C:\Documents and Settings\pat\Local Settings\Temporary Internet Files\Content.IE5

Found ! [16.05.2007 13:08] - C:\Program Files\The KMPlayer\files.txt

Found ! [16.05.2007 20:08] - C:\Program Files\The KMPlayer FR\files.txt

--------------- [ Registre / Startup ] ----------------

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

RemoteCenter=C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE

MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background

ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe

LDM=C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

ASUS Probe=C:\Program Files\ASUS\Probe\AsusProb.exe

UpdReg=C:\WINDOWS\UpdReg.EXE

SBDrvDet=C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r

OpwareSE2="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

NVRTCLK=C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe

nTrayFw=C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe

NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe

CTSysVol=C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r

CTHelper=CTHELPER.EXE

CTDVDDET=C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime

Kernel and Hardware Abstraction Layer=KHALMNPR.EXE

BitDefender Antiphishing Helper="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"

BDAgent="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"

KernelFaultCheck=%systemroot%\system32\dumprep 0 -k

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=

Installed=1

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=

NoChange=1

Installed=1

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=

Installed=1

[HKEY_CURRENT_USER\software\local appwizard-generated applications\expvw]

[HKEY_CURRENT_USER\software\local appwizard-generated applications\Menu]

[HKEY_CURRENT_USER\software\local appwizard-generated applications\Pmview]

[HKEY_CURRENT_USER\software\local appwizard-generated applications\RtlRack]

[HKEY_CURRENT_USER\software\local appwizard-generated applications\Samsung PC Studio II 2.0 Image Editor]

--------------- [ Registre / Clés infectieuses ] ----------------

Found ! - HKEY_USERS\S-1-5-21-842925246-2139871995-839522115-1004\Software\Ubisoft

--------------- [ Etat / Services ] ----------------

+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]

Ndisuio - Type de démarrage = 3

EapHost - Type de démarrage = 3

Ip6Fw - Type de démarrage = 3

SharedAccess - Type de démarrage = 2

wuauserv - Type de démarrage = 2

wscsvc - Type de démarrage = 2

--------------- [ Recherche dans supports amovibles] ----------------

+- Informations :

C: - Lecteur fixe

E: - Lecteur de CD-ROM

+- Contenu de l'autorun : E:\autorun.inf

[autorun]

open=kochstart\kochstart.exe

+- presence des fichiers :

Found ! [18.01.2005 18:44][-r-------] - E:\autorun.inf

--------------- [ Registre / Mountpoint2 ] ----------------

-> Not found !

------------------- ! Fin du rapport ! --------------------

************************************************************************

ComboFix 09-01-05.05 - pat 2009-01-07 1:29:11.1 - NTFSx86 MINIMAL

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2047.1773 [GMT 1:00]

Lancé depuis: C:\ComboFix.exe

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

c:\program files\Microsoft Common

c:\program files\Microsoft Common\svchost.exe

c:\windows\IE4 Error Log.txt

c:\windows\system32\digeste.dll

c:\windows\system32\tmp.reg

c:\windows\wiaserviv.log

((((((((((((((((((((((((((((( Fichiers créés du 2008-12-07 au 2009-01-07 ))))))))))))))))))))))))))))))))))))

2009-01-07 01:08 . 2009-01-07 01:15 <REP> d-------- C:\SmitfraudFix

2009-01-07 00:55 . 2009-01-07 01:19 <REP> d-------- c:\program files\FindyKill

2009-01-07 00:53 . 2009-01-07 00:53 2,895,222 -ra------ C:\ComboFix.exe

2009-01-07 00:51 . 2009-01-07 00:51 1,660,821 --a------ C:\SmitfraudFix.exe

2009-01-02 07:13 . 2009-01-02 07:21 <REP> d-------- c:\program files\Freeware PDF Unlocker

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

2009-01-07 00:04 81,984 ----a-w c:\windows\system32\bdod.bin

2009-01-05 04:52 --------- d-----w c:\program files\X Plugin Manager

2009-01-05 04:51 --------- d-----w c:\program files\Notepad++

2009-01-05 04:51 --------- d-----w c:\documents and settings\pat\Application Data\Notepad++

2008-12-15 02:25 --------- d-----w c:\program files\The KMPlayer FR

2008-11-18 23:39 --------- d-----w c:\program files\Fichiers communs\LogiShared

2008-11-18 23:38 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe

2008-11-18 23:38 --------- d--h--w c:\program files\InstallShield Installation Information

2008-11-18 23:38 --------- d-----w c:\program files\Logitech

2008-11-18 23:30 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf

2008-10-29 20:10 416 ----a-w c:\program files\zhp.ini

2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll

2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2007-07-31 22:21 50,125 ----a-w c:\program files\Uninstal.exe

2006-06-09 15:04 43 ----a-w c:\program files\i_view32.ini

2005-12-26 17:30 7,245 ----a-w c:\program files\changesfr.txt

2004-07-25 12:01 731,648 ----a-w c:\program files\HParlante.exe

2004-04-19 11:50 2,924 ----a-w c:\program files\LISEZMOI.TXT

2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll

2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll

2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll

2008-02-04 19:26 151,040 --sh--w c:\windows\system32\VistaUltm.dll

2008-08-29 02:08 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082920080830\index.dat

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 139264]

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-11-19 67128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ASUS Probe"="c:\program files\ASUS\Probe\AsusProb.exe" [2002-12-06 617984]

"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]

"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]

"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]

"NVRTCLK"="c:\windows\system32\NVRTCLK\NVRTClk.exe" [2003-12-30 24576]

"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 266240]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]

"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 45056]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-09-07 286720]

"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]

"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-09-16 368640]

"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\

Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-09-24 110592]

Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-11-19 67128]

Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-07-21 805392]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 01:42 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"VIDC.I420"= i420vfw.dll

"VIDC.VP40"= vp4vfw.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"="0x00000000"

"UpdatesDisableNotify"="0x00000000"

"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=

"c:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4X.exe"=

"c:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4XDedicatedServer.exe"=

"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]

S3 Alpham;Ideazon Fang Composite Keyboard Driver;c:\windows\system32\drivers\Alpham.sys [2006-03-12 37248]

S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2008-01-25 86792]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]

S3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [2005-04-07 23524]

S3 oflpydin;oflpydin;\??\c:\docume~1\pat\LOCALS~1\Temp\oflpydin.sys --> c:\docume~1\pat\LOCALS~1\Temp\oflpydin.sys [?]

S4 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [2005-03-31 15840]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - AEC

*NewlyCreated* - ASYNCMAC

*NewlyCreated* - ATMARPC

*NewlyCreated* - CCDECODE

*NewlyCreated* - DMUSIC

*NewlyCreated* - DRMKAUD

*NewlyCreated* - IP6FW

*NewlyCreated* - IPFILTERDRIVER

*NewlyCreated* - IPINIP

*NewlyCreated* - IRENUM

*NewlyCreated* - KMIXER

*NewlyCreated* - L8042KBD

*NewlyCreated* - L8042MOU

*NewlyCreated* - LHIDKE

*NewlyCreated* - LMOUKE

*NewlyCreated* - LUSBFILT

*NewlyCreated* - MODEM

*NewlyCreated* - MPE

*NewlyCreated* - MSIRCOMM

*NewlyCreated* - MSKSSRV

*NewlyCreated* - MSPCLOCK

*NewlyCreated* - MSPQM

*NewlyCreated* - MSTEE

*NewlyCreated* - NABTSFEC

*NewlyCreated* - NDISIP

*NewlyCreated* - NIC1394

*NewlyCreated* - NVENETFD

*NewlyCreated* - NWLNKFLT

*NewlyCreated* - NWLNKFWD

*NewlyCreated* - RDPWD

*NewlyCreated* - SLIP

*NewlyCreated* - SPLITTER

*NewlyCreated* - STIRUSB

*NewlyCreated* - STREAMIP

*NewlyCreated* - SWMIDI

*NewlyCreated* - SYSAUDIO

*NewlyCreated* - TDPIPE

*NewlyCreated* - TDTCP

*NewlyCreated* - USBPRINT

*NewlyCreated* - USBSCAN

*NewlyCreated* - USBSTOR

*NewlyCreated* - WDMAUD

*NewlyCreated* - WMFILTER

*NewlyCreated* - WMVIRHID

*NewlyCreated* - WSTCODEC

*NewlyCreated* - WUDFPF

*NewlyCreated* - WUDFRD

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

bdx REG_MULTI_SZ scan

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

\Shell\AutoRun\command - e:\kochstart\kochstart.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{162689ef-4ccb-11dc-ac83-0011d89cde9d}]

\Shell\AutoRun\command - F:\InstallTomTomHOME.exe

------- Examen supplémentaire -------

uInternet Settings,ProxyServer = 192.168.1.35:3128

uInternet Settings,ProxyOverride = <local>

IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

LSP: %SYSTEMROOT%\system32\nvappfilter.dll

Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://charon777.free.fr/plugins/hardwaredetection.cab

c:\windows\Downloaded Program Files\hardwaredetection.inf

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-07 01:30:08

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]

"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(196)

c:\windows\system32\Ati2evxx.dll

c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll

c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll

Heure de fin: 2009-01-07 1:31:13

ComboFix-quarantined-files.txt 2009-01-07 00:30:53

Avant-CF: 120'756'670'464 octets libres

Après-CF: 121,764,712,448 octets libres

212 --- E O F --- 2008-12-18 03:52:35

*******************************************************************

Bonjour,

Concernant les réglages du parefeu, ce sont des règles génériques pour des processus système, il est donc difficile à quels programmes ils correspondent.

Concernant cette détection de rootkit, nous allons essayer d'utiliser d'autres outils :

* Téléchargement des programmes qui permettront d'analyser et nettoyer votre système de la présence de malware

Téléchargez Smitfraudfix, sauvegardez le sur votre disque à la racine :

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Téléchargez le programme Combofix, sauvegardez le sur votre disque dur C à la racine :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Ensuite téléchargez et exécutez le programme FindyKill pour l'installer:

http://sd-1.archive-host.com/membres/up/11...8/FindyKill.exe

* Redémarrage en mode sans échec

Redemarrez l'ordinateur en mode sans échec (au démarrage de l'ordinateur, avant que Windows démarre, tapez sur la touche F8 successivement jusqu'à ce qu'un menu de démarrage apparaisse)

* Nettoyage avec Smitfraudfix (peut ne pas fonctionner sur Vista)

- Ouvrez votre disque dur c:

- Double cliquer sur le programme smitfraudfix.exe, appuyez sur une touche pour continuer quand cela vous est proposé (Si vous êtes sur Vista, cliquez avec le bouton droit de la souris sur smitfraudfix et choisissez 'éxécuter en tant qu'administrateur')

- Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.

- A la question: Voulez-vous nettoyer le registre ? répondre O(oui) afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.

- Le programme déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.

- Pour effacer la liste des sites de confiance et sensibles (qui ont pu être modifié par des spyware), sélectionner 3 dans le menu.

Une fois les opérations terminées, fermez la fenêtre et passez à la suite.

* Recherche FindyKill :

- Double-cliquez sur l'icône FindyKill qui se trouve sur le bureau.

- Une fenêtre noire s'ouvrira avec trois choix, choisissez le choix numéro 1 pour faire une recherche.

- Une fois la recherche terminée, un rapport sera créé

* Nettoyage Combofix :

- Exécutez combofix depuis l'endroit où vous l'avez sauvegardé. Autorisez toutes les alertes que Windows pourrait lancer (necliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)

- Ensuite quand il vous sera proposer le 'disclamer', appuyez sur 1 pour continuer

- Combofix va lancer la sauvegarde du registre puis commencer le nettoyage

(il va surement vous déconnecter d'internet, c'est normal)

Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.

- Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.

( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)

Redémarrez Windows ensuite.

* Si l'infection est toujours présente, suivez alors les manipulations ci-dessous pour nous renvoyer les fichiers demandé.

1. Analyse Gmer

- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :

http://www.gmer.net/gmer.zip

- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque

- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:

- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se temrine puis cliquez sur le bouton 'Scan' en bas à droite. Une analyse va démarrer, attendez qu'elle se termine, puis cliquez sur 'Save'. Il vous sera proposé d'enregistrer le rapport d'analyse, choisissez le bureau, et nommez le fichier 'rapportgmer'.

- Un fichier rapportgmer.log (ou fichier rapportgmer de type texte sans l'extension .log) sera créé sur votre bureau, envoyez-nous ce rapport

2. Téléchargez le programme Hijackthis qui se trouve en téléchargement sur la page web suivante (cliquez sur le lien ci-dessous puis cliquez sur Télécharger sur le page):

http://www.clubic.com/lancer-le-telecharge...hijackthis.html

Après avoir sauvegarder le programme sur votre bureau, exécutez le pour démarrer l'installation. Ensuite éxécutez le pour nous envoyer le fichier de diagnostic nous permettant d'avoir plus

d'informations sur votre problème vous devez :

- cliquer sur "ok" dans le cas où une fenêtre d'alerte se déclare

- choisir le bouton "Do a system scan and save a logfile"

3. Enfin veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :

ftp://ftp.editions-profil.fr/support/runscanner1-6.exe

- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".

- Il vous faudra ensuite sur la prochaine fenêtre cocher en supplément la case "Save a binary .run file (optional)" et cliquer en bas sur "Start full computer scan".

- Deux écrans s'afficheront l'un après l'autre vous proposant l'enregistrement de deux fichiers qu'il faudra ensuite nous faire parvenir en pièces jointes (si le fichier avec pour extension .run est refusé, renommez le en .log2)

Et renvoyez-nous aussi les rapports combofix et smitfraudfix, créés suite à l'éxécution des programmes du même nom.

Cordialement,

Yann