Rootkit.agent.aiul
Bonjour
Je dispose de :
Bitdefender total security 2008 (mise à jour automatique)
Windows XP (mise à jour automatique)
J'ai un problème de messages récurrents (Alerte Virus) qui annonce avoir bloqué Rootkit.Agent.AIUL
------------------------------------------------------
Dernier exemple stocké dans l'historique de bitdefender – protection en temps réel
Fichier C:\Documents and Settings\pat\Local Settings\Temp\rdl1B.tmp
Est infecté avec Rootkit.Agent.AIUL
Date : lundi, 5.janvier 2009 01:53:54
Nom du virus : Rootkit.Agent.AIUL
Action prise : déplacé
---------------------------------------------------
Le message (Bitdefender Alerte Virus) apparaît :
Parfois lors du démarrage de l'ordinateur et parfois ou toujours lors des analyses avec Bitdefender.
Le message (Bitdefender Alerte Virus) apparaît :
A chaque fois que je veut lire le journal d'une analyse en passant par l'historique de Bitdefender.
(ouvrir l'historique de Bitdefender\dans évènements des tâches à la demande, sélectionner l'analyse désirée\puis sélectionner journal )
J'ai cette fenêtre BitDefender Alerte Virus qui s'ouvre, puis le fichier mes documents s'ouvre dans une autre fenêtre.
Je ne peut pas avoir le journal directement depuis l'historique.( je passe par l'explorateur de fichier ou recherche de fichier)
------------------------------------------------------
Je me souvient avoir bloqué, puis débloqué quelques paramètres dans Filtrage du pare-feu, peut être ai-je commis une erreur.
Actuellement (dans Filtrage dans la colonne action) j'ai ces deux actions qui sont paramétrées sur refuser :
Chemin de l'application : .\system
1 system / TPC / dedans / tous:tous / refuser (avec non pour : autoriser les autres PC à se connecter à cette application)
Chemin de l'application : c:\windows\system32\drivers\svchost.exe
1 svchost.exe / TPC / tous les deux / tous:tous / refuser (avec oui pour : autoriser les autres PC à se connecter à cette application)
Merci de me venir en aide
Réponses
-
Bonjour,
Concernant les réglages du parefeu, ce sont des règles génériques pour des processus système, il est donc difficile à quels programmes ils correspondent.
Concernant cette détection de rootkit, nous allons essayer d'utiliser d'autres outils :
* Téléchargement des programmes qui permettront d'analyser et nettoyer votre système de la présence de malware
Téléchargez Smitfraudfix, sauvegardez le sur votre disque à la racine :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Téléchargez le programme Combofix, sauvegardez le sur votre disque dur C à la racine :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ensuite téléchargez et exécutez le programme FindyKill pour l'installer:
http://sd-1.archive-host.com/membres/up/11...8/FindyKill.exe
* Redémarrage en mode sans échec
Redemarrez l'ordinateur en mode sans échec (au démarrage de l'ordinateur, avant que Windows démarre, tapez sur la touche F8 successivement jusqu'à ce qu'un menu de démarrage apparaisse)
* Nettoyage avec Smitfraudfix (peut ne pas fonctionner sur Vista)
- Ouvrez votre disque dur c:
- Double cliquer sur le programme smitfraudfix.exe, appuyez sur une touche pour continuer quand cela vous est proposé (Si vous êtes sur Vista, cliquez avec le bouton droit de la souris sur smitfraudfix et choisissez 'éxécuter en tant qu'administrateur')
- Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.
- A la question: Voulez-vous nettoyer le registre ? répondre O(oui) afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le programme déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
- Pour effacer la liste des sites de confiance et sensibles (qui ont pu être modifié par des spyware), sélectionner 3 dans le menu.
Une fois les opérations terminées, fermez la fenêtre et passez à la suite.
* Recherche FindyKill :
- Double-cliquez sur l'icône FindyKill qui se trouve sur le bureau.
- Une fenêtre noire s'ouvrira avec trois choix, choisissez le choix numéro 1 pour faire une recherche.
- Une fois la recherche terminée, un rapport sera créé
* Nettoyage Combofix :
- Exécutez combofix depuis l'endroit où vous l'avez sauvegardé. Autorisez toutes les alertes que Windows pourrait lancer (necliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)
- Ensuite quand il vous sera proposer le 'disclamer', appuyez sur 1 pour continuer
- Combofix va lancer la sauvegarde du registre puis commencer le nettoyage
(il va surement vous déconnecter d'internet, c'est normal)
Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.
- Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.
( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)
Redémarrez Windows ensuite.
* Si l'infection est toujours présente, suivez alors les manipulations ci-dessous pour nous renvoyer les fichiers demandé.
1. Analyse Gmer
- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :
- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque
- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:
- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se temrine puis cliquez sur le bouton 'Scan' en bas à droite. Une analyse va démarrer, attendez qu'elle se termine, puis cliquez sur 'Save'. Il vous sera proposé d'enregistrer le rapport d'analyse, choisissez le bureau, et nommez le fichier 'rapportgmer'.
- Un fichier rapportgmer.log (ou fichier rapportgmer de type texte sans l'extension .log) sera créé sur votre bureau, envoyez-nous ce rapport
2. Téléchargez le programme Hijackthis qui se trouve en téléchargement sur la page web suivante (cliquez sur le lien ci-dessous puis cliquez sur Télécharger sur le page):
http://www.clubic.com/lancer-le-telecharge...hijackthis.html
Après avoir sauvegarder le programme sur votre bureau, exécutez le pour démarrer l'installation. Ensuite éxécutez le pour nous envoyer le fichier de diagnostic nous permettant d'avoir plus
d'informations sur votre problème vous devez :
- cliquer sur "ok" dans le cas où une fenêtre d'alerte se déclare
- choisir le bouton "Do a system scan and save a logfile"
3. Enfin veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :
ftp://ftp.editions-profil.fr/support/runscanner1-6.exe
- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".
- Il vous faudra ensuite sur la prochaine fenêtre cocher en supplément la case "Save a binary .run file (optional)" et cliquer en bas sur "Start full computer scan".
- Deux écrans s'afficheront l'un après l'autre vous proposant l'enregistrement de deux fichiers qu'il faudra ensuite nous faire parvenir en pièces jointes (si le fichier avec pour extension .run est refusé, renommez le en .log2)
Et renvoyez-nous aussi les rapports combofix et smitfraudfix, créés suite à l'éxécution des programmes du même nom.
Cordialement,
YannBonjour
Je dispose de :
Bitdefender total security 2008 (mise à jour automatique)
Windows XP (mise à jour automatique)
J'ai un problème de messages récurrents (Alerte Virus) qui annonce avoir bloqué Rootkit.Agent.AIUL
------------------------------------------------------
Dernier exemple stocké dans l'historique de bitdefender – protection en temps réel
Fichier C:\Documents and Settings\pat\Local Settings\Temp\rdl1B.tmp
Est infecté avec Rootkit.Agent.AIUL
Date : lundi, 5.janvier 2009 01:53:54
Nom du virus : Rootkit.Agent.AIUL
Action prise : déplacé
---------------------------------------------------
Le message (Bitdefender Alerte Virus) apparaît :
Parfois lors du démarrage de l'ordinateur et parfois ou toujours lors des analyses avec Bitdefender.
Le message (Bitdefender Alerte Virus) apparaît :
A chaque fois que je veut lire le journal d'une analyse en passant par l'historique de Bitdefender.
(ouvrir l'historique de Bitdefender\dans évènements des tâches à la demande, sélectionner l'analyse désirée\puis sélectionner journal )
J'ai cette fenêtre BitDefender Alerte Virus qui s'ouvre, puis le fichier mes documents s'ouvre dans une autre fenêtre.
Je ne peut pas avoir le journal directement depuis l'historique.( je passe par l'explorateur de fichier ou recherche de fichier)
------------------------------------------------------
Je me souvient avoir bloqué, puis débloqué quelques paramètres dans Filtrage du pare-feu, peut être ai-je commis une erreur.
Actuellement (dans Filtrage dans la colonne action) j'ai ces deux actions qui sont paramétrées sur refuser :
Chemin de l'application : .\system
1 system / TPC / dedans / tous:tous / refuser (avec non pour : autoriser les autres PC à se connecter à cette application)
Chemin de l'application : c:\windows\system32\drivers\svchost.exe
1 svchost.exe / TPC / tous les deux / tous:tous / refuser (avec oui pour : autoriser les autres PC à se connecter à cette application)
Merci de me venir en aide0 -
Bonjour
Merci pour votre réponse.
Après avoir fait les analyses avec smitfraudfix.exe, FindyKill et Combofix selon vos explications, le message (Bitdefender Alerte Virus) Rootkit.Agent.AIUL a l'air d'avoir définitivement disparu.
Surtout le journal des analyses de bitdefender apparaît de nouveau à la fin de chaque analyse et il est de nouveau accessible en passant par l'historique de Bitdefender.
Je vous remercie pour votre précieuse aide et vous souhaite une bonne continuation.
Je poste les résultats des analyses dans le cas ou ils pourraient être utile à une tierce personne.
***************************************************************************
SmitFraudFix v2.388
Rapport fait à 1:09:28.21, 07.01.2009
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode sans echec
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Avant SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Arret des processus
»»»»»»»»»»»»»»»»»»»»»»»» hosts
127.0.0.1 localhost
»»»»»»»»»»»»»»»»»»»»»»»» VACFix
VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix
S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix
GenericRenosFix by S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Suppression des fichiers infectés
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
»»»»»»»»»»»»»»»»»»»»»»»» RK
»»»»»»»»»»»»»»»»»»»»»»»» DNS
HKLM\SYSTEM\CCS\Services\Tcpip\..\{87D84623-EC20-4D01-9354-3998C3350114}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{87D84623-EC20-4D01-9354-3998C3350114}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\..\{87D84623-EC20-4D01-9354-3998C3350114}: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1
»»»»»»»»»»»»»»»»»»»»»»»» Suppression Fichiers Temporaires
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""
»»»»»»»»»»»»»»»»»»»»»»»» Nettoyage du registre
Nettoyage terminé.
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Après SmitFraudFix
!!!Attention, les clés qui suivent ne sont pas forcément infectées!!!
SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll
»»»»»»»»»»»»»»»»»»»»»»»» Fin
***********************************************************************
----------------- FindyKill V4.711 ------------------
* User : pat - -
* Emplacement : C:\Program Files\FindyKill
* Outils Mis a jours le 05/01/09 par Chiquitine29
* Recherche effectuée à 1:19:28 le 07.01.2009
* Windows XP - Internet Explorer 7.0.5730.11
((((((((((((((((( *** Recherche *** ))))))))))))))))))
--------------- [ Processus actifs ] ----------------
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
--------------- [ Fichiers/Dossiers infectieux ] ----------------
»»»» Presence des fichiers dans C:
»»»» Presence des fichiers dans C:\WINDOWS
»»»» Presence des fichiers dans C:\WINDOWS\Prefetch
»»»» Presence des fichiers dans C:\WINDOWS\system32
»»»» Presence des fichiers dans C:\WINDOWS\system32\drivers
»»»» Presence des fichiers dans C:\Documents and Settings\pat\Application Data
»»»» Presence des fichiers dans C:\DOCUME~1\pat\LOCALS~1\Temp
»»»» Presence des fichiers dans C:\Documents and Settings\pat\Local Settings\Temporary Internet Files\Content.IE5
Found ! [16.05.2007 13:08] - C:\Program Files\The KMPlayer\files.txt
Found ! [16.05.2007 20:08] - C:\Program Files\The KMPlayer FR\files.txt
--------------- [ Registre / Startup ] ----------------
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
RemoteCenter=C:\Program Files\Creative\MediaSource\RemoteControl\RCMan.EXE
MSMSGS="C:\Program Files\Messenger\msmsgs.exe" /background
ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
LDM=C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]
ASUS Probe=C:\Program Files\ASUS\Probe\AsusProb.exe
UpdReg=C:\WINDOWS\UpdReg.EXE
SBDrvDet=C:\Program Files\Creative\SB Drive Det\SBDrvDet.exe /r
OpwareSE2="C:\Program Files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
NVRTCLK=C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
nTrayFw=C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
NeroFilterCheck=C:\WINDOWS\system32\NeroCheck.exe
CTSysVol=C:\Program Files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
CTHelper=CTHELPER.EXE
CTDVDDET=C:\Program Files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
QuickTime Task="C:\Program Files\QuickTime\qttask.exe" -atboottime
Kernel and Hardware Abstraction Layer=KHALMNPR.EXE
BitDefender Antiphishing Helper="C:\Program Files\BitDefender\BitDefender 2008\IEShow.exe"
BDAgent="C:\Program Files\BitDefender\BitDefender 2008\bdagent.exe"
KernelFaultCheck=%systemroot%\system32\dumprep 0 -k
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL=
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI=
NoChange=1
Installed=1
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS=
Installed=1
[HKEY_CURRENT_USER\software\local appwizard-generated applications\expvw]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Menu]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Pmview]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\RtlRack]
[HKEY_CURRENT_USER\software\local appwizard-generated applications\Samsung PC Studio II 2.0 Image Editor]
--------------- [ Registre / Clés infectieuses ] ----------------
Found ! - HKEY_USERS\S-1-5-21-842925246-2139871995-839522115-1004\Software\Ubisoft
--------------- [ Etat / Services ] ----------------
+- Services : [ Auto=2 / Demande=3 / Désactivé=4 ]
Ndisuio - Type de démarrage = 3
EapHost - Type de démarrage = 3
Ip6Fw - Type de démarrage = 3
SharedAccess - Type de démarrage = 2
wuauserv - Type de démarrage = 2
wscsvc - Type de démarrage = 2
--------------- [ Recherche dans supports amovibles] ----------------
+- Informations :
C: - Lecteur fixe
E: - Lecteur de CD-ROM
+- Contenu de l'autorun : E:\autorun.inf
[autorun]
open=kochstart\kochstart.exe
+- presence des fichiers :
Found ! [18.01.2005 18:44][-r-------] - E:\autorun.inf
--------------- [ Registre / Mountpoint2 ] ----------------
-> Not found !
------------------- ! Fin du rapport ! --------------------
************************************************************************
ComboFix 09-01-05.05 - pat 2009-01-07 1:29:11.1 - NTFSx86 MINIMAL
Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2047.1773 [GMT 1:00]
Lancé depuis: C:\ComboFix.exe
AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\program files\Microsoft Common
c:\program files\Microsoft Common\svchost.exe
c:\windows\IE4 Error Log.txt
c:\windows\system32\digeste.dll
c:\windows\system32\tmp.reg
c:\windows\wiaserviv.log
.
((((((((((((((((((((((((((((( Fichiers créés du 2008-12-07 au 2009-01-07 ))))))))))))))))))))))))))))))))))))
.
2009-01-07 01:08 . 2009-01-07 01:15 <REP> d-------- C:\SmitfraudFix
2009-01-07 00:55 . 2009-01-07 01:19 <REP> d-------- c:\program files\FindyKill
2009-01-07 00:53 . 2009-01-07 00:53 2,895,222 -ra------ C:\ComboFix.exe
2009-01-07 00:51 . 2009-01-07 00:51 1,660,821 --a------ C:\SmitfraudFix.exe
2009-01-02 07:13 . 2009-01-02 07:21 <REP> d-------- c:\program files\Freeware PDF Unlocker
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-01-07 00:04 81,984 ----a-w c:\windows\system32\bdod.bin
2009-01-05 04:52 --------- d-----w c:\program files\X Plugin Manager
2009-01-05 04:51 --------- d-----w c:\program files\Notepad++
2009-01-05 04:51 --------- d-----w c:\documents and settings\pat\Application Data\Notepad++
2008-12-15 02:25 --------- d-----w c:\program files\The KMPlayer FR
2008-11-18 23:39 --------- d-----w c:\program files\Fichiers communs\LogiShared
2008-11-18 23:38 127,034 ------r c:\windows\bwUnin-8.1.1.50-8876480SL.exe
2008-11-18 23:38 --------- d--h--w c:\program files\InstallShield Installation Information
2008-11-18 23:38 --------- d-----w c:\program files\Logitech
2008-11-18 23:30 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_LHidFilt_01005.Wdf
2008-10-29 20:10 416 ----a-w c:\program files\zhp.ini
2008-10-23 12:36 286,720 ----a-w c:\windows\system32\gdi32.dll
2008-10-16 20:18 826,368 ----a-w c:\windows\system32\wininet.dll
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2007-07-31 22:21 50,125 ----a-w c:\program files\Uninstal.exe
2006-06-09 15:04 43 ----a-w c:\program files\i_view32.ini
2005-12-26 17:30 7,245 ----a-w c:\program files\changesfr.txt
2004-07-25 12:01 731,648 ----a-w c:\program files\HParlante.exe
2004-04-19 11:50 2,924 ----a-w c:\program files\LISEZMOI.TXT
2006-05-03 10:06 163,328 --sh--r c:\windows\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r c:\windows\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w c:\windows\system32\Smab0.dll
2008-02-04 19:26 151,040 --sh--w c:\windows\system32\VistaUltm.dll
2008-08-29 02:08 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\Historique\History.IE5\MSHist012008082920080830\index.dat
.
((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés
REGEDIT4
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"RemoteCenter"="c:\program files\Creative\MediaSource\RemoteControl\RCMan.EXE" [2003-10-08 139264]
"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"LDM"="c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2008-11-19 67128]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ASUS Probe"="c:\program files\ASUS\Probe\AsusProb.exe" [2002-12-06 617984]
"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]
"SBDrvDet"="c:\program files\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056]
"OpwareSE2"="c:\program files\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 49152]
"NVRTCLK"="c:\windows\system32\NVRTCLK\NVRTClk.exe" [2003-12-30 24576]
"nTrayFw"="c:\program files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe" [2005-04-29 266240]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"CTSysVol"="c:\program files\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe" [2003-09-17 57344]
"CTDVDDET"="c:\program files\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 45056]
"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2007-09-07 286720]
"BitDefender Antiphishing Helper"="c:\program files\BitDefender\BitDefender 2008\IEShow.exe" [2007-10-09 61440]
"BDAgent"="c:\program files\BitDefender\BitDefender 2008\bdagent.exe" [2008-09-16 368640]
"CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE]
"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
c:\documents and settings\All Users\Menu D‚marrer\Programmes\D‚marrage\
Adobe Gamma Loader.lnk - c:\program files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe [2005-09-24 110592]
Lancement rapide d'Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]
Logitech Desktop Messenger.lnk - c:\program files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe [2008-11-19 67128]
Logitech SetPoint.lnk - c:\program files\Logitech\SetPoint\SetPoint.exe [2008-07-21 805392]
Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2008-05-02 01:42 72208 c:\program files\Fichiers communs\Logitech\Bluetooth\LBTWLgn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"VIDC.VP40"= vp4vfw.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"="0x00000000"
"UpdatesDisableNotify"="0x00000000"
"AntiVirusOverride"=dword:00000001
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program Files\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"c:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4X.exe"=
"c:\\Program Files\\Sierra\\SWAT 4\\ContentExpansion\\System\\Swat4XDedicatedServer.exe"=
"c:\\Program Files\\Logitech\\Desktop Messenger\\8876480\\Program\\LogitechDesktopMessenger.exe"=
R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]
S3 Alpham;Ideazon Fang Composite Keyboard Driver;c:\windows\system32\drivers\Alpham.sys [2006-03-12 37248]
S3 Bdfndisf;BitDefender Firewall NDIS Filter Service;c:\windows\system32\drivers\bdfndisf.sys [2008-01-25 86792]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\program files\Fichiers communs\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]
S3 GVTDrv;GVTDrv;c:\windows\system32\drivers\GVTDrv.sys [2005-04-07 23524]
S3 oflpydin;oflpydin;\??\c:\docume~1\pat\LOCALS~1\Temp\oflpydin.sys --> c:\docume~1\pat\LOCALS~1\Temp\oflpydin.sys [?]
S4 PfDetNT;PfDetNT;c:\windows\system32\drivers\PfModNT.sys [2005-03-31 15840]
--- Other Services/Drivers In Memory ---
*NewlyCreated* - AEC
*NewlyCreated* - ASYNCMAC
*NewlyCreated* - ATMARPC
*NewlyCreated* - CCDECODE
*NewlyCreated* - DMUSIC
*NewlyCreated* - DRMKAUD
*NewlyCreated* - IP6FW
*NewlyCreated* - IPFILTERDRIVER
*NewlyCreated* - IPINIP
*NewlyCreated* - IRENUM
*NewlyCreated* - KMIXER
*NewlyCreated* - L8042KBD
*NewlyCreated* - L8042MOU
*NewlyCreated* - LHIDKE
*NewlyCreated* - LMOUKE
*NewlyCreated* - LUSBFILT
*NewlyCreated* - MODEM
*NewlyCreated* - MPE
*NewlyCreated* - MSIRCOMM
*NewlyCreated* - MSKSSRV
*NewlyCreated* - MSPCLOCK
*NewlyCreated* - MSPQM
*NewlyCreated* - MSTEE
*NewlyCreated* - NABTSFEC
*NewlyCreated* - NDISIP
*NewlyCreated* - NIC1394
*NewlyCreated* - NVENETFD
*NewlyCreated* - NWLNKFLT
*NewlyCreated* - NWLNKFWD
*NewlyCreated* - RDPWD
*NewlyCreated* - SLIP
*NewlyCreated* - SPLITTER
*NewlyCreated* - STIRUSB
*NewlyCreated* - STREAMIP
*NewlyCreated* - SWMIDI
*NewlyCreated* - SYSAUDIO
*NewlyCreated* - TDPIPE
*NewlyCreated* - TDTCP
*NewlyCreated* - USBPRINT
*NewlyCreated* - USBSCAN
*NewlyCreated* - USBSTOR
*NewlyCreated* - WDMAUD
*NewlyCreated* - WMFILTER
*NewlyCreated* - WMVIRHID
*NewlyCreated* - WSTCODEC
*NewlyCreated* - WUDFPF
*NewlyCreated* - WUDFRD
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bdx REG_MULTI_SZ scan
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - e:\kochstart\kochstart.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{162689ef-4ccb-11dc-ac83-0011d89cde9d}]
\Shell\AutoRun\command - F:\InstallTomTomHOME.exe
.
.
------- Examen supplémentaire -------
.
uInternet Settings,ProxyServer = 192.168.1.35:3128
uInternet Settings,ProxyOverride = <local>
IE: Easy-WebPrint Ajouter à la liste d'impressions - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
IE: Easy-WebPrint Impression rapide - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
IE: Easy-WebPrint Imprimer - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
IE: Easy-WebPrint Prévisualiser - c:\program files\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
LSP: %SYSTEMROOT%\system32\nvappfilter.dll
Handler: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - c:\program files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O16 -: {867E13F2-7F31-44FB-AC97-CD38E0DC46EF} - hxxp://charon777.free.fr/plugins/hardwaredetection.cab
c:\windows\Downloaded Program Files\hardwaredetection.inf
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-01-07 01:30:08
Windows 5.1.2600 Service Pack 3 NTFS
Recherche de processus cachés ...
Recherche d'éléments en démarrage automatique cachés ...
Recherche de fichiers cachés ...
Scan terminé avec succès
Fichiers cachés: 0
**************************************************************************
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\bdfsfltr]
"ImagePath"=hex:73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,44,00,52,\
.
--------------------- DLLs chargées dans les processus actifs ---------------------
- - - - - - - > 'winlogon.exe'(196)
c:\windows\system32\Ati2evxx.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTWlgn.dll
c:\program files\fichiers communs\logitech\bluetooth\LBTServ.dll
.
Heure de fin: 2009-01-07 1:31:13
ComboFix-quarantined-files.txt 2009-01-07 00:30:53
Avant-CF: 120'756'670'464 octets libres
Après-CF: 121,764,712,448 octets libres
212 --- E O F --- 2008-12-18 03:52:35
*******************************************************************Bonjour,
Concernant les réglages du parefeu, ce sont des règles génériques pour des processus système, il est donc difficile à quels programmes ils correspondent.
Concernant cette détection de rootkit, nous allons essayer d'utiliser d'autres outils :
* Téléchargement des programmes qui permettront d'analyser et nettoyer votre système de la présence de malware
Téléchargez Smitfraudfix, sauvegardez le sur votre disque à la racine :
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Téléchargez le programme Combofix, sauvegardez le sur votre disque dur C à la racine :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
Ensuite téléchargez et exécutez le programme FindyKill pour l'installer:
http://sd-1.archive-host.com/membres/up/11...8/FindyKill.exe
* Redémarrage en mode sans échec
Redemarrez l'ordinateur en mode sans échec (au démarrage de l'ordinateur, avant que Windows démarre, tapez sur la touche F8 successivement jusqu'à ce qu'un menu de démarrage apparaisse)
* Nettoyage avec Smitfraudfix (peut ne pas fonctionner sur Vista)
- Ouvrez votre disque dur c:
- Double cliquer sur le programme smitfraudfix.exe, appuyez sur une touche pour continuer quand cela vous est proposé (Si vous êtes sur Vista, cliquez avec le bouton droit de la souris sur smitfraudfix et choisissez 'éxécuter en tant qu'administrateur')
- Sélectionner 2 dans le menu pour supprimer les fichiers responsables de l'infection.
- A la question: Voulez-vous nettoyer le registre ? répondre O(oui) afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
- Le programme déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) pour remplacer le fichier corrompu.
- Pour effacer la liste des sites de confiance et sensibles (qui ont pu être modifié par des spyware), sélectionner 3 dans le menu.
Une fois les opérations terminées, fermez la fenêtre et passez à la suite.
* Recherche FindyKill :
- Double-cliquez sur l'icône FindyKill qui se trouve sur le bureau.
- Une fenêtre noire s'ouvrira avec trois choix, choisissez le choix numéro 1 pour faire une recherche.
- Une fois la recherche terminée, un rapport sera créé
* Nettoyage Combofix :
- Exécutez combofix depuis l'endroit où vous l'avez sauvegardé. Autorisez toutes les alertes que Windows pourrait lancer (necliquez pas dans la fenêtre de travail de combofix, il pourrait s'arrêter)
- Ensuite quand il vous sera proposer le 'disclamer', appuyez sur 1 pour continuer
- Combofix va lancer la sauvegarde du registre puis commencer le nettoyage
(il va surement vous déconnecter d'internet, c'est normal)
Il y a aura 41 étapes environ , ne touchez à rien pendant ces opérations.
- Quand Combofix aura fini de travailler, il créer un fichier rapport qu'il ouvrira, sauvegardez le à un endroit de votre disque de votre choix.
( il est possible qu'en cours d'analyse en cas de détection, il trouve quelque chose et vous demande de redémarrer, redémarrez windows dans ce cas là)
Redémarrez Windows ensuite.
* Si l'infection est toujours présente, suivez alors les manipulations ci-dessous pour nous renvoyer les fichiers demandé.
1. Analyse Gmer
- Téléchargez le fichier gmer.zip depuis le lien-ci-dessous :
- Une fois le fichier enregistré, décompressez son contenu (il faut extraire le fichier de l'archive) sur le disque dur C:, un programme nommé gmer (ou gmer.exe) sera créé sur le disque
- Exécutez le programme gmer.exe (ou gmer) qui se trouve sur C:
- Une fenêtre s'ouvrira, attendez que l'analyse d'introduction se temrine puis cliquez sur le bouton 'Scan' en bas à droite. Une analyse va démarrer, attendez qu'elle se termine, puis cliquez sur 'Save'. Il vous sera proposé d'enregistrer le rapport d'analyse, choisissez le bureau, et nommez le fichier 'rapportgmer'.
- Un fichier rapportgmer.log (ou fichier rapportgmer de type texte sans l'extension .log) sera créé sur votre bureau, envoyez-nous ce rapport
2. Téléchargez le programme Hijackthis qui se trouve en téléchargement sur la page web suivante (cliquez sur le lien ci-dessous puis cliquez sur Télécharger sur le page):
http://www.clubic.com/lancer-le-telecharge...hijackthis.html
Après avoir sauvegarder le programme sur votre bureau, exécutez le pour démarrer l'installation. Ensuite éxécutez le pour nous envoyer le fichier de diagnostic nous permettant d'avoir plus
d'informations sur votre problème vous devez :
- cliquer sur "ok" dans le cas où une fenêtre d'alerte se déclare
- choisir le bouton "Do a system scan and save a logfile"
3. Enfin veuillez enregistrer sur votre bureau puis exécuter le logiciel disponible au lien ci-dessous :
ftp://ftp.editions-profil.fr/support/runscanner1-6.exe
- Une fenêtre s'ouvrira dans laquelle il faudra cocher la case "Beginner mode" puis cliquer sur "Ok".
- Il vous faudra ensuite sur la prochaine fenêtre cocher en supplément la case "Save a binary .run file (optional)" et cliquer en bas sur "Start full computer scan".
- Deux écrans s'afficheront l'un après l'autre vous proposant l'enregistrement de deux fichiers qu'il faudra ensuite nous faire parvenir en pièces jointes (si le fichier avec pour extension .run est refusé, renommez le en .log2)
Et renvoyez-nous aussi les rapports combofix et smitfraudfix, créés suite à l'éxécution des programmes du même nom.
Cordialement,
Yann0
Leaders
Catégories
- Toutes les catégories
- 616 Windows
- 33 Mac
- 95 Mobile Security
- 232 VPN
- 241 Central et abonnements
- 137 Autres produits et services
- 77 Équipe de recherche sur la sécurité
- 28 Fonctionnalités du produit et idéation
- 84 Thèmes généraux
- 7.2K Particuliers & bureau à domicile
- 574 Malwares et envoi dexemples
- 2.7K Vieux sujets
- Archiver