c'est chaud apparemment!!
ComboFix 08-01-16.1 - XP 2008-01-15 22:54:20.1 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1394 [GMT 1:00]
Running from: C:\Documents and Settings\XP\Bureau\ComboFix.exe
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\testdll.dll
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\poof
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-16 to 2008-01-16 ))))))))))))))))))))))))))))))))))))
.
2008-01-15 22:53 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 22:40 . 2008-01-15 22:43 <REP> d-------- C:\Program Files\Navilog1
2008-01-15 21:07 . 2008-01-15 21:07 589,893 --a------ C:\upload_moi_XPSP2-AB29DB624.tar.gz
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-15 00:49 . 2007-10-16 15:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-15 00:49 . 2007-10-16 17:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-15 00:49 . 2007-10-16 15:24 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-15 00:49 . 2008-01-15 00:49 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\PC Tools
2008-01-15 00:20 . 2007-08-14 09:12 18,816 --------- C:\WINDOWS\system32\SAVRKBootTasks.sys
2008-01-14 23:18 . 2008-01-14 23:18 <REP> d-------- C:\Program Files\Sophos
2008-01-13 23:53 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-13 23:47 . 2008-01-13 23:47 <REP> d-------- C:\Program Files\Avira GmbH
2008-01-13 22:33 . 2008-01-13 22:33 <REP> d-------- C:\Program Files\Teleport Pro
2008-01-13 12:42 . 2008-01-15 00:24 <REP> d-------- C:\Program Files\Error Repair Professional
2008-01-12 00:48 . 2008-01-12 00:48 <REP> d-------- C:\Program Files\MP3Producer
2008-01-12 00:48 . 2008-01-12 00:49 8 --a------ C:\WINDOWS\system32\ntP2.trk
2008-01-12 00:29 . 2008-01-12 00:53 <REP> d-------- C:\Program Files\FairStars Audio Converter
2008-01-12 00:18 . 2008-01-12 00:18 <REP> d-------- C:\Program Files\Xing
2008-01-12 00:18 . 1998-12-16 12:08 317,952 --a------ C:\WINDOWS\system32\Roboex32.dll
2008-01-04 20:09 . 2007-10-12 02:55 1,279,000 --a------ C:\WINDOWS\system32\drivers\LV302V32.SYS
2008-01-04 20:09 . 2007-10-12 03:00 490,008 --a------ C:\WINDOWS\system32\LVUI2.dll
2008-01-04 20:09 . 2007-10-12 03:00 465,432 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2008-01-04 20:09 . 2007-10-12 02:57 416,280 --a------ C:\WINDOWS\system32\lvcodec2.dll
2008-01-04 20:09 . 2007-10-12 02:57 195,096 --a------ C:\WINDOWS\system32\lvci1150.dll
2008-01-04 20:09 . 2007-10-12 02:11 59,500 --a------ C:\WINDOWS\system32\lvcoinst.ini
2008-01-04 20:09 . 2007-10-12 03:00 41,752 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-01-04 20:09 . 2007-10-12 02:18 21,138 --a------ C:\WINDOWS\system32\Repository.reg
2008-01-04 20:09 . 2007-10-12 02:55 13,848 --a------ C:\WINDOWS\system32\drivers\lv302af.sys
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Program Files\Logitech
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2007-12-31 19:37 . 2007-12-31 19:39 <REP> d-------- C:\Documents and Settings\XP\Application Data\VoipDiscount
2007-12-31 19:33 . 2007-12-31 19:33 <REP> d-------- C:\Program Files\VoipDiscount.com
2007-12-30 05:02 . 2007-12-30 05:02 <REP> d-------- C:\WINDOWS\Sun
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-16 22:00 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-01-16 21:59 5,173,536 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-16 21:58 70,340 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-16 21:58 257,824 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-16 21:58 25,220 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-14 23:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-14 22:43 2,920,960 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-01-14 22:43 2,747,392 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-01-13 16:49 --------- d-----w C:\Program Files\Winamp
2008-01-12 19:48 --------- d-----w C:\Documents and Settings\XP\Application Data\LimeWire
2008-01-11 00:58 2,830,848 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-01-11 00:58 2,668,032 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-01-04 19:10 --------- d-----w C:\Program Files\Fichiers communs\LogiShrd
2008-01-04 19:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logishrd
2008-01-02 17:30 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-01 12:04 2,580,992 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-12-28 14:06 91,492 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-28 14:06 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-25 01:53 3,186,176 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-11-23 09:07 2,478,080 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-11-23 00:32 --------- d-----w C:\Documents and Settings\XP\Application Data\Azureus
2007-11-23 00:31 --------- d-----w C:\Program Files\Nero
2007-11-23 00:31 --------- d-----w C:\Program Files\Fichiers communs\Nero
2007-11-23 00:31 --------- d-----w C:\Documents and Settings\XP\Application Data\Nero
2007-11-23 00:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2007-11-22 04:11 --------- d-----w C:\Program Files\DivX
2007-11-21 23:38 --------- d-----w C:\Program Files\Foxit Software
2007-11-21 19:50 --------- d-----w C:\Program Files\WinAVI Video Converter
2007-11-21 02:15 --------- d-----w C:\Program Files\Electronic Arts
2007-11-19 22:08 --------- d-----w C:\Program Files\ALA
2007-11-17 01:35 2,738,176 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-11-17 01:35 2,322,944 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-11-16 00:54 --------- d-----w C:\Program Files\Kingdia Software
2007-11-12 00:54 2,842,112 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-11-12 00:54 2,277,376 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-11-05 00:50 696,832 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-11-05 00:50 2,276,352 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-11-02 00:52 2,807,296 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-10-27 15:12 2,936,832 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-27 15:12 2,125,312 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-10-27 11:35 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-18 17:08 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-10-18 15:18 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-10-17 17:00 971,264 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-10-17 17:00 1,656,320 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-10-17 11:55 86,528 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-10-17 11:55 1,519,616 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-10-17 11:08 315,392 ----a-w C:\WINDOWS\HideWin.exe
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-03-09 18:50 200768]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="" []
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 10:24 248]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2007-02-07 15:21 54832 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-10-25 16:33 563984 C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2007-10-25 16:37 2178832 C:\Program Files\Logitech\QuickCam\Quickcam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-09-17 00:07 8491008 C:\WINDOWS\system32\NvCpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-09-17 00:07 81920 C:\WINDOWS\system32\NvMcTray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-02-07 15:24 71216 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-09-11 15:54 16844800 C:\WINDOWS\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-05-02 03:15 75520 C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-10-18 16:18 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2006-12-14 15:18 7558720 C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe
R0 mv61xx;mv61xx;C:\WINDOWS\system32\DRIVERS\mv61xx.sys [2007-05-25 04:35]
R1 SAVRKBootTasks;Boot Tasks Driver;C:\WINDOWS\system32\SAVRKBootTasks.sys [2007-08-14 09:12]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 07:12]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 19:50]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\4.tmp []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1054a0c2-7c03-11dc-af6a-806d6172696f}]
\Shell\AutoRun\command - D:\.\Bin\Assetup.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f75733a-8406-11dc-bc6f-001bfcfbb00f}]
\Shell\Auto\command - exedtvwkm.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL exedtvwkm.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{78024cf7-8899-11dc-bc75-001bfcfbb00f}]
\Shell\AutoRun\command - I:\wd_windows_tools\setup.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-16 23:00:37
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-16 23:01:27 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-16 22:01:20
Est ce un rootkit?
Modérateur: Modérateurs
Règles du forum
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
Un topic par machine, chacun crée le sien. 
Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles). Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications). Un topic par machine, chacun crée le sien.
98 messages
• Page 2 sur 5 • 1, 2, 3, 4, 5
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 23:07
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 23:19
Non, fausse alerte, j'ai probablement eu un doute sur des traces de ce cher Daemon tools.
On va voir pour tes fichiers système. J'ai demandé un coup de main et des confirmations, on discute sur la façon la plus propre et sûre de restaurer ça. C'est bien que tu aies le cd avec SP2 sous la main, héhé.
On va voir pour tes fichiers système. J'ai demandé un coup de main et des confirmations, on discute sur la façon la plus propre et sûre de restaurer ça. C'est bien que tu aies le cd avec SP2 sous la main, héhé.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 23:28
ok,en tout cas merci beaucoup c'est vraiment très sympa de ta part de m'accorder de ton temps
ca craint a ce point la??! j'ai refait une analyse avec AVG anti rootkit et....effectivement c'est bien un rootkit qui se régénère
ca craint a ce point la??! j'ai refait une analyse avec AVG anti rootkit et....effectivement c'est bien un rootkit qui se régénère
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 23:31
Ok, le problème est qu'il n'apparaît pas dans les rapports, sans doute car supprimé directement, trop tôt pour y figurer.
Poste la liste des fichiers concernés, ou un (plusieurs si besoin) rapport d'AVG, de suppression et détection autour de ça.
a4u7jn62.SYS certes mais seulement ? Tout seul il ne régénère pas.
On va l'avoir autrement.
Poste la liste des fichiers concernés, ou un (plusieurs si besoin) rapport d'AVG, de suppression et détection autour de ça.
a4u7jn62.SYS certes mais seulement ? Tout seul il ne régénère pas.
On va l'avoir autrement.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 15 Jan 2008 23:37
voila ce qui vient d'un fichier nommé results qui se trouve dans C:\Program Files\GRISOFT\AVG Anti-Rootkit Free
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\atsaacjg.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a79cmcwb.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a79cmcwb.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a5qf9znl.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a6ifgmsf.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\axps579h.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\axps579h.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a97bgen6.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a97bgen6.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\awc74ss5.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a2g7ozuu.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a9lz0swu.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\aq4c0gdg.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\atsaacjg.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a79cmcwb.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a79cmcwb.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a5qf9znl.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a6ifgmsf.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\axps579h.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\axps579h.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a97bgen6.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a97bgen6.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\awc74ss5.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a2g7ozuu.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a9lz0swu.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\aq4c0gdg.SYS Description: Hidden driver file
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 15 Jan 2008 23:50
Je te prépare un script. D'autres rapports d'AVG ?
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par Falkra » 16 Jan 2008 00:04
Autre question du soir. Est-ce que tu utilises un patch tcp-ip pour "déverrouiller" le nombre de connexions de la machine (genre pour du p2p, souvent c'est associé) ? (pas de jugement, mais ton fichier est modifié)
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 16 Jan 2008 00:04
a chaque fois que je fais une analyse et que je supprime le fichier ,après reboot pc il en détecte un autre
Path: C:\WINDOWS\System32\Drivers\az7yiigf.SYS Description: Hidden driver file
oui il me semble avoir suivi une procédure pour augmenter le nombre de connnexion,modification dans la base de registre je crois mais pas un patch
Path: C:\WINDOWS\System32\Drivers\az7yiigf.SYS Description: Hidden driver file
oui il me semble avoir suivi une procédure pour augmenter le nombre de connnexion,modification dans la base de registre je crois mais pas un patch
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 16 Jan 2008 00:08
C'est logique ("normal", n'exagérons pas) : c'est un nom aléatoire qui est utilisé, il faut la source pour le shooter.
On regarde (à plusieurs).
On regarde (à plusieurs).
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par Falkra » 16 Jan 2008 00:51
Je te poste le script demain matin, je dois encore vérifier 2-3 trucs.
N'oublie pas (après) de me dire si tu as un patch pour le nombre de connexions simultanées (appelé parfois patch 4662 ou patch tcp ip) installé sur la machine.
Demain au redémarrage, shoote le fichier.
N'oublie pas (après) de me dire si tu as un patch pour le nombre de connexions simultanées (appelé parfois patch 4662 ou patch tcp ip) installé sur la machine.
Demain au redémarrage, shoote le fichier.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 16 Jan 2008 01:04
ok merci encore Falkra,passe une bonne nuit et prends soin de toi...j'ai encore besoin de toi 
non je n'ai pas de patch pour le nombre de connexions simultanées ,pour augmenter le nombre de connexions j'avais fait une modification dans la base de registre
non je n'ai pas de patch pour le nombre de connexions simultanées ,pour augmenter le nombre de connexions j'avais fait une modification dans la base de registre
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 16 Jan 2008 10:18
tu es potentiellement touché par une infection de supports amovibles (clés usb, etc)
Télécharge Flash Disinfector de sUBs sur ton bureau.
* Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient.
* Double-clique sur Flash_Disinfector.exe.
* Cela sera très rapide, un message t'informera de la fin du fix.
Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
* Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.
La suite arrive, ça c'est préventif.
Télécharge Flash Disinfector de sUBs sur ton bureau.
* Branche tes supports amovibles, démarre les (disques dur externes par exemple) pour ceux qui le devraient.
* Double-clique sur Flash_Disinfector.exe.
* Cela sera très rapide, un message t'informera de la fin du fix.
Attention, celui-ci stoppe le processus explorer.exe puis le redémarre, prends soin de ne pas laisser de documents (word, excel) sur lesquels tu travailles ouvert à ce moment la.
* Si tu as beaucoup de clés à désinfecter, tu peux renouveler l'opération en branchant les clés non traitées une à une.
La suite arrive, ça c'est préventif.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 16 Jan 2008 15:04
Bonjour Falkra,actuellement je suis au boulot,je ferais ca dès ce soir,je posterai dès que ce sera fait.
j'ai effectivement un disque externe et une clé usb philips
merci encore passe une bonne journée
j'ai effectivement un disque externe et une clé usb philips
merci encore passe une bonne journée
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par OG662 » 16 Jan 2008 20:51
Bonsoir Falkra!!
ça y est c'est fait pour Flash Disinfector
ça y est c'est fait pour Flash Disinfector
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 16 Jan 2008 21:22
Ok. Je te propose un script, adapté à ton infection.
J'ai mis exprès - sans doute en trop - des fichiers déjà listés. Ils ne sont sans doute déjà plus là, mais au pire on nous dit impossible de les virer/fichier pas là, on ne risque pas grand chose. Mais s'ils étaient encore là, on le saura. Je pense qu'ils n'y sont plus, mais autant être prudent.
Le reste élimine de la clé de registre pas claire.
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture
J'ai mis exprès - sans doute en trop - des fichiers déjà listés. Ils ne sont sans doute déjà plus là, mais au pire on nous dit impossible de les virer/fichier pas là, on ne risque pas grand chose. Mais s'ils étaient encore là, on le saura. Je pense qu'ils n'y sont plus, mais autant être prudent.
Le reste élimine de la clé de registre pas claire.
- Crée un fichier texte nommé CFScript.txt
Double clique pour l'ouvrir, et copie colle ceci dedans :
RootKit::
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS
Path: C:\WINDOWS\System32\Drivers\a4u7jn62.SYS
Path: C:\WINDOWS\System32\Drivers\atsaacjg.SYS
Path: C:\WINDOWS\System32\Drivers\a79cmcwb.SYS
Path: C:\WINDOWS\System32\Drivers\a79cmcwb.SYS
Path: C:\WINDOWS\System32\Drivers\a5qf9znl.SYS
Path: C:\WINDOWS\System32\Drivers\a6ifgmsf.SYS
Path: C:\WINDOWS\System32\Drivers\axps579h.SYS
Path: C:\WINDOWS\System32\Drivers\axps579h.SYS
Path: C:\WINDOWS\System32\Drivers\a97bgen6.SYS
Path: C:\WINDOWS\System32\Drivers\a97bgen6.SYS
Path: C:\WINDOWS\System32\Drivers\awc74ss5.SYS
Path: C:\WINDOWS\System32\Drivers\a2g7ozuu.SYS
Path: C:\WINDOWS\System32\Drivers\a9lz0swu.SYS
Path: C:\WINDOWS\System32\Drivers\aq4c0gdg.SYS
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5f75733a-8406-11dc-bc6f-001bfcfbb00f}]
Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture- Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.
- Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
- Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
- Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 16 Jan 2008 21:34
voila le contenu
ComboFix 08-01-16.1 - XP 2008-01-17 21:22:29.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1479 [GMT 1:00]
Running from: C:\Documents and Settings\XP\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\XP\Bureau\CFScript.txt
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
I:\Autorun.inf
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-17 to 2008-01-17 ))))))))))))))))))))))))))))))))))))
.
2008-01-17 00:10 . 2008-01-17 00:10 <REP> d-------- C:\VundoFix Backups
2008-01-15 22:53 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 22:40 . 2008-01-15 22:43 <REP> d-------- C:\Program Files\Navilog1
2008-01-15 21:07 . 2008-01-15 21:07 589,893 --a------ C:\upload_moi_XPSP2-AB29DB624.tar.gz
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-15 00:49 . 2007-10-16 15:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-15 00:49 . 2007-10-16 17:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-15 00:49 . 2007-10-16 15:24 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-15 00:49 . 2008-01-15 00:49 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\PC Tools
2008-01-15 00:20 . 2007-08-14 09:12 18,816 --------- C:\WINDOWS\system32\SAVRKBootTasks.sys
2008-01-14 23:18 . 2008-01-14 23:18 <REP> d-------- C:\Program Files\Sophos
2008-01-13 23:53 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-13 23:47 . 2008-01-13 23:47 <REP> d-------- C:\Program Files\Avira GmbH
2008-01-13 22:33 . 2008-01-13 22:33 <REP> d-------- C:\Program Files\Teleport Pro
2008-01-13 12:42 . 2008-01-15 00:24 <REP> d-------- C:\Program Files\Error Repair Professional
2008-01-12 00:48 . 2008-01-12 00:48 <REP> d-------- C:\Program Files\MP3Producer
2008-01-12 00:48 . 2008-01-12 00:49 8 --a------ C:\WINDOWS\system32\ntP2.trk
2008-01-12 00:29 . 2008-01-12 00:53 <REP> d-------- C:\Program Files\FairStars Audio Converter
2008-01-12 00:18 . 2008-01-12 00:18 <REP> d-------- C:\Program Files\Xing
2008-01-12 00:18 . 1998-12-16 12:08 317,952 --a------ C:\WINDOWS\system32\Roboex32.dll
2008-01-04 20:09 . 2007-10-12 02:55 1,279,000 --a------ C:\WINDOWS\system32\drivers\LV302V32.SYS
2008-01-04 20:09 . 2007-10-12 03:00 490,008 --a------ C:\WINDOWS\system32\LVUI2.dll
2008-01-04 20:09 . 2007-10-12 03:00 465,432 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2008-01-04 20:09 . 2007-10-12 02:57 416,280 --a------ C:\WINDOWS\system32\lvcodec2.dll
2008-01-04 20:09 . 2007-10-12 02:57 195,096 --a------ C:\WINDOWS\system32\lvci1150.dll
2008-01-04 20:09 . 2007-10-12 02:11 59,500 --a------ C:\WINDOWS\system32\lvcoinst.ini
2008-01-04 20:09 . 2007-10-12 03:00 41,752 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-01-04 20:09 . 2007-10-12 02:18 21,138 --a------ C:\WINDOWS\system32\Repository.reg
2008-01-04 20:09 . 2007-10-12 02:55 13,848 --a------ C:\WINDOWS\system32\drivers\lv302af.sys
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Program Files\Logitech
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2007-12-31 19:37 . 2007-12-31 19:39 <REP> d-------- C:\Documents and Settings\XP\Application Data\VoipDiscount
2007-12-31 19:33 . 2007-12-31 19:33 <REP> d-------- C:\Program Files\VoipDiscount.com
2007-12-30 05:02 . 2007-12-30 05:02 <REP> d-------- C:\WINDOWS\Sun
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-17 20:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-01-17 20:27 5,255,968 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-17 20:27 264,224 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-17 20:26 71,444 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-17 20:26 25,820 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-14 23:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-14 22:43 2,920,960 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-01-14 22:43 2,747,392 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-01-13 16:49 --------- d-----w C:\Program Files\Winamp
2008-01-12 19:48 --------- d-----w C:\Documents and Settings\XP\Application Data\LimeWire
2008-01-11 00:58 2,830,848 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-01-11 00:58 2,668,032 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-01-04 19:10 --------- d-----w C:\Program Files\Fichiers communs\LogiShrd
2008-01-04 19:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logishrd
2008-01-02 17:30 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-01 12:04 2,580,992 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-12-28 14:06 91,492 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-28 14:06 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-25 01:53 3,186,176 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-11-23 09:07 2,478,080 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-11-23 00:32 --------- d-----w C:\Documents and Settings\XP\Application Data\Azureus
2007-11-23 00:31 --------- d-----w C:\Program Files\Nero
2007-11-23 00:31 --------- d-----w C:\Program Files\Fichiers communs\Nero
2007-11-23 00:31 --------- d-----w C:\Documents and Settings\XP\Application Data\Nero
2007-11-23 00:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2007-11-22 04:11 --------- d-----w C:\Program Files\DivX
2007-11-21 23:38 --------- d-----w C:\Program Files\Foxit Software
2007-11-21 19:50 --------- d-----w C:\Program Files\WinAVI Video Converter
2007-11-21 02:15 --------- d-----w C:\Program Files\Electronic Arts
2007-11-19 22:08 --------- d-----w C:\Program Files\ALA
2007-11-17 01:35 2,738,176 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-11-17 01:35 2,322,944 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-11-12 00:54 2,842,112 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-11-12 00:54 2,277,376 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-11-05 00:50 696,832 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-11-05 00:50 2,276,352 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-11-02 00:52 2,807,296 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-10-27 15:12 2,936,832 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-27 15:12 2,125,312 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-10-27 11:35 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-18 17:08 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-10-18 15:18 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-10-17 17:00 971,264 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-10-17 17:00 1,656,320 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-10-17 11:55 86,528 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-10-17 11:55 1,519,616 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-10-17 11:08 315,392 ----a-w C:\WINDOWS\HideWin.exe
.
((((((((((((((((((((((((((((( snapshot@2008-01-16_23.01.05.46 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-15 21:54:05 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-17 20:21:52 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-15 21:54:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-17 20:21:52 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-15 21:54:06 3,072,000 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-17 20:21:52 3,104,768 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-15 21:54:06 864,256 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-17 20:21:52 864,256 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-15 21:54:06 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-17 20:21:52 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-15 21:54:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-17 20:21:52 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-16 21:59:05 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2008-01-17 20:27:46 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
- 2008-01-14 20:16:12 7,559,936 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat
+ 2008-01-17 19:31:15 7,533,084 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-03-09 18:50 200768]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="" []
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 10:24 248]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2007-02-07 15:21 54832 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-10-25 16:33 563984 C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2007-10-25 16:37 2178832 C:\Program Files\Logitech\QuickCam\Quickcam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-09-17 00:07 8491008 C:\WINDOWS\system32\NvCpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-09-17 00:07 81920 C:\WINDOWS\system32\NvMcTray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-02-07 15:24 71216 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-09-11 15:54 16844800 C:\WINDOWS\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-05-02 03:15 75520 C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-10-18 16:18 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2006-12-14 15:18 7558720 C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe
R0 mv61xx;mv61xx;C:\WINDOWS\system32\DRIVERS\mv61xx.sys [2007-05-25 04:35]
R1 SAVRKBootTasks;Boot Tasks Driver;C:\WINDOWS\system32\SAVRKBootTasks.sys [2007-08-14 09:12]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 07:12]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 19:50]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\4.tmp []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1054a0c2-7c03-11dc-af6a-806d6172696f}]
\Shell\AutoRun\command - D:\.\Bin\Assetup.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-17 21:28:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-17 21:28:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-17 20:28:52
ComboFix2.txt 2008-01-16 22:01:27
ComboFix 08-01-16.1 - XP 2008-01-17 21:22:29.2 - NTFSx86
Microsoft Windows XP Professionnel 5.1.2600.2.1252.1.1036.18.1479 [GMT 1:00]
Running from: C:\Documents and Settings\XP\Bureau\ComboFix.exe
Command switches used :: C:\Documents and Settings\XP\Bureau\CFScript.txt
* Created a new restore point
.
(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))
.
I:\Autorun.inf
.
((((((((((((((((((((((((((((( Fichiers cr‚‚s 2007-12-17 to 2008-01-17 ))))))))))))))))))))))))))))))))))))
.
2008-01-17 00:10 . 2008-01-17 00:10 <REP> d-------- C:\VundoFix Backups
2008-01-15 22:53 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-15 22:40 . 2008-01-15 22:43 <REP> d-------- C:\Program Files\Navilog1
2008-01-15 21:07 . 2008-01-15 21:07 589,893 --a------ C:\upload_moi_XPSP2-AB29DB624.tar.gz
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage r‚seau
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d--h----- C:\Documents and Settings\Administrateur\Voisinage d'impression
2008-01-15 00:49 . 2007-10-16 15:21 <REP> d--h----- C:\Documents and Settings\Administrateur\ModŠles
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Mes documents
2008-01-15 00:49 . 2007-10-16 17:16 <REP> dr------- C:\Documents and Settings\Administrateur\Menu D‚marrer
2008-01-15 00:49 . 2007-10-16 15:24 <REP> d-------- C:\Documents and Settings\Administrateur\Favoris
2008-01-15 00:49 . 2007-10-16 17:16 <REP> d-------- C:\Documents and Settings\Administrateur\Bureau
2008-01-15 00:49 . 2008-01-15 00:49 <REP> d-------- C:\Documents and Settings\Administrateur\Application Data\PC Tools
2008-01-15 00:20 . 2007-08-14 09:12 18,816 --------- C:\WINDOWS\system32\SAVRKBootTasks.sys
2008-01-14 23:18 . 2008-01-14 23:18 <REP> d-------- C:\Program Files\Sophos
2008-01-13 23:53 . 2007-01-18 13:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-01-13 23:47 . 2008-01-13 23:47 <REP> d-------- C:\Program Files\Avira GmbH
2008-01-13 22:33 . 2008-01-13 22:33 <REP> d-------- C:\Program Files\Teleport Pro
2008-01-13 12:42 . 2008-01-15 00:24 <REP> d-------- C:\Program Files\Error Repair Professional
2008-01-12 00:48 . 2008-01-12 00:48 <REP> d-------- C:\Program Files\MP3Producer
2008-01-12 00:48 . 2008-01-12 00:49 8 --a------ C:\WINDOWS\system32\ntP2.trk
2008-01-12 00:29 . 2008-01-12 00:53 <REP> d-------- C:\Program Files\FairStars Audio Converter
2008-01-12 00:18 . 2008-01-12 00:18 <REP> d-------- C:\Program Files\Xing
2008-01-12 00:18 . 1998-12-16 12:08 317,952 --a------ C:\WINDOWS\system32\Roboex32.dll
2008-01-04 20:09 . 2007-10-12 02:55 1,279,000 --a------ C:\WINDOWS\system32\drivers\LV302V32.SYS
2008-01-04 20:09 . 2007-10-12 03:00 490,008 --a------ C:\WINDOWS\system32\LVUI2.dll
2008-01-04 20:09 . 2007-10-12 03:00 465,432 --a------ C:\WINDOWS\system32\LVUI2RC.dll
2008-01-04 20:09 . 2007-10-12 02:57 416,280 --a------ C:\WINDOWS\system32\lvcodec2.dll
2008-01-04 20:09 . 2007-10-12 02:57 195,096 --a------ C:\WINDOWS\system32\lvci1150.dll
2008-01-04 20:09 . 2007-10-12 02:11 59,500 --a------ C:\WINDOWS\system32\lvcoinst.ini
2008-01-04 20:09 . 2007-10-12 03:00 41,752 --a------ C:\WINDOWS\system32\drivers\LVUSBSta.sys
2008-01-04 20:09 . 2007-10-12 02:18 21,138 --a------ C:\WINDOWS\system32\Repository.reg
2008-01-04 20:09 . 2007-10-12 02:55 13,848 --a------ C:\WINDOWS\system32\drivers\lv302af.sys
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Program Files\Logitech
2008-01-04 20:08 . 2008-01-04 20:08 <REP> d-------- C:\Documents and Settings\All Users\Application Data\Logitech
2007-12-31 19:37 . 2007-12-31 19:39 <REP> d-------- C:\Documents and Settings\XP\Application Data\VoipDiscount
2007-12-31 19:33 . 2007-12-31 19:33 <REP> d-------- C:\Program Files\VoipDiscount.com
2007-12-30 05:02 . 2007-12-30 05:02 <REP> d-------- C:\WINDOWS\Sun
.
(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-17 20:28 --------- d-----w C:\Documents and Settings\All Users\Application Data\Kaspersky Lab
2008-01-17 20:27 5,255,968 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-01-17 20:27 264,224 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-01-17 20:26 71,444 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-01-17 20:26 25,820 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-01-14 23:28 --------- d--h--w C:\Program Files\InstallShield Installation Information
2008-01-14 22:43 2,920,960 ----a-w C:\WINDOWS\Internet Logs\xDB13.tmp
2008-01-14 22:43 2,747,392 ----a-w C:\WINDOWS\Internet Logs\xDB14.tmp
2008-01-13 16:49 --------- d-----w C:\Program Files\Winamp
2008-01-12 19:48 --------- d-----w C:\Documents and Settings\XP\Application Data\LimeWire
2008-01-11 00:58 2,830,848 ----a-w C:\WINDOWS\Internet Logs\xDB11.tmp
2008-01-11 00:58 2,668,032 ----a-w C:\WINDOWS\Internet Logs\xDB12.tmp
2008-01-04 19:10 --------- d-----w C:\Program Files\Fichiers communs\LogiShrd
2008-01-04 19:08 --------- d-----w C:\Documents and Settings\All Users\Application Data\Logishrd
2008-01-02 17:30 --------- d-----w C:\Program Files\Spyware Doctor
2008-01-01 12:04 2,580,992 ----a-w C:\WINDOWS\Internet Logs\xDB10.tmp
2007-12-28 14:06 91,492 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-12-28 14:06 85,860 ----a-w C:\WINDOWS\system32\drivers\klick.dat
2007-11-25 01:53 3,186,176 ----a-w C:\WINDOWS\Internet Logs\xDBF.tmp
2007-11-23 09:07 2,478,080 ----a-w C:\WINDOWS\Internet Logs\xDBE.tmp
2007-11-23 00:32 --------- d-----w C:\Documents and Settings\XP\Application Data\Azureus
2007-11-23 00:31 --------- d-----w C:\Program Files\Nero
2007-11-23 00:31 --------- d-----w C:\Program Files\Fichiers communs\Nero
2007-11-23 00:31 --------- d-----w C:\Documents and Settings\XP\Application Data\Nero
2007-11-23 00:30 --------- d-----w C:\Documents and Settings\All Users\Application Data\Nero
2007-11-22 04:11 --------- d-----w C:\Program Files\DivX
2007-11-21 23:38 --------- d-----w C:\Program Files\Foxit Software
2007-11-21 19:50 --------- d-----w C:\Program Files\WinAVI Video Converter
2007-11-21 02:15 --------- d-----w C:\Program Files\Electronic Arts
2007-11-19 22:08 --------- d-----w C:\Program Files\ALA
2007-11-17 01:35 2,738,176 ----a-w C:\WINDOWS\Internet Logs\xDBC.tmp
2007-11-17 01:35 2,322,944 ----a-w C:\WINDOWS\Internet Logs\xDBD.tmp
2007-11-12 00:54 2,842,112 ----a-w C:\WINDOWS\Internet Logs\xDBA.tmp
2007-11-12 00:54 2,277,376 ----a-w C:\WINDOWS\Internet Logs\xDBB.tmp
2007-11-05 00:50 696,832 ----a-w C:\WINDOWS\Internet Logs\xDB8.tmp
2007-11-05 00:50 2,276,352 ----a-w C:\WINDOWS\Internet Logs\xDB9.tmp
2007-11-02 00:52 2,807,296 ----a-w C:\WINDOWS\Internet Logs\xDB7.tmp
2007-10-27 15:12 2,936,832 ----a-w C:\WINDOWS\Internet Logs\xDB5.tmp
2007-10-27 15:12 2,125,312 ----a-w C:\WINDOWS\Internet Logs\xDB6.tmp
2007-10-27 11:35 107,888 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-10-18 17:08 505,392 ----a-w C:\WINDOWS\system32\msvcp71.dll
2007-10-18 15:18 348,160 ----a-w C:\WINDOWS\system32\msvcr71.dll
2007-10-17 17:00 971,264 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp
2007-10-17 17:00 1,656,320 ----a-w C:\WINDOWS\Internet Logs\xDB4.tmp
2007-10-17 11:55 86,528 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2007-10-17 11:55 1,519,616 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2007-10-17 11:08 315,392 ----a-w C:\WINDOWS\HideWin.exe
.
((((((((((((((((((((((((((((( snapshot@2008-01-16_23.01.05.46 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-15 21:54:05 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-17 20:21:52 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-15 21:54:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-17 20:21:52 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-15 21:54:06 3,072,000 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-17 20:21:52 3,104,768 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-15 21:54:06 864,256 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-17 20:21:52 864,256 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-15 21:54:06 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-17 20:21:52 245,760 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-15 21:54:06 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-17 20:21:52 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2008-01-16 21:59:05 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
+ 2008-01-17 20:27:46 4,212 ---h--w C:\WINDOWS\system32\zllictbl.dat
- 2008-01-14 20:16:12 7,559,936 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat
+ 2008-01-17 19:31:15 7,533,084 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat
.
((((((((((((((((((((((((((((((((( Point de chargement Reg )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Note* les ‚l‚ments vides & les ‚l‚ments initiaux l‚gitimes ne sont pas list‚s
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msnmsgr"="C:\Program Files\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AVP"="C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" [2007-03-09 18:50 200768]
"ZoneAlarm Client"="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 23:02 919280]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-09-17 00:07 8491008]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"Spyware Doctor"="" []
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"Config"="C:\WINDOWS\system32\run.cmd" [2006-02-14 10:24 248]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-19 15:52 44544]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
"NoStrCmpLogical"= 0 (0x0)
"NoInstrumentation"= 0 (0x0)
[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"MemCheckBoxInRunDlg"= 1 (0x1)
"NoSMBalloonTip"= 1 (0x1)
"NoDesktopCleanupWizard"= 1 (0x1)
"NoWelcomeScreen"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
--a------ 2007-02-07 15:21 54832 C:\Program Files\CyberLink\PowerDVD\Language\Language.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechCommunicationsManager]
--a------ 2007-10-25 16:33 563984 C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechQuickCamRibbon]
--a------ 2007-10-25 16:37 2178832 C:\Program Files\Logitech\QuickCam\Quickcam.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
--a------ 2007-09-17 00:07 8491008 C:\WINDOWS\system32\NvCpl.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
--a------ 2007-09-17 00:07 81920 C:\WINDOWS\system32\NvMcTray.dll
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]
--a------ 2007-09-17 00:07 1626112 C:\WINDOWS\system32\nwiz.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
--------- 2007-02-07 15:24 71216 C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]
--a------ 2007-09-11 15:54 16844800 C:\WINDOWS\RTHDCPL.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2007-05-02 03:15 75520 C:\Program Files\Java\jre1.5.0_12\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
--a------ 2007-10-18 16:18 185632 C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VoipDiscount]
--a------ 2006-12-14 15:18 7558720 C:\Program Files\VoipDiscount.com\VoipDiscount\VoipDiscount.exe
R0 mv61xx;mv61xx;C:\WINDOWS\system32\DRIVERS\mv61xx.sys [2007-05-25 04:35]
R1 SAVRKBootTasks;Boot Tasks Driver;C:\WINDOWS\system32\SAVRKBootTasks.sys [2007-08-14 09:12]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Program Files\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51]
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;C:\WINDOWS\system32\DRIVERS\atl01_xp.sys [2007-03-15 07:12]
S3 libusb0;LibUsb-Win32 - Kernel Driver, Version 0.1.10.1;C:\WINDOWS\system32\drivers\libusb0.sys [2005-03-09 19:50]
S3 MEMSWEEP2;MEMSWEEP2;C:\WINDOWS\system32\4.tmp []
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{1054a0c2-7c03-11dc-af6a-806d6172696f}]
\Shell\AutoRun\command - D:\.\Bin\Assetup.exe
.
**************************************************************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-17 21:28:10
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Completion time: 2008-01-17 21:28:57 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-17 20:28:52
ComboFix2.txt 2008-01-16 22:01:27
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 16 Jan 2008 21:46
Bien, ça a fait ce que je voulais.
Débranche ta clé USB, elle semble branchée, et redémarre.
Vois si ça bippe encore (AVG).
Débranche ta clé USB, elle semble branchée, et redémarre.
Vois si ça bippe encore (AVG).
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 16 Jan 2008 22:00
j'ai débranché mon disque dur externe et redémarré mon pc et après analyse avec AVG il bippe toujours 
Path: C:\WINDOWS\System32\Drivers\aidkgu4w.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a71pd5kn.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\aidkgu4w.SYS Description: Hidden driver file
Path: C:\WINDOWS\System32\Drivers\a71pd5kn.SYS Description: Hidden driver file
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
Re: Est ce un rootkit?
par Falkra » 16 Jan 2008 22:07
Ok, ce que j'ai retiré était lié à une autre partie d'infection, on a toujours la source du rootkit à identifier.
On va essayer par Mr Kasperky, souvent bavard (et s'il reste muet, on fera parler d'autres programmes).
Cette opération peut durer un moment :
AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
On va essayer par Mr Kasperky, souvent bavard (et s'il reste muet, on fera parler d'autres programmes).
Cette opération peut durer un moment :
- Fais un scan en ligne Kaspersky avec Internet Explorer :
http://webscanner.kaspersky.fr/ - Clique sur
- Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
- Patiente pendant l'installation des Mises à jour.
- Choisis par la suite l'analyse du Poste de travail
- Sauvegarde puis colle le rapport généré en fin d'analyse.
AIDE : Configurer le contrôle des ActiveX
NOTE : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", va dans Ajout/Suppression de programmes puis désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.
-
Falkra - Admin libellules.ch
- Messages: 24424
- Inscription: 30 Jan 2005 13:44
- Localisation: 127.0.0.1
Re: Est ce un rootkit?
par OG662 » 16 Jan 2008 22:30
voila l'analyse de Kaspersky
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, January 17, 2008 10:26:25 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/01/2008
Enregistrements dans la base antivirus Kaspersky : 479294
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\
Statistiques de l'analyse:
Total d'objets analysés: 22103
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:10:54
Nom de l'objet infecté / Nom du virus / Dernière action
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\05c8_File_Monitoring_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\05ca_Web_Monitoring_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\detected.idx L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\detected.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\report.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\flashgot.log L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Historique\History.IE5\MSHist012008011720080118\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Temp\~DFD27B.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\XP\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\XPSP2-AB29DB624.ldb L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox2.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox2.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT01390.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT0190d.TMP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
-------------------------------------------------------------------------------
KASPERSKY ON-LINE SCANNER REPORT
Thursday, January 17, 2008 10:26:25 PM
Système d'exploitation : Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky On-line Scanner version : 5.0.83.0
Dernière mise à jour de la base antivirus Kaspersky : 16/01/2008
Enregistrements dans la base antivirus Kaspersky : 479294
-------------------------------------------------------------------------------
Paramètres d'analyse:
Analyser avec la base antivirus suivante: standard
Analyser les archives: vrai
Analyser les bases de messagerie: vrai
Cible de l'analyse - Poste de travail:
A:\
C:\
D:\
E:\
F:\
H:\
Statistiques de l'analyse:
Total d'objets analysés: 22103
Nombre de virus trouvés: 0
Nombre d'objets infectés: 0 / 0
Nombre d'objets suspects: 0
Durée de l'analyse: 00:10:54
Nom de l'objet infecté / Nom du virus / Dernière action
C:\autorun.inf\lpt3.This folder was created by Flash_Disinfector L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\05c8_File_Monitoring_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\05ca_Web_Monitoring_eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\detected.idx L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\detected.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\eventlog.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP6\Report\report.rpt L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\LocalService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\NetworkService\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\cert8.db L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\flashgot.log L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\history.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\key3.db L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\parent.lock L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\search.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Application Data\Mozilla\Firefox\Profiles\77grefef.default\urlclassifier2.sqlite L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Cookies\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_001_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_002_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_003_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Application Data\Mozilla\Firefox\Profiles\77grefef.default\Cache\_CACHE_MAP_ L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Historique\History.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Historique\History.IE5\MSHist012008011720080118\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Temp\~DFD27B.tmp L'objet est verrouillé ignoré
C:\Documents and Settings\XP\Local Settings\Temporary Internet Files\Content.IE5\index.dat L'objet est verrouillé ignoré
C:\Documents and Settings\XP\NTUSER.DAT L'objet est verrouillé ignoré
C:\Documents and Settings\XP\ntuser.dat.LOG L'objet est verrouillé ignoré
C:\System Volume Information\MountPointManagerRemoteDatabase L'objet est verrouillé ignoré
C:\WINDOWS\Debug\PASSWD.LOG L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwdbglog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\fwpktlog.txt L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\IAMDB.RDB L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\tvDebug.log L'objet est verrouillé ignoré
C:\WINDOWS\Internet Logs\XPSP2-AB29DB624.ldb L'objet est verrouillé ignoré
C:\WINDOWS\SchedLgU.Txt L'objet est verrouillé ignoré
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log L'objet est verrouillé ignoré
C:\WINDOWS\Sti_Trace.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\edb.log L'objet est verrouillé ignoré
C:\WINDOWS\system32\CatRoot2\tmp.edb L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\AppEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\default.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SAM.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SecEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SECURITY.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\software.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\SysEvent.Evt L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system L'objet est verrouillé ignoré
C:\WINDOWS\system32\config\system.LOG L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox2.dat L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\fidbox2.idx L'objet est verrouillé ignoré
C:\WINDOWS\system32\drivers\sptd.sys L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA L'objet est verrouillé ignoré
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT01390.TMP L'objet est verrouillé ignoré
C:\WINDOWS\Temp\ZLT0190d.TMP L'objet est verrouillé ignoré
C:\WINDOWS\wiadebug.log L'objet est verrouillé ignoré
C:\WINDOWS\wiaservc.log L'objet est verrouillé ignoré
C:\WINDOWS\WindowsUpdate.log L'objet est verrouillé ignoré
Analyse terminée.
- OG662
- Libellulien
- Messages: 51
- Inscription: 14 Jan 2008 21:37
98 messages
• Page 2 sur 5 • 1, 2, 3, 4, 5
Qui est en ligne
Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
Développé par phpBB® Forum Software © phpBB Group
Traduction par phpBB-fr.com
Traduction par phpBB-fr.com
phpBB Metro Theme by PixelGoose Studio