[Résolu] Rootkit

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[Résolu] Rootkit

Messagepar FASTER » 06 Avr 2010 13:51

Salut à vous
Je viens de m'inscrire sur cet excellent site que je connais bien pour vérifier avec vous si mon pc est sain.
Hier j'ai fais un scan avec Avira AntiRootkit Tool.
Celui-ci m'a découvert ceci:
Image
J'espère que l'image sera visible, car, pas l'habitude encore. :oops:
J'ai eu la possibilité de mettre en quarantaine (Par clique droit), mais j'ai eu un message "d'erreur lors de la mise en
quarantaine".
Donc, pour contrôle plus poussé j'ai aussi fait un scan avec GMER. (Options par défaut) qui ne m'a rien trouvé.
Donc, dubitatif sur cette détection d'Avira AntiRootKit Tool que je ne pouvais mettre en quarantaine, j'ai nettoyé
mes fichiers temporaires. (Ccleaner + ATF Cleaner) et ensuite éteint le pc.
Ce matin, j'ai de nouveau lancé un scan avec Avira AntiRootkit Tool; surprise...le rootkit n'est plus détecté par l'outil. :?:
Pour info, un scan complet MBAM n'a rien trouvé.
Je vous soumet un RSIT histoire de m'assurer que tout va bien côté infection....
Merci à vous. :-D
*
*
Logfile of random's system information tool 1.06 (written by random/random)
Run by IRON JAW at 2010-04-06 14:44:20
Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2
System drive C: has 53 GB (74%) free of 71 GB
Total RAM: 2045 MB (52% free)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:44:28, on 06/04/2010
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.18904)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Mozilla Thunderbird\thunderbird.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Users\IRON JAW\Downloads\RSIT.exe
C:\Program Files\Trend Micro\HijackThis\IRON JAW.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.fr.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://fr.rd.yahoo.com/customize/ycomp/ ... .yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O13 - Gopher Prefix:
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 2603 bytes

======Registry dump======

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{DBC80044-A445-435b-BC74-9C25C1C588A9}]
Java(tm) Plug-In 2 SSV Helper - C:\Program Files\Java\jre6\bin\jp2ssv.dll [2010-04-02 41760]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"eRecoveryService"= []
"avgnt"=C:\Program Files\Avira\AntiVir Desktop\avgnt.exe [2009-03-02 209153]
"SunJavaUpdateSched"=C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-02-18 248040]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acer Tour Reminder]
C:\Acer\AcerTour\Reminder.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
C:\Program Files\Apoint2K\Apoint.exe [2007-06-06 159744]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HotKeysCmds]
C:\Windows\system32\hkcmd.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IAAnotif]
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe [2007-03-21 174872]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IgfxTray]
C:\Windows\system32\igfxtray.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
C:\Windows\system32\NvCpl.dll [2007-07-25 8470528]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]
C:\Windows\system32\NvMcTray.dll [2007-07-25 81920]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvSvc]
C:\Windows\system32\nvsvc.dll [2007-07-25 86016]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4]
C:\Program Files\ScanSoft\OmniPageSE4\OpwareSE4.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]
C:\Windows\system32\igfxpers.exe []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFSet]
C:\Windows\PLFSet.dll [2007-04-24 45056]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RtHDVCpl]
C:\Windows\RtHDVCpl.exe [2007-07-06 4669440]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetPanel]
C:\Acer\APanel\APanel.cmd []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]
C:\Windows\Skytel.exe [2007-06-15 1826816]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]
C:\Program Files\Common Files\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe -Embedding -boot []

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
C:\Program Files\Common Files\Java\Java Update\jusched.exe [2010-02-18 248040]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WarReg_PopUp]
C:\Acer\WR_PopUp\WarReg_PopUp.exe [2006-11-05 57344]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender]
C:\Program Files\Windows Defender\MSASCui.exe [2008-01-19 1008184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\igfxcui]
igfxdev.dll []

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\Wdf01000.sys]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfPf]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfRd]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfSvc]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\network\WudfUsbccidDriver]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"dontdisplaylastusername"=0
"legalnoticecaption"=
"legalnoticetext"=
"shutdownwithoutlogon"=1
"undockwithoutlogon"=1
"EnableUIADesktopToggle"=0

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\explorer]
"BindDirectlyToPropertySetStorage"=

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

======File associations======

.js - edit - C:\Windows\System32\Notepad.exe %1
.js - open - C:\Windows\System32\WScript.exe "%1" %*

======List of files/folders created in the last 1 months======

2010-04-06 14:44:20 ----D---- C:\rsit
2010-04-06 11:47:46 ----A---- C:\Windows\ntbtlog.txt
2010-04-05 21:21:28 ----D---- C:\Windows\Minidump
2010-04-02 12:02:24 ----D---- C:\ProgramData\Sun
2010-04-02 12:02:23 ----D---- C:\Program Files\Common Files\Java
2010-04-02 12:02:09 ----A---- C:\Windows\system32\javaws.exe
2010-04-02 12:02:09 ----A---- C:\Windows\system32\javaw.exe
2010-04-02 12:02:09 ----A---- C:\Windows\system32\java.exe
2010-04-02 12:01:50 ----D---- C:\Program Files\Java
2010-03-31 16:35:46 ----D---- C:\ProgramData\Apple Computer
2010-03-31 16:35:43 ----A---- C:\Windows\system32\QTCF.dll
2010-03-31 16:35:38 ----D---- C:\Program Files\QT Lite
2010-03-31 16:31:40 ----A---- C:\Windows\system32\rmoc3260.dll
2010-03-31 16:31:40 ----A---- C:\Windows\system32\pndx5032.dll
2010-03-31 16:31:40 ----A---- C:\Windows\system32\pndx5016.dll
2010-03-31 16:31:40 ----A---- C:\Windows\system32\pncrt.dll
2010-03-31 16:31:39 ----D---- C:\Program Files\Real Alternative
2010-03-31 06:48:57 ----A---- C:\Windows\system32\mshtml.dll
2010-03-31 06:48:56 ----A---- C:\Windows\system32\iertutil.dll
2010-03-31 06:48:56 ----A---- C:\Windows\system32\ieframe.dll
2010-03-31 06:48:55 ----A---- C:\Windows\system32\wininet.dll
2010-03-31 06:48:55 ----A---- C:\Windows\system32\urlmon.dll
2010-03-31 06:48:55 ----A---- C:\Windows\system32\occache.dll
2010-03-31 06:48:55 ----A---- C:\Windows\system32\mstime.dll
2010-03-31 06:48:55 ----A---- C:\Windows\system32\msfeeds.dll
2010-03-31 06:48:55 ----A---- C:\Windows\system32\ieui.dll
2010-03-31 06:48:55 ----A---- C:\Windows\system32\iedkcs32.dll
2010-03-31 06:48:54 ----A---- C:\Windows\system32\msfeedssync.exe
2010-03-31 06:48:54 ----A---- C:\Windows\system32\msfeedsbs.dll
2010-03-31 06:48:54 ----A---- C:\Windows\system32\jsproxy.dll
2010-03-31 06:48:54 ----A---- C:\Windows\system32\ieUnatt.exe
2010-03-31 06:48:54 ----A---- C:\Windows\system32\iesysprep.dll
2010-03-31 06:48:54 ----A---- C:\Windows\system32\iesetup.dll
2010-03-31 06:48:54 ----A---- C:\Windows\system32\iernonce.dll
2010-03-31 06:48:54 ----A---- C:\Windows\system32\iepeers.dll
2010-03-31 06:48:54 ----A---- C:\Windows\system32\ie4uinit.exe
2010-03-19 11:21:07 ----A---- C:\Windows\_MSRSTRT.EXE
2010-03-19 11:09:33 ----AD---- C:\ProgramData\TEMP
2010-03-10 14:15:59 ----A---- C:\Windows\system32\nshhttp.dll
2010-03-10 14:15:56 ----A---- C:\Windows\system32\httpapi.dll
2010-03-08 16:05:52 ----D---- C:\Program Files\MyDefrag v4.2.9
2010-03-08 16:05:52 ----A---- C:\Windows\system32\MyDefragScreenSaver_v4.2.9.exe

======List of files/folders modified in the last 1 months======

2010-04-06 14:44:29 ----D---- C:\Windows\Prefetch
2010-04-06 14:44:13 ----D---- C:\Windows\Temp
2010-04-06 12:21:50 ----D---- C:\Windows\System32
2010-04-06 12:21:50 ----D---- C:\Windows\inf
2010-04-06 12:21:50 ----A---- C:\Windows\system32\PerfStringBackup.INI
2010-04-06 12:19:41 ----D---- C:\Windows
2010-04-06 08:39:07 ----SHD---- C:\System Volume Information
2010-04-05 20:38:30 ----D---- C:\Windows\system32\Tasks
2010-04-05 07:03:56 ----D---- C:\Program Files\eset
2010-04-04 13:05:43 ----HD---- C:\ProgramData
2010-04-04 13:02:02 ----D---- C:\Windows\system32\drivers
2010-04-04 11:13:10 ----D---- C:\Windows\Debug
2010-04-03 10:58:58 ----D---- C:\Windows\system32\catroot2
2010-04-02 12:02:24 ----SHD---- C:\Windows\Installer
2010-04-02 12:02:23 ----D---- C:\Program Files\Common Files
2010-04-02 12:01:54 ----A---- C:\Windows\system32\deploytk.dll
2010-04-02 12:01:50 ----RD---- C:\Program Files
2010-04-02 09:57:37 ----D---- C:\Program Files\Mozilla Firefox
2010-03-31 16:39:49 ----D---- C:\Program Files\javara
2010-03-31 09:41:42 ----D---- C:\Program Files\Mozilla Thunderbird
2010-03-31 09:37:30 ----D---- C:\Windows\system32\migration
2010-03-31 09:37:30 ----D---- C:\Program Files\Internet Explorer
2010-03-31 09:37:20 ----D---- C:\Windows\winsxs
2010-03-31 06:48:39 ----D---- C:\Windows\system32\catroot
2010-03-30 17:44:58 ----D---- C:\Windows\Logs
2010-03-30 13:40:46 ----D---- C:\Program Files\Malwarebytes' Anti-Malware
2010-03-29 16:49:58 ----D---- C:\Program Files\CCleaner
2010-03-22 14:38:37 ----D---- C:\ProgramData\NOS
2010-03-22 14:38:04 ----SD---- C:\Windows\Downloaded Program Files
2010-03-14 23:16:35 ----D---- C:\Windows\system32\LogFiles
2010-03-14 12:31:43 ----D---- C:\Users\IRON JAW\AppData\Roaming\ScanSoft
2010-03-14 12:24:46 ----D---- C:\Program Files\Common Files\microsoft shared
2010-03-14 12:17:26 ----D---- C:\Program Files\Canon
2010-03-10 14:18:33 ----D---- C:\Program Files\Movie Maker
2010-03-10 14:18:32 ----D---- C:\Program Files\Windows Mail

======List of drivers (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R1 avgio;avgio; \??\C:\Program Files\Avira\AntiVir Desktop\avgio.sys [2009-02-13 11608]
R1 avipbb;avipbb; C:\Windows\system32\DRIVERS\avipbb.sys [2009-03-30 96104]
R1 ssmdrv;ssmdrv; C:\Windows\system32\DRIVERS\ssmdrv.sys [2009-05-11 28520]
R2 avgntflt;avgntflt; C:\Windows\system32\DRIVERS\avgntflt.sys [2009-11-25 56816]
R2 int15;int15; \??\C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 76584]
R2 mdmxsdk;mdmxsdk; C:\Windows\system32\DRIVERS\mdmxsdk.sys [2006-06-19 12672]
R2 rimmptsk;rimmptsk; C:\Windows\system32\DRIVERS\rimmptsk.sys [2007-02-24 39936]
R2 rimsptsk;rimsptsk; C:\Windows\system32\DRIVERS\rimsptsk.sys [2007-01-23 42496]
R2 rismxdp;Ricoh xD-Picture Card Driver; C:\Windows\system32\DRIVERS\rixdptsk.sys [2007-03-21 37376]
R2 XAudio;XAudio; C:\Windows\system32\DRIVERS\xaudio.sys [2007-01-30 8704]
R3 ApfiltrService;Alps Pointing-device Filter Driver; C:\Windows\system32\DRIVERS\Apfiltr.sys [2007-06-14 154624]
R3 athr;Atheros Extensible Wireless LAN device driver; C:\Windows\system32\DRIVERS\athr.sys [2007-06-18 737280]
R3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0; C:\Windows\system32\DRIVERS\b57nd60x.sys [2007-06-05 179712]
R3 CmBatt;Pilote pour Batterie à méthode de contrôle ACPI Microsoft; C:\Windows\system32\DRIVERS\CmBatt.sys [2008-01-19 14208]
R3 enecir;ENE CIR Receiver; C:\Windows\system32\DRIVERS\enecir.sys [2007-03-07 32256]
R3 HSF_DPV;HSF_DPV; C:\Windows\system32\DRIVERS\HSX_DPV.sys [2007-04-26 984064]
R3 HSXHWAZL;HSXHWAZL; C:\Windows\system32\DRIVERS\HSXHWAZL.sys [2007-04-26 208384]
R3 IntcAzAudAddService;Service for Realtek HD Audio (WDM); C:\Windows\system32\drivers\RTKVHDA.sys [2007-07-10 1792792]
R3 NTIDrvr;Upper Class Filter Driver; C:\Windows\system32\DRIVERS\NTIDrvr.sys [2007-08-10 6144]
R3 nvlddmkm;nvlddmkm; C:\Windows\system32\DRIVERS\nvlddmkm.sys [2007-07-25 7604256]
R3 sdbus;sdbus; C:\Windows\system32\DRIVERS\sdbus.sys [2009-04-11 89088]
R3 SNP2UVC;USB2.0 PC Camera (SNP2UVC); C:\Windows\system32\DRIVERS\snp2uvc.sys [2007-02-07 1729152]
R3 winachsf;winachsf; C:\Windows\system32\DRIVERS\HSX_CNXT.sys [2007-04-26 660480]
R3 WmiAcpi;Microsoft Windows Management Interface for ACPI; C:\Windows\system32\DRIVERS\wmiacpi.sys [2008-01-19 11264]
S1 DritekPortIO;Dritek General Port I/O; \??\C:\PROGRA~1\LAUNCH~1\DPortIO.sys []
S3 drmkaud;Filtre de décodeur DRM (Noyau Microsoft); C:\Windows\system32\drivers\drmkaud.sys [2008-01-19 5632]
S3 HdAudAddService;Pilote de fonction UAA 1.1 Microsoft pour le service High Definition Audio; C:\Windows\system32\drivers\HdAudio.sys [2006-11-02 235520]
S3 HSFHWAZL;HSFHWAZL; C:\Windows\system32\DRIVERS\VSTAZL3.SYS [2006-11-02 200704]
S3 igfx;igfx; C:\Windows\system32\DRIVERS\igdkmd32.sys []
S3 MSKSSRV;Proxy de service de répartition Microsoft; C:\Windows\system32\drivers\MSKSSRV.sys [2008-01-19 8192]
S3 MSPCLOCK;Proxy d'horloge de répartition Microsoft; C:\Windows\system32\drivers\MSPCLOCK.sys [2008-01-19 5888]
S3 MSPQM;Proxy de gestion de qualité de répartition Microsoft; C:\Windows\system32\drivers\MSPQM.sys [2008-01-19 5504]
S3 MSTEE;Convertisseur en T/site-à-site de répartition Microsoft; C:\Windows\system32\drivers\MSTEE.sys [2008-01-19 6016]
S3 NETw3v32;Pilote de carte Intel(R) PRO/Wireless 3945ABG pour Windows Vista 32 bits; C:\Windows\system32\DRIVERS\NETw3v32.sys [2006-11-02 1781760]
S3 NETw4v32;Pilote de carte Intel(R) Wireless WiFi Link pour Windows Vista 32 bits; C:\Windows\system32\DRIVERS\NETw4v32.sys [2007-04-30 2219520]
S3 usbscan;Pilote de scanneur USB; C:\Windows\system32\DRIVERS\usbscan.sys [2008-01-19 35328]

======List of services (R=Running, S=Stopped, 0=Boot, 1=System, 2=Auto, 3=Demand, 4=Disabled)======

R2 AntiVirSchedulerService;Avira AntiVir Planificateur; C:\Program Files\Avira\AntiVir Desktop\sched.exe [2009-05-13 108289]
R2 AntiVirService;Avira AntiVir Guard; C:\Program Files\Avira\AntiVir Desktop\avguard.exe [2009-07-21 185089]
R2 eRecoveryService;eRecovery Service; C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe [2007-02-13 53248]
R2 FontCache;Service de cache de police Windows; C:\Windows\system32\svchost.exe [2008-01-19 21504]
R2 IAANTMON;Intel(R) Matrix Storage Event Monitor; C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe [2007-03-21 355096]
R2 LightScribeService;LightScribeService Direct Disc Labeling Service; C:\Program Files\Common Files\LightScribe\LSSrvc.exe [2007-01-17 61440]
R2 XAudioService;XAudioService; C:\Windows\system32\DRIVERS\xaudio.exe [2007-01-30 386560]
S4 Planificateur LiveUpdate automatique;Planificateur LiveUpdate automatique; C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe []

-----------------EOF-----------------
*
*
Et voici info.txt
info.txt logfile of random's system information tool 1.06 2010-04-06 14:44:31

======Uninstall list======

Acer Crystal Eye webcam-->C:\Program Files\InstallShield Installation Information\{399C37FB-08AF-493B-BFED-20FBD85EDF7F}\setup.exe -runfromtemp -l0x040c -removeonly -u
Acer Crystal Eye webcam-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\11\50\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{D0ACE89D-EC7F-470F-80BE-4C98ED366B32}\setup.exe" -l0x40c -removeonly
Adobe Flash Player 10 ActiveX-->C:\Windows\system32\Macromed\Flash\uninstall_activeX.exe
Adobe Flash Player 10 Plugin-->C:\Windows\system32\Macromed\Flash\uninstall_plugin.exe
Adobe Shockwave Player 11.5-->"C:\Windows\system32\Adobe\Shockwave 11\uninstaller.exe"
ALPS Touch Pad Driver-->C:\Program Files\Apoint2K\Uninstap.exe ADDREMOVE
Avira AntiVir Personal - Free Antivirus-->C:\Program Files\Avira\AntiVir Desktop\setup.exe /REMOVE
Canon MP Navigator 3.1-->"C:\Program Files\Canon\MP Navigator 3.1\Maint.exe" /UninstallRemove C:\Program Files\Canon\MP Navigator 3.1\uninst.ini
Canon MP140 series-->"C:\Windows\system32\CanonIJ Uninstaller Information\{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP140_series\DelDrv.exe" /U:{1199FAD5-9546-44f3-81CF-FFDB8040B7BF}_Canon_MP140_series /L0x000c
CCleaner-->"C:\Program Files\CCleaner\uninst.exe"
FileHippo.com Update Checker-->"C:\Program Files\FileHippo.com\uninstall.exe"
HDAUDIO Soft Data Fax Modem with SmartCP-->C:\Program Files\CONEXANT\CNXT_MODEM_HDAUDIO_VEN_14F1&DEV_2BFAOR2C06_118\UIU32m.exe -U -IAcrZUn32z.inf
HijackThis 2.0.2-->"C:\Program Files\Trend Micro\HijackThis\HijackThis.exe" /uninstall
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall /qb+ REBOOTPROMPT=""
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {A7EEA2F2-BFCD-4A54-A575-7B81A786E658} /qb+ REBOOTPROMPT=""
Intel(R) Matrix Storage Manager-->C:\Windows\System32\Imsmudlg.exe
Java(TM) 6 Update 19-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83216019FF}
livebox-->C:\Program Files\InstallShield Installation Information\{17342E3B-0818-4A6F-BFF8-99476605ADD6}\Setup.exe -runfromtemp -l0x040c -removeonly
Malwarebytes' Anti-Malware-->"C:\Program Files\Malwarebytes' Anti-Malware\unins000.exe"
Microsoft .NET Framework 3.5 Language Pack SP1 - fra-->MsiExec.exe /I{3E31821C-7917-367E-938E-E65FC413EA31}
Microsoft .NET Framework 3.5 SP1-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 SP1\setup.exe
Microsoft .NET Framework 3.5 SP1-->MsiExec.exe /I{CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9}
Microsoft Visual C++ 2005 Redistributable-->MsiExec.exe /X{7299052b-02a4-4627-81f2-1818da5d550d}
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17-->MsiExec.exe /X{9A25302D-30C0-39D9-BD6F-21E6EC160475}
Module linguistique Microsoft .NET Framework 3.5 SP1- fra-->C:\Windows\Microsoft.NET\Framework\v3.5\Microsoft .NET Framework 3.5 Language Pack SP1 - fra\setup.exe
Mozilla Firefox (3.6.3)-->C:\Program Files\Mozilla Firefox\uninstall\helper.exe
Mozilla Thunderbird (3.0.4)-->C:\Program Files\Mozilla Thunderbird\uninstall\helper.exe
MSXML 4.0 SP2 (KB954430)-->MsiExec.exe /I{86493ADD-824D-4B8E-BD72-8C5DCDC52A71}
MSXML 4.0 SP2 (KB973688)-->MsiExec.exe /I{F662A8E6-F4DC-41A2-901E-8C11F044BDEC}
MyDefrag v4.2.9-->"C:\Program Files\MyDefrag v4.2.9\unins000.exe"
NVIDIA Drivers-->C:\Windows\system32\NVUNINST.EXE UninstallGUI
QT Lite 3.1.1-->"C:\Program Files\QT Lite\unins000.exe"
Real Alternative 2.0.2-->"C:\Program Files\Real Alternative\unins000.exe"
Realtek High Definition Audio Driver-->RtlUpd.exe -r -m
RICOH R5C83x/84x Flash Media Controller Driver Ver.3.51.01-->RunDll32 C:\PROGRA~1\COMMON~1\INSTAL~1\PROFES~1\RunTime\0701\Intel32\Ctor.dll,LaunchSetup "C:\Program Files\InstallShield Installation Information\{59F6A514-9813-47A3-948C-8A155460CC2A}\setup.exe" -l0x40c anything
SumatraPDF-->"C:\Program Files\SumatraPDF\uninstall.exe"
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)-->C:\Windows\system32\msiexec.exe /package {CE2CDD62-0124-36CA-84D3-9F4DCF5C5BD9} /uninstall {B2AE9C82-DC7B-3641-BFC8-87275C4F3607} /qb+ REBOOTPROMPT=""
Vista Services Optimizer-->MsiExec.exe /I{6E87F7DD-C1C8-44B2-8D54-BEB6FE26394F}
Windows Media Player Firefox Plugin-->MsiExec.exe /I{69FDFBB6-351D-4B8C-89D8-867DC9D0A2A4}

=====HijackThis Backups=====

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 [2010-02-16]
O2 - BHO: (no name) - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - (no file) [2010-02-16]
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE RÉSEAU') [2010-02-16]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab [2010-02-16]
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE LOCAL') [2010-02-16]
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) [2010-02-16]
O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user') [2010-02-16]
O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM') [2010-02-16]
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'SERVICE LOCAL') [2010-02-16]
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 [2010-02-16]
O23 - Service: Planificateur LiveUpdate automatique - Unknown owner - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing) [2010-02-16]
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'SERVICE RÉSEAU') [2010-02-16]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab [2010-03-13]
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab [2010-03-13]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab [2010-03-13]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab [2010-03-13]
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab [2010-03-13]
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab [2010-03-13]
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab [2010-03-13]
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab [2010-03-25]

======Hosts File======

127.0.0.1 localhost
127.0.0.1 fr.a2dfp.net
127.0.0.1 m.fr.a2dfp.net
127.0.0.1 ad.a8.net
127.0.0.1 asy.a8ww.net
127.0.0.1 adserver.abv.bg
127.0.0.1 adv.abv.bg
127.0.0.1 bimg.abv.bg
127.0.0.1 www2.a-counter.kiev.ua
127.0.0.1 track.acclaimnetwork.com

======Security center information======

AS: Windows Defender (disabled)

======System event log======

Computer Name: KABUR
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 95443
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20100306195411.490050-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: KABUR
Event Code: 4
Message: Broadcom NetLink (TM) Gigabit Ethernet: The network link is down. Check to make sure the network cable is properly connected.
Record Number: 95355
Source Name: b57nd60x
Time Written: 20100306050725.838085-000
Event Type: Avertissement
User:

Computer Name: KABUR
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 95345
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20100305204916.343575-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: KABUR
Event Code: 4
Message: Broadcom NetLink (TM) Gigabit Ethernet: The network link is down. Check to make sure the network cable is properly connected.
Record Number: 95266
Source Name: b57nd60x
Time Written: 20100305201033.980080-000
Event Type: Avertissement
User:

Computer Name: KABUR
Event Code: 4001
Message: Le Service d’autoconfiguration WLAN s’est arrêté correctement.

Record Number: 95256
Source Name: Microsoft-Windows-WLAN-AutoConfig
Time Written: 20100305200953.484047-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Application event log=====

Computer Name: KABUR
Event Code: 5007
Message: Impossible d’analyser le fichier cible de la plateforme de signalement de problèmes Windows (fichier DLL contenant la liste des problèmes de l’ordinateur et nécessitant la collecte de données supplémentaires à des fins de diagnostic). Le code d’erreur était : 8014FFF9.
Record Number: 800
Source Name: WerSvc
Time Written: 20100215114553.000000-000
Event Type: Erreur
User:

Computer Name: KABUR
Event Code: 1008
Message: Le service Windows Search tente de supprimer l’ancien catalogue.

Record Number: 792
Source Name: Microsoft-Windows-Search
Time Written: 20100215114451.000000-000
Event Type: Avertissement
User:

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 1036
Message: Échec de InitializePrintProvider pour le fournisseur inetpp.dll. Cela peut se produire à la suite d’une instabilité du système ou d’une insuffisance des ressources système.
Record Number: 754
Source Name: Microsoft-Windows-SpoolerSpoolss
Time Written: 20100215113834.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 5007
Message: Impossible d’analyser le fichier cible de la plateforme de signalement de problèmes Windows (fichier DLL contenant la liste des problèmes de l’ordinateur et nécessitant la collecte de données supplémentaires à des fins de diagnostic). Le code d’erreur était : 8014FFF9.
Record Number: 752
Source Name: WerSvc
Time Written: 20100215113649.000000-000
Event Type: Erreur
User:

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 1530
Message: Windows a détecté que votre fichier de Registre est toujours utilisé par d'autres applications ou services. Le fichier va être déchargé. Les applications ou services qui ont accès à votre Registre risquent de ne pas fonctionner correctement après cela.

DÉTAIL -
1 user registry handles leaked from \Registry\User\S-1-5-21-2536349206-109005177-404856756-500:
Process 3852 (\Device\HarddiskVolume1\Windows\System32\msiexec.exe) has opened key \REGISTRY\USER\S-1-5-21-2536349206-109005177-404856756-500\Software\Microsoft\Windows\CurrentVersion\Explorer

Record Number: 719
Source Name: Microsoft-Windows-User Profiles Service
Time Written: 20070810081956.000000-000
Event Type: Avertissement
User: AUTORITE NT\SYSTEM

=====Security event log=====

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 4634
Message: Fermeture de session d’un compte.

Sujet :
ID de sécurité : S-1-5-7
Nom du compte : ANONYMOUS LOGON
Domaine du compte : AUTORITE NT
ID du compte : 0x2578d

Type d’ouverture de session : 3

Cet événement est généré lorsqu’une session ouverte est supprimée. Il peut être associé à un événement d’ouverture de session en utilisant la valeur ID d’ouverture de session. Les ID d’ouverture de session ne sont uniques qu’entre les redémarrages sur un même ordinateur.
Record Number: 805
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20070810082007.115600-000
Event Type: Succès de l'audit
User:

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 4616
Message: L’heure du système a été modifiée.

Sujet :
ID de sécurité : S-1-5-19
Nom du compte : SERVICE LOCAL
Domaine du compte : AUTORITE NT
ID d’ouverture de session : 0x3e5

Informations sur le processus :
ID du processus : 0x4c8
Nom : C:\Windows\System32\svchost.exe

Heure précédente : 10:20:01 10/08/2007
Nouvelle heure : 10:20:01 10/08/2007

Cet événement est généré lorsque l’heure du système est modifiée. Le changement régulier de l’heure du système est une opération normale de la part du service de temps Windows qui s’exécute avec des privilèges système. Mais, d’autres modifications de l’heure du système peuvent indiquer des tentatives de falsification de l’ordinateur.
Record Number: 804
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20070810082003.044000-000
Event Type: Succès de l'audit
User:

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 1100
Message: Le service d’enregistrement des événements a été arrêté.
Record Number: 803
Source Name: Microsoft-Windows-Eventlog
Time Written: 20070810082002.466800-000
Event Type: Succès de l'audit
User:

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 4647
Message: Fermeture de session initiée par l’utilisateur :

Sujet :
ID de sécurité : S-1-5-21-2536349206-109005177-404856756-500
Nom du compte : Administrator
Domaine du compte : LH-Z4T2HJ9CZM0Z
ID d’ouverture de session : 0x3e7f8

Cet événement est généré lorsqu’une fermeture de session est initiée, mais que le nombre de références du jeton n’étant pas zéro, la session ouverte ne peut pas être supprimée. Aucune autre activité initiée par l’utilisateur ne peut se produire. Cet événement peut être interprété comme un événement de fermeture de session.
Record Number: 802
Source Name: Microsoft-Windows-Security-Auditing
Time Written: 20070810081956.274377-000
Event Type: Succès de l'audit
User:

Computer Name: LH-Z4T2HJ9CZM0Z
Event Code: 1102
Message: Le journal d’audit a été effacé.
Objet :
ID de sécurité : S-1-5-21-2536349206-109005177-404856756-500
Nom de compte : Administrator
Nom de domaine : LH-Z4T2HJ9CZM0Z
ID de connexion : 0x3e7f8
Record Number: 801
Source Name: Microsoft-Windows-Eventlog
Time Written: 20070810081805.951177-000
Event Type: Succès de l'audit
User:

======Environment variables======

"ComSpec"=%SystemRoot%\system32\cmd.exe
"FP_NO_HOST_CHECK"=NO
"OS"=Windows_NT
"Path"=%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\Program Files\QT Lite\QTSystem
"PATHEXT"=.COM;.EXE;.BAT;.CMD;.VBS;.VBE;.JS;.JSE;.WSF;.WSH;.MSC
"PROCESSOR_ARCHITECTURE"=x86
"TEMP"=%SystemRoot%\TEMP
"TMP"=%SystemRoot%\TEMP
"USERNAME"=SYSTEM
"windir"=%SystemRoot%
"PROCESSOR_LEVEL"=6
"PROCESSOR_IDENTIFIER"=x86 Family 6 Model 15 Stepping 13, GenuineIntel
"PROCESSOR_REVISION"=0f0d
"NUMBER_OF_PROCESSORS"=2

-----------------EOF-----------------
Dernière édition par FASTER le 15 Avr 2010 13:33, édité 2 fois.
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01

Re: Rootkit

Messagepar lelion » 06 Avr 2010 15:57

Hello, je sais que je n'ai pas le droit de répondre ici, mais je me permets juste d'ouvrir une parenthèse.
Les balises pour ton image sont incomplètes. Ca commence par [url]et finit par[/url]. ou [img]et[/img]
Essaie d'éditer ton message en rajoutant les [ ] manquants.
Parenthèse refermée et mes excuses à la direction de Libellules.ch !
:wink:
Stephan - utilisateur  intégral !
Avatar de l’utilisateur
lelion
Libellulien Junior
Libellulien Junior
 
Messages: 367
Inscription: 11 Juin 2008 14:46
Localisation: Martigny (VS)

Re: Rootkit

Messagepar FASTER » 06 Avr 2010 16:22

Salut lelion
Merci à toi de t'être penché sur mon soucis avec l'insertion d'image. :-D
J'y suis enfin parvenu. :supers:
J'ai édité mon premier post.
Je connais aussi le règlement de cette section, j'espère qu'on ne t'en tiendra pas rigueur. :wink:
Merci encore. :-D
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01

Re: Rootkit

Messagepar nardino » 06 Avr 2010 17:29

Bonjour à vous deux.
Pas de problèmes pour lelion, merci. :supers:
Pour Faster, je pense que ton pc est clean et que la détection de Avira Antirootkit était dans un fichier temp qui a été nettoyé par CCleaner.
As-tu noté des anomalies de fonctionnement ?
@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Rootkit

Messagepar FASTER » 06 Avr 2010 19:31

Salut nardino
Merci pour ton diagnostique rassurant.
Finalement, nettoyer les fichiers temps peut parfois être très utile. :whaou:
Sinon, je n'ai pas de problème particuliers hormis un avec Quicktime Lite.
Rarement, mais sur certains sites j'obtiens cette fenêtre:
Image
*
Quand je vais dans les paramètres de QuickTime Lite; je peux naviguer dans tous les onglets, sauf
l'onglet audio ou j'obtiens systématiquement ce message:
Image
Dès fois (lors de précédentes installations) toujours onglet audio j'avais un message du style "run DLL a cesser etc..."
Quand je désinstalle l'application, j'ai le message suivant:
Image
Pour l'installation, je l'exécute en administrateur.
J'ai réinstallé/désinstallé plusieurs fois, rien n'y fait, toujours le même type d'erreurs.
Je ne sais d'ou vient le problème mais il est de plusieurs semaines antérieur à la détection du rootkit.
Je doute que ce problème soit infectieux...
Mais sinon, mon pc fonctionne bien et je n'ai pas d'autres soucis importants.
Je t'en parle à tout hasard, si toutefois tu as une piste; mais ça ne me gène pas outre mesure.
Dans quel cas si ça devient vraiment gênant, je posterai dans le forum adéquate. :wink:
Sinon, je considère le sujet comme résolu...(comment fait on d'ailleurs...?)
A+
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01

Re: Rootkit

Messagepar nardino » 14 Avr 2010 18:50

Bonsoir,
Je t'invite à désinstaller Quicktime avec RevoUninstaller, à redémarrer et à installer la dernière version du programme.
http://pagesperso-orange.fr/rue-du-mont ... vouninstal

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Rootkit

Messagepar FASTER » 15 Avr 2010 13:31

Salut nardino

Merci pour le conseil. :supers:
J'ai fais ce que tu m'as préconisé; je suis allé sur les sites ou j'avais des messages d'erreur;
et je n'en ai plus eu. :-D

Merci pour le diagnostic RSIT et le conseil Quicktime.
Bonne journée à toi.
Avatar de l’utilisateur
FASTER
Libellulien Junior
Libellulien Junior
 
Messages: 356
Inscription: 06 Avr 2010 13:01


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités
cron