Problème Rootkit...A l'aide.

Loreleï · le 17 Sep 2008 19:08

onjour,
J'ai actuellement un léger problème : il s'agit d'un virus Rootkit qui se serait installe dans les fichiers Temp de Windows. J'ai essayé de m'en débarrasser de la manière 'basique' avec quarantaine et suppression des fichiers mais il revient sans arrêt. Je ne comprend pas. J'ai parcouru le forum à la recherche d'une solution, et apparement, il est conseillé de faire une analyse HiJackThis et de la soumettre sur ce forum...J'espère que je ne me trompe pas.

La voici, donc :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:29, on 17/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSsystem32csrss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:AcereManageranbmServ.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSSystem32alg.exe
C:WINDOWSExplorer.EXE
C:WINDOWSTEMP3.tmp
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:Program FilesCyberLinkPowerDVDPDVDServ.exe
C:WINDOWSsystem32 undll32.exe
C:acerepmepm-dm.exe
C:Program FilesLaunch ManagerQtZgAcer.EXE
C:Program FilesiTunesiTunesHelper.exe
C:Program FilesQuickTimeqttask.exe
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:Program FilesJavajre1.6.0_04injusched.exe
C:WINDOWSSystem32WScript.exe
C:Program FilesiPodiniPodService.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:WINDOWSSystem32Cpl32ver.exe
C:Program FilesWindows LiveMessengerMsnMsgr.Exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesVeoh NetworksVeohVeohClient.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesacereRecoveryMonitor.exe
C:WINDOWSSystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashSimpl.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Documents and SettingsCécileBureauMagic.exe

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32oembios.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O3 - Toolbar: Barre d'outils du menu Anti-fraude de Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:PROGRA~1TRENDM~1INTERN~1PccIeBar.dll (file missing)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:Program FilesVeoh NetworksVeohPlugins egVeohToolbar.dll
O4 - HKLM..Run: [LaunchApp] Alaunch
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [RemoteControl] "C:Program FilesCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [MSPY2002] C:WINDOWSsystem32IMEPINTLGNTImScInst.exe /SYNC
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
O4 - HKLM..Run: [EPM-DM] c:acerepmepm-dm.exe
O4 - HKLM..Run: [ePowerManagement] C:AcerePMePM.exe boot
O4 - HKLM..Run: [LManager] C:Program FilesLaunch ManagerQtZgAcer.EXE
O4 - HKLM..Run: [eRecoveryService] C:WindowsSystem32Check.exe
O4 - HKLM..Run: [iTunesHelper] "C:Program FilesiTunesiTunesHelper.exe"
O4 - HKLM..Run: [QuickTime Task] "C:Program FilesQuickTimeqttask.exe" -atboottime
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Program FilesJavajre1.6.0_04injusched.exe"
O4 - HKLM..Run: [agqigyq] c:windowssystem32agqigyq.exe agqigyq
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..Run: [Cpl32ver] C:WINDOWSSystem32Cpl32ver.exe
O4 - HKLM..RunOnce: [SpybotDeletingA5534] command /c del "C:Program FilesMozilla Firefoxextensions{BEE3E87E-E1C6-4bfe-BE9D-48E84271AB34}chromewhenu_ff.jar"
O4 - HKCU..Run: [Odebit Multimedia V2] C:Program FilesOdebit MultimédiaV2Odebit.exe
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Veoh] "C:Program FilesVeoh NetworksVeohVeohClient.exe" /VeohHide
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:Program FilesAdobeAcrobat 7.0Reader eader_sl.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:windowssystem32
wprovau.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:AcereManageranbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodiniPodService.exe

--
End of file - 7976 bytes

Si quelqu'un pouvait m'éclairer sur le sens de ce...rapport. Parce que personellement, je suis larguée. Et si je pouvais avoir des conseils pour la suite des événements ce serait formidable...
Merci d'"avance de votre patience et de votre aide...

PS : J'ai quand même quelques questions, si ce n'est pas abuser. Qu'est-ce que ce truc 'rootkit' et d'où vient-il ? Je ne comprend pas...
J'ai actuellement Avast et S^ybot, est-ce qu'il faut que j'ajoute quelque chose ?
Autre chose : pourquoi moin pare-feu windows se désactive à chaque démarrage. Il faut que je le réactive chaque fois ?

Milles merci de votre gentillesse....

Ali

EDIT / Au moment où j'écris le dernier scan avast viens de découvrir un nouveau problème VBS:Malware-gen toujours dans le WindowsTemp... c'est encore un de ces fichu tt4... Je me suicide tout de suite, où il y a une solution ?

H3bus · le 18 Sep 2008 14:15

Je me suicide tout de suite, où il y a une solution ?

Surtout pas malheureuse, il y a toujours une solution !

Pour commencer, tu vas supprimer ces lignes dans la fenêtre Hijackthis :

F2 - REG:system.ini: UserInit=C:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32oembios.exe,
O3 - Toolbar: Barre d'outils du menu Anti-fraude de Trend Micro - {871F91FD-3A92-4988-A842-16AB2CFF5AF1} - C:PROGRA~1TRENDM~1INTERN~1PccIeBar.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:Program FilesMessengermsmsgs.exe (file missing)

Ensuite, je te propose de suivre notre dossier nettoyage, notamment la partie avec Sophos anti Rootkit, car il y a deux ou trois trucs suspects dans ton rapport...

r@in | b0w · le 18 Sep 2008 20:43

Bonjour.

1_ Rootkit? Une définition sur Wikipédia devrait suffire.

2_ Tu supprimes aussi les lignes:

C:WINDOWSTEMP3.tmp
C:WINDOWSSystem32Cpl32ver.exe
O4 - HKLM..Run: [agqigyq] c:windowssystem32agqigyq.exe agqigyq
O4 - HKLM..Run: [Cpl32ver] C:WINDOWSSystem32Cpl32ver.exe

Et, au passage, tu as un voire deux trojans mais aussi un keylogger assez puissant.

3_ Pour Spybot et histoire de faire simple et pratique:

Tu télécharges Sophos anti-rootkit.

Tu double cliques ensuite sur l'icône sarsfx.exe pour le lancer.

Après lecture du contrat d'utilisateur final, tu cliques sur Accept si tu acceptes le contenu du contrat.

Tu spécifies ensuite le dossier d'installation si tu ne veux pas du dossier par défaut; si tu le modifies, tu cliques sur Browse puis tu indiques le dossier voulu.

Tu cliques finalement sur Install.

Après l'installation, tu cliques sur Démarrer puis Tous les programmes, Sophos puis Sophos anti-rootkit et finalement Sophos anti-rootkit.

Une fenêtre s'ouvre avec trois lignes cochées, tu cliques juste sur Start scan.

Au fur & à mesure de l'analyse, une liste d'éléments du registre apparaîtra.

En cliquant sur une ligne, tu pourras avoir des informations sur celle-ci en bas.
Si la ligne Removable est indiquée Yes (but not recommended for this file), tu ne la supprimes pas.
S'il est indiqué Yes (clean up recommended) seulement, tu peux la supprimer.

Dans tous les cas, si tu hésites ou que tu veux une confirmation sur les suppressions, tu suis avec ces deux tutoriaux le guide pour faire une impression écran puis l'héberger sur internet.

4_ Tu télécharges Malwarebytes' Anti-Malware, tu l'installes puis tu procèdes à sa mise à jour.

Tu lances l'application en double-cliquant sur l'icône Malwarebytes' Anti Malware.

Tu cliques ensuite sur Exécuter un examen complet puis tu lances l'analyse en cliquant sur Rechercher.

_ Si l'utilitaire ne trouve rien de néfaste, cliques sur Ok. Le Bloc-notes va s'ouvrir avec le rapport d'analyse, celui-ci n'est pas intéressant car la machine est propre.
Tu peux fermer le Bloc-notes.

_ Si l'utilitaire trouve des éléments suspects, tu cliques sur Afficher les résultats puis sur Supprimer la sélection.
Tu enregistres le rapport d'analyse que tu nous copies-colles dans ton prochain message.

Il est possible que le programme te demande de redémarrer pour effectuer des suppressions supplémentaires, tu acceptes le redémarrage volontaire en cliquant sur Ok.

Postes-nous tous les rapports.

Loreleï · le 19 Sep 2008 10:54

Merci de vos réponses...

Alors, j'ai bien suivi les instructions (je crois), et j'ai supprimé les mauvaises lignes dans Hijack this.
Voici le nouveau rapport :
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:23:44, on 19/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
C:Program FilesAlwil SoftwareAvast4ashServ.exe
C:WINDOWSsystem32spoolsv.exe
C:AcereManageranbmServ.exe
C:WINDOWSExplorer.EXE
C:Program FilesFichiers communsMicrosoft SharedVS7DEBUGMDM.EXE
C:WINDOWSsystem32svchost.exe
C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:Program FilesSynapticsSynTPSynTPLpr.exe
C:Program FilesSynapticsSynTPSynTPEnh.exe
C:WINDOWSsystem32 undll32.exe
C:acerepmepm-dm.exe
C:Program FilesLaunch ManagerQtZgAcer.EXE
C:Program FilesFichiers communsRealUpdate_OB ealsched.exe
C:PROGRA~1ALWILS~1Avast4ashDisp.exe
C:Program FilesWindows LiveMessengerMsnMsgr.Exe
C:WINDOWSsystem32ctfmon.exe
C:Program FilesVeoh NetworksVeohVeohClient.exe
C:Program FilesSpybot - Search & DestroyTeaTimer.exe
C:Program FilesacereRecoveryMonitor.exe
C:PROGRA~1ALWILS~1Avast4ashQuick.exe
C:Program FilesWindows LiveMailwlmail.exe
C:Program FilesMozilla Firefoxfirefox.exe
C:Documents and SettingsCécileBureauMagic.exe
C:Program FilesSophosSophos Anti-Rootkitsargui.exe
C:DOCUME~1CECILELOCALS~1Tempswrbwr.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:PROGRA~1SPYBOT~1SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_07inssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:Program FilesFichiers communsMicrosoft SharedWindows LiveWindowsLiveLogin.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:Program FilesVeoh NetworksVeohPlugins egVeohToolbar.dll
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [SynTPLpr] C:Program FilesSynapticsSynTPSynTPLpr.exe
O4 - HKLM..Run: [SynTPEnh] C:Program FilesSynapticsSynTPSynTPEnh.exe
O4 - HKLM..Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM..Run: [IMJPMIG8.1] "C:WINDOWSIMEimjp8_1IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM..Run: [MSPY2002] C:WINDOWSsystem32IMEPINTLGNTImScInst.exe /SYNC
O4 - HKLM..Run: [PHIME2002ASync] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /SYNC
O4 - HKLM..Run: [PHIME2002A] C:WINDOWSsystem32IMETINTLGNTTINTSETP.EXE /IMEName
O4 - HKLM..Run: [EPM-DM] c:acerepmepm-dm.exe
O4 - HKLM..Run: [ePowerManagement] C:AcerePMePM.exe boot
O4 - HKLM..Run: [LManager] C:Program FilesLaunch ManagerQtZgAcer.EXE
O4 - HKLM..Run: [eRecoveryService] C:WindowsSystem32Check.exe
O4 - HKLM..Run: [TkBellExe] "C:Program FilesFichiers communsRealUpdate_OB ealsched.exe" -osboot
O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe
O4 - HKLM..RunOnce: [SpybotDeletingA5534] command /c del "C:Program FilesMozilla Firefoxextensions{BEE3E87E-E1C6-4bfe-BE9D-48E84271AB34}chromewhenu_ff.jar"
O4 - HKCU..Run: [MsnMsgr] "C:Program FilesWindows LiveMessengerMsnMsgr.Exe" /background
O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe
O4 - HKCU..Run: [Veoh] "C:Program FilesVeoh NetworksVeohVeohClient.exe" /VeohHide
O4 - HKCU..Run: [SpybotSD TeaTimer] C:Program FilesSpybot - Search & DestroyTeaTimer.exe
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICE RESEAU')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_07inssv.dll
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:PROGRA~1SPYBOT~1SDHelper.dll
O10 - Unknown file in Winsock LSP: c:windowssystem32
wprovau.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:Program FilesFichiers communsAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:AcereManageranbmServ.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:Program FilesiPodiniPodService.exe

--

Voici pour le rapport Sophos :

http://i90.photobucket.com/albums/k276/ ... sophos.jpg

-----

Je n'ai pas encore eu le temps de lancer l'antimalware, mais je vais essayer de le faire ce week-end
Par contre j'ai suivi le dossier nettoyage comme conseillé, et nettoyer l'ordinateur...(sauf pour ce qui est de la défragmentation...question de temps, toujours)

Voilà...merci encore

r@in | b0w · le 19 Sep 2008 11:16

Bonjour.

La première ligne n'est pas dangereuse, elle correspond à un fichier du profil Firefox.

Pour la deuxième, C:i386AUTOFMT.exe, si tu lis à côté de Removable la ligne Yes (clean up recommended), tu peux la supprimer.

On attend le rapport Mbam qui pourra faire du bon ménage.

Fais-le le plus tôt possible car, pour information, un keylogger est un outil qui enregistre toutes les frappes clavier (mots de passe par exemple) et les envoie à un pirate. Autant dire que c'est une sale bête qui peut mettre à mal toutes tes données internet.

Loreleï · le 20 Sep 2008 10:06

Voilà, rapport Malware fit :

Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1165
Windows 5.1.2600 Service Pack 2

20/09/2008 11:05:46
mbam-log-2008-09-20 (11-05-43).txt

Type de recherche: Examen complet (C:|D:|)
Eléments examinés: 108154
Temps écoulé: 25 minute(s), 14 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:System Volume Information\_restore{45BBBFAF-2E74-406D-A62D-5458DC520434}RP137A0039134.scr (Fake.BlueScreenError) -> No action taken.

Pour la deuxième, C:i386AUTOFMT.exe, si tu lis à côté de Removable la ligne Yes (clean up recommended), tu peux la supprimer.

Il est noté : yes, but not recommanded. Je le supprime tout de même ?

r@in | b0w · le 21 Sep 2008 17:53

Bonjour.

Non, tu ne la supprimes pas.

Pour le rapport Mbam, tu as une infection dans un point de restauration.

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Ensuite, tu télécharges SDFix.

Tu double cliques ensuite sur l'icône SdFix pour le lancer.
Tu ne touches pas aux configurations et cliques uniquement sur Install.

Tu pars ensuite en Mode sans échec ([F8] au démarrage).

Après être sur ta session, tu cliques sur Démarrer puis Exécuter;
Tu tapes (ou copies-colles) C:SDFixRunThis.bat puis tu valides en appuyant sur [Entrée] ou en cliquant sur Ok.

Une fenêtre s'ouvrira, tu appuies sur la touche [Entrée] ou [Y].

Le fix va faire le ménage, tu prends ton mal en patience et attends

Quand tu vois écrit:

Code: Tout sélectionner: The PC will now restart, SDFix will run again after reboot. Press any key to continue...

Tu appuies sur n'importe quelle touche du clavier, ce qui fera redémarrer ta machine.

SDFix se lancera après l'ouverture de ta session pour finir le ménage.

Le Bloc-notes s'ouvrira ensuite avec le rapport, copies-colles celui-ci dans ton prochain message.

Loreleï · le 22 Sep 2008 11:08

Voici le nouveau rapport SD fix

SDFix: Version 1.228
Run by C,cile on 22/09/2008 at 11:58

Microsoft Windows XP [version 5.1.2600]
Running From: C:SDFix

Checking Services :

Rootkit Found :
C:WINDOWSsystem32driversFOX00.sys - Rootkit Pandex/Cutwail - Protect.sys

Name :
FOX00

Path :
System32DriversFox00.sys

FOX00 - Deleted

Restoring Default Security Values
Restoring Default Hosts File

Rebooting

Service FOX00 - Deleted

Checking Files :

Trojan Files Found:

C:WINDOWSantiv.exe - Deleted
C:WINDOWSsystem32autorun.ini - Deleted
C:WINDOWSsystem32driversFOX00.sys - Deleted

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-22 12:04:34
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicystandardprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\iTunes\iTunes.exe"="C:\Program Files\iTunes\iTunes.exe:*:Enabled:iTunes"
"C:\Program Files\Real\RealPlayer\RealPlay.exe"="C:\Program Files\Real\RealPlayer\RealPlay.exe:*:Enabled:RealPlayer"
"C:\Program Files\utorrent\utorrent.exe"="C:\Program Files\utorrent\utorrent.exe:*:Enabled:æTorrent"
"C:\Program Files\BitComet\BitComet.exe"="C:\Program Files\BitComet\BitComet.exe:*:Enabled:BitComet - a BitTorrent Client"
"C:\Program Files\Avid\Avid Free DV\AvidFreeDV.exe"="C:\Program Files\Avid\Avid Free DV\AvidFreeDV.exe:*:Enabled:Avid Editor"
"C:\Program Files\Veoh Networks\Veoh\VeohClient.exe"="C:\Program Files\Veoh Networks\Veoh\VeohClient.exe:*:Enabled:Veoh Client"
"C:\Program Files\PeerTV\PeerCast.exe"="C:\Program Files\PeerTV\PeerCast.exe:*:Enabled:PeerCast"
"C:\Program Files\eMule\LinkCreator.exe"="C:\Program Files\eMule\LinkCreator.exe:*:Enabled:LinkCreator"
"C:\Program Files\LimeWire\LimeWire.exe"="C:\Program Files\LimeWire\LimeWire.exe:*:Enabled:LimeWire"
"C:\Program Files\eMule\emule.exe"="C:\Program Files\eMule\emule.exe:LocalSubNet:Enabled:eMule"
"C:\Program Files\Mozilla Firefox\firefox.exe"="C:\Program Files\Mozilla Firefox\firefox.exe:*:Disabled:Firefox"
"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

[HKEY_LOCAL_MACHINEsystemcurrentcontrolsetservicessharedaccessparametersfirewallpolicydomainprofileauthorizedapplicationslist]
"%windir%\system32\sessmgr.exe"="%windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe"="C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe:*:Enabled:Windows Live Messenger"
"C:\Program Files\Windows Live\Messenger\livecall.exe"="C:\Program Files\Windows Live\Messenger\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :

File Backups: - C:SDFixackupsackups.zip

Files with Hidden Attributes :

Fri 8 Apr 2005 1,024 ...HR --- "C:WINDOWSsystem32NTICDMK7.dll"
Fri 8 Apr 2005 1,024 ...HR --- "C:WINDOWSsystem32NTIMPEG2.dll"
Fri 8 Apr 2005 1,024 ...HR --- "C:WINDOWSsystem32NTIMP3.dll"
Fri 8 Apr 2005 1,024 ...HR --- "C:WINDOWSsystem32NTIFCD3.dll"
Fri 8 Apr 2005 1,024 ...HR --- "C:WINDOWSsystem32NTIBUN4.dll"
Fri 1 Dec 2006 6,580 A.SH. --- "C:WINDOWSsystem32KGyGaAvL.sys"
Fri 1 Dec 2006 168 ..SHR --- "C:WINDOWSsystem32E6432917FC.sys"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:Program FilesSpybot - Search & DestroySDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:Program FilesSpybot - Search & DestroySpybotSD.exe"
Mon 18 Aug 2008 1,832,272 A.SHR --- "C:Program FilesSpybot - Search & DestroyTeaTimer.exe"
Sat 8 Jul 2006 4,348 A.SH. --- "C:Documents and SettingsAll UsersDRMDRMv1.bak"
Thu 8 Dec 2005 26,624 ...H. --- "C:Documents and SettingsC,cileMes documents~WRL0449.tmp"
Fri 9 Dec 2005 29,696 ...H. --- "C:Documents and SettingsC,cileMes documents~WRL0561.tmp"
Sat 10 Dec 2005 44,544 ...H. --- "C:Documents and SettingsC,cileMes documents~WRL2217.tmp"
Fri 7 Mar 2008 109,568 ...H. --- "C:Documents and SettingsC,cileMes documents~WRL2592.tmp"
Mon 12 Dec 2005 52,224 ...H. --- "C:Documents and SettingsC,cileMes documents~WRL0352.tmp"
Sun 8 Jul 2007 29,184 ...H. --- "C:Documents and SettingsC,cileMes documents~WRL0711.tmp"
Tue 22 Jan 2008 0 A.SH. --- "C:Documents and SettingsAll UsersDRMCacheIndiv01.tmp"
Fri 12 Sep 2008 293,376 ...H. --- "C:Documents and SettingsC,cileMes documents
cis~WRL0406.tmp"
Sat 13 Sep 2008 302,080 ...H. --- "C:Documents and SettingsC,cileMes documents
cis~WRL0461.tmp"
Sat 1 Mar 2008 33,792 ...H. --- "C:Documents and SettingsC,cileMes documentsCours L2TD Antique~WRL3360.tmp"

Finished!

r@in | b0w · le 22 Sep 2008 12:07

Bonjour.

Ta machine est propre.

Pour l'origine de l'infection, 100% provenant du réseau peer-to-peer car, à voir eMule, BitComet, utorent et LimeWire, le doute n'est pas permis.

Pour terminer la désinfection et optimiser Windows:

_ Désinstallation des utilitaires utilisés:

Les programmes utilisés pour la désinfection ne sont pas à utiliser quotidiennement.

Pour les désinstaller, il faut aller dans le Panneau de configuration puis, via Ajouter/Supprimer des programmes, sélectionner les utilitaires et cliquer sur Désinstaller.

Pour une suppression effective, penses à supprimer leurs dossiers respectifs, la plupart à la racine de ta partition principale.

_ Utilisation d'un pare-feu alternatif:

Il est recommandé de ne pas utiliser le pare-feu Windows et d'en prendre un plus efficace.

Le choix est large: Zone Alarm & Sunbelt compatibles avec Vista sinon Ashampoo ou encore Sygate.

Après avoir sélectionné le pare-feu idéal, il faudra désactiver celui de Windows.

_ Nettoyage des points de restauration:

Dans un premier temps, il faut supprimer tous les points de restauration.

Pour cela, cliques sur Poste de travail puis Propriétés.
Onglet Restauration automatique du système, tu coches la ligne Désactiver la restauration du système puis tu valides par Ok.
Tu confirmes la suppression de tous les points de restauration, puis tu cliques sur Appliquer et/ou Ok.

Ensuite, il faut réactiver la restauration automatique du système.

Tu refais la manipulation précédente pour relancer les propriétés du Poste de travail.
Tu décoches la ligne puis cliques sur Appliquer & Ok.

Tu auras créer un point de restauration propre.

_ Nettoyage des fichiers temporaires & de la base de registre:

Pour cela, Ccleaner reste le moyen le plus sûr et pratique de tout nettoyer sans risques.

En suivant ce tutorial, cet utilitaire sera configuré correctement.

Il est aussi utile de purger régulièrement le dossier Prefetch en profitant de Ccleaner pour automatiser ce nettoyage.
Pour cela, il faut aller dans Options puis Personnaliser pour ajouter le dossier C:WindowsPREFETCH.

_ Un petit coup d'oeil à notre dossier Nettoyage peut être utile en supplément.

Et finalement, pour optimiser Windows XP, ce sujet sera intéressant.

Loreleï · le 24 Sep 2008 18:48

Mille merci... Mon PC semble avoir retrouvé sa prime jeunesse et moi aussi, par la même occasion.
Merci pour votre temps, votre patience et votre gentillesse... Je vais suivre tout ces derniers conseils à la lettre.
En espérant ne plus se croise dans cette partie du forum !:

r@in | b0w · le 24 Sep 2008 18:50

Merci pour le retour, il fait toujours plaisir.

Et j'espère en effet ne plus te croiser sur ce sous-forum, la deuxième fois, on parait moins tendre :lol:

Problème Rootkit...A l'aide.

Problème Rootkit...A l'aide.

Sujets similaires

Qui est en ligne