Probleme suite à une detection de rootkit

[Loubs]

Bonjour, j'ai un gros soucis suite à une détection de rootkit par avast cet aprem : La configuration de plusieurs comptes utilisateurs à completement changé, le démarrage se fait très inhabituellement (reste bloqué sur l'ecran d'accueil pendant un momment), plus de son à part les "bip" de l'ordi, le copier/coller ne peut plus se faire (donc pas de sauvegarde sur DD externe possible !), et j'en passe...
J'ai essayé de faire une restauration system... impossible... "restoration systeme ne peut pas proteger votre ordinateur, redemarrez votre ordinateur et lancez la restoration systemes"

Le log de Hijackthis : (que je ne peut copier, et archive host ne prend pas les *.log |-(

http://sd-1.archive-host.com/membres/up ... hislog.zip

J'ai essayé de faire quelques manips que j'ai trouvé à droite et à gauche mais rien n'y fait, si quelqu'un pouvait m'aider, au moins pour que le copier/coller marche que je puisse sauvegarder mes fichiers et tout formater à la limite...

Merci bien

Loubs.

[H3bus]

Bonjour.

As tu essayé de faire ces manips en mode sans échec? Refais ton analyse hijackthis, un scan antivirus, et tout ce qui est nécessaire sous ce mode, et tiens nous au courant.

Bye

Edit :

Commence par mettre à jour ton Internet Explorer, pour éviter les failles de sécurité.

Lignes à virer :

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:PokerTitan Pokercasino.exe (file missing)
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:PokerTitan Pokercasino.exe (file missing)

et scanne celles ci :

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/M ... loader.cab
Inconnu
O16 - DPF: {E473A65C-8087-49A3-AFFD-C5BC4A10669B} (Quantum Streaming IE Player Class) - http://mvnet.xlontech.net/qm/fox/061011 ... 101001.cab

Et désinstalles ton programme de poker, il m'a l'air vérolé...

[Loubs]

Oui, j'ai essayé en mode sans echecs mais ça ne marche pas mieux

[r@in | b0w]

Bonjour.

Dans l'ordre:

_ Désactivation de la Restauration automatique du système pour supprimer tous les points de restauration.

Tu cliques droit sur Poste de travail puis Propriétés.

Onglet Restauration et tu décoches la ligne Restauration automatique du système.

Tu confirmes la suppression de tous les points de restauration.

_ Dossier Nettoyage à éplucher;

_ Sophos anti-rootkit;

_ Spybot Search & destroy;

_ Ad-Aware;

_ Quel est le problème avec le Mode sans échec? Message d'erreur quelconque?

Logfile of HijackThis v1.99.1

Scan saved at 22:54:25, on 03/06/2008

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)



Running processes:

C:WINDOWS.000System32smss.exe

C:WINDOWS.000system32winlogon.exe

C:WINDOWS.000system32services.exe

C:WINDOWS.000system32lsass.exe

C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

C:WINDOWS.000System32driversCDAC11BA.EXE

C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

C:Program FilesNeroNero 7InCDInCDsrv.exe

C:Program FilesFichiers communsLightScribeLSSrvc.exe

C:WINDOWS.000system32ssoftsrv.exe

C:WINDOWS.000Explorer.EXE

C:Program FilesNeroNero 7InCDInCD.exe

C:WINDOWS.000PCHealthHelpCtrBinariesMSConfig.exe

C:Program FilesMozilla Firefoxfirefox.exe

K:utilitairessystemehijackthis_199HijackThis.exe



R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Bar = http://www.wanadoo.fr/go/page_recherche/

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.orange.fr

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Local Page =

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Liens

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 7.0ActiveXAcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:Program FilesJavajre1.6.0_03inssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:WINDOWS.000System32msdxm.ocx

O4 - HKLM..Run: [SystemTray] SysTray.Exe

O4 - HKLM..Run: [NeroFilterCheck] C:Program FilesFichiers communsAheadLibNeroCheck.exe

O4 - HKLM..Run: [InCD] C:Program FilesNeroNero 7InCDInCD.exe

O4 - HKLM..Run: [avast!] C:PROGRA~1ALWILS~1Avast4ashDisp.exe

O4 - HKLM..Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM..Run: [Hidserv] Hidserv.exe run

O4 - HKLM..Run: [MSConfig] C:WINDOWS.000PCHealthHelpCtrBinariesMSConfig.exe /auto

O4 - HKCU..Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:Program FilesFichiers communsAheadLibNMBgMonitor.exe"

O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:PROGRA~1MICROS~2OFFICE11EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll

O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:Program FilesJavajre1.6.0_03inssv.dll

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:PokerTitan Pokercasino.exe (file missing)

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:PokerTitan Pokercasino.exe (file missing)

O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:PROGRA~1MICROS~2OFFICE11REFIEBAR.DLL

O9 - Extra button: Organise-notes - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:Program FilesFichiers communsMicrosoft SharedReference 2001EROProj.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWS.000web elated.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:WINDOWS.000web elated.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:WINDOWS.000System32shdocvw.dll

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:WINDOWS.000System32shdocvw.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab

O16 - DPF: {05D96F71-87C6-11D3-9BE4-00902742D6E0} (QuickPlace Class) - https://didagora.esc-rennes.fr/qp2.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gwennlouboutin.spaces.msn.com/Ph ... 10,0,912,0

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/2663808e701 ... 601_fr.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupda ... 9843444963

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMe ... loader.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/M ... loader.cab

O16 - DPF: {E473A65C-8087-49A3-AFFD-C5BC4A10669B} (Quantum Streaming IE Player Class) - http://mvnet.xlontech.net/qm/fox/061011 ... 101001.cab

O17 - HKLMSystemCCSServicesTcpip..{775EB5A0-D50B-424A-94A0-F8A1D1F50212}: NameServer = 192.168.1.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:PROGRA~1MSNMES~1MSGRAP~1.DLL

O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:WINDOWS.000Microsoft.NETFrameworkv2.0.50727aspnet_state.exe (file missing)

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:Program FilesAlwil SoftwareAvast4aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:Program FilesAlwil SoftwareAvast4ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:Program FilesAlwil SoftwareAvast4ashWebSv.exe" /service (file missing)

O23 - Service: C-DillaCdaC11BA - Macrovision - C:WINDOWS.000System32driversCDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:Program FilesFichiers communsEPSONEBAPISAgent2.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:Program FilesFichiers communsInstallShieldDriver11Intel 32IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Program FilesNeroNero 7InCDInCDsrv.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:Program FilesFichiers communsLightScribeLSSrvc.exe

O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:WINDOWS.000SYSTEM32ssoftsrv.exe

Casino.exe est à désinstaller puis tu supprimes le dossier C:Poker.

Windows est à mettre à jour, Service Pack 2 obligatoire pour la suite.

Ps:

_ C'est quoi le dossier C:Windows.000?

[H3bus]

_ C'est quoi le dossier C:Windows.000?

Oui ca m'a sauté aux yeux aussi...

[Loubs]

Merci de ton aide

Bonjour.

et scanne celles ci :

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/M ... loader.cab
Inconnu
O16 - DPF: {E473A65C-8087-49A3-AFFD-C5BC4A10669B} (Quantum Streaming IE Player Class) - http://mvnet.xlontech.net/qm/fox/061011 ... 101001.cab

Comment on scanne une ligne ?

Et désinstalles ton programme de poker, il m'a l'air vérolé...

Normalement j'en ai plus depuis longtemps, mais apparemment il a laissé des traces...

[r@in | b0w]

Re.

O16 - DPF: {E1342154-4889-42B5-BEF6-19237577048F} (OberongamesLoader Object) - http://msnfr.oberon-media.com/online2/M ... loader.cab
Inconnu
O16 - DPF: {E473A65C-8087-49A3-AFFD-C5BC4A10669B} (Quantum Streaming IE Player Class) - http://mvnet.xlontech.net/qm/fox/061011 ... 101001.cab

Lignes à vérifier par toi-même en fait.

Si tu connais les sites, tu laisses.

Mais si tu fixes les lignes, ce n'est pas grave non plus. Elles reviendront si tu utilises les fichiers indiqués.

Je serai toi, je les effacerai.

Normalement j'en ai plus depuis longtemps, mais apparemment il a laissé des traces...

En effet.

Vérifie le dossier C:Poker et supprimes la ligne en question.

[Loubs]

Re-salut,

Pas de probleme particulier avec le mode sans echecs, c'est juste que je n'arrive pas à corriger les erreurs par là.

J'ai pas de dossier C:/Poker (même caché)

J'ai viré les lignes en question

Mon PC était propre normalement (à part Titan poker qui trainait), je faisait régulierement des nétoyages avec Easy cleaner.

Je ne peux pas passer en SP2, à cause de l'ancienneté du PC :

Le dossier windows.000 est le dossier où sont tous mes fichiers systemes, j'ai aussi un dossier windows mais il n'y a presque rien dedans, c'est comme ça depuis des années et j'ai jamais eu de problemes.

Sinon Sophos est train de scanner, je vous tiens au courant !

[r@in | b0w]

Re.

Je ne peux pas passer en SP2, à cause de l'ancienneté du PC.

Disons que le SP1 laisse passer plus de vermines, après, donnes-nous le modèle et la marque de ton ordinateur et on te dira (le SP2 est largement testé maintenant & plus stable et sécurisant que le SP1).

Je ne pense pas qu'une machine puisse être trop obsolète.

Tu referas un scan HJT et posteras le rapport histoire de voir si toutes les lignes ont été supprimées.

[H3bus]

Le dossier windows.000 est le dossier où sont tous mes fichiers systemes, j'ai aussi un dossier windows mais il n'y a presque rien dedans, c'est comme ça depuis des années et j'ai jamais eu de problemes.

Première fois que je vois ça... C'est du à quoi?

[r@in | b0w]

Première fois que je vois ça... C'est du à quoi?

J'ai pensé que c'était du à l'utilisateur.

Certains regardent tous les fichiers Windows et les déplacent ensuite en fonction de ce qu'ils ont trouvés.

Une personne que je n'aime pas du tout, mais ce n'est pas le sujet, avait fait un dossier Connu & Inconnu.

Je suis toujours épaté de voir que Windows s'y retrouve quand même!

[H3bus]

Une personne que je n'aime pas du tout

Ca balance, ca balance !

Mais du coup, comment Windows peut retrouver ses fichiers systèmes si ils sont déplacés par l'utilisateur ?

J'en vois pas l'utilité, à part foutre le b***el !

[r@in | b0w]

J'en vois pas l'utilité, à part foutre le b***el !

Cela fait partie de l'apprentissage Windowsien

Foutre le souk pour comprendre un peu plus comment cela fonctionne.

Sinon, c'est plus pour savoir ce qu'est un fichier sans rester lambda et simplement l'utiliser, une démarche scientifique quoi.

[H3bus]

Foutre le souk pour comprendre un peu plus comment cela fonctionne.

Ouais enfin de la à faire planter lamentablement son Windows, y'a de la marge... Vaut mieux poster "à quoi sers tel fichier?" sur le forum plutôt que "j'ai planté mon Windows en déplaçant tel fichier en aveugle"

Non?

[Loubs]

Personnelement, je n'y suis pour rien dans la création du dossier, c'était comme ça dès le début et j'ai pensé que pour Windows XP c'était normal, vu que je ne connaissait pas du tout cette version avant...