[LOGICIEL] [Centralisation] .:::: Hijackthis ::::.

_Iam-Nap_ · le 25 mars 2009

Pas de réponse...?

SilverSam · le 25 mars 2009

Re, ça avance de mon côté, j'ai trouvé dans la barre d'internet explorer ceci "Hacked by godzilla"

C'est lui qui doit faire tout ça depuis le début, je ne sais pas quoi faire cependant ...

snooky · le 25 mars 2009

* Télécharge Flash Disinfector de sUBs : http://download.bleepingcomputer.com/sUBs/...Disinfector.exe

* Branche tous tes périphériques amovibles (clé USB, disque dur externe, baladeur MP3, etc...)

* Double-clique dessus et laisse toi guider.

____________________________

@ _Iam-Nap_ :

oche et fixe cette ligne :

O4 - HKLM\..\Run: [GEST] m’|\ü

Lance ComboFix et poste le rapport créé :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

_Iam-Nap_ · le 25 mars 2009

____________________________
@ _Iam-Nap_ :

Coche et fixe cette ligne :

O4 - HKLM\..\Run: [GEST] m’|\ü

Lance ComboFix et poste le rapport créé :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Euh je l'avais remarquée cette ligne... Mais le hic c'est que c'est la clef du gestionnaire de sauvergarde d'énergie (Fonctionnalité 'GEST' des cartes mêres Gigabyte, qui est temporairement désactivée. Aucun risque de la supprimer si je le remet en route dans le futur ?

snooky · le 25 mars 2009

Aucun risque

_Iam-Nap_ · le 25 mars 2009

Ok, c'est fait.

Voici le rapport ComboFix et une petite question en fin de post :

ComboFix 09-03-23.01 - Utilisateur 2009-03-25 21:37:55.1 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2046.1568 [GMT 1:00]

Lancé depuis: c:\program files\ComboFix\ComboFix.exe

AV: Avira AntiVir PersonalEdition Classic *On-access scanning disabled* (Updated)

* Un nouveau point de restauration a été créé

AVERTISSEMENT - LA CONSOLE DE RÉCUPÉRATION N'EST PAS INSTALLÉE SUR CETTE MACHINE !!

.

(((((((((((((((((((((((((((((((((((( Autres suppressions ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\install.exe

c:\windows\system\msvbvm60.dll

c:\windows\system32\BReWErS.dll

----- BITS: Il y a peut-être des sites infectés -----

hxxp://shefo2.fileave.com

.

((((((((((((((((((((((((((((( Fichiers créés du 2009-02-25 au 2009-03-25 ))))))))))))))))))))))))))))))))))))

.

2009-03-25 19:29 . 2009-03-25 19:29 <REP> d-------- c:\program files\ComboFix

2009-03-24 18:53 . 2009-03-24 18:53 107,888 --a------ c:\windows\system32\CmdLineExt.dll

2009-03-23 06:55 . 2009-03-23 06:55 2 ---h----- c:\windows\t55ft2792f44.dat

2009-03-23 06:55 . 2009-03-23 06:55 1 ---h----- c:\windows\f23567.dat

2009-03-23 04:23 . 2009-03-23 04:23 2 ---h----- c:\windows\t55ft2808f44.dat

2009-03-20 18:48 . 2009-03-25 19:51 <REP> d-------- c:\documents and settings\Utilisateur\Tracing

2009-03-20 18:46 . 2009-03-20 18:46 <REP> d-------- c:\program files\Windows Live SkyDrive

2009-03-20 18:46 . 2009-03-20 18:46 <REP> d-------- c:\program files\Microsoft

2009-03-20 18:44 . 2009-03-20 18:44 <REP> d-------- c:\program files\Fichiers communs\Windows Live

2009-03-17 02:08 . 1998-11-13 12:16 308,224 --a------ c:\windows\IsUn040c.exe

2009-03-16 16:19 . 2009-03-16 16:20 <REP> d-------- c:\program files\CCleaner

2009-03-15 21:11 . 2009-03-15 21:11 <REP> d-------- c:\program files\ffdshow

2009-03-14 17:09 . 2009-03-14 17:11 <REP> d-------- c:\program files\Emote

2009-02-27 18:05 . 2009-03-20 04:15 <REP> d--h----- c:\program files\Meds

2009-02-25 05:07 . 2009-01-09 20:19 1,089,883 -----c--- c:\windows\system32\dllcache\ntprint.cat

.

(((((((((((((((((((((((((((((((((( Compte-rendu de Find3M ))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-25 20:00 --------- d-----w c:\documents and settings\Utilisateur\Application Data\BitTorrent

2009-03-25 12:39 16,608 ----a-w c:\windows\gdrv.sys

2009-03-24 17:35 --------- d--h--w c:\program files\InstallShield Installation Information

2009-03-23 21:53 --------- d-----w c:\program files\Microsoft Games for Windows - LIVE

2009-03-23 04:14 --------- d-----w c:\program files\Spybot - Search & Destroy

2009-03-22 03:57 --------- d-----w c:\documents and settings\Utilisateur\Application Data\dvdcss

2009-03-20 17:46 --------- d-----w c:\program files\Windows Live

2009-03-19 22:32 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Bioshock

2009-03-17 16:48 --------- d-----w c:\program files\Google

2009-03-11 13:41 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-03-05 22:41 --------- d-----w c:\documents and settings\All Users\Application Data\TrackMania

2009-02-26 08:08 --------- d-----w c:\program files\Mozilla Thunderbird

2009-02-23 21:00 --------- d-----w c:\program files\GIMP

2009-02-23 17:42 --------- d-----w c:\documents and settings\Utilisateur\Application Data\ATI

2009-02-23 17:42 --------- d-----w c:\documents and settings\All Users\Application Data\ATI

2009-02-23 17:40 --------- d-----w c:\program files\ATI Technologies

2009-02-19 22:35 --------- d-----w c:\documents and settings\All Users\Application Data\2DBoy

2009-02-19 17:23 1,522,176 ----a-w C:\DSLtest2100.exe

2009-02-17 18:40 --------- d-----w c:\program files\PainT.NET

2009-02-09 14:05 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-02-06 18:21 --------- d-----w c:\program files\Fichiers communs\Wise Installation Wizard

2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll

2009-02-04 07:27 3,488,768 ----a-w c:\windows\system32\drivers\ati2mtag.sys

2009-02-04 05:57 11,702,272 ----a-w c:\windows\system32\atioglxx.dll

2009-02-04 05:03 290,816 ----a-w c:\windows\system32\atiok3x2.dll

2009-02-04 04:56 442,368 ----a-w c:\windows\system32\ATIDEMGX.dll

2009-02-04 04:55 324,096 ----a-w c:\windows\system32\ati2dvag.dll

2009-02-04 04:44 196,608 ----a-w c:\windows\system32\atipdlxx.dll

2009-02-04 04:44 155,648 ----a-w c:\windows\system32\Oemdspif.dll

2009-02-04 04:43 43,520 ----a-w c:\windows\system32\ati2edxx.dll

2009-02-04 04:43 26,112 ----a-w c:\windows\system32\Ati2mdxx.exe

2009-02-04 04:43 155,648 ----a-w c:\windows\system32\ati2evxx.dll

2009-02-04 04:41 602,112 ----a-w c:\windows\system32\ati2evxx.exe

2009-02-04 04:40 53,248 ----a-w c:\windows\system32\ATIDDC.DLL

2009-02-04 04:30 3,884,768 ----a-w c:\windows\system32\ati3duag.dll

2009-02-04 04:14 2,645,504 ----a-w c:\windows\system32\ativvaxx.dll

2009-02-04 03:58 49,664 ----a-w c:\windows\system32\amdpcom32.dll

2009-02-04 03:54 471,040 ----a-w c:\windows\system32\atikvmag.dll

2009-02-04 03:53 122,880 ----a-w c:\windows\system32\atiadlxx.dll

2009-02-04 03:52 53,248 ----a-w c:\windows\system32\drivers\ati2erec.dll

2009-02-04 03:52 17,408 ----a-w c:\windows\system32\atitvo32.dll

2009-02-04 03:46 626,688 ----a-w c:\windows\system32\ati2cqag.dll

2009-02-04 03:44 307,200 ----a-w c:\windows\system32\atiiiexx.dll

2009-02-04 02:43 45,056 ----a-w c:\windows\system32\aticalrt.dll

2009-02-04 02:42 45,056 ----a-w c:\windows\system32\aticalcl.dll

2009-02-04 02:40 3,244,032 ----a-w c:\windows\system32\aticaldd.dll

2009-02-03 20:05 593,920 ------w c:\windows\system32\ati2sgag.exe

2009-01-29 20:01 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Red Alert 3

2009-01-29 16:29 183,112 ----a-w c:\windows\system32\PnkBstrB.exe

2009-01-29 16:29 138,184 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

2009-01-29 09:49 --------- d-----w c:\program files\Guitar Pro 5

2009-01-28 17:19 --------- d-----w c:\documents and settings\Utilisateur\Application Data\Microsoft Games

2009-01-28 15:57 --------- d-----w c:\program files\Steam

2009-01-16 16:03 66,872 ----a-w c:\windows\system32\PnkBstrA.exe

2008-09-28 22:44 22,328 ----a-w c:\documents and settings\Utilisateur\Application Data\PnkBstrK.sys

2008-12-19 22:32 67,688 ----a-w c:\program files\mozilla firefox\components\jar50.dll

2008-12-19 22:32 54,368 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll

2008-12-19 22:32 34,944 ----a-w c:\program files\mozilla firefox\components\myspell.dll

2008-12-19 22:32 46,712 ----a-w c:\program files\mozilla firefox\components\spellchk.dll

2008-12-19 22:32 172,136 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll

.

((((((((((((((((((((((((((((((((( Points de chargement Reg ))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* les éléments vides & les éléments initiaux légitimes ne sont pas listés

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"AtiTrayTools"="c:\program files\ATI Tray Tools\atitray.exe" [2007-05-22 521128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"avgnt"="c:\program files\AntiViR\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"RTHDCPL"="RTHDCPL.EXE" [2008-05-07 c:\windows\RTHDCPL.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= c:\program files\ffdshow\ffdshow.ax

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ PDBoot.exe\0autocheck autochk *\0lsdelete

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menu Démarrer^Programmes^Démarrage^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM]

--a------ 2006-09-10 22:56 218032 c:\program files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

--a------ 2009-02-03 22:21 61440 c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

-r------- 2005-05-03 11:43 69632 c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"StarWindService"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\GIGABYTE\\EnergySaver\\run.exe"=

"c:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\Imprimante HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program Files\\Fichiers communs\\Ahead\\Nero Web\\SetupX.exe"=

"c:\\Jeux\\Trackmania\\TmNationsForever\\TmForever.exe"=

"c:\\Jeux\\CodMW\\iw3mp.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"c:\\Jeux\\FPS\\Crysis\\Bin32\\Crysis.exe"=

"c:\\Jeux\\FPS\\Crysis\\Bin32\\CrysisDedicatedServer.exe"=

"c:\\Program Files\\Steam\\steamapps\\headx\\zombie panic! source\\hl2.exe"=

"c:\\Program Files\\Steam\\steamapps\\headx\\insurgency\\hl2.exe"=

"c:\\Jeux\\FPS\\FarCry\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\Jeux\\FPS\\Dead Space\\Dead Space.exe"=

"c:\\Program Files\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Jeux\\FPS\\FarCry\\Far Cry 2\\bin\\FarCry2.exe"=

"c:\\Jeux\\FPS\\FarCry\\Far Cry 2\\bin\\FC2Launcher.exe"=

"c:\\Jeux\\Course\\GRID\\GRID.exe"=

"c:\\Jeux\\STALKER\\S.T.A.L.K.E.R SoC\\bin\\XR_3DA.exe"=

"c:\\Jeux\\STALKER\\S.T.A.L.K.E.R SoC\\bin\\dedicated\\XR_3DA.exe"=

"c:\\Program Files\\MessengerDiscovery\\MessengerDiscovery Live.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

R1 atitray;atitray;c:\program files\ATI Tray Tools\atitray.sys [2007-05-22 18088]

R2 acedrv11;acedrv11;c:\windows\system32\drivers\acedrv11.sys [2008-07-30 277736]

R2 GEST Service;GEST Service for program management.;c:\program files\GIGABYTE\EnergySaver\GSvr.exe [2008-07-29 80392]

R2 PDSched;PDScheduler;c:\program files\Raxco\PerfectDisk\PDSched.exe [2004-11-01 237635]

S2 gupdate1c9a72027a94dae;Google Update Service (gupdate1c9a72027a94dae);"c:\program files\Google\Update\GoogleUpdate.exe" /svc --> c:\program files\Google\Update\GoogleUpdate.exe [?]

S3 SaiH0006;SaiH0006;c:\windows\system32\drivers\SaiH0006.sys [2004-07-26 56576]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\d:\ntglm7x.sys --> d:\NTGLM7X.sys [?]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{86150e27-c9f0-11dd-9be2-001fd05c2e85}]

\Shell\AutoRun\command - H:\InstallTomTomHOME.exe

.

------- Examen supplémentaire -------

.

uStart Page = hxxp://www.daemon-search.com/startpage

IE: E&xporter vers Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\Utilisateur\Application Data\Mozilla\Firefox\Profiles\4cqmypt2.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.orange.fr

FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll

FF - component: c:\program files\Mozilla Firefox\extensions\talkback@mozilla.org\components\qfaservices.dll

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-25 21:39:15

Windows 5.1.2600 Service Pack 3 NTFS

Recherche de processus cachés ...

? [51556]

? [52364]

? [50992]

? [52208]

? [52456]

Recherche d'éléments en démarrage automatique cachés ...

Recherche de fichiers cachés ...

Scan terminé avec succès

Fichiers cachés: 0

**************************************************************************

.

--------------------- CLES DE REGISTRE BLOQUEES ---------------------

[HKEY_USERS\S-1-5-21-796845957-1060284298-725345543-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\Electronic Arts\C*o*m*m*a*n*d* *&* *C*o*n*q*u*e*r* *3* *L*e*s* *g*u*e*r*r*e*s* *d*u* *T*i*b*e*r*i*u*m*"!\Assistance]

"Order"=hex:08,00,00,00,02,00,00,00,ce,02,00,00,01,00,00,00,04,00,00,00,92,00,

00,00,00,00,00,00,84,00,00,00,41,75,67,4d,02,00,00,00,01,00,00,00,72,00,32,\

[HKEY_USERS\S-1-5-21-796845957-1060284298-725345543-1004\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:78,df,69,0f,11,30,8b,5c,f9,cf,58,dd,36,fc,4b,62,d1,cf,ef,8f,3d,ef,f2,

03,f3,5a,86,6d,00,82,3c,0d,05,0b,db,a6,62,b8,86,fc,fa,9e,26,53,a8,d4,5f,58,\

"??"=hex:83,88,39,1a,0c,27,f3,63,06,f6,90,b1,eb,18,f3,6d

[HKEY_USERS\S-1-5-21-796845957-1060284298-725345543-1004\Software\SecuROM\License information*]

"datasecu"=hex:de,f6,83,9a,77,50,70,f7,9c,f8,4b,32,11,b7,0c,88,62,cf,cf,a6,dd,

4c,6d,54,b1,fe,89,7b,06,83,26,7c,51,b5,61,23,72,14,53,91,94,5e,14,6b,f5,ef,\

"rkeysecu"=hex:c3,2d,6b,32,8c,e2,60,54,63,e4,06,a3,f1,0b,5f,6c

.

--------------------- DLLs chargées dans les processus actifs ---------------------

- - - - - - - > 'winlogon.exe'(756)

c:\windows\system32\Ati2evxx.dll

.

Heure de fin: 2009-03-25 21:41:41

ComboFix-quarantined-files.txt 2009-03-25 20:40:48

Avant-CF: 173 865 250 816 octets libres

Après-CF: 173,879,705,600 octets libres

236 --- E O F --- 2009-03-13 08:55:57

==========================================

Question :

J'ai remarqué 9 Dll à la racine du disque dur principal C:\ elles ont toutes la même dénomination "install.res.10xx.dll" (les 'xx' sont des chiffres variable de 28 à 82)

Poubelle ?

Edit : Erf, c'est quoi ces 5 processus cachés...

snooky · le 25 mars 2009

Oui , tu peux les supprimer .

Créer un rapport AVZ > http://forum.kaspersky.com/index.php?showtopic=106078

_Iam-Nap_ · le 25 mars 2009

Oui , tu peux les supprimer .
Créer un rapport AVZ > http://forum.kaspersky.com/index.php?showtopic=106078

Voilà donc pour le rapport AVZ : virusinfo_syscure.zip

2C.LiryC · le 25 mars 2009

Oui, mais non, :reflechis: .

Je crois que pour toi, la réponse était :

Aucun risque

:pleure:

_Iam-Nap_ · le 25 mars 2009

Oui, mais non, .
Je crois que pour toi, la réponse était :

Aucun risque

Bah si....? :pleure: vois pas qui d'autre sinon :transpi:

snooky · le 25 mars 2009

1/ Désinstalle Ad-Aware et Spybot.

2/ Colle ce script dans AVZ , puis clique sur RUN ( le pc va redémarrer tout seul )

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('C:\WINDOWS\System32\Drivers\abw6zqz4.SYS');
DeleteFile('sprb.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

3/Lance ComboFix et poste ce nouveau rapport .

_Iam-Nap_ · le 25 mars 2009

Re

Bon, j'ai lancé le nouveau script AVZ (bien cru que ca m'avais fait planter le pc pendant 10 minutes =x )

Mais au redémarrage maintenant j'ai un "Nouveau matériel détecté" de la part de windows alors que je n'ai rien en usb ormis l'imprimante, souris et une rallonge après 4 reboot aucun de ces périphérique n'est concerné ?!

Que faire ? > EDIT : c'est réglé j'ai supprimé l'alerte pour ce périphérique "inconnu"...

Rapport ComboFix

ComboFix 09-03-23.01 - Utilisateur 2009-03-25 23:49:09.2 - NTFSx86

Microsoft Windows XP Édition familiale 5.1.2600.3.1252.1.1036.18.2046.1573 [GMT 1:00]