Infection rootkit [Résolu]

Bonjour,

Commence par cela c'est un outil de diagnostic qui va permettre d'en savoir un peu plus :

• Télécharge ici : http://images.malwareremoval.com/random/RSIT.exe
random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau.
• Double-clique sur RSIT.exe afin de lancer RSIT.(Avec VISTA/7 > clic-droit et > Exécuter en tant qu'administrateur.
• Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions).
• Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence.
• Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront.
• Poste le contenu de log.txt ainsi que info.txt
( tu peux héberger les rapports ici http://www.cijoint.fr/ et me joindre dans ton prochain message le lien )
"si tu ne trouve pas les deux fichiers log.txt et info.txt ils sont dans C:\RSIT)

c'est parfait fait pareil avec le fichier log.txt dans C:\RSIT

truecode voici le 2 eme rapport http://www.cijoint.fr/cjlink.php?file=cj201003/cijidYKLTC.txt

Déja je vois un gros soucis , il te faut environ 15% d'espace disque de libre pour voir ton système d'exploitation fonctionner normalement la tu es a 3%

Ensuite je vois que tu as malware bytes tu as fait un scan avec ? si oui poste le rapport si non fais une analyse et poste le rapport

Rien on va vérifier la piste du rootkit :

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

• Rends toi sur =http://www.gmer.net/]cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
• Lance Gmer
• Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
• A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
• Héberge le rapport sur http://www.cijoint.fr, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

tu n'as pas fais enregistrer a la fin du scan comme demandé ?

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.
Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte

j ai appuyer save et copy a la fin comme demandé mais je vois pas le nom du fichier dans C pour le poster a http://www.cijoint.fr,/

truecode j ai du relancer un scanner http://www.gmer.net/ , mon anti virus a buggé , quand le scanner sera fini j appuyerai sur save et copy pour un copier coller , je posterai le rapport a http://www.cijoint.fr/

il faut désactiver ton antivirus pendant le scan l'a tu faits ?

truecode jai pu trouvé le fichier il fallait mettre un nom de fichier et l envoyer dans C , les fichiers a extensions sont refusé par http://www.cijoint.fr/ http://www.cijoint.fr/ voici le rapport GMER 1.0.15.15281 -
Rootkit scan 2010-03-05 19:36:02
Windows 6.0.6002 Service Pack 2
Running: 8y5cj12n.exe; Driver: C:\Users\foot\AppData\Local\Temp\kwlyipob.sys


---- System - GMER 1.0.15 ----

Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateProcessEx [0x8CADD4FE]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateSection [0x8CADD322]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwLoadDriver [0x8CADD45C]
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) NtCreateSection
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObInsertObject
Code \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ObMakeTemporaryObject

---- Kernel code sections - GMER 1.0.15 ----

PAGE ntkrnlpa.exe!ZwLoadDriver 825A9DF0 7 Bytes JMP 8CADD460 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObMakeTemporaryObject 8261528F 5 Bytes JMP 8CAD94BA \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ObInsertObject 8266DF78 5 Bytes JMP 8CADA972 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!NtCreateSection 8266F803 7 Bytes JMP 8CADD326 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)
PAGE ntkrnlpa.exe!ZwCreateProcessEx 826CF796 7 Bytes JMP 8CADD502 \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software)

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[3884] ntdll.dll!LdrLoadDll 77049390 5 Bytes JMP 00C313F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- User IAT/EAT - GMER 1.0.15 ----

IAT C:\Windows\system32\services.exe[696] @ C:\Windows\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 00060002
IAT C:\Windows\system32\services.exe[696] @ C:\Windows\system32\services.exe [KERNEL32.dll!CreateProcessW] 00060000

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs aswSP.SYS (avast! self protection module/ALWIL Software)

AttachedDevice \Driver\tdx \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)
AttachedDevice \Driver\tdx \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

---- EOF - GMER 1.0.15 ----

truecode voici le rapport malware :Malwarebytes' Anti-Malware 1.44
Version de la base de données: 3827
Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18882

05/03/2010 21:00:56
mbam-log-2010-03-05 (21-00-56).txt

Type de recherche: Examen complet (C:\|D:\|E:\|)
Eléments examinés: 231087
Temps écoulé: 39 minute(s), 29 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Tu es vraiment sur d 'avoir installer quelque chose d infection