Grrr un rootkit help!

euh pardon, il est décelé dans C- system32-drivers.et des lettres...

slt lyonnais! voici le rapport de ZHPDiag;(j espere que c est le bon ,plusieurs doc texte!!)http://www.cijoint.fr/cjlink.php?file=cj201004/cijA8mZfrF.txt ...merci d avance pour ton aide!

re lyonnais, quand tu sais fais moi un signe pour essayer de regler ca ensemble,j prefere t attendre que risquer tout seul!!!merci bien

voila l ami j espere que j ai bien fait ca!!! GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-04-20 20:26:46
Windows 6.0.6002 Service Pack 2
Running: ojolhcc0.exe; Driver: C:\Users\IsUser\AppData\Local\Temp\uwdyqfog.sys


---- System - GMER 1.0.15 ----

INT 0x51 ? 87783BF8
INT 0x51 ? 87783BF8
INT 0x72 ? 87783BF8
INT 0x82 ? 87783BF8
INT 0x92 ? 87783BF8
INT 0xA2 ? 85CEDBF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 87783BF8
INT 0xA2 ? 85CEDBF8

---- EOF - GMER 1.0.15 ----

euh sorry,mais la 1ere reponse etait les fichiers avec extension log ne peuvent etre deposés! et mnt a chaque fois c est vous n avez pas choisi de fichier! pourtant il est bien dedans a coté de "parcourir" avant que je clique sur "cliquez ici pour deposer" bizarre!!!

j ai réessayé d poster ici!ca va tjs pas! quand je fais "prévisualiser" ca s ouvre sans probleme mais si j fais "valider" ca va pas!!!pfff

slt je suis pas sur que c est le bon rapport!!! enfin le voila et un rapport hijackthis je fais ca comment? merci .ComboFix 10-04-21.01 - IsUser 26/04/2010 12:28:57.2.2 - x86
Microsoft® Windows Vista(TM) Édition Familiale Premium 6.0.6002.2.1252.33.1036.18.3032.1879 [GMT 2:00]
Lancé depuis: C:\Users\IsUser\Desktop\antitruc.exe.exe
Commutateurs utilisés :: C:\Users\IsUser\Desktop\CFscript
SP: Spybot - Search and Destroy *enabled* (Outdated) {ED588FAF-1B8F-43B4-ACA8-8E3C85DADBE9}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
.

bonjour lyonnais, voici tout d abord le rapport de avenger, seaf suit!
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\Windows\System32\drivers\awxjzj.sys" deleted successfully.
Driver "awxjzj" deleted successfully.
Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_AWXJZJ" deleted successfully.

Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_AWXJZJ" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ" not found!
Deletion of registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\Root\LEGACY_AWXJZJ" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Registry key "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\Enum\Root\LEGACY_AWXJZJ" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

re et voila seaf
1. ========================= SEAF 1.0.0.7 - C_XX
2.
3. Commencé à: 16:00:29 le 27/04/2010
4.
5. Valeur(s) recherchée(s):
6.
7. awxjzj
8.
9. (!) --- Recherche registre
10.
11. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
12.
13. "c:\Qoobox\Quarantine\Registry_backups\Legacy_AWXJZJ.reg.dat" [ ----A---- | 1076 ]
14. TC: 26/04/2010,12:32:53 | TM: 26/04/2010,14:04:07 | DA: 26/04/2010,12:32:53
15.
16. =========================
17.
18. "c:\Qoobox\Quarantine\Registry_backups\Service_awxjzj.reg.dat" [ ----A---- | 74 ]
19. TC: 26/04/2010,12:32:54 | TM: 26/04/2010,14:04:07 | DA: 26/04/2010,12:32:54
20.
21. =========================
22.
23. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
24.
25. Aucun dossier trouvé
26.
27.
28. ====== Entrée(s) du registre ======
29.
30. Aucune entrée du registre trouvée
31.
32. =========================
33.
34. Fin à: 16:03:04 le 27/04/2010 ( E.O.F )

je pense que tu as enfin reussi!!!!!!! j attends ta confirmation ca serait trop genial!!!!!!!!

slt, cool ca a marché! combofix desinstallé.

re, j ai fait tout mais arrivé a "quitter" pour rapport ca m a mis que "impossible de trouver le ficher TCleaner.txt" j ai donc fait une capture que voici en ci joint

http://www.cijoint.fr/cjlink.php?file=cj201005/cij9BeRIYG.jpg

de quelle maniere,juste clik droit et suprimer?

voila

et puis j dois faire quoi? sinon l rootkit il est definitivement parti ou non?

donc on a fini toi et moi, oui j ai lu tout ca j en suis conscient et prends ca en compte, j te remercie franchement pour tout, ta patience ta persévérance et tes explications,merciiiii bcpp! tu es a recommander vivement, bonne continuation a toi(.j peux te recontacter si j ai un autre soucis?)

y a un probleme ca veut pas s poster!:-(

que faire? je copie coller tout dans "commentaire" y a 3 petites barres de chargement puis ca s arrete et ca se met pas!

oui oui le rapport se colle mais la aussi ca charge puis s arrete seul sans l envoyer!!! ca serait pas trop long?

desolé ca va pas! j peux essayer avec "poser une question"?

bin oui y m semblait aussi mais dans "propriétés" je vois "type de fichier" document texte (.log) mis comme ceci!

Re,

il faut que tu le sauvegardes en .txt à la fin du scan;

@+

j ai refait un nouveau scan, je sauve sur mon bureau,mais il n est pas marqué "051209.txt" y a pas de titre a "nom du fichier";,juste "Log(*.log)",exactement pour "type"je dois faire quoi alors, si je renomme ca va quand meme pas!merci pour ta patience ;-)

http://www.cijoint.fr/cjlink.php?file=cj201004/cijiccMcpY.jpg
ceci est juste une capture pour te montrer!

re,

sauvegarde le rapport sous le nom 051209.txt

slt lyonnais, voici le rapport de zhpfix! bizarre tout est "neant"! ZHPFix v1.12.3089 by Nicolas Coolman - Rapport de suppression du 21/04/2010 17:45:06
Fichier d'export Registre :
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
(Néant)

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 0
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Autre : 0


End of the scan

re voici mnt le nouveau rapport de ZHPDiag http://www.cijoint.fr/cjlink.php?file=cj201004/cijqut2h1F.txt j attends d tes news mon cher!!!!:-)

bon bin apparemment on fera rien auj!!! je sais pas si y a des risques a laisser ce rootkit lgt ds l ordi moi!!!! enfin...

lol comment j fais pour suivre toutes ces instructions si j dois fermer toutes les pages! et que j ai pas d imprimante lol

voila le rapport de combofix http://www.cijoint.fr/cjlink.php?file=cj201004/cijOI56ifT.txt

une question tant qu j y pense!celui qui a configuré mon ordi a desactivé mon compte d utilisateurs depuis le debut?? faut l remettre ou c est rien??

bonsoir lyonnais t es libre auj pour essayer d regler ca stpppp

slt lyonnais voila le nouveau rapport http://www.cijoint.fr/cjlink.php?file=cj201004/cijPN0FkYz.txt

ZHPFix v1.12.3092 by Nicolas Coolman - Rapport de suppression du 23/04/2010 0:01:31
Fichier d'export Registre : C:\ZHPExportRegistry-23-04-2010-0-01-31.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html


Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Clé supprimée avec succès
[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}] => Clé supprimée avec succès
[HKCR\CLSID\{ecdee021-0d17-467f-a1ff-c7a115230949}] => Clé supprimée avec succès
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\free-downloads.net\tbfree.dll => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}] => Clé supprimée avec succès
[HKCR\CLSID\{9ec204df-0e48-4c32-816e-2e928a4fd9c2}] => Clé supprimée avec succès
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
[HKCR\CLSID\{32099AAC-C132-4136-9E9A-4E364A424E17}] => Clé supprimée avec succès
O16 - DPF: CabBuilder (CabBuilder) - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab => Clé supprimée avec succès
O16 - DPF: {CAFEEFAC-0016-0000-0014-ABCDEFFEDCBA} (Java Plug-in 1.6.0_14) - (.not file.) - => Clé absente
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - (.not file.) - => Clé absente
O64 - Services: CurCS - (.not file.) - awxjzj (awxjzj) .(.Pas de propriétaire - Pas de description.) - LEGACY_AWXJZJ => Clé non supprimée
O64 - Services: CurCS - (.not file.) - wwnks (wwnks) .(.Pas de propriétaire - Pas de description.) - LEGACY_WWNKS => Clé non supprimée

Valeur du Registre :
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) (4, 5, 190, 19) -- C:\Program Files\free-downloads.net\tbfree.dll => Valeur supprimée avec succès
O3 - Toolbar: WalterShop - {9ec204df-0e48-4c32-816e-2e928a4fd9c2} . (.Pas de propriétaire - Pas de description.) -- mscoree.dll => Valeur supprimée avec succès
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\free-downloads.net\tbfree.dll => Valeur supprimée avec succès
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (.Pas de propriétaire - ToolBand Module.) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll => Valeur supprimée avec succès

Elément de données du Registre :
(Néant)

Dossier :
C:\Program Files\Circle Develoement => Supprimé et mis en quarantaine
C:\Program Files\DAEMON Tools Toolbar => Supprimé et mis en quarantaine
C:\Program Files\GamesBar => Supprimé et mis en quarantaine

Fichier :
c:\program files\free-downloads.net\tbfree.dll => Supprimé et mis en quarantaine
c:\program files\free-downloads.net\tbfree.dll => Fichier absent
mscoree.dll => Fichier absent
c:\program files\daemon tools toolbar\dttoolbar.dll => Supprimé et mis en quarantaine
c:\program files\daemon tools toolbar\dttoolbar.dll => Fichier absent

Logiciel :
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] => Logiciel supprimé avec succès

Script Registre :
(Néant)

Master Boot Record :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys iaStor.sys spzn.sys hal.dll >>UNKNOWN [0x85CA5938]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\atapi -> 0x85cee1f8
Warning: possible MBR rootkit infection !
user & kernel MBR OK
Use "Recovery Console" command "fixmbr" to clear infection !

Resultat après le fix :
Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 13
Valeur du Registre : 4
Elément de données du Registre : 0
Dossier : 3
Fichier : 5
Logiciel : 1
Master Boot Record : 1
Autre : 0


End of the scan

voila http://www.cijoint.fr/cjlink.php?file=cj201004/cijdh8LAof.txt

re, je sais pas comment ca se présente mais je te dis a demain(plutôt a tantôt), merci bonne nuit a toi.