Posez votre question Format imprimable Liste des forums Aidez-les Statistiques Rechercher Charte Forum Virus-Sécurité

[VIRUS] Infecté par Hacktool.rootkit

Dernière réponse le 29 jan 2006 à 23:31:28 choucrou, le 29 jan 2006 à 14:33:37

Signaler ce message aux modérateurs

Bonjour à tous,

je suis infecté par le virus Hacktool.Rootkit qui me copie le fichier C:\windows\system32\rofl.sys détecté par Norton mais sans succès de suppression : résultat PC tout lent. Plusieurs postes traitent le sujet mais impossible de savoir quelles lignes fixer dans HijackThis, alors si quelqu'un pouvait me dire qu'elles sont les lignes à fixer (et surtout comment savoir que ce sont celles ci !!!) ce serait vraiment cool. Merci d'avance.

Ci joint mes log Hijack en mode normal et en mode sans echec :

Logfile of HijackThis v1.99.1
Scan saved at 14:00:08, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\termsvrs.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\Thomas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138386266862
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

en mode sans echec :

Logfile of HijackThis v1.99.1
Scan saved at 14:06:40, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\Explorer.EXE
C:\Thomas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138386266862
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

Meilleures réponses pour « [VIRUS] Infecté par Hacktool.rootkit » dans :

Suppimer le Hacktool.rootkit (Résolu) Voir

Virus hacktool.rootkit invirable ! (Résolu) Voir

Hacktool.Rootkit Voir

Supression virus Hacktool.Rootkit (Résolu) Voir

Virus Hacktool Rootkit (Résolu) Voir

XP D VIRUS hacktool.rootkit [WINDOWS/syst32] (Résolu) Voir

Ok merci pour tout Moe, j'ai repris la procédure initiale pour Lire la suite

Posez votre question Répondre

aranjuez31, le 29 jan 2006 à 14:37:31

Bjr
fais un 1er nettoyage
avec
ewido (dowload)
http://www.ewido.net/fr/download/
et COLLE rapport,stp "Accroche ta charrue à une étoile et ton sillon sera droit" (proverbe berbére)

Répondre à aranjuez31

choucrou, le 29 jan 2006 à 15:50:52

Voici le rapport d'ewido :

---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 15:41:46, 29/01/2006
+ Somme de contrôle: F5E959E8

+ Résultats du scan:

C:\WINDOWS\system32\rofl.sys -> Backdoor.Aimbot.af : Nettoyer et sauvegarder

::Fin du rapport

Répondre à choucrou

moe31, le 29 jan 2006 à 14:51:32

Salut

Télécharge aussi ce prog:
http://cjoint.com/?bDoSfqKyPv
dezippe le sur le bureau et double clic sur rtksrchtest.bat
le bloc note va s'ouvrir, copie et colle le contenu ici.
(si le contenu de bloc note est vide, c'est qu'il ne detecte rien)

a+

Répondre à moe31

aranjuez31, le 29 jan 2006 à 15:08:09

Hello tous 2
c est un new ? "Accroche ta charrue à une étoile et ton sillon sera droit" (proverbe berbére)

Répondre à aranjuez31

choucrou, le 29 jan 2006 à 15:17:48

Est-ce que cela te dit quelque chose...?

Répondre à choucrou

regis59, le 29 jan 2006 à 14:53:59

Salut Moe, (te voila)

Tu l'as modifié depuis?
C'est pour que je suive le poste, tu l'as bien compris lol

A+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Répondre à regis59

choucrou, le 29 jan 2006 à 15:05:01

Voici déjà le rapport de Rtksrchtest.bat :

C:\WINDOWS\System32\setup_*.exe Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!

C:\WINDOWS\System32\setup_13487.exe
C:\WINDOWS\System32\TFTP1972

********************************************
C:\WINDOWS\System32\TFTP???? Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!

C:\adaptec
C:\MSOCache
C:\upgradetb093.exe

C:\WINDOWS\Cache
C:\WINDOWS\ODBC.INI
C:\WINDOWS\ShellNew

C:\WINDOWS\System32\actskin4.ocx
C:\WINDOWS\System32\c.bat
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\Indeo4.qtx
C:\WINDOWS\System32\ivimci.drv
C:\WINDOWS\System32\ivimci32.dll
C:\WINDOWS\System32\mdimon.dll
C:\WINDOWS\System32\MFC70.dll
C:\WINDOWS\System32\MSVCI70.dll
C:\WINDOWS\System32\MSVCP70.dll
C:\WINDOWS\System32\MSVCR70.dll
C:\WINDOWS\System32\Roboex32.dll
C:\WINDOWS\System32\SndDrv32b.ini
C:\WINDOWS\System32\TFTP1244
C:\WINDOWS\System32\TFTP1336
C:\WINDOWS\System32\TFTP1580
C:\WINDOWS\System32\TFTP1928
C:\WINDOWS\System32\TFTP2288
C:\WINDOWS\System32\TFTP2836
C:\WINDOWS\System32\TFTP3764
C:\WINDOWS\System32\TFTP420
C:\WINDOWS\System32\wnaspi32.dll

********************************************
C:\WINDOWS\System32\i Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!

C:\adaptec
C:\MSOCache
C:\upgradetb093.exe

C:\WINDOWS\Cache
C:\WINDOWS\ODBC.INI
C:\WINDOWS\ShellNew

C:\WINDOWS\System32\actskin4.ocx
C:\WINDOWS\System32\c.bat
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\Indeo4.qtx
C:\WINDOWS\System32\ivimci.drv
C:\WINDOWS\System32\ivimci32.dll
C:\WINDOWS\System32\mdimon.dll
C:\WINDOWS\System32\MFC70.dll
C:\WINDOWS\System32\MSVCI70.dll
C:\WINDOWS\System32\MSVCP70.dll
C:\WINDOWS\System32\MSVCR70.dll
C:\WINDOWS\System32\Roboex32.dll
C:\WINDOWS\System32\SndDrv32b.ini
C:\WINDOWS\System32\TFTP1244
C:\WINDOWS\System32\TFTP1336
C:\WINDOWS\System32\TFTP1580
C:\WINDOWS\System32\TFTP1928
C:\WINDOWS\System32\TFTP2288
C:\WINDOWS\System32\TFTP2836
C:\WINDOWS\System32\TFTP3764
C:\WINDOWS\System32\TFTP420
C:\WINDOWS\System32\wnaspi32.dll

********************************************

Répondre à choucrou

moe31, le 29 jan 2006 à 15:26:18

Salut

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

/!\ Ne pas oublier une fois le nettoyage terminé de faire l'inverse pour recacher les fichiers.

 Recherche et supprime ces fichiers ou dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés, et pas par la fonction "Rechercher"

supprime:

C:\upgradetb093.exe
C:\WINDOWS\System32\i
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\TFTP1244
C:\WINDOWS\System32\TFTP1336
C:\WINDOWS\System32\TFTP1580
C:\WINDOWS\System32\TFTP1928
C:\WINDOWS\System32\TFTP2288
C:\WINDOWS\System32\TFTP2836
C:\WINDOWS\System32\TFTP3764
C:\WINDOWS\System32\TFTP420
C:\WINDOWS\System32\setup_13487.exe
C:\WINDOWS\System32\TFTP1972
C:\windows\system32\rofl.sys

Ensuite, redemarre le pc et fais analyser ce fichier ici:
C:\WINDOWS\System32\c.bat
http://www.virustotal.com/xhtml/virustotal_en.html
et poste le rapport.

a+

Répondre à moe31

choucrou, le 29 jan 2006 à 15:35:09

Ok pas de problème,

J'attend que l'analyse d'ewido se termine pour executer tes instructions.

Juste une question pour info :

Comment sais-tu que ces fichiers sont à supprimer ?...l'expérience ?

Répondre à choucrou

choucrou, le 29 jan 2006 à 16:20:14

Voilà les résultat :

1) j'ai supprimé en mode sans echec tout les fichiers dont 2 avec killbox :
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\setup_13487.exe

2) en redemarrant en mode normal le fichier C:\WINDOWS\System32\rofl.sys était de nouveau présent et automatiquement détecté par Norton au démarrage.

3) voici le rapport de mon fichier c.bat :

This is a report processed by VirusTotal on 01/29/2006 at 16:13:07 (CET) after scanning the file "c.bat" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 no virus found
Avast 4.6.695.0 01.29.2006 no virus found
AVG 718 01.27.2006 IRC/BackDoor.Flood
Avira 6.33.0.81 01.27.2006 no virus found
BitDefender 7.2 01.29.2006 Backdoor.BotGet.FtpA.Gen
CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.29.2006 no virus found
DrWeb 4.33 01.28.2006 no virus found
eTrust-InoculateIT 23.71.62 01.28.2006 Bat/FTPDownloader!Trojan
eTrust-Vet 12.4.2058 01.27.2006 BAT/FTPDownloader
Ewido 3.5 01.29.2006 no virus found
Fortinet 2.54.0.0 01.29.2006 no virus found
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.29.2006 no virus found
McAfee 4684 01.27.2006 W32/Sdbot.worm.bat.b
NOD32v2 1.1386 01.29.2006 no virus found
Norman 5.70.10 01.27.2006 BAT/BotFTP.gen
Panda 9.0.0.4 01.29.2006 Trj/Zapchast.D
Sophos 4.02.0 01.29.2006 no virus found
Symantec 8.0 01.29.2006 no virus found
TheHacker 5.9.3.083 01.29.2006 W32/SdBot.worm.bat
UNA 1.83 01.27.2006 no virus found
VBA32 3.10.5 01.28.2006 no virus found

Que dois-je faire maintenant pour enlever ce truc !!!

Répondre à choucrou

moe31, le 29 jan 2006 à 16:29:39

Salut

Est ce que norton le met en quarantaine ou le supprime ?

Reposte un hijackthis+un rapport de rtksrchtest.bat

a+

Répondre à moe31

choucrou, le 29 jan 2006 à 16:43:43

Non Norton le met en quarantaine, je les ai donc supprimer de la quarantaine.
Voici les rapports demandés :

Logfile of HijackThis v1.99.1
Scan saved at 16:33:02, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\termsvrs.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\Thomas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138386266862
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

et

C:\WINDOWS\System32\rofl.sys Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!

C:\!KillBox
C:\rapport.txt
C:\rapport2.txt
C:\result.txt

C:\WINDOWS\0.log
C:\WINDOWS\ntbtlog.txt
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\Sti_Trace.log
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\WindowsUpdate.log

C:\WINDOWS\System32\rofl.sys

********************************************

Répondre à choucrou

moe31, le 29 jan 2006 à 16:51:11

Il me semble qu'un fichier nous a échappé tout à l'heure:

C:\WINDOWS\termsvrs.exe
fais le analyser ici:
http://www.virustotal.com/xhtml/virustotal_en.html
mais n'y touche pas encore s'il est reconnu infecté.
poste le rapport d'analyse.

Répondre à moe31

choucrou, le 29 jan 2006 à 17:00:16

Voici le rapport et j'en profite au passage pour te remercier de te donner autant pour résoudre mon problème :

Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 BDS/Aimbot.BY
Avast 4.6.695.0 01.29.2006 no virus found
AVG 718 01.27.2006 Worm/Kelvir.IQ
Avira 6.33.0.81 01.27.2006 BDS/Aimbot.BY
BitDefender 7.2 01.29.2006 Backdoor.SDBot.AKZ
CAT-QuickHeal 8.00 01.27.2006 (Suspicious) - DNAScan
ClamAV devel-20051123 01.29.2006 no virus found
DrWeb 4.33 01.29.2006 Win32.HLLW.MyBot
eTrust-InoculateIT 23.71.63 01.29.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 Win32/Petribot.LA
Ewido 3.5 01.29.2006 Backdoor.Aimbot.by
Fortinet 2.54.0.0 01.29.2006 W32/Kelvir!wm
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.29.2006 Backdoor.Win32.Aimbot.by
McAfee 4684 01.27.2006 W32/Kelvir.worm.gen
Norman 5.70.10 01.27.2006 W32/Aimbot.CX
Panda 9.0.0.4 01.29.2006 W32/Sdbot.GFH.worm
Sophos 4.02.0 01.29.2006 W32/Tilebot-DB
Symantec 8.0 01.29.2006 no virus found
TheHacker 5.9.3.083 01.29.2006 Backdoor/Aimbot.by
UNA 1.83 01.27.2006 Backdoor.Aimbot
VBA32 3.10.5 01.28.2006 Win32.HLLW.MyBot

Répondre à choucrou

moe31, le 29 jan 2006 à 17:09:00

Y a pas de quoi, c'est avec plaisir :-)

Commence par supprimer le programme Killbox et le dossier C:\!Killbox

Ensuite télécharge la toute dernière version de Killbox ici:
http://www.killbox.net/downloads/KillBox.exe

Déconnecte toi d'internet.

ouvre le bloc note et copie et colle la liste des fichiers à supprimer ci-dessous
une fois fait, enregistre le à un endroit ou tu pourras le retrouver facilement (sur le bureau par exemple)

C:\WINDOWS\termsvrs.exe
C:\WINDOWS\System32\c.bat
C:\WINDOWS\System32\rofl.sys

1/ lance killbox.exe
2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer, clic sur edition dans le menu du haut et clic sur "selectionner tout"
3/ clic une seconde fois sur "edition" et clic sur "copier"
4/ referme le bloc note.
5/ Dans killbox, selectionne "Delete on Reboot" puis clic sur le bouton "ALL FILES"
6/ Dans le menu du haut clic sur File, puis sur paste from clipboard
(tu devrais voir apparaitre la liste des fichiers qu'il va supprimer)
7/ clic sur le rond rouge
8/ une fenetre va apparaitre pour confirmation clic sur OUI
9/ une seconde fenetre te demande si tu veux redemarrer clic sur OUI

Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
"Pending file Rename Operations Registry Data has been Removed by External Process"
ignore le et redemarre le pc normallement.

Et dis moi si norton detecte toujours rolf.sys

a+

Répondre à moe31

choucrou, le 29 jan 2006 à 17:41:54

A priori rofl.sys a disparu, norton nele voit pas, par contre le PC est toujours super long surtout au démarrage (au moins 10 mn).

Et comment sais-tu qu'il fallait supprimer termsvrs.exe ?
La liste des process de windows est-elle disponible sur le net ou bien tu les connais tous par coeur ?

Je vais peut-être supprimer Norton j'i l'impression que c'est lui qui fait tout ralentir, quand penses-tu ?

Répondre à choucrou

choucrou, le 29 jan 2006 à 18:18:30

J'ajoute que depuis la suppression de termservs je ne peux plus démarrer mon gestionnaire de service, je vais essayer de le trouver sur le net !!!

Répondre à choucrou

moe31, le 29 jan 2006 à 18:32:33

Heu termservs n'a rien à voir avec le gestionnaire des services, quel est le message quand tu essaye de l'ouvrir ?

Tu as essayé en faisant:
Dans le menu Demarrer>Executer >tape: Services.msc

a+

Répondre à moe31

choucrou, le 29 jan 2006 à 18:50:44

Oui j'ai essayé et j'ai une fenêtre windows qui s'ouvre me demandant si je veux utiliser le service web pour trouver le programme approprié pour ouvrir ce fichier ou bien si je veux sélectionner un programme dans une liste.

Quelle est le service qui ouvre les fichier .msc dans windows ?

Répondre à choucrou

moe31, le 29 jan 2006 à 18:56:03

C'est Microsoft Management services (mmc.exe)
tu devrais l'avoir dans la liste .
Tu as utilisé un nettoyeur de registre juste après avoir supprimé ces fichiers ?

Répondre à moe31

choucrou, le 29 jan 2006 à 19:10:56

Oui un coup de ccleaner, il fallait pas ?

Répondre à choucrou

balltrap34, le 29 jan 2006 à 18:44:57

Salut moe et regis

vous connaisser se prog pour detection des roktits
RootkitRevealer.exe
http://www.sysinternals.com/Utilities/RootkitRevealer.html
la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

moe31, le 29 jan 2006 à 18:57:01

Salut balltrap

J'en ai entendu parler, mais je ne connais pas encore son fonctionnement.
Tu as testé ?

a+++

Répondre à moe31

balltrap34, le 29 jan 2006 à 18:58:37

Un petit peu
scan a faire toute fenetres fermer et tu peut generer un rapport la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

moe31, le 29 jan 2006 à 19:06:40

Ok, merci pour l'info

Tu as les derniers liens pour la nouvelle pocket killbox ?
(version 2.0.0.648)

a+

Répondre à moe31

balltrap34, le 29 jan 2006 à 19:15:32

Non comme je suis pas trop en se moment si tu la donne le moi
que je le change sur mon site
et je croie qu il vas faloir que je modifie la demo non la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

incognito02, le 29 jan 2006 à 19:27:27

Bonsoir Balltrap !
Salut Moe

Pour la nouvelle version :

Ensuite télécharge la toute dernière version de Killbox ici:
http://www.killbox.net/downloads/KillBox.exe

Bonne soirée à tous.

Amitiès Nobody is perfect, mais j'essaye .....

Répondre à incognito02

moe31, le 29 jan 2006 à 19:39:32

Salut

Incognito02 a le bon lien
ouais je crois que tu pourras modifier la démo.
Ils ont fait une aide du prog aussi:
http://www.killbox.net/help.html

a+

Répondre à moe31

balltrap34, le 29 jan 2006 à 19:51:22

Merci
mais c est de l anglais lol la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

regis59, le 29 jan 2006 à 19:53:10

Salut Balltrap

Pour l anti rootkit, je suis tombé dessu, mais comme je ne l ai pas tester je ne l ai pas conseiller...tu as le lien pour que je le testes?

Et pour l anglais, balltrap n est pas formé pour cela lol Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Répondre à regis59

balltrap34, le 29 jan 2006 à 19:57:10

Quentin j est mis le lien au n°19

  . - ~|        |-^-|        |~ - .
{      |        |   |        |      }
        `.____.'     `.____.'

la chasse et le balltrap ma vrai passion
voir site perso dans profil

Répondre à balltrap34

regis59, le 29 jan 2006 à 20:02:05

Lol
Excuse moi mon tit balltrap, j avais pas vu lol

merci, j essaierais demain

a+ Chouchou-Chouchou, alias Mister Chouchou² (copyright © Bansheestyle)

Répondre à regis59

36 réponses 12 Suivant

Posez votre question Répondre