Probleme de rootkit qui ne s'efface pas

Salut

Essaies avec ça:

http://www.f-secure.com/blacklight/

A+ Le savoir n’est richesse que s'il est partagé

je te remercie , je test de suite et je te tiens au courant

alors j'ai essayé les deux logiciel mis sur le site et sa ne ma rien donné d'autant plus que maintanant ma connexion me mets en reception 45 000 000 octet alors que je ne fais que naviguet j'ai deja utilisé fixvundo multi virus cleaner a-squared free et les seul avoir ce rootkit et sphos anti-rootkit mais ne peux pas le supprimer RootkitRevealer le vois egalement ... peut -on m'aider s'il vous plait merci

Je ne pense pas qu'hijakthis te soit d'un grand secours sur un rootkit. En mode sans echec peut être...

A+ Le savoir n’est richesse que s'il est partagé

re-salutation a toi , alors j'ai essayé en mode sans echec resultat sa ne fonctionne pas le logiciel ne se lance pas il faut etre en mode "normal" .. comme je le disais au dessus il y a eu la meme chose sur mon autre pc seulement en fesant des manipulations je l'ai fait bugé car novice alors le formatage était de rigueur suite a celui ci j'ai installé zone alarme free et la il me dis que la meme adresse IP que moi a été bloqué avec "ping" (si sa peux aider ) je redonne ce que me mets sophos anti-rootkit et qu'il n'arrive pas a effacer HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40
...j'aimerai vraiment trouvé de l'aide face a cette chose que toute ame charitable m'aide s'il vous plait merci d'avance .

Re
Tu me dis donc que blacklight ne te trouve rien? C'est ça?
En passant j'ai jeté un coup d'oeil sur ton log. Tu peux cocher et fixer les lignes suivantes:

O4 - Global Startup: Dial-Messenger.lnk = C:\Program Files\Dial-Messenger\Dial-Messenger.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O23 - Service: BFS - Sysinternals - www.sysinternals.com - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\BFS.exe
O23 - Service: CRXCNNP - Sysinternals - www.sysinternals.com - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\CRXCNNP.exe

Etonnant que blacklight ne t'ai rien trouvé.... Le savoir n’est richesse que s'il est partagé

voial j'ai bien fixé ce que tu m'a dis seulement voila avec sophos un autres et apparu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\UnableToDetectTime
est ce normal ? je ne pense pas ?! a votre avis? et le premier est toujours la . f-secure a de nouveau rien trouvé ... il semblerait que la solution soit de formaté mon pc car mon autre pc ne semble plus infecté mais je ne veux pas abdiquer sur un formatage ou avoir recours tout simplement a cette derniere eventualité merci

slt,

ton log hijack n'est pas complet ...

Télécharge Blacklight (de F-Secure):
https://europe.f-secure.com/blacklight/try.shtml


En bas de la page qui s'affiche clique sur "I accept".
Sur la nouvelle page qui s'affiche cliques sur le lien :
"Download Blacklight Beta Graphical user interface version",
la fenêtre s'ouvre pour l'enregistrement, enregistre le sur ton bureau.

Quitte la fenêtre .

* Maintenant l'icone blbeta.exe doit être présent sur ton bureau
-> double clic dessus, coche "I accept the agreement"
-> clique [next] -> clique [scan]

Laisse le scanner.

Lorsque le scan est fini clique sur [next] -> [exit]

Tu verras un rapport, sur ton Bureau, nommé fsbl.xxxxxxx.log (les xxxxxxx sont des chiffres).
Double clic dessus et copie et colle le contenu de ce rapport STP.


a+ ***** Have a good day *****

que manque t-il dans mon log !!???
01/13/07 00:56:13 [Info]: BlackLight Engine 1.0.55 initialized
01/13/07 00:56:13 [Info]: OS: 5.1 build 2600 (Service Pack 2)
01/13/07 00:56:13 [Note]: 7019 4
01/13/07 00:56:13 [Note]: 7005 0
01/13/07 00:56:44 [Note]: 7006 0
01/13/07 00:56:44 [Note]: 7011 1708
01/13/07 00:56:44 [Note]: 7026 0
01/13/07 00:56:44 [Note]: 7026 0
01/13/07 00:56:50 [Note]: FSRAW library version 1.7.1021
01/13/07 00:57:05 [Note]: 7006 0
01/13/07 00:57:05 [Note]: 7011 1708
01/13/07 00:57:06 [Note]: 7026 0
01/13/07 00:57:06 [Note]: 7026 0
01/13/07 00:57:10 [Note]: FSRAW library version 1.7.1021
01/13/07 01:01:53 [Note]: 2000 1012
01/13/07 01:07:27 [Note]: 7007 0
voila apres le scan de f-secure

Il manque tout le début de ton log Hijack...

Ok tu peux jeter Blacklight il est clean.

Télécharge et installe ce log :

* AVG AS

AVG anti spyware
http://www.01net.com/...
Met le a jour avant de lancer le scan.
Tuto :
http://www.kachouri.com/tuto/tuto-161-avg-anti-spyware-75-pour-votre-securite.html

->Relance AVG AS -> "Analyse" ->"Paramètres"

Sous la question "Comment réagir ?" :

-> clique sur "Actions recommandées" et choisis "Supprimer"
-> Re-clique sur l'onglet "Analyse" puis réalise une "Analyse complète du système"

Si un fichier est infecté en fin d'analyse

->Clique sur "Appliquer toutes les actions "

->Clique sur "Enregistrer le rapport" puis sur "Enregistrer le rapport sous".

->Enregistre ce fichier texte sur ton bureau ensuite colle le rapport ici

a+ ***** Have a good day *****

bonjour faut - il que je remette le log de hijackthis voiloa en ce qui concerne avg voyez vous quelquechose d'anormal merci
---------------------------------------------------------
AVG Anti-Spyware - Rapport d'analyse
---------------------------------------------------------

+ Créé à: 11:07:03 13/01/2007

+ Résultat de l'analyse:



:mozilla.104:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.66:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.2o7 : Aucune action entreprise.
:mozilla.185:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
:mozilla.186:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Adbrite : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@doubleclick[1].txt -> TrackingCookie.Doubleclick : Aucune action entreprise.
:mozilla.12:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Estat : Aucune action entreprise.
:mozilla.177:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Googleadservices : Aucune action entreprise.
:mozilla.216:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Googleadservices : Aucune action entreprise.
:mozilla.34:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.35:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
:mozilla.36:C:\Documents and Settings\Propriétaire\Application Data\Mozilla\Firefox\Profiles\ly1ae9s1.default\cookies-1.txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@www.smartadserver[1].txt -> TrackingCookie.Smartadserver : Aucune action entreprise.
C:\Documents and Settings\Propriétaire\Cookies\propriétaire@weborama[2].txt -> TrackingCookie.Weborama : Aucune action entreprise.


Fin du rapport

merci encore !!

fais bine ce qui t'es demandé ... regarde tu n'as rien supprimer du tout dans le rapport AVG là c'est pas grave car ce ne sont que des cookies mais bon .

je ne pense pas que tu sois infecté par un rootkit !

- > scanne ton PC avec cet antivirus en ligne (sous IE et accepte l’activX) :
http://www.bitdefender.fr/bd/site/search.php#
Clique sur « Bitdefender scan on line » suis les instructions.
Démo (merci à balltrap pour cette démo) :
http://pageperso.aol.fr/rginformatique/mapage/defender.htm

Et colle le rapport.

A+
***** Have a good day *****

re-bonjour voila j'ai effectué le scan avec le lien donné et voici le rapport de ce dernier
Rapport d'analyse généré à: Sun, Jan 14, 2007 - 14:49:44
Voie d'analyse: A:\;C:\;D:\;E:\;F:\;G:\;H:\;I:
Statistiques
Temps
02:51:21
Fichiers
986316
Directoires
5810
Secteurs de boot
5
Archives
6958
Paquets programmes
121324
Résultats
Virus identifiés
0
Fichiers infectés
0
Fichiers suspects
0
Avertissements
0
Désinfectés
0
Fichiers effacés
0
Info sur les moteurs
Définition virus
370034
Version des moteurs
AVCORE v1.0 (build 2371) (i386) (Dec 13 2006 11:16:42)
Analyse des plugins
14
Archive des plugins
38
Unpack des plugins
6
E-mail plugins
6
Système plugins
1
Paramètres d'analyse
Première action
Désinfecté
Seconde Action
Supprimé
Heuristique
Oui
Acceptez les avertissements
Oui
Extensions analysées
*;Excludez les extensions
Analyse d'emails
Oui
Analyse des Archives
Oui
Analyser paquets programmes
Oui
Analyse des fichiers
Oui
Analyse de boot
Oui


j'ai relancé sophos ensuite et il me trouve toujours le meme rootkit "insuprimable" mets le second qui était apparu apres avoir fixé avec hijackthis a disparu.
Vu que je pars demain pour 5 jours en deplacement j'espere qu'on ne m'abandonnera pas pour autant alors je remets le logcomplet de hijackthis (je pence) et afin d'eviter de vous faire perdre du temps les seules logiciels qui voient HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Vax347s\Config\jdgg40
sont sophos et RootkitRevealer .
log de hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 15:05:59, on 14/01/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\MSN Messenger\MsnMsgr.Exe
C:\Program Files\Messenger\MSMSGS.EXE
C:\Program Files\SAGEM Wi-Fi USB 802.11g\WLANUTL.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\SOPHTEMP\sargui.exe
C:\Documents and Settings\Propriétaire\Bureau\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ustart.org
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.fr/0SEFRFR/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\MSMSGS.EXE" /background
O4 - Global Startup: Sagem - Utilitaire réseau pour Clé USB Wi-Fi 802.11g.lnk = ?
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program Files\Fichiers communs\EPSON\EBAPI\SAgent2.exe
O23 - Service: EQYSTPZ - Sysinternals - www.sysinternals.com - C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\EQYSTPZ.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Ton rapport Bitdefender n'est pas complet

Merci de le poster complet.

a+ ***** Have a good day *****

la seule chose qui manqué

Fichier analysé
Aucun virus trouvé.
statut
neant

je ne pensais pas que cela était important désolé
merci