Sujet Précédent Sujet Suivant

[VIRUS] Infecté par Hacktool.rootkit

Résolu/Fermé
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 - 29 janv. 2006 à 14:33
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 - 29 janv. 2006 à 23:31
Bonjour à tous,

je suis infecté par le virus Hacktool.Rootkit qui me copie le fichier C:\windows\system32\rofl.sys détecté par Norton mais sans succès de suppression : résultat PC tout lent. Plusieurs postes traitent le sujet mais impossible de savoir quelles lignes fixer dans HijackThis, alors si quelqu'un pouvait me dire qu'elles sont les lignes à fixer (et surtout comment savoir que ce sont celles ci !!!) ce serait vraiment cool. Merci d'avance.

Ci joint mes log Hijack en mode normal et en mode sans echec :

Logfile of HijackThis v1.99.1
Scan saved at 14:00:08, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\termsvrs.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\dmadmin.exe
C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\Thomas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138386266862
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

en mode sans echec :


Logfile of HijackThis v1.99.1
Scan saved at 14:06:40, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\Explorer.EXE
C:\Thomas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138386266862
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

22 réponses

  • 1
  • 2
Réponse 1 / 22
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 23:31
Ok merci pour tout Moe, j'ai repris la procédure initiale pour supprimer termsrvs.exe et tout semble OK.
1
Réponse 2 / 22
aranjuez31 Messages postés 8047 Date d'inscription lundi 7 novembre 2005 Statut Contributeur Dernière intervention 9 juillet 2006 354
29 janv. 2006 à 14:37
bjr
fais un 1er nettoyage
avec
ewido (dowload)
http://www.ewido.net/fr/download/
et COLLE rapport,stp
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 15:50
Voici le rapport d'ewido :


---------------------------------------------------------
ewido anti-malware - Rapport de scan
---------------------------------------------------------

+ Créé le: 15:41:46, 29/01/2006
+ Somme de contrôle: F5E959E8

+ Résultats du scan:

C:\WINDOWS\system32\rofl.sys -> Backdoor.Aimbot.af : Nettoyer et sauvegarder


::Fin du rapport
0
Réponse 3 / 22
Utilisateur anonyme
29 janv. 2006 à 14:51
Salut

Télécharge aussi ce prog:
http://cjoint.com/?bDoSfqKyPv
dezippe le sur le bureau et double clic sur rtksrchtest.bat
le bloc note va s'ouvrir, copie et colle le contenu ici.
(si le contenu de bloc note est vide, c'est qu'il ne detecte rien)

a+
0
aranjuez31 Messages postés 8047 Date d'inscription lundi 7 novembre 2005 Statut Contributeur Dernière intervention 9 juillet 2006 354
29 janv. 2006 à 15:08
hello tous 2
c est un new ?
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 15:17
Est-ce que cela te dit quelque chose...?
0
Réponse 4 / 22
Utilisateur anonyme
29 janv. 2006 à 14:53
Salut Moe, (te voila)

Tu l'as modifié depuis?
C'est pour que je suive le poste, tu l'as bien compris lol

A+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 15:05
Voici déjà le rapport de Rtksrchtest.bat :

C:\WINDOWS\System32\setup_*.exe Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!



C:\WINDOWS\System32\setup_13487.exe
C:\WINDOWS\System32\TFTP1972

********************************************
C:\WINDOWS\System32\TFTP???? Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!

C:\adaptec
C:\MSOCache
C:\upgradetb093.exe

C:\WINDOWS\Cache
C:\WINDOWS\ODBC.INI
C:\WINDOWS\ShellNew

C:\WINDOWS\System32\actskin4.ocx
C:\WINDOWS\System32\c.bat
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\Indeo4.qtx
C:\WINDOWS\System32\ivimci.drv
C:\WINDOWS\System32\ivimci32.dll
C:\WINDOWS\System32\mdimon.dll
C:\WINDOWS\System32\MFC70.dll
C:\WINDOWS\System32\MSVCI70.dll
C:\WINDOWS\System32\MSVCP70.dll
C:\WINDOWS\System32\MSVCR70.dll
C:\WINDOWS\System32\Roboex32.dll
C:\WINDOWS\System32\SndDrv32b.ini
C:\WINDOWS\System32\TFTP1244
C:\WINDOWS\System32\TFTP1336
C:\WINDOWS\System32\TFTP1580
C:\WINDOWS\System32\TFTP1928
C:\WINDOWS\System32\TFTP2288
C:\WINDOWS\System32\TFTP2836
C:\WINDOWS\System32\TFTP3764
C:\WINDOWS\System32\TFTP420
C:\WINDOWS\System32\wnaspi32.dll

********************************************
C:\WINDOWS\System32\i Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!

C:\adaptec
C:\MSOCache
C:\upgradetb093.exe

C:\WINDOWS\Cache
C:\WINDOWS\ODBC.INI
C:\WINDOWS\ShellNew

C:\WINDOWS\System32\actskin4.ocx
C:\WINDOWS\System32\c.bat
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\Indeo4.qtx
C:\WINDOWS\System32\ivimci.drv
C:\WINDOWS\System32\ivimci32.dll
C:\WINDOWS\System32\mdimon.dll
C:\WINDOWS\System32\MFC70.dll
C:\WINDOWS\System32\MSVCI70.dll
C:\WINDOWS\System32\MSVCP70.dll
C:\WINDOWS\System32\MSVCR70.dll
C:\WINDOWS\System32\Roboex32.dll
C:\WINDOWS\System32\SndDrv32b.ini
C:\WINDOWS\System32\TFTP1244
C:\WINDOWS\System32\TFTP1336
C:\WINDOWS\System32\TFTP1580
C:\WINDOWS\System32\TFTP1928
C:\WINDOWS\System32\TFTP2288
C:\WINDOWS\System32\TFTP2836
C:\WINDOWS\System32\TFTP3764
C:\WINDOWS\System32\TFTP420
C:\WINDOWS\System32\wnaspi32.dll

********************************************
0
Réponse 6 / 22
Utilisateur anonyme
29 janv. 2006 à 15:26
Salut

Redémarre en mode sans échec
Redemarre le pc, laisse passer l'écran du bios, puis tapote sur la touche F8 avant qu'apparaisse l'écran de chargement de windows.
Choisis le mode sans échec dans les options et valide avec entrée.

Rend visible les fichiers cachés et systeme
panneau de configuration > options des dossiers > onglet affichage
Cocher la case devant " afficher les fichiers et dossiers cachés "
Décocher la case devant " masquer les extentions des fichiers dont le type est connu"
Décocher la case devant " masquer les fichiers protégés du système"
clic sur [Appliquer] puis sur [ok] pour valider

/!\ Ne pas oublier une fois le nettoyage terminé de faire l'inverse pour recacher les fichiers.


 Recherche et supprime ces fichiers ou dossiers:

Supprimer les fichiers en suivant le chemin des fichiers infectés, et pas par la fonction "Rechercher"

supprime:

C:\upgradetb093.exe
C:\WINDOWS\System32\i
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\TFTP1244
C:\WINDOWS\System32\TFTP1336
C:\WINDOWS\System32\TFTP1580
C:\WINDOWS\System32\TFTP1928
C:\WINDOWS\System32\TFTP2288
C:\WINDOWS\System32\TFTP2836
C:\WINDOWS\System32\TFTP3764
C:\WINDOWS\System32\TFTP420
C:\WINDOWS\System32\setup_13487.exe
C:\WINDOWS\System32\TFTP1972
C:\windows\system32\rofl.sys

Ensuite, redemarre le pc et fais analyser ce fichier ici:
C:\WINDOWS\System32\c.bat
http://www.virustotal.com/xhtml/virustotal_en.html
et poste le rapport.

a+
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 15:35
Ok pas de problème,

J'attend que l'analyse d'ewido se termine pour executer tes instructions.

Juste une question pour info :

Comment sais-tu que ces fichiers sont à supprimer ?...l'expérience ?
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 16:20
Voilà les résultat :

1) j'ai supprimé en mode sans echec tout les fichiers dont 2 avec killbox :
C:\WINDOWS\System32\ftpupd.exe
C:\WINDOWS\System32\setup_13487.exe

2) en redemarrant en mode normal le fichier C:\WINDOWS\System32\rofl.sys était de nouveau présent et automatiquement détecté par Norton au démarrage.

3) voici le rapport de mon fichier c.bat :

This is a report processed by VirusTotal on 01/29/2006 at 16:13:07 (CET) after scanning the file "c.bat" file.
Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 no virus found
Avast 4.6.695.0 01.29.2006 no virus found
AVG 718 01.27.2006 IRC/BackDoor.Flood
Avira 6.33.0.81 01.27.2006 no virus found
BitDefender 7.2 01.29.2006 Backdoor.BotGet.FtpA.Gen
CAT-QuickHeal 8.00 01.27.2006 no virus found
ClamAV devel-20051123 01.29.2006 no virus found
DrWeb 4.33 01.28.2006 no virus found
eTrust-InoculateIT 23.71.62 01.28.2006 Bat/FTPDownloader!Trojan
eTrust-Vet 12.4.2058 01.27.2006 BAT/FTPDownloader
Ewido 3.5 01.29.2006 no virus found
Fortinet 2.54.0.0 01.29.2006 no virus found
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.29.2006 no virus found
McAfee 4684 01.27.2006 W32/Sdbot.worm.bat.b
NOD32v2 1.1386 01.29.2006 no virus found
Norman 5.70.10 01.27.2006 BAT/BotFTP.gen
Panda 9.0.0.4 01.29.2006 Trj/Zapchast.D
Sophos 4.02.0 01.29.2006 no virus found
Symantec 8.0 01.29.2006 no virus found
TheHacker 5.9.3.083 01.29.2006 W32/SdBot.worm.bat
UNA 1.83 01.27.2006 no virus found
VBA32 3.10.5 01.28.2006 no virus found

Que dois-je faire maintenant pour enlever ce truc !!!
0
Réponse 7 / 22
Utilisateur anonyme
29 janv. 2006 à 16:29
Salut

Est ce que norton le met en quarantaine ou le supprime ?

Reposte un hijackthis+un rapport de rtksrchtest.bat

a+
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 16:43
Non Norton le met en quarantaine, je les ai donc supprimer de la quarantaine.
Voici les rapports demandés :

Logfile of HijackThis v1.99.1
Scan saved at 16:33:02, on 29/01/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\netdde.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\clipsrv.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\ewido anti-malware\ewidoguard.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\termsvrs.exe
C:\Program Files\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\dllhost.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\dmadmin.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\inetsrv\DavCData.exe
C:\Thomas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.neuf.fr
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Fichiers communs\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] C:\Program Files\Fichiers communs\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1138386266862
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Program Files\ewido anti-malware\ewidoguard.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program Files\Norton AntiVirus\SAVScan.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe


et



C:\WINDOWS\System32\rofl.sys Présent

!!! Attention, les fichiers qui suivent ne sont pas tous infect‚s !!!

C:\!KillBox
C:\rapport.txt
C:\rapport2.txt
C:\result.txt

C:\WINDOWS\0.log
C:\WINDOWS\ntbtlog.txt
C:\WINDOWS\SchedLgU.Txt
C:\WINDOWS\Sti_Trace.log
C:\WINDOWS\wiadebug.log
C:\WINDOWS\wiaservc.log
C:\WINDOWS\WindowsUpdate.log

C:\WINDOWS\System32\rofl.sys

********************************************
0
Réponse 8 / 22
Utilisateur anonyme
29 janv. 2006 à 16:51
il me semble qu'un fichier nous a échappé tout à l'heure:

C:\WINDOWS\termsvrs.exe
fais le analyser ici:
http://www.virustotal.com/xhtml/virustotal_en.html
mais n'y touche pas encore s'il est reconnu infecté.
poste le rapport d'analyse.
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 17:00
Voici le rapport et j'en profite au passage pour te remercier de te donner autant pour résoudre mon problème :

Antivirus Version Update Result
AntiVir 6.33.0.81 01.28.2006 BDS/Aimbot.BY
Avast 4.6.695.0 01.29.2006 no virus found
AVG 718 01.27.2006 Worm/Kelvir.IQ
Avira 6.33.0.81 01.27.2006 BDS/Aimbot.BY
BitDefender 7.2 01.29.2006 Backdoor.SDBot.AKZ
CAT-QuickHeal 8.00 01.27.2006 (Suspicious) - DNAScan
ClamAV devel-20051123 01.29.2006 no virus found
DrWeb 4.33 01.29.2006 Win32.HLLW.MyBot
eTrust-InoculateIT 23.71.63 01.29.2006 no virus found
eTrust-Vet 12.4.2058 01.27.2006 Win32/Petribot.LA
Ewido 3.5 01.29.2006 Backdoor.Aimbot.by
Fortinet 2.54.0.0 01.29.2006 W32/Kelvir!wm
F-Prot 3.16c 01.28.2006 no virus found
Ikarus 0.2.59.0 01.27.2006 no virus found
Kaspersky 4.0.2.24 01.29.2006 Backdoor.Win32.Aimbot.by
McAfee 4684 01.27.2006 W32/Kelvir.worm.gen
Norman 5.70.10 01.27.2006 W32/Aimbot.CX
Panda 9.0.0.4 01.29.2006 W32/Sdbot.GFH.worm
Sophos 4.02.0 01.29.2006 W32/Tilebot-DB
Symantec 8.0 01.29.2006 no virus found
TheHacker 5.9.3.083 01.29.2006 Backdoor/Aimbot.by
UNA 1.83 01.27.2006 Backdoor.Aimbot
VBA32 3.10.5 01.28.2006 Win32.HLLW.MyBot
0
Réponse 9 / 22
Utilisateur anonyme
29 janv. 2006 à 17:09
Y a pas de quoi, c'est avec plaisir :-)

Commence par supprimer le programme Killbox et le dossier C:\!Killbox

Ensuite télécharge la toute dernière version de Killbox ici:
http://www.killbox.net/downloads/KillBox.exe

Déconnecte toi d'internet.

ouvre le bloc note et copie et colle la liste des fichiers à supprimer ci-dessous
une fois fait, enregistre le à un endroit ou tu pourras le retrouver facilement (sur le bureau par exemple) 
C:\WINDOWS\termsvrs.exe
C:\WINDOWS\System32\c.bat
C:\WINDOWS\System32\rofl.sys

1/ lance killbox.exe
2/ ouvre le fichier txt qui contient la liste des fichiers à supprimer, clic sur edition dans le menu du haut et clic sur "selectionner tout"
3/ clic une seconde fois sur "edition" et clic sur "copier"
4/ referme le bloc note.
5/ Dans killbox, selectionne "Delete on Reboot" puis clic sur le bouton "ALL FILES"
6/ Dans le menu du haut clic sur File, puis sur paste from clipboard
(tu devrais voir apparaitre la liste des fichiers qu'il va supprimer)
7/ clic sur le rond rouge
8/ une fenetre va apparaitre pour confirmation clic sur OUI
9/ une seconde fenetre te demande si tu veux redemarrer clic sur OUI

Si le pc ne redemarre pas automatiquement ou si killbox t'envois ce message:
"Pending file Rename Operations Registry Data has been Removed by External Process"
ignore le et redemarre le pc normallement.

Et dis moi si norton detecte toujours rolf.sys

a+
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 17:41
A priori rofl.sys a disparu, norton nele voit pas, par contre le PC est toujours super long surtout au démarrage (au moins 10 mn).

Et comment sais-tu qu'il fallait supprimer termsvrs.exe ?
La liste des process de windows est-elle disponible sur le net ou bien tu les connais tous par coeur ?

Je vais peut-être supprimer Norton j'i l'impression que c'est lui qui fait tout ralentir, quand penses-tu ?
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 18:18
J'ajoute que depuis la suppression de termservs je ne peux plus démarrer mon gestionnaire de service, je vais essayer de le trouver sur le net !!!
0
Réponse 10 / 22
Utilisateur anonyme
29 janv. 2006 à 18:32
Heu termservs n'a rien à voir avec le gestionnaire des services, quel est le message quand tu essaye de l'ouvrir ?

Tu as essayé en faisant:
Dans le menu Demarrer>Executer >tape: Services.msc

a+
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1
29 janv. 2006 à 18:50
Oui j'ai essayé et j'ai une fenêtre windows qui s'ouvre me demandant si je veux utiliser le service web pour trouver le programme approprié pour ouvrir ce fichier ou bien si je veux sélectionner un programme dans une liste.

Quelle est le service qui ouvre les fichier .msc dans windows ?
0
Utilisateur anonyme > choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006
29 janv. 2006 à 18:56
C'est Microsoft Management services (mmc.exe)
tu devrais l'avoir dans la liste .
Tu as utilisé un nettoyeur de registre juste après avoir supprimé ces fichiers ?
0
choucrou Messages postés 13 Date d'inscription dimanche 29 janvier 2006 Statut Membre Dernière intervention 29 janvier 2006 1 > Utilisateur anonyme
29 janv. 2006 à 19:10
Oui un coup de ccleaner, il fallait pas ?
0
Réponse 11 / 22
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
29 janv. 2006 à 18:44
salut moe et regis

vous connaisser se prog pour detection des roktits
RootkitRevealer.exe
http://www.sysinternals.com/Utilities/RootkitRevealer.html
0
Utilisateur anonyme
29 janv. 2006 à 18:57
Salut balltrap

J'en ai entendu parler, mais je ne connais pas encore son fonctionnement.
Tu as testé ?

a+++
0
Réponse 12 / 22
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
29 janv. 2006 à 18:58
un petit peu
scan a faire toute fenetres fermer et tu peut generer un rapport
0
Réponse 13 / 22
Utilisateur anonyme
29 janv. 2006 à 19:06
ok, merci pour l'info

Tu as les derniers liens pour la nouvelle pocket killbox ?
(version 2.0.0.648)

a+
0
Réponse 14 / 22
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
29 janv. 2006 à 19:15
non comme je suis pas trop en se moment si tu la donne le moi
que je le change sur mon site
et je croie qu il vas faloir que je modifie la demo non
0
Réponse 15 / 22
incognito02 Messages postés 3487 Date d'inscription vendredi 28 octobre 2005 Statut Contributeur Dernière intervention 17 août 2008 138
29 janv. 2006 à 19:27
Bonsoir Balltrap !
Salut Moe

Pour la nouvelle version :

Ensuite télécharge la toute dernière version de Killbox ici:
http://www.killbox.net/downloads/KillBox.exe

Bonne soirée à tous.

Amitiès
0
Réponse 16 / 22
Utilisateur anonyme
29 janv. 2006 à 19:39
salut

Incognito02 a le bon lien
ouais je crois que tu pourras modifier la démo.
Ils ont fait une aide du prog aussi:
http://www.killbox.net/help.html

a+
0
Réponse 17 / 22
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
29 janv. 2006 à 19:51
merci
mais c est de l anglais lol
0
Réponse 18 / 22
Utilisateur anonyme
29 janv. 2006 à 19:53
salut Balltrap

Pour l anti rootkit, je suis tombé dessu, mais comme je ne l ai pas tester je ne l ai pas conseiller...tu as le lien pour que je le testes?

Et pour l anglais, balltrap n est pas formé pour cela lol
0
Réponse 19 / 22
balltrap34 Messages postés 16240 Date d'inscription jeudi 8 janvier 2004 Statut Contributeur sécurité Dernière intervention 28 novembre 2009 331
29 janv. 2006 à 19:57
quentin j est mis le lien au n°19 

  . - ~|        |-^-|        |~ - .
{      |        |   |        |      }
        `.____.'     `.____.'
0
Réponse 20 / 22
Utilisateur anonyme
29 janv. 2006 à 20:02
lol
Excuse moi mon tit balltrap, j avais pas vu lol

merci, j essaierais demain

a+
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Virus détecté
Koony -
MisteryBean -

6 réponses
y a t'il des virus qu'avast ne detecte pas
davivid -
Utilisateur anonyme -

24 réponses
Mon ordinateur a été infecté par un virus ou
henry4002 -
jorginho67 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses