comment se débarasser de rootkit.agent ?

Modérateur: Modérateurs et Modératrices

comment se débarasser de rootkit.agent ?

Messagede trukmachin » 10 Sep 2008, 09:14

bonjour,
à cause d'un certain nombre de ralentissements suspicieux sur mon pc
j'ai utilisé TROJAN REMOVER 6.7.2

valeurs détectées:

ce fichier se charger comme une clef de registre cachée
C:\WINDOWS\system32\drivers\TDSSserv.sys

voici la clé de registre responsable du chargement de ce fichier
HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv

aparemment ce fichier est un rootkit -> Rootkit.Agent


que puis-je faire pour m'en débarrasser sachant que TROJAN REMOVER le détecte mais n'arrive pas à le supprimer

merci d'avance pour votre réponse
trukmachin
 
Messages: 27
Inscription: 20 Oct 2007, 13:06

Messagede nickW » 10 Sep 2008, 23:12

Bonsoir,


Peux-tu faire ce qui suit:

Note: Ces manips doivent être effectuées en ayant ouvert une session avec les "droits Administrateur" (ne pas utiliser le profil utilisateur nommé "Administrateur" visible en mode sans échec).
Sous Windows XP, pour vérifier si un compte a les droits "Administrateur":
Démarrer---->Paramètres---->Panneau de configuration---->Comptes d'utilisateurs
A côté de l'icône représentant certains comptes (hormis celui nommé "Administrateur"), il est indiqué "Administrateur de l'ordinateur"
C'est l'un de ces comptes qu'il faudra utiliser.



Étape 1: OTListIt (de OldTimer), téléchargement
Télécharger OTListIt.exe depuis http://oldtimer.geekstogo.com/OTListIt.exe
Enregistrer ce fichier sur le Bureau.


Étape 2: Malwarebytes' Anti-Malware, installation
Télécharger Malwarebytes' Anti-Malware depuis l'un des liens ci-dessous:
http://www.besttechie.net/tools/mbam-setup.exe
http://www.malwarebytes.org/mbam/program/mbam-setup.exe

Enregistrer ce fichier sur le Bureau.
Faire un double clic sur mbam-setup.exe pour lancer l'installation (Accepter le contrat de licence, puis valider les options par défaut).
Sur le dernier écran de la procédure d'installation, cocher la case située devant "Mettre à jour Malwarebytes' Anti-Malware", puis cliquer sur le bouton "Terminer".


Étape 3: Pas de processus de contrôle en temps réel
Désactiver le module résident de l'antivirus et celui de l'antispyware.
Si tu n'as pas changé d'antivirus;
Image avast!: clic droit sur l'icône dans la SysBarre (à coté de l'horloge), puis "Arrêter la protection résidente"

S'il est actif, il faut Désactiver TeaTimer de Spybot-S&D.
Dans la SysBarre (zone située juste à gauche de l'horloge) faire un clic droit sur l'icône du Résident de Spybot-S&D et choisir "Quitter Résident de Spybot-S&D".
Lancer Spybot-S&D, Mode avancé, Outils, Résident, décocher la case située devant TeaTimer. Fermer Spybot-S&D.
Faire redémarrer le PC.
Note:
Il ne faut pas réactiver TeaTimer avant la fin du nettoyage du PC (je te dirai quand et comment le faire).


Étape 4: Malwarebytes' Anti-Malware, nettoyage
Fermer toutes les fenêtres de programme ouvertes.
Lancer Malwarebytes' Anti-Malware via le Menu Démarrer.
Dans l'onglet Paramètres, vérifier que toutes les cases sont cochées sauf "Créer une option dans le menu contextuel pour analyser des fichiers (clic droit)".
Dans l'onglet Mise à jour, cliquer sur le bouton Recherche de mise à jour et installer toutes les mises à jour trouvées.
Dans l'onglet Recherche, cocher le bouton radio situé devant "Exécuter un examen rapide" puis cliquer sur le bouton Rechercher.
Attendre sans rien faire d'autre la fin de la recherche; dans la fenêtre annonçant la fin de l'analyse, cliquer sur OK; puis cliquer sur le bouton "Afficher les résultats".

Si des éléments nuisibles ont été détectés, cliquer sur le bouton "Supprimer la sélection"
Attendre patiemment sans rien faire d'autre la fin du nettoyage.
Un redémarrage est parfois nécessaire. Accepter.
Une fenêtre du Bloc-notes s'ouvre pour afficher le rapport. Fermer le Bloc-notes.
Cliquer sur le bouton "Quitter" pour fermer Malwarebytes' Anti-Malware.


Étape 5: Processus de contrôle en temps réel
Important: Réactiver le module résident de l'antivirus et celui de l'antispyware.
Note importante: Ne pas réctiver TeaTimer de Spybot-S&D.


Étape 6: OTListIt (de OldTimer)
Fermer toutes les fenêtres de programme ouvertes.
Faire un double clic sur OTListIt.exe pour lancer l'outil.
Cliquer sur le bouton Run Scan et laisser l'outil travailler sans l'interrompre.
Lorsque l'outil a terminé, il y a ouverture d'une fenêtre du Bloc-notes contenant le rapport.
Fermer le Bloc-notes.
Fermer la fenêtre de OTListIt.


Étape 7: Résultats
Envoyer en réponse:

*- le log de Malwarebytes' Anti-Malware (contenu du fichier mbam-log-*-**-**** (**-**-**).txt situé dans le dossier SystemDrive\Documents and Settings\<tonprofil>\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\Logs / *-**-**** (**-**-**) représente la date [mois-jour-année] et l'heure [hh-mn-ss])
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

*- le rapport de OTListIt (contenu du fichier OTListIt.txt situé sur le Bureau).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede trukmachin » 11 Sep 2008, 16:09

merci beaucoup pour ton coup de main

voici le log
Malwarebytes' Anti-Malware 1.28
Version de la base de données: 1138
Windows 5.1.2600 Service Pack 2

11/09/2008 17:03:28
mbam-log-2008-09-11 (17-03-27).txt

Type de recherche: Examen rapide
Eléments examinés: 41048
Temps écoulé: 2 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\WINDOWS\system32\casino1.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino2.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\casino3.ico (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup1.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup2.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tdsspopup3.url (Malware.Trace) -> Quarantined and deleted successfully.
C:\Documents and Settings\ploucroute\Local Settings\Temp\.tt9.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

et voici le fichier outlist

OTListIt logfile created on: 11/09/2008 17:06:17 - Run 3
OTListIt by OldTimer - Version 1.0.1.2 Folder = C:\Documents and Settings\ploucroute\Desktop
Windows XP Professional Edition Service Pack 2 (Version = 5.1.2600) - Type = NTWorkstation
Internet Explorer (Version = 6.0.2900.2180)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

767,48 Mb Total Physical Memory | 511,96 Mb Available Physical Memory | 66,71% Memory free
1,46 Gb Paging File | 1,20 Gb Available in Paging File | 82,19% Paging File free
Paging file location(s): C:\pagefile.sys 768 1536;

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 34,18 Gb Total Space | 4,77 Gb Free Space | 13,97% Space Free | Partition Type: NTFS
Drive D: | 111,79 Gb Total Space | 8,65 Gb Free Space | 7,74% Space Free | Partition Type: NTFS
Drive E: | 40,34 Gb Total Space | 0,15 Gb Free Space | 0,38% Space Free | Partition Type: NTFS
F: Drive not present or media not loaded
Drive G: | 634,63 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS
H: Drive not present or media not loaded
I: Drive not present or media not loaded

Computer Name: NAME-FLOUPSCORP
Current User Name: ploucroute
Logged in as Administrator.
Current Boot Mode: Normal
Scan Mode: Current user
Whitelist: On

========== Processes - Non-Microsoft Only ==========

[08/14/2008 21:57:53 | 00,149,761 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
[07/23/2008 16:02:17 | 00,068,865 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
[10/12/2007 09:34:56 | 00,071,096 | ---- | M] () -- C:\Program Files\CDBurnerXP\NMSAccessU.exe
[06/02/2006 02:52:58 | 00,339,456 | ---- | M] (O&O Software GmbH) -- C:\WINDOWS\system32\oodag.exe
[11/02/2006 21:40:12 | 00,174,656 | ---- | M] () -- C:\WINDOWS\system32\PSIService.exe
[07/23/2008 16:02:16 | 00,266,497 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
[09/21/2005 19:08:48 | 00,290,816 | ---- | M] (WALTOP International Corp.) -- C:\WINDOWS\system32\ATWTUSB.EXE
[09/11/2008 12:43:10 | 00,376,320 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\ploucroute\Desktop\OTListIt.exe

========== Win32 Services - Non-Microsoft Only ==========

[08/12/2008 13:27:07 | 00,072,704 | ---- | M] (Adobe Systems) -- C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe -- (Adobe LM Service [On_Demand | Stopped])
[07/23/2008 16:02:17 | 00,068,865 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe -- (AntiVirScheduler [Auto | Running])
[08/14/2008 21:57:53 | 00,149,761 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe -- (AntiVirService [Auto | Running])
[11/17/2005 15:18:52 | 01,527,900 | ---- | M] (MAGIX®) -- C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe -- (FirebirdServerMAGIXInstance [On_Demand | Stopped])
[10/12/2007 09:34:56 | 00,071,096 | ---- | M] () -- C:\Program Files\CDBurnerXP\NMSAccessU.exe -- (NMSAccessU [Auto | Running])
[06/02/2006 02:52:58 | 00,339,456 | ---- | M] (O&O Software GmbH) -- C:\WINDOWS\system32\oodag.exe -- (O&O Defrag [Auto | Running])
[11/02/2006 21:40:12 | 00,174,656 | ---- | M] () -- C:\WINDOWS\system32\PSIService.exe -- (ProtexisLicensing [Auto | Running])

========== Driver Services - Non-Microsoft Only ==========

[07/07/2004 17:02:14 | 00,022,272 | ---- | M] (AIPTEK International Inc.) -- C:\WINDOWS\system32\drivers\aiptektp.sys -- (aiptektp [System | Stopped])
[02/27/2007 16:25:10 | 00,011,840 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgio.sys -- (avgio [System | Running])
[06/02/2008 14:24:47 | 00,052,032 | ---- | M] (Avira GmbH) -- C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgntflt.sys -- (avgntflt [On_Demand | Running])
[07/23/2008 16:02:18 | 00,075,072 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\avipbb.sys -- (avipbb [System | Running])
File not found -- C:\DOCUME~1\PLOUCR~1\LOCALS~1\Temp\iatmunin.sys -- (iatmunin [On_Demand | Stopped])
[04/20/2008 18:38:36 | 00,047,360 | ---- | M] (VSO Software) -- C:\WINDOWS\system32\drivers\pcouffin.sys -- (pcouffin [On_Demand | Running])
[02/10/2008 03:03:01 | 00,012,464 | ---- | M] (Macrovision Europe Ltd) -- C:\WINDOWS\system32\drivers\secdrv.sys -- (Secdrv [Auto | Running])
[08/10/2005 14:44:04 | 00,050,688 | ---- | M] (Protection Technology) -- C:\WINDOWS\system32\drivers\sfdrv01.sys -- (sfdrv01 [Boot | Running])
[05/16/2005 15:20:39 | 00,006,656 | ---- | M] (Protection Technology) -- C:\WINDOWS\system32\drivers\sfhlp02.sys -- (sfhlp02 [Boot | Running])
[08/10/2005 16:06:28 | 00,019,968 | ---- | M] (Protection Technology) -- C:\WINDOWS\system32\drivers\sfsync02.sys -- (sfsync02 [Boot | Running])
[09/29/2005 19:01:51 | 00,066,048 | ---- | M] (Protection Technology) -- C:\WINDOWS\system32\drivers\sfvfs02.sys -- (sfvfs02 [Boot | Running])
[01/04/2008 15:06:04 | 00,715,248 | ---- | M] () -- C:\WINDOWS\system32\drivers\sptd.sys -- (sptd [Boot | Running])
[03/01/2007 11:34:36 | 00,028,352 | ---- | M] (Avira GmbH) -- C:\WINDOWS\system32\drivers\ssmdrv.sys -- (ssmdrv [System | Running])


========== Internet Explorer ==========

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dl ... ar=msnhome
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm
HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\system32\blank.htm
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Page_Transitions =
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dl ... r=iesearch
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

O1 HOSTS File: (264143 bytes) - C:\WINDOWS\System32\drivers\etc\Hosts
O1 - Hosts: 127.0.0.1 localhost
O1 - Hosts: 127.0.0.1 007guard.com
O1 - Hosts: 127.0.0.1 www.007guard.com
O1 - Hosts: 127.0.0.1 008i.com
O1 - Hosts: 127.0.0.1 008k.com
O1 - Hosts: 127.0.0.1 www.008k.com
O1 - Hosts: 127.0.0.1 00hq.com
O1 - Hosts: 127.0.0.1 www.00hq.com
O1 - Hosts: 127.0.0.1 010402.com
O1 - Hosts: 127.0.0.1 032439.com
O1 - Hosts: 127.0.0.1 www.032439.com
O1 - Hosts: 127.0.0.1 0scan.com
O1 - Hosts: 127.0.0.1 www.0scan.com
O1 - Hosts: 127.0.0.1 100888290cs.com
O1 - Hosts: 127.0.0.1 www.100888290cs.com
O1 - Hosts: 127.0.0.1 100sexlinks.com
O1 - Hosts: 127.0.0.1 www.100sexlinks.com
O1 - Hosts: 127.0.0.1 10sek.com
O1 - Hosts: 127.0.0.1 www.10sek.com
O1 - Hosts: 127.0.0.1 123topsearch.com
O1 - Hosts: 127.0.0.1 www.123topsearch.com
O1 - Hosts: 127.0.0.1 132.com
O1 - Hosts: 127.0.0.1 www.132.com
O1 - Hosts: 127.0.0.1 136136.net
O1 - Hosts: 127.0.0.1 www.136136.net
O1 - Hosts: 9164 more lines...
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll (Google Inc.)
O2 - BHO: (FDMIECookiesBHO Class) - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Program Files\Free Download Manager\iefdm2.dll ()
O3 - HKLM\..\Toolbar: (AOL Toolbar) - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll (IE Toolbar)
O3 - HKCU\..\Toolbar: (no name) - {4064EA35-578D-4073-A834-C96D82CBCF40} - Reg Error: Key does not exist or could not be opened. File not found
O4 - HKLM..\Run: [AOLDialer] C:\Program Files\Common Files\AOL\ACS\AOLDial.exe (AOL LLC)
O4 - HKLM..\Run: [atwtusb] atwtusb.exe beta (WALTOP International Corp.)
O4 - HKLM..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min (Avira GmbH)
O4 - HKLM..\Run: [HostManager] C:\Program Files\Common Files\AOL\1199377709\ee\AOLSoftware.exe (America Online, Inc.)
O4 - HKLM..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup (NVIDIA Corporation)
O4 - HKLM..\Run: [nwiz] nwiz.exe /install (NVIDIA Corporation)
O4 - HKLM..\Run: [TrayServer] C:\Program Files\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe File not found
O4 - Startup: C:\Documents and Settings\ploucroute\Start Menu\Programs\Startup\Outil de détection de support Picture Motion Browser.lnk = C:\Program Files\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe (Sony Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: dontdisplaylastusername = 0
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticecaption =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: legalnoticetext =
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: shutdownwithoutlogon = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: undockwithoutlogon = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = _ [binary data]
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: =
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispBackgroundPage = 0
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: NoDispScrSavPage = 0
O8 - Extra context menu item: &Recherche AOL Toolbar - res://C:\Program Files\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: Add to AMV Converter... - C:\Program Files\MP3 Player Utilities 4.18\AMVConverter\grab.html
O8 - Extra context menu item: Télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Télécharger la sélection avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Télécharger la vidéo avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Tout télécharger avec Free Download Manager - file://C:\Program Files\Free Download Manager\dlall.htm
O9 - Extra Button: AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - C:\Program Files\AOL Toolbar\toolbar.dll (IE Toolbar)
O9 - Extra 'Tools' menuitem : AOL Toolbar - {4982D40A-C53B-4615-B15B-B5B5E98D167C} - File not found
O15 - HKLM\..Trusted Sites: 46 domain(s) and sub-domain(s) not assigned to a zone.
O15 - HKCU\..Trusted Sites: objects.aol.com (* is out of zone range - 5)
O15 - HKCU\..Trusted Sites: 46 domain(s) and sub-domain(s) not assigned to a zone.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl ... rashim.cab (Reg Error: Key does not exist or could not be opened.)
O18 - Protocol\Handler: - ipp - No CLSID value found
O18 - Protocol\Handler: - msdaipp - No CLSID value found
O20 - See sections below for AppInitDlls and Winlogon settings

========== Safeboot Options ==========

"AlternateShell" = cmd.exe

========== CDRom AutoRun Settings ==========

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun" = 1

========== Autorun Files on Drives ==========

AUTOEXEC.BAT []
[01/03/2008 17:38:56 | 00,000,000 | ---- | M] () -- C:\AUTOEXEC.BAT -- [ NTFS ]



========== Files/Folders - Created Within 30 days ==========

[4 C:\Documents and Settings\All Users\Application Data\*.tmp files]
[08/14/2008 02:55:33 | ---D | C] -- C:\Program Files\Sibelius Software
[08/14/2008 03:27:40 | ---D | C] -- C:\Documents and Settings\ploucroute\My Documents\Scores
[08/14/2008 03:27:40 | ---D | C] -- C:\Program Files\sibelius5
[08/14/2008 03:30:56 | ---D | C] -- C:\Documents and Settings\ploucroute\Application Data\Sibelius Software
[08/14/2008 03:35:39 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Sibelius Software
[08/24/2008 23:17:26 | 46,899,5317 | ---- | C] () -- C:\Documents and Settings\ploucroute\My Documents\JDFILM320.flv
[08/26/2008 23:28:51 | 00,164,215 | ---- | C] () -- C:\Documents and Settings\ploucroute\My Documents\PIC_0044.JPG
[08/29/2008 17:08:14 | 00,061,440 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_DFD_1_5.dll
[08/29/2008 17:08:14 | 00,393,216 | ---- | C] (Native Instruments Software GmbH) -- C:\WINDOWS\System32\NI_IRC_1_2.dll
[08/29/2008 17:08:14 | ---D | C] -- C:\Program Files\Native Instruments
[08/29/2008 19:30:58 | ---D | C] -- C:\Program Files\Audacity
[09/07/2008 02:14:43 | ---D | C] -- C:\Program Files\GNU Solfege
[09/07/2008 02:15:54 | ---D | C] -- C:\Documents and Settings\ploucroute\Application Data\GNU Solfege
[09/07/2008 23:37:45 | 00,023,401 | ---- | C] () -- C:\Documents and Settings\ploucroute\My Documents\n557918838_732206_4267.jpg
[09/09/2008 20:07:59 | 00,034,304 | ---- | C] () -- C:\WINDOWS\System32\a.exe
[09/10/2008 01:08:32 | 00,077,312 | ---- | C] () -- C:\WINDOWS\System32\ztvunace26.dll
[09/10/2008 01:08:32 | 00,162,304 | ---- | C] () -- C:\WINDOWS\System32\ztvunrar36.dll
[09/10/2008 01:08:54 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\TEMP
@Alternate Data Stream - 115 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:CB0AACC9
[09/11/2008 12:41:16 | ---D | C] -- C:\Documents and Settings\ploucroute\Desktop\[bureau à trier]
[09/11/2008 12:43:08 | 00,376,320 | ---- | C] (OldTimer Tools) -- C:\Documents and Settings\ploucroute\Desktop\OTListIt.exe
[09/11/2008 12:43:22 | 02,182,784 | ---- | C] (Malwarebytes Corporation ) -- C:\Documents and Settings\ploucroute\Desktop\mbam-setup.exe
[09/11/2008 12:44:04 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Malwarebytes
[09/11/2008 12:44:04 | ---D | C] -- C:\Program Files\Malwarebytes' Anti-Malware
[09/11/2008 12:44:05 | 00,000,704 | ---- | C] () -- C:\Documents and Settings\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[09/11/2008 12:44:05 | 00,017,200 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[09/11/2008 12:44:05 | 00,038,528 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[09/11/2008 12:44:08 | ---D | C] -- C:\Documents and Settings\ploucroute\Application Data\Malwarebytes
[09/11/2008 13:34:25 | ---D | C] -- C:\Documents and Settings\ploucroute\Desktop\[outils video] traitement sous-titrage
[09/11/2008 13:42:42 | 00,028,672 | ---- | C] () -- C:\WINDOWS\System32\AVEQT.dll
[09/11/2008 13:42:42 | 00,129,024 | ---- | C] () -- C:\WINDOWS\System32\AVERM.dll
[09/11/2008 13:45:24 | ---D | C] -- C:\VideoOutput
[09/11/2008 14:02:41 | ---D | C] -- C:\Program Files\Subtitle Workshop
[09/11/2008 14:09:01 | ---D | C] -- C:\Program Files\Ultra Video Joiner
[09/11/2008 14:09:06 | 00,000,738 | ---- | C] () -- C:\Documents and Settings\ploucroute\Desktop\Ultra Video Joiner.lnk
[09/11/2008 16:58:00 | 00,046,384 | ---- | C] () -- C:\Documents and Settings\ploucroute\Desktop\the.prestige.(2006).fre.1cd.(3296054).zip
[09/11/2008 16:58:11 | 00,117,558 | ---- | C] () -- C:\Documents and Settings\ploucroute\Desktop\The.Prestige[2006]DvDrip[Eng]-aXXo.FR.srt

========== Files - Modified Within 30 days ==========

[1 C:\WINDOWS\System32\*.tmp files]
[3 C:\WINDOWS\*.tmp files]
[4 C:\Documents and Settings\All Users\Application Data\*.tmp files]
[08/14/2008 03:35:58 | 00,253,592 | ---- | M] () -- C:\Documents and Settings\ploucroute\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
[08/14/2008 12:00:11 | 00,713,984 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT
[08/24/2008 23:51:50 | 46,899,5317 | ---- | M] () -- C:\Documents and Settings\ploucroute\My Documents\JDFILM320.flv
[08/26/2008 23:29:58 | 00,164,215 | ---- | M] () -- C:\Documents and Settings\ploucroute\My Documents\PIC_0044.JPG
[09/03/2008 19:16:17 | 04,279,110 | -H-- | M] () -- C:\Documents and Settings\ploucroute\Local Settings\Application Data\IconCache.db
[09/07/2008 23:37:46 | 00,023,401 | ---- | M] () -- C:\Documents and Settings\ploucroute\My Documents\n557918838_732206_4267.jpg
[09/09/2008 20:07:59 | 00,034,304 | ---- | M] () -- C:\WINDOWS\System32\a.exe
[09/09/2008 22:36:43 | 00,262,898 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts.20080909-225900.backup
[09/09/2008 22:59:00 | 00,264,143 | R--- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts
[09/10/2008 00:03:56 | 00,017,200 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys
[09/10/2008 00:04:02 | 00,038,528 | ---- | M] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys
[09/10/2008 16:43:05 | 00,000,763 | ---- | M] () -- C:\WINDOWS\win.ini
[09/11/2008 12:31:30 | 00,103,305 | ---- | M] () -- C:\WINDOWS\System32\OODBS.lor
[09/11/2008 12:31:37 | 80,483,5328 | -HS- | M] () -- C:\hiberfil.sys
[09/11/2008 12:31:39 | 00,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat
[09/11/2008 12:31:47 | 00,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl
[09/11/2008 12:31:49 | 00,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT
[09/11/2008 12:43:10 | 00,376,320 | ---- | M] (OldTimer Tools) -- C:\Documents and Settings\ploucroute\Desktop\OTListIt.exe
[09/11/2008 12:43:35 | 02,182,784 | ---- | M] (Malwarebytes Corporation ) -- C:\Documents and Settings\ploucroute\Desktop\mbam-setup.exe
[09/11/2008 12:44:05 | 00,000,704 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Malwarebytes' Anti-Malware.lnk
[09/11/2008 14:09:06 | 00,000,738 | ---- | M] () -- C:\Documents and Settings\ploucroute\Desktop\Ultra Video Joiner.lnk
[09/11/2008 16:55:25 | 00,176,640 | ---- | M] () -- C:\Documents and Settings\ploucroute\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
[09/11/2008 16:57:00 | 00,117,558 | ---- | M] () -- C:\Documents and Settings\ploucroute\Desktop\The.Prestige[2006]DvDrip[Eng]-aXXo.FR.srt
[09/11/2008 16:58:02 | 00,046,384 | ---- | M] () -- C:\Documents and Settings\ploucroute\Desktop\the.prestige.(2006).fre.1cd.(3296054).zip

<End>

merci encore :D
trukmachin
 
Messages: 27
Inscription: 20 Oct 2007, 13:06

Messagede nickW » 11 Sep 2008, 18:33

Bonjour,


Comment se comporte le PC?
(encore des ralentissements?)


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede trukmachin » 11 Sep 2008, 19:14

le pc se comporte normalement
je pense que ça va aller
merci encore pour ton aide :D
trukmachin
 
Messages: 27
Inscription: 20 Oct 2007, 13:06

Messagede nickW » 12 Sep 2008, 20:29

Bonsoir,

Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:


ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI.
Penser à désactiver complètement celui de Windows XP (y compris dans les services).


ImageUn conseil:
La version gratuite de MBAM (Malwarebytes' Anti-Malware) reste utilisable pour effectuer des analyses à la demande.
Tu peux donc choisir de la laisser installée, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant de demander l'examen.


ImageUn conseil:
Image Il est préférable de supprimer OTListIt (fichier téléchargé OTListIt.exe et fichier résultat OTListIt.txt situés sur le Bureau).

Image Vider les quarantaines de l'antivirus et de l'anti-spyware.


Voilì, voilò, voilà.

Salut,

PS:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France


Retourner vers RootKit

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 1 invité