Infection Rootkit.agent.odg
Dernière réponse : dans Le monde de Windows
Bonjour tout le monde,
Je cherche une solution pour me débarasser de ce virus que Nod32 n'a pas su nettoyer, j'ai lu un sujet dans cette section qui aborde le même problème et a été résolu, c'est pourquoi je poste ici en espérant avoir de l'aide...
J'utilise windows vista sp3 version anglaise, nod32 me détecte ce cheval de troie en mémoire vive. les symptômes semblent être les suivants : impossibilité de lancer une console de commande, des logiciels terminent leurs installs prématurément, ce genre de truc.
Cela s'est produit après l'ouverture d'un exe téléchargé sur le net...
J'ai fait un log avec GMER ayant vu que cela pouvait aider dans le topic sus-cité. Voici donc le log GMER :
GMER 1.0.15.15077 [ck7r57f4.exe] - http://www.gmer.net
Rootkit scan 2009-09-09 18:19:11
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT spvu.sys ZwCreateKey [0xB9EA70E0]
SSDT spvu.sys ZwEnumerateKey [0xB9EC5CA4]
SSDT spvu.sys ZwEnumerateValueKey [0xB9EC6032]
SSDT spvu.sys ZwOpenKey [0xB9EA70C0]
SSDT spvu.sys ZwQueryKey [0xB9EC610A]
SSDT spvu.sys ZwQueryValueKey [0xB9EC5F8A]
SSDT spvu.sys ZwSetValueKey [0xB9EC619C]
INT 0x63 ? 8A5E1BF8
INT 0x73 ? 8A5E1BF8
INT 0x83 ? 8A615BF8
---- Kernel code sections - GMER 1.0.15 ----
? spvu.sys The system cannot find the file specified. !
.text USBPORT.SYS!DllUnload B9C178AC 5 Bytes JMP 8A5E11D8
.text a3lylt24.SYS B9798386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a3lylt24.SYS B97983AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a3lylt24.SYS B97983C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text a3lylt24.SYS B97983C9 1 Byte [30]
.text a3lylt24.SYS B97983C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\ESET\ESET Smart Security\ekrn.exe[572] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\Explorer.EXE[1888] SHELL32.dll!SHFileOperationW 7CA70924 5 Bytes JMP 10001102 C:\Program Files\Unlocker\UnlockerHook.dll
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA8042] spvu.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA813E] spvu.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA80C0] spvu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA8800] spvu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA86D6] spvu.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB7E9C] spvu.sys
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A6111F8
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
Device \Driver\usbohci \Device\USBPDO-0 8A5161F8
Device \Driver\usbehci \Device\USBPDO-1 8A5151F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A6131F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A6131F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A6131F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A6131F8
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A6871F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A6871F8
Device \Driver\Cdrom \Device\CdRom0 8A4EC1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A6871F8
Device \Driver\Cdrom \Device\CdRom1 8A4EC1F8
Device \Driver\sptd \Device\2723095768 spvu.sys
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A6871F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89B6E1F8
Device \Driver\NetBT \Device\NetbiosSmb 89B6E1F8
Device \Driver\PCI_PNP7018 \Device\0000004c spvu.sys
AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
Device \Driver\usbohci \Device\USBFDO-0 8A5161F8
Device \Driver\usbehci \Device\USBFDO-1 8A5151F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{98EFECA5-DAEF-4CC0-8D23-DB4660008CE7} 89B6E1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89B501F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89B501F8
Device \Driver\Ftdisk \Device\FtControl 8A6871F8
Device \Driver\a3lylt24 \Device\Scsi\a3lylt241Port3Path0Target0Lun0 8A4DF500
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path3Target3Lun0 8A6121F8
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path1Target1Lun0 8A6121F8
Device \Driver\nvgts \Device\Scsi\nvgts1 8A6121F8
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path2Target2Lun0 8A6121F8
Device \Driver\a3lylt24 \Device\Scsi\a3lylt241 8A4DF500
Device \FileSystem\Cdfs \Cdfs 89B07500
---- Services - GMER 1.0.15 ----
Service system32\drivers\rotscxowflovre.sys (*** hidden *** ) [SYSTEM] rotscxxextiqxh <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@imagepath \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main@aid 10438
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\injector@* rotscxwsp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxrk.sys \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxcmd.dll \systemroot\system32\rotscxrxoowqbu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxlog.dat \systemroot\system32\rotscxpokbdecf.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxwsp.dll \systemroot\system32\rotscxmqwnvjko.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscx.dat \systemroot\system32\rotscxodulklrk.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xD1 0x0C 0xE3 0x5B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5C 0xE3 0x90 0x89 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0D 0xA3 0xB0 0x6A ...
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@imagepath \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main@aid 10438
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main@sid 0
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\injector@* rotscxwsp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxrk.sys \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxcmd.dll \systemroot\system32\rotscxrxoowqbu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxlog.dat \systemroot\system32\rotscxpokbdecf.dat
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxwsp.dll \systemroot\system32\rotscxmqwnvjko.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscx.dat \systemroot\system32\rotscxodulklrk.dat
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xD1 0x0C 0xE3 0x5B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5C 0xE3 0x90 0x89 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0D 0xA3 0xB0 0x6A ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
---- EOF - GMER 1.0.15 ----
J'ai peut être sauter des étapes, mais suis prêt à suivre vos conseils, n'ayant pas du tout envie de me retaper une install d'XP![:/]( ":/")
Merci
Je cherche une solution pour me débarasser de ce virus que Nod32 n'a pas su nettoyer, j'ai lu un sujet dans cette section qui aborde le même problème et a été résolu, c'est pourquoi je poste ici en espérant avoir de l'aide...
J'utilise windows vista sp3 version anglaise, nod32 me détecte ce cheval de troie en mémoire vive. les symptômes semblent être les suivants : impossibilité de lancer une console de commande, des logiciels terminent leurs installs prématurément, ce genre de truc.
Cela s'est produit après l'ouverture d'un exe téléchargé sur le net...
J'ai fait un log avec GMER ayant vu que cela pouvait aider dans le topic sus-cité. Voici donc le log GMER :
GMER 1.0.15.15077 [ck7r57f4.exe] - http://www.gmer.net
Rootkit scan 2009-09-09 18:19:11
Windows 5.1.2600 Service Pack 3
---- System - GMER 1.0.15 ----
SSDT spvu.sys ZwCreateKey [0xB9EA70E0]
SSDT spvu.sys ZwEnumerateKey [0xB9EC5CA4]
SSDT spvu.sys ZwEnumerateValueKey [0xB9EC6032]
SSDT spvu.sys ZwOpenKey [0xB9EA70C0]
SSDT spvu.sys ZwQueryKey [0xB9EC610A]
SSDT spvu.sys ZwQueryValueKey [0xB9EC5F8A]
SSDT spvu.sys ZwSetValueKey [0xB9EC619C]
INT 0x63 ? 8A5E1BF8
INT 0x73 ? 8A5E1BF8
INT 0x83 ? 8A615BF8
---- Kernel code sections - GMER 1.0.15 ----
? spvu.sys The system cannot find the file specified. !
.text USBPORT.SYS!DllUnload B9C178AC 5 Bytes JMP 8A5E11D8
.text a3lylt24.SYS B9798386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text a3lylt24.SYS B97983AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text a3lylt24.SYS B97983C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text a3lylt24.SYS B97983C9 1 Byte [30]
.text a3lylt24.SYS B97983C9 11 Bytes [30, 00, 00, 00, 5C, 02, 00, ...] {XOR [EAX], AL; ADD [EAX], AL; POP ESP; ADD AL, [EAX]; ADD [EAX], AL; ADD [EAX], AL}
.text ...
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\ESET\ESET Smart Security\ekrn.exe[572] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]
.text C:\WINDOWS\Explorer.EXE[1888] SHELL32.dll!SHFileOperationW 7CA70924 5 Bytes JMP 10001102 C:\Program Files\Unlocker\UnlockerHook.dll
---- Kernel IAT/EAT - GMER 1.0.15 ----
IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [B9EA8042] spvu.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [B9EA813E] spvu.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [B9EA80C0] spvu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [B9EA8800] spvu.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [B9EA86D6] spvu.sys
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [B9EB7E9C] spvu.sys
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfAcquireSpinLock] 18C4830E
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!READ_PORT_UCHAR] 1C8D9E88
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KeGetCurrentIrql] 9E880000
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfRaiseIrql] 00001CA9
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfLowerIrql] 0E798366
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!HalGetInterruptVector] 74AAB000
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!HalTranslateBusAddress] 8186C636
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KeStallExecutionProcessor] 1A00001C
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!KfReleaseSpinLock] 1C8386C6
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] C6020000
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!READ_PORT_USHORT] 001C8E86
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 86C60200
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[HAL.dll!WRITE_PORT_UCHAR] 00001CAA
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[WMILIB.SYS!WmiSystemControl] 8800001C
IAT \SystemRoot\System32\Drivers\a3lylt24.SYS[WMILIB.SYS!WmiCompleteRequest] 001CB19E
---- Devices - GMER 1.0.15 ----
Device \FileSystem\Ntfs \Ntfs 8A6111F8
AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
AttachedDevice \Driver\Tcpip \Device\Ip epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
Device \Driver\usbohci \Device\USBPDO-0 8A5161F8
Device \Driver\usbehci \Device\USBPDO-1 8A5151F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A6131F8
Device \Driver\dmio \Device\DmControl\DmConfig 8A6131F8
Device \Driver\dmio \Device\DmControl\DmPnP 8A6131F8
Device \Driver\dmio \Device\DmControl\DmInfo 8A6131F8
AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
Device \Driver\Ftdisk \Device\HarddiskVolume1 8A6871F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 8A6871F8
Device \Driver\Cdrom \Device\CdRom0 8A4EC1F8
Device \Driver\Ftdisk \Device\HarddiskVolume3 8A6871F8
Device \Driver\Cdrom \Device\CdRom1 8A4EC1F8
Device \Driver\sptd \Device\2723095768 spvu.sys
Device \Driver\Ftdisk \Device\HarddiskVolume4 8A6871F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 89B6E1F8
Device \Driver\NetBT \Device\NetbiosSmb 89B6E1F8
Device \Driver\PCI_PNP7018 \Device\0000004c spvu.sys
AttachedDevice \Driver\Tcpip \Device\Udp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
AttachedDevice \Driver\Tcpip \Device\RawIp epfwtdi.sys (ESET Personal Firewall TDI filter/ESET)
Device \Driver\usbohci \Device\USBFDO-0 8A5161F8
Device \Driver\usbehci \Device\USBFDO-1 8A5151F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{98EFECA5-DAEF-4CC0-8D23-DB4660008CE7} 89B6E1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 89B501F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 89B501F8
Device \Driver\Ftdisk \Device\FtControl 8A6871F8
Device \Driver\a3lylt24 \Device\Scsi\a3lylt241Port3Path0Target0Lun0 8A4DF500
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path3Target3Lun0 8A6121F8
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path1Target1Lun0 8A6121F8
Device \Driver\nvgts \Device\Scsi\nvgts1 8A6121F8
Device \Driver\nvgts \Device\Scsi\nvgts1Port2Path2Target2Lun0 8A6121F8
Device \Driver\a3lylt24 \Device\Scsi\a3lylt241 8A4DF500
Device \FileSystem\Cdfs \Cdfs 89B07500
---- Services - GMER 1.0.15 ----
Service system32\drivers\rotscxowflovre.sys (*** hidden *** ) [SYSTEM] rotscxxextiqxh <-- ROOTKIT !!!
---- Registry - GMER 1.0.15 ----
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@start 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@group file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh@imagepath \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main@aid 10438
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main@sid 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main@cmddelay 14400
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\delete
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\injector
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\injector@* rotscxwsp.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\main\tasks
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxrk.sys \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxcmd.dll \systemroot\system32\rotscxrxoowqbu.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxlog.dat \systemroot\system32\rotscxpokbdecf.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscxwsp.dll \systemroot\system32\rotscxmqwnvjko.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\rotscxxextiqxh\modules@rotscx.dat \systemroot\system32\rotscxodulklrk.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xD1 0x0C 0xE3 0x5B ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5C 0xE3 0x90 0x89 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0D 0xA3 0xB0 0x6A ...
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@start 1
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@type 1
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@group file system
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh@imagepath \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main@aid 10438
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main@sid 0
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main@cmddelay 14400
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\delete (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\injector (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\injector@* rotscxwsp.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\main\tasks (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxrk.sys \systemroot\system32\drivers\rotscxowflovre.sys
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxcmd.dll \systemroot\system32\rotscxrxoowqbu.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxlog.dat \systemroot\system32\rotscxpokbdecf.dat
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscxwsp.dll \systemroot\system32\rotscxmqwnvjko.dll
Reg HKLM\SYSTEM\ControlSet002\Services\rotscxxextiqxh\modules@rotscx.dat \systemroot\system32\rotscxodulklrk.dat
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0xD1 0x0C 0xE3 0x5B ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@p0 d:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x5C 0xE3 0x90 0x89 ...
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x0D 0xA3 0xB0 0x6A ...
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@AppInit_DLLs
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@DeviceNotSelectedTimeout 15
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@GDIProcessHandleQuota 10000
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@Spooler yes
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@swapdisk
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@TransmissionRetryTimeout 90
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows@USERProcessHandleQuota 10000
---- EOF - GMER 1.0.15 ----
J'ai peut être sauter des étapes, mais suis prêt à suivre vos conseils, n'ayant pas du tout envie de me retaper une install d'XP
Merci
Autres pages sur : infection rootkit agent odg
Lassé par la pub ? Créez un compte
Merci pour vos réponses,
en effet le problème était déjà traité, vraiment une saloperie ces rootkits... j'ai plus ou moins réussi à nettoyer avec "malware byte" si je me souviens bien, mais il reste des problèmes comme l'imposibilité d'ouvrir une invite de commande. Je peux même pas réparer windows car j'ai une version light que j'utilise juste pour les jeux. Je m'oriente donc vers une réinstallation d'xp... youpiii![:sweat:]( ":sweat:")
en effet le problème était déjà traité, vraiment une saloperie ces rootkits... j'ai plus ou moins réussi à nettoyer avec "malware byte" si je me souviens bien, mais il reste des problèmes comme l'imposibilité d'ouvrir une invite de commande. Je peux même pas réparer windows car j'ai une version light que j'utilise juste pour les jeux. Je m'oriente donc vers une réinstallation d'xp... youpiii
Certain problème peuvent ce réglé avec le logiciel suivant:
Voici les éléments qui peuvent être restaurés :
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
Citation :
Télécharger: Zeb-Restore 2000/XP seulement: ftp://zebulon.fr/Zeb-Restore.zipVoici les éléments qui peuvent être restaurés :
- RegEdit : réactive l'accès à RegEdit
- Clés RUN : réactive le lancement de programmes par clés RunXXX
- Bouton Arrêter : rétablit le bouton Arrêter
- Windows Update : rétablit la fonction Windows Update
- Gestionnaire des tâches : réactive le gestionnaire des tâches
- Panneau de configuration : réactive le Panneau de configuration
- Ajout/Suppression de programmes : restaure la fonction Ajout-Suppression de programmes
- Policies : remet en place des éléments désactivés par "Policies"
- Bureau : réactive le bureau
- Réparation IE : répare Internet Exploreur (pages de recherche)
- Extension des fichiers : répare les extensions des fichiers .exe .bat .reg .pif .cmd .scr .com
- Sites de confiance et sensibles : efface le contenu de ces zones (à utiliser si vous êtes infecté par des malwares)
- Préfixes et Protocoles Internet : restore les clés des protocoles Internet (ZoneMap etc.)
- Réinitialiser Fichier Hosts : réinitialise le fichier Hosts
J'ai essayé ton logiciel il n'a pas su régler le problème.
L'invite de commande ne veut toujours pas s'ouvrir, elle se ferme en 1/10 de seconde.
Les logiciels qui utilisent l'invite de commande sont apparemment affectés par ce problème, exemple : ComboFix dont tu parles dans le post sur le même sujet se charge, puis rien ne se passe.
J'ai vérifié mes variables d'environnement, rien de ce coté la.
Je n'ai l'invite de commande qu'en exécutant command.com.
Merci quand-même pour ton aide.
L'invite de commande ne veut toujours pas s'ouvrir, elle se ferme en 1/10 de seconde.
Les logiciels qui utilisent l'invite de commande sont apparemment affectés par ce problème, exemple : ComboFix dont tu parles dans le post sur le même sujet se charge, puis rien ne se passe.
J'ai vérifié mes variables d'environnement, rien de ce coté la.
Je n'ai l'invite de commande qu'en exécutant command.com.
Merci quand-même pour ton aide.
Faire un log Hijackthis en le renommant Scann.exe et me copier/coller le log:
Téléchargement de Trend Micro Hijack This et l'installer dans C:\Program Files\Trend Micro\HijackThis
http://www.trendsecure.com/portal/en-US/_download/HJTIn...
Téléchargement de Trend Micro Hijack This et l'installer dans C:\Program Files\Trend Micro\HijackThis
http://www.trendsecure.com/portal/en-US/_download/HJTIn...
Lassé par la pub ? Créez un compte
- Contenus similaires :
