Votre question

rootkit identifié - comment le supprimer? résolu

Tags :
  • Rootkit
  • Sécurité
Dernière réponse : dans Sécurité et virus
25 Avril 2006 23:42:27

Blaxklight m'a identifié semble t'il un rootkit mais apparemment il ne le renomme pas ni le supprime!
il est intitulé: unknown pid 3984.

Comment faire? :-(

Merci d'une aide la plus rapide possible svp.

Autres pages sur : rootkit identifie supprimer resolu

26 Avril 2006 14:41:17

personne ne peut m'aider pour ce problème svp? :-(
26 Avril 2006 14:45:00

Salut,

Poste un log HijackThis.

Télécharge le, puis met le dans un dossier dédié (exemple : ..\Bureau\Hijackthis\Hijackthis.exe ).
Ensuite, lance le, appuie sur Do a system scan a save a logfile, et donne nous le résultat du scan

www.infos-du-net.com/telecharger/HijackThis.html
Contenus similaires
26 Avril 2006 14:49:44

Bonjour,
merci de m'avoir répondu.
Voici le log:
Logfile of HijackThis v1.99.1
Scan saved at 14:48:32, on 26/04/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
C:\WINDOWS\System32\dllhost.exe
C:\Program Files\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
C:\HP\KBD\KBD.EXE
C:\Program Files\Soft4Ever\looknstop\looknstop.exe
C:\Program Files\Softwin\BitDefender9\bdoesrv.exe
C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Program Files\Microsoft Hardware\Mouse\POINT32.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Program Files\Wanadoo\EspaceWanadoo.exe
C:\Program Files\Wanadoo\ComComp.exe
C:\Program Files\Wanadoo\Watch.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe
C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe
C:\Program Files\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Propriétaire\Mes documents\moi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Wanadoo
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [EPSON PictureMate] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0P1.EXE /P17 "EPSON PictureMate" /O5 "LPT1:" /M "PictureMate"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [Look 'n' Stop] "C:\Program Files\Soft4Ever\looknstop\looknstop.exe" -auto
O4 - HKLM\..\Run: [BDOESRV] "C:\Program Files\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [SpySweeper] "C:\Program Files\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKCU\..\RunOnce: [Index Washer] C:\Program Files\Webroot\Washer\WashIdx.exe "Propriétaire"
O16 - DPF: teleir_cert - https://static.ir.dgi.minefi.gouv.fr/secure/connexion/a...
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinsta...
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab281...
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls...
O16 - DPF: {6E2D6932-3885-4FA2-8DD4-DB63FFE33797} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Ap...
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Contro...
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClie...
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdown...
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9EA61873-8A6D-47A6-BCC6-B0493056B313}: NameServer = 80.10.246.130 80.10.246.3
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: APC UPS Service - American Power Conversion Corporation - C:\Program Files\APC\APC PowerChute Personal Edition\mainserv.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Program Files\ewido anti-malware\ewidoctrl.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Program Files\Ahead\InCD\InCDsrv.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ql1wsntuwwm - Sonic Solutions - (no file)
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program Files\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Program Files\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Washer Security Access (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Program Files\Fichiers communs\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

qu'en penses-tu?
26 Avril 2006 15:19:40

re!
Voici ce que me donne panda mais je me demande s'il n'y a pas eu un pb dans la connexion avec panda:
Incident Statut Analyse

Spyware:Cookie/Xiti No Désinfecté C:\Documents and Settings\pierrick\Application Data\Mozilla\Firefox\Profiles\dts53eoj.default\cookies.txt[.xiti.com/]
Merci de tes lumières! ;-)
26 Avril 2006 15:26:55

Re,

Essaie chez Kaspersky :

http://webscanner.kaspersky.fr/

Ps : ca m'etonnerais mais Blaxklight ne ta pas donné le chemin d'accés du rootkit ?
26 Avril 2006 15:31:27

Non blacklight ne me l'a pas donné...voici ce que me disaitRootkitReveal :

HKLM\S-1-5-21-2703944788-3364022493-855636203-1003\RemoteAccess\InternetProfile 25/08/2004 19:31 9 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 26/04/2006 00:50 80 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory 26/04/2006 00:11 186 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit 26/04/2006 00:11 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath 26/04/2006 00:11 200 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CacheLimit 26/04/2006 00:11 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath 26/04/2006 00:11 200 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CacheLimit 26/04/2006 00:11 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath 26/04/2006 00:11 200 bytes Windows API length not consistent with raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CacheLimit 26/04/2006 00:11 4 bytes Data mismatch between Windows API and raw hive data.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath 26/04/2006 00:11 200 bytes Windows API length not consistent with raw hive data.
C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\Y7UJ6TYR\search[1].: 15/04/2003 23:47 20.37 KB Hidden from Windows API.
C:\Program Files\Jeux classiques\Chess\bmp\ Wanadoo_IGChess_fond.bm_ 09/02/1662 04:50 665.21 KB Visible in Windows API, but not in MFT or directory index.
C:\Program Files\Jeux classiques\Chess\bmp\ WANADOO_IGChessPlt.bm_ 09/02/1662 04:50 379.74 KB Visible in Windows API, but not in MFT or directory index.
C:\Program Files\Jeux classiques\Chess\bmp\Wanadoo_IGChess_fond.bm_ 08/05/11292 01:48 665.21 KB Hidden from Windows API.
C:\Program Files\Jeux classiques\Chess\bmp\WANADOO_IGChessPlt.bm_ 21/10/11232 19:58 379.74 KB Hidden from Windows API.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb 26/04/2006 00:52 64.00 KB Visible in Windows API, but not in MFT or directory index.
D: 01/01/1601 02:00 0 bytes Error mounting volume

Si je fais un scan sur kaperski faut-il que je désactive bit defender pendant l'analyse?

A +
26 Avril 2006 16:05:03

Re,

Non non ne desactive pas bitdefender
26 Avril 2006 16:19:58

:-( Impossible de faire le san de kaspersky, à chaque fois je dois autoriser un active x qui me renvoie tjrs àa la page j'accepte...pourtant je m'étais connecté avec ie
dur dur!
que faire de mieux?
26 Avril 2006 16:54:16

je viens de rescanner avec blacklight qui cette fois-ci ne me trouve plus rien!..je vais peut-etre considérer le problème comme étant résolu...à moins que toutes mes sécurités soient complètement détournées? je commence à devenir parano! ;-)
merci en tout cas de ton aide :amis:
Comment fait-on au juste pour rajouter résolu dans le sujet si tu sais? merci d'avance à +
26 Avril 2006 17:03:48

Re,

Tu vas sur ton 1er post tu klikes sur Editer et tu met RESOLU au sujet
28 Mai 2008 04:10:06

bonsoir Sham ,

j'ai ésseilé mais il me dise a chaque fois " votre sujet doit avoir un titre et je ne voie pas ou je doit le m'etre ?? c est pour sa que je me suis permis de m'etre sa la malgré que sa ne soit pas trés correcte dsl !!
28 Mai 2008 11:43:27

re
pour le titre, regarde cette image, deuxième ligne à partir du haut: dans cet exemple le titre est Pubs Intempestives.
Tom's guide dans le monde
  • Allemagne
  • Italie
  • Irlande
  • Royaume Uni
  • Etats Unis
Suivre Tom's Guide
Inscrivez-vous à la Newsletter
  • ajouter à twitter
  • ajouter à facebook
  • ajouter un flux RSS