Problème avec un rootkit au dèmarrage de Windows :

Logiciel & apps Logiciel Général
1

Bonjour à tous

Alors voila j’ai malwarebytes’ anti-malware version payantes à jours .

Et au dèmarrage de Windows xp après la page de bienvenu il me dètecte un Rootkit Goldun dans le dossier : c:\windows\system32\sfc.dll et puis l’ècran se fige sur le message de malwarebytes’ anti-malware avec ignorer ou Quarentaine . Le curseur de la souris bouge mais impossible de sèlèctionne quelque chose et même le gestionnaire de tâche ne veux pas apparaitre donc reboot manuellement et sa me refait exactement la même chose

Mais pendant l’analyser de malwarebytes’ anti-malware il ne me dètècte rien et Avira version payante et à jour de me dèctècte rien non plus .
Edité le 03/06/2009 à 17:45

2
  1. Que me conseillez vous de faire ?
3

www.clubic.com… passe un coup de cela pour voir :jap:

4

J’ai eu ce matin le même problème que toi.
Pour ma part, j’ai redémarré mon P C en
Mode Sans-Echec avec prise en charge du réseau.
Puis fait une mise à jour de Malwarebytes, bien sur après cette mise à jour j’ai lancé un examen complet, rien trouvé, puis j’ai regardé dans protection et me suis aperçu que le module de protection était désactivé, j’ai donc réactivé, et j’ai redémarré le P C en mode normal, depuis tout à l’air parfait.
J’espère que pour toi ce sera pareil.

5

J’ai essayer de dèsactiver la protection qui dèmarre au dèmarrage de windows puis je l’est rèactiver après avoir redèmarrer .

Et depuis j’ai redèmarrer 2 fois et plus aucun messages .

Ccleaner essayer aucun rèsultat .

Pour vous c’etait un bug ou le Rootkit est toiujour prèsent ?
Edité le 03/06/2009 à 22:39

6

difficile à dire, faut faire une analyse complete

7

Topic qui concerne plutôt la section logiciel, je déplace. :jap:

8

Salut

Trojan Goldun/Haxdoor/Backdoor.

Extrait

Face à une telle infection, il est fortement conseillé de formater le disque dur et de réinstaller Windows afin de t’assurer d’avoir une bécane propre. Tu devrais également contacter ton institution bancaire et leur expliquer que tu as été infecté et que quelqu’un a eu accès à tes informations perso (# de comptes, # de carte de crédit). Ne pas refaire de transactions en ligne via cet ordi avant de le nettoyer.

9

essayez Rogue Remover

10

Salut

Une fois installé, le rootkit est le maître du système et peut faire ce pour quoi il a été programmé comme :

  • Ouvrir un accès aux pirates(port ouvert)
  • Transformer l’ordinateur en machine à envoyer des spams et ceci à l’insu du firewall
  • Désactiver/supprimer les antivirus/firewall, c’est par exemple le cas de : Win32.Bagle

Maintenant que font les rootkits

Ils vont tout simplement altérer la table SSDT (hook) afin de rediriger les appels systèmes non plus vers les API Windows mais vers leurs “propres API” afin de fausser le résultat.
Dès lors, lorsque vous désirez lister les processus en cours… Windows va toujours regarder la table SSDT mais l’adresse de l’API a été modifiée par le rootkit et pointe maintenant vers son code, le rootkit n’a plus qu’à renvoyer la liste des processus SAUF le sien. Il est maintenant invisible.

De même pour les fichiers dans le répertoire etc…

Tant que le rootkit est actif, les fichiers ne seront pas visibles et non détectés par l’antivirus, une fois le mécanisme désactivé, les fichiers deviennent visible et l’antivirus peut faire son travail.

Si tu n veux pas Formater qui aurai etait plus sage et je ne le conseille qu en dernier mais c est une Peste

essayes GMER

==>GMER est indéniablement l’un des meilleurs scanneurs rootkits ==>

détecte et supprime les rootkits.

détecte et supprime les rootkits.

Il analyse pour: Il analyse pour:

Processus cachés processus cachés

Hidden threads fils caché

Hidden modules modules cachés

Hidden services les services cachés

Les fichiers cachés les fichiers cachés

Hidden Alternate Data Streams Alternate Data Streams cachés

Hidden caché les clés de registre clés de registre

Drivers SSDT hooking drivers hooking SSDT

Drivers pilotes accrochage accrochage IDT IDT

Drivers accrochage IRP appels drivers hooking demande IRP

Inline hooks inline hooks

Bon Courage

Lien de GMER==>[GMER.exe](http://www.gmer.net/) :hello:
11

Voila un Tuto GMER==>GMER

et si tu y arrives poste un log hijackthis

12

:hello:cricri58, moi je dis :clap:

13

Bonjour à tous.
Quelqu’un pourait-il me dire si de mon côté tout est ok.
D’avance je vous en remercie.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:52:19, on 04/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16827)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Malwarebytes’ Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\IncrediMail\bin\IMApp.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Malwarebytes’ Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.fr…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com…
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com…
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com…
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Programme d’aide de l’Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM…\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM…\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM…\Run: [nwiz] nwiz.exe /install
O4 - HKLM…\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM…\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM…\Run: [LogitechCommunicationsManager] “C:\Program Files\Fichiers communs\LogiShrd\LComMgr\Communications_Helper.exe”
O4 - HKLM…\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM…\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM…\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM…\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM…\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM…\Run: [SunJavaUpdateSched] “C:\Program Files\Java\jre6\bin\jusched.exe”
O4 - HKLM…\Run: [TkBellExe] “C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe” -osboot
O4 - HKLM…\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM…\Run: [Malwarebytes’ Anti-Malware] “C:\Program Files\Malwarebytes’ Anti-Malware\mbamgui.exe” /starttray
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [IncrediMail] C:\Program Files\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE LOCAL’)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SERVICE RÉSEAU’)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘SYSTEM’)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‘Default user’)
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\Program Files\IncrediMail\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE…
O8 - Extra context menu item: Traduire cette page - C:\WINDOWS\web\powertoy.htm
O9 - Extra button: Recherche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O16 - DPF: Garmin Internet Explorer Plug-In - my.garmin.com…
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - www.update.microsoft.com…
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - fpdownload2.macromedia.com…
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program Files\Fichiers communs\LogiShrd\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Fichiers communs\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes’ Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe


End of file - 7353 bytes

14

Salut Browninga15

ouvres ton Topic a toi sinon personne ne s y retrouve
ouvre ton Topic a partir de la petite fenêtre en age d Acceuil de Clubic==> “Probleme Technique”==>logiciel Général
pose ta question et colle un nouveau rapport hijackthis dedans

15

Bonjour Cricri58.
je ne vois pas pourquoi ouvrir un autre topic étant donné que dans ce topic j’ai répondu a Turbo92 ( le3 juin, 18h47 ) car j’ai eu le même problème qui lui, je lui ai répondu comment j’avais résolu mon problème.
Par la même occasion, je répond aussi à la question, si le rootkit est toujours présent ou si c’était un bug.
Mon idée est que je crois que ce devait-être un bug de Malwarebytes, car en plus hier dans le rapport de scan que Malwarebytes nous à rendu nous avions sur la France,quelques centaines de personnes et moi même à avoir le même résultat; des faux positifs.
forum.pcastuces.com…

Donc j’ai posté le rapport Hijackthis dans ce topic en ayant espoir que quelqu’un me rende la copie positive ou négative.
Cordialement.

16

Oui le fait de répondre ne veut pas dire que tu puisse poser ta question ici=>car si turbo92 décide de lancr une éventuelle désinfection
imagine toi que si chacun pose une question ou poste un rapport et que nous devons commencer a fouiller dans toutes les réponses et que nous sommes peu en désinfection /Clubic
Simple à comprendre

Mise à part ceci ==>Pas d infection apparente dans ton Log
Tu peux éventuellement installer le SP3
tu as des processus inutiles au démarrage ex: Incredimail,Néro…
et des lignes superflues a fixer avec Hijackthis

:hello:

17

Merci pour ta réponse Cricri58.
je n’ai pas pensé un seul instant quavec mon post je pouvais éventuellement perturber le topic, veuillez tous m’en excuser.

finalement pour l’instant tout fonctionne admirablement, donc l’om va rester avec cette configuration.
Cordialement.

18

Pas de soucis tu le comprends et ouvruir ton Topic ne te coûte ==> 0 €

au cas ou en page d accuil a partir de cette fenêtre

==>http://i40.tinypic.com/353csr9.png

ou plus haut ==>http://i41.tinypic.com/9ad7wp.png

:hello:

19

Re

Browninga15==>j ai oublié ==> tu pourras également installer un Firewall car celui deXP ne vaut pas grand Chose

Oupost Firewall 2009==>Outpost Firewall Free certes en Anglais mais bien

ou

Commodo Internet Security ==>Comodo Firewall

en Français

Comme tu as déja un Antivirus décoches la case d installation de l antivirus de COMMODO
et aussi

Ces trois cases ==>http://i44.tinypic.com/11llxyr.png

ou Online Armor Free V3 Français