Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...)

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...)

Message par zOOx » 03 juil. 2010 19:45

Bonjour à toute l'équipe du forum Malekal :)

Pour faire simple et succint je vais tout d'abord résumer "dans le temps" la suite des événements.
- 24 février 2010 : Je perds ma connexion internet, l'ordi n'est pas vérolé (en me basant sur ce que j'en sais ;-)
- 19 avril 2010 : Ma femme branche sa clef USB. Avira Antivir - qui n'était donc plus à jour depuis 1 mois et demi env. - s'énerve et met en quarantaine deux fichiers !
Je n'ai malheureusement plus les rapports, mais voici deux copie-écran des propriétés de fichiers mis en quarantaine ainsi que les infos "base de connaissance antivir" associées aux liens :

Image

Image

[INFOS BASE DE CONNAISSANCE DES MALWARES ANTIVIR par Liens de l'antivirus]
Nom:
DR/Delphi.Gen
La date de la découverte: 22/08/2006
Type: Dropper
En circulation: Oui
Infections signalées Faible
Potentiel de distribution: Faible
Potentiel de destruction: Faible
Fichier statique: Non
Version du moteur de scan: 7.01.01.05

Effets secondaires:
• Il crée des fichiers malveillants
-----------------------------------
Nom:
TR/Autorun.TE.4

RIEN DU TOUT :(
(alors qu'il le détecte et l'a mis en quarantaine...)


Sur le coup je pense (ou espère) que tout va bien. Mais très vite je m'aperçois qu'il n'en est rien ! Un nouveau processus apparaît alors que je n'ai rien installé ; il semble que le/les malwares de la clef USB ne se soient pas gênés eux :/
J'arrive néanmoins à le tuer avec ProcessExplorer. Il s'appelle CSRCS.EXE (un processus dont je trouve assez peu d'infos évidentes, mais j'ai lu qu'Angelique disait de celui-ci "S'il s'écrit bien comme ça, ça pue" :D )

- Je compte m'en occuper avant de retrouver une connexion et puis... J'oublie... :/
- 01.07.2010 : Je suis de nouveau connecté! Ma mémoire me revient en même temps et tout d'abord j'ouvre ProcessExplorer et là, je vois que ça lui plaît bien, il est vraiment hyperactif ce ptit choze là :

Image
Je suis bien sûr en train de faire les MàJ diverses, PSI étant là pour m'aider à n'en pas louper quand à TrendMicro RuBotted, c'était pour voir m'enfin bon ça n'a servi vraiment à rien du tout Blue_PDT_01_20

Et je m'aperçois en faisant une 2e copie écran que - très furtivement - un process "parent" de CSRCS.EXE s'affiche. Je n'avais jusqu'alors pas eu le temps de le voir... Et donc "papa" s'appelle : CFTM.EXE
Image

BREF PAS LE CHOIX, JE VIENS CHERCHER DES INFOS ICI.
Je fais déjà un scan HijackThis! Et par acquis de conscience je passe aussi GMER après pris le dernier.
Et bin oui il y a bien des "choses" que je lis dans le rapport HijackThis! que je n'avais jamais vu avant sur mon ordi et GMER me dit ça à la fin du scan :
Image
(wui je sais, j'aime bien faire des copies écran ;-))

- Le 3 juillet 2010 : J'aurais aimé nettoyer tout ça tout seul, mais je ne me sens pas assez calé pour être certain de tout bien nettoyer ; je n'ai donc encore rien fait à part télécharger ComboFiX (SUR mon bureau :D) et préparé ce message hier - en souhaitant qu'il n'était pas abusé d'avoir mis toutes ces copies-écran ! (ni d'avoir osé écrire "succint" au début de ce POST!)
Et parce que j'imagine que l'on va me le demander, je poste ci-après les logs HijackThis! et GMER. Pas encore fait ComboFiX, j'attends de voir si vous me le demandez...
D'avance, merzi bocou :)

LOG HIJACKTHIS: (refait aujourd'hui en fait...)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:23:22, on 03/07/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\PROGRAM FILES\PROCESSEXPLORER\PROCEXP.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.fr
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program Files\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [nTrayFw] C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nTrayFw.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [TMRUBottedTray] "C:\Program Files\Trend Micro\RUBotted\TMRUBottedTray.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\PROGRA~1\WI1F86~1\MESSEN~1\msnmsgr.exe" /background
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O15 - ESC Trusted Zone: http://*.update.microsoft.com
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w3/resources/MSNPUpld.cab
O23 - Service: Avira AntiVir Planificateur (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Fichiers communs\Nero\Lib\NMIndexingService.exe
O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA - C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro RUBotted Service (RUBotted) - Trend Micro Inc. - C:\Program Files\Trend Micro\RUBotted\TMRUBotted.exe

--
End of file - 6613 bytes
--------------------------

LOG GMER :
Votre message contient 67863 caractères. Le nombre maximal de caractères autorisé est 60000.
Ha ben non finalement, ce sera dans un prochain post :D


Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:


Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 03 juil. 2010 19:52

Que voilà :

LOG GMER (j'ai baissé la taille du texte pour un visuel plus facile. Mais est-ce une bonne idée? :s):
[EDIT] : Sinon le voici au format RTF: http://www.cijoint.fr/cjlink.php?file=c ... lBBdUh.rtf

GMER 1.0.15.15281 - http://www.gmer.net
Rootkit scan 2010-07-02 16:05:59
Windows 5.1.2600 Service Pack 3
Running: 80b4y2fs.exe; Driver: C:\DOCUME~1\XXXX\LOCALS~1\Temp\axrcipow.sys


---- System - GMER 1.0.15 ----

SSDT F7A63436 ZwCreateKey
SSDT F7A6342C ZwCreateThread
SSDT F7A6343B ZwDeleteKey
SSDT F7A63445 ZwDeleteValueKey
SSDT spbe.sys ZwEnumerateKey [0xF72A5CA2]
SSDT spbe.sys ZwEnumerateValueKey [0xF72A6030]
SSDT F7A6344A ZwLoadKey
SSDT spbe.sys ZwOpenKey [0xF72870C0]
SSDT F7A63418 ZwOpenProcess
SSDT F7A6341D ZwOpenThread
SSDT spbe.sys ZwQueryKey [0xF72A6108]
SSDT spbe.sys ZwQueryValueKey [0xF72A5F88]
SSDT F7A63454 ZwReplaceKey
SSDT F7A6344F ZwRestoreKey
SSDT F7A63440 ZwSetValueKey
SSDT F7A63427 ZwTerminateProcess

INT 0x62 ? 865DEBF8
INT 0x63 ? 863FBBF8
INT 0x73 ? 865DEBF8
INT 0x82 ? 865DEBF8
INT 0x83 ? 865DEBF8
INT 0xB4 ? 863FBBF8

---- Kernel code sections - GMER 1.0.15 ----

? spbe.sys Le fichier spécifié est introuvable. !
.text USBPORT.SYS!DllUnload F70478AC 5 Bytes JMP 863FB1D8
init C:\WINDOWS\system32\drivers\nvax.sys entry point in "init" section [0xF75D0A0C]
.text C:\WINDOWS\system32\DRIVERS\nv4_mini.sys section is writeable [0xF69BF360, 0x32DEFD, 0xE8000020]
.text alpn8uq9.SYS F6975386 35 Bytes [00, 00, 00, 00, 00, 00, 20, ...]
.text alpn8uq9.SYS F69753AA 24 Bytes [00, 00, 00, 00, 00, 00, 00, ...]
.text alpn8uq9.SYS F69753C4 3 Bytes [00, 70, 02] {ADD [EAX+0x2], DH}
.text alpn8uq9.SYS F69753C9 1 Byte [2E]
.text alpn8uq9.SYS F69753C9 11 Bytes [2E, 00, 00, 00, 5C, 02, 00, ...] {ADD CS:[EAX], AL; ADD [EDX+EAX+0x0], BL; ADD [EAX], AL; ADD [EAX], AL}
.text ...
? C:\WINDOWS\system32\Drivers\PROCEXP113.SYS Le fichier spécifié est introuvable. !
? C:\DOCUME~1\XXXX\LOCALS~1\Temp\aujasnkj.sys Le fichier spécifié est introuvable. !
? C:\DOCUME~1\XXXX\LOCALS~1\Temp\axrcipow.sys Le fichier spécifié est introuvable. !

---- User code sections - GMER 1.0.15 ----

.text C:\Program Files\Mozilla Firefox\firefox.exe[4036] ntdll.dll!LdrLoadDll 7C9263C3 5 Bytes JMP 004013F0 C:\Program Files\Mozilla Firefox\firefox.exe (Firefox/Mozilla Corporation)

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7288040] spbe.sys
IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F728813C] spbe.sys
IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F72880BE] spbe.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F72887FC] spbe.sys
IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F72886D2] spbe.sys
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!KfAcquireSpinLock] 4B8BDF8B
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!READ_PORT_UCHAR] 8D3F0304
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!KeGetCurrentIrql] CB033043
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!KfRaiseIrql] 0673C13B
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!KfLowerIrql] C13B0003
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!HalGetInterruptVector] 8366FA72
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!HalTranslateBusAddress] 75000E7B
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!KeStallExecutionProcessor] 0B7D80E3
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!KfReleaseSpinLock] 307B8D00
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!READ_PORT_BUFFER_USHORT] 00AA840F
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!READ_PORT_USHORT] 83660000
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!WRITE_PORT_BUFFER_USHORT] 6A000E7A
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[HAL.dll!WRITE_PORT_UCHAR] C6647400
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[WMILIB.SYS!WmiSystemControl] 4F8B0200
IAT \SystemRoot\System32\Drivers\alpn8uq9.SYS[WMILIB.SYS!WmiCompleteRequest] 968D5140
IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F7298048] spbe.sys

---- Devices - GMER 1.0.15 ----

Device \FileSystem\Ntfs \Ntfs 865DD1F8
Device \Driver\usbohci \Device\USBPDO-0 864AD1F8
Device \Driver\dmio \Device\DmControl\DmIoDaemon 865DF1F8
Device \Driver\dmio \Device\DmControl\DmConfig 865DF1F8
Device \Driver\dmio \Device\DmControl\DmPnP 865DF1F8
Device \Driver\dmio \Device\DmControl\DmInfo 865DF1F8
Device \Driver\usbehci \Device\USBPDO-1 864AE500
Device \Driver\PCI_PNP8152 \Device\00000046 spbe.sys
Device \Driver\Ftdisk \Device\HarddiskVolume1 865741F8
Device \Driver\Ftdisk \Device\HarddiskVolume2 865741F8
Device \Driver\Cdrom \Device\CdRom0 8647F500
Device \Driver\Ftdisk \Device\HarddiskVolume3 865741F8
Device \Driver\Cdrom \Device\CdRom1 8647F500
Device \Driver\nvata \Device\00000068 865DE1F8
Device \Driver\NetBT \Device\NetBT_Tcpip_{F36B8767-B089-4D99-9239-9F66916CA333} 856031F8
Device \Driver\nvata \Device\00000069 865DE1F8
Device \Driver\NetBT \Device\NetBt_Wins_Export 856031F8
Device \Driver\sptd \Device\529863152 spbe.sys
Device \Driver\NetBT \Device\NetbiosSmb 856031F8
Device \Driver\nvata \Device\0000006b 865DE1F8
Device \Driver\usbohci \Device\USBFDO-0 864AD1F8
Device \Driver\usbehci \Device\USBFDO-1 864AE500
Device \Driver\nvata \Device\NvAta0 865DE1F8
Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8560F1F8
Device \Driver\nvata \Device\NvAta1 865DE1F8
Device \FileSystem\MRxSmb \Device\LanmanRedirector 8560F1F8
Device \Driver\nvata \Device\NvAta2 865DE1F8
Device \Driver\Ftdisk \Device\FtControl 865741F8
Device \Driver\alpn8uq9 \Device\Scsi\alpn8uq91 8647E500
Device \FileSystem\Cdfs \Cdfs 855E21F8

---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\tlntsvr.exe (*** hidden *** ) [DISABLED] TlntSvr <-- ROOTKIT !!!

---- Registry - GMER 1.0.15 ----

Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg@Description Serveur de Registre
Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths
Reg HKLM\SYSTEM\CurrentControlSet\Control\SecurePipeServers\winreg\AllowedPaths@Machine System\CurrentControlSet\Control\ProductOptions?System\CurrentControlSet\Control\Print\Printers?System\CurrentControlSet\Control\Server Applications?System\CurrentControlSet\Services\Eventlog?Software\Microsoft\OLAP Server?Software\Microsoft\Windows NT\CurrentVersion?System\CurrentControlSet\Control\ContentIndex?System\CurrentControlSet\Control\Terminal Server?System\CurrentControlSet\Control\Terminal Server\UserConfig?System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration?
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@DisplayNameFile %SystemRoot%\System32\els.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@DisplayNameID 257
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@File %SystemRoot%\System32\config\SecEvent.Evt
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@MaxSize 524288
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@PrimaryModule Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@Retention 604800
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@Sources Spooler?ServiceModel 3.0.0.0?Security Account Manager?SC Manager?NetDDE Object?LSA?DS?Security?
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security@RestrictGuestAccess 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\DS\ObjectNames@Directory Service Object 7680
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@PolicyObject 5632
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@SecretObject 5648
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@TrustedDomainObject 5664
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\LSA\ObjectNames@UserAccountObject 5680
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\NetDDE Object\ObjectNames@DDE Share 7424
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager\ObjectNames@SC_MANAGER Object 7168
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\SC Manager\ObjectNames@SERVICE Object 7184
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@CategoryCount 9
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@GuidMessageFile %SystemRoot%\System32\NtMarta.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@EventMessageFile %SystemRoot%\System32\MsAuditE.dll;%SystemRoot%\System32\xpsp2res.dll;%SystemRoot%\System32\xpsp3res.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security@TypesSupported 28
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Channel 5120
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Desktop 6672
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Device 4352
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Directory 4368
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Event 4384
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@EventPair 4400
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@File 4416
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@IoCompletion 4864
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Job 5136
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Key 4432
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@MailSlot 4416
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Mutant 4448
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@NamedPipe 4416
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Port 4464
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Process 4480
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Profile 4496
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Section 4512
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Semaphore 4528
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@SymbolicLink 4544
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Thread 4560
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Timer 4576
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Token 4592
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@Type 4608
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@WaitablePort 4464
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security\ObjectNames@WindowStation 6656
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_ALIAS 5424
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_DOMAIN 5392
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_GROUP 5408
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_SERVER 5376
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_USER 5440
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@TypesSupported 31
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryCount 3
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@ParameterMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventSourceFlags 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames@Document 6944
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames@Printer 6928
Reg HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Security\Spooler\ObjectNames@Server 6912
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xDD 0x9E 0x72 0xF9 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCD 0x4D 0x6E 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40
Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x5C 0x3B 0x83 0xEA ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@Type 16
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@Start 4
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@ErrorControl 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@ImagePath C:\WINDOWS\system32\tlntsvr.exe
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@DisplayName Telnet
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@DependOnService RPCSS?TCPIP?NTLMSSP?
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@DependOnGroup
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@ObjectName LocalSystem
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr@Description Permet ? un utilisateur distant de se connecter au syst?me et d'ex?cuter des programmes, et prend en charge divers clients Telnet TCP/IP dont les ordinateurs sous UNIX et sous Windows. Si ce service est arr?t?, l'utilisateur peut ne plus avoir acc?s ? distance aux programmes. Si ce service est d?sactiv?, les services qui en d?pendent explicitement ne pourront pas d?marrer.
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Security
Reg HKLM\SYSTEM\CurrentControlSet\Services\TlntSvr\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Library C:\WINDOWS\system32\wbem\wmiaprpl.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Open WmiOpenPerfData
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Collect WmiCollectPerfData
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Close WmiClosePerfData
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Counter 6556
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Last Help 6557
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Counter 6552
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@First Help 6553
Reg HKLM\SYSTEM\CurrentControlSet\Services\WmiApRpl\Performance@Object List 6552 6552
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\winreg@Description Serveur de Registre
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\winreg\AllowedPaths (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Control\SecurePipeServers\winreg\AllowedPaths@Machine System\CurrentControlSet\Control\ProductOptions?System\CurrentControlSet\Control\Print\Printers?System\CurrentControlSet\Control\Server Applications?System\CurrentControlSet\Services\Eventlog?Software\Microsoft\OLAP Server?Software\Microsoft\Windows NT\CurrentVersion?System\CurrentControlSet\Control\ContentIndex?System\CurrentControlSet\Control\Terminal Server?System\CurrentControlSet\Control\Terminal Server\UserConfig?System\CurrentControlSet\Control\Terminal Server\DefaultUserConfiguration?
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@DisplayNameFile %SystemRoot%\System32\els.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@DisplayNameID 257
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@File %SystemRoot%\System32\config\SecEvent.Evt
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@MaxSize 524288
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@PrimaryModule Security
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@Retention 604800
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@Sources Spooler?ServiceModel 3.0.0.0?Security Account Manager?SC Manager?NetDDE Object?LSA?DS?Security?
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security@RestrictGuestAccess 1
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\DS\ObjectNames@Directory Service Object 7680
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@PolicyObject 5632
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@SecretObject 5648
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@TrustedDomainObject 5664
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\LSA\ObjectNames@UserAccountObject 5680
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\NetDDE Object\ObjectNames@DDE Share 7424
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager\ObjectNames@SC_MANAGER Object 7168
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\SC Manager\ObjectNames@SERVICE Object 7184
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@CategoryCount 9
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@GuidMessageFile %SystemRoot%\System32\NtMarta.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@EventMessageFile %SystemRoot%\System32\MsAuditE.dll;%SystemRoot%\System32\xpsp2res.dll;%SystemRoot%\System32\xpsp3res.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security@TypesSupported 28
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Channel 5120
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Desktop 6672
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Device 4352
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Directory 4368
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Event 4384
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@EventPair 4400
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@File 4416
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@IoCompletion 4864
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Job 5136
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Key 4432
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@MailSlot 4416
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Mutant 4448
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@NamedPipe 4416
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Port 4464
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Process 4480
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Profile 4496
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Section 4512
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Semaphore 4528
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@SymbolicLink 4544
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Thread 4560
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Timer 4576
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Token 4592
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@Type 4608
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@WaitablePort 4464
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security\ObjectNames@WindowStation 6656
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_ALIAS 5424
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_DOMAIN 5392
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_GROUP 5408
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_SERVER 5376
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Security Account Manager\ObjectNames@SAM_USER 5440
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@TypesSupported 31
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryMessageFile %SystemRoot%\System32\MsAuditE.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@CategoryCount 3
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@ParameterMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventMessageFile c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\ServiceModelEvents.dll.mui
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\ServiceModel 3.0.0.0@EventSourceFlags 1
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler@ParameterMessageFile %SystemRoot%\System32\MsObjs.dll
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames@Document 6944
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames@Printer 6928
Reg HKLM\SYSTEM\ControlSet003\Services\Eventlog\Security\Spooler\ObjectNames@Server 6912
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg@s1 771343423
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg@s2 285507792
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg@h0 1
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program Files\DAEMON Tools Lite\
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xDD 0x9E 0x72 0xF9 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0xCD 0x4D 0x6E 0x80 ...
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40 (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x5C 0x3B 0x83 0xEA ...
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@Type 16
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@Start 4
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@ErrorControl 1
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@ImagePath C:\WINDOWS\system32\tlntsvr.exe
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@DisplayName Telnet
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@DependOnService RPCSS?TCPIP?NTLMSSP?
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@DependOnGroup
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@ObjectName LocalSystem
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr@Description Permet ? un utilisateur distant de se connecter au syst?me et d'ex?cuter des programmes, et prend en charge divers clients Telnet TCP/IP dont les ordinateurs sous UNIX et sous Windows. Si ce service est arr?t?, l'utilisateur peut ne plus avoir acc?s ? distance aux programmes. Si ce service est d?sactiv?, les services qui en d?pendent explicitement ne pourront pas d?marrer.
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr\Security (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\TlntSvr\Security@Security 0x01 0x00 0x14 0x80 ...
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance (not active ControlSet)
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Library C:\WINDOWS\system32\wbem\wmiaprpl.dll
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Open WmiOpenPerfData
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Collect WmiCollectPerfData
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Close WmiClosePerfData
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Last Counter 6556
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Last Help 6557
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@First Counter 6552
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@First Help 6553
Reg HKLM\SYSTEM\ControlSet003\Services\WmiApRpl\Performance@Object List 6552 6552
Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\BITS@StateIndex 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@LogEnable 1
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@LogKd 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@LogFlags 16777215
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@LogLevel 3
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@HostFailKdDebugBreak 0
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@DefaultHostProcessGUID {193a1820-d9ac-4997-8c55-be817523f6aa}
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@NumDeviceStacksMax 3
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@LogFlushPeriodSeconds 300
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF@LogMinidumpType 288
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF\Services
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF\Services@
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF\Services\{193a1820-d9ac-4997-8c55-be817523f6aa}
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF\Services\{193a1820-d9ac-4997-8c55-be817523f6aa}@HostProcessImagePath C:\WINDOWS\System32\wudfhost.exe
Reg HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WUDF\Services\{193a1820-d9ac-4997-8c55-be817523f6aa}@HostProcessDbgBreakOnStart 0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\AppMgmt
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Group0 S-1-5-21-789336058-1284227242-725345543-513
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Group1 S-1-1-0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Group2 S-1-5-32-544
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Group3 S-1-5-32-545
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Group4 S-1-5-4
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Group5 S-1-5-11
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Group6 S-1-2-0
Reg HKCU\Software\Microsoft\Windows\CurrentVersion\Group Policy\GroupMembership@Count 7

---- EOF - GMER 1.0.15 ----
Dernière édition par zOOx le 03 juil. 2010 20:50, édité 1 fois.
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28735
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par angelique » 03 juil. 2010 19:58

j'allais partir !!! et ouaip O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe

c'est pourri lol , tu fixchecked cette ligne avec HJT et tu supp C:\WINDOWS\system32\csrcs.exe

par contre "respect" tu assures sur la description lol

bon ! comme je dis je me cassais , cependant en atendant demain 09:00 ???? tu veux faire ça ??

• telecharge sur ton bureau http://support.kaspersky.com/downloads/ ... killer.zip , dezippe le et execute le , un rapport sera crée ici:

C:\TDSSKillerVersion_Date_Time_log.txt.<< copie_colle son contenu

tu as aussi directement l'executable là : http://support.kaspersky.com/downloads/ ... killer.exe

si TDSSKiller fait apparaître ce message:

Code : Tout sélectionner

Hidden service detected: nom du service caché:
Type "delete" (without quotes) to delete it: 14:30:08:000 0256
tape delete et valide par la touche Enter.

• telecharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau

ou:

http://oldtimer.geekstogo.com/OTL.com
http://oldtimer.geekstogo.com/OTL.scr


lançe le (clic droit executer en tant qu'administrateur sous vista|seven)

coche les cases lop & purity check ainsi que en haut all users et minimal output

Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

# Cliques sur l'icône "Analyse" (en haut à gauche) .
# Laisse le scan aller à son terme sans te servir du PC
# A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
# Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

Si ton rapport est trop long, utilise le site http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Son2Tek➬ http://www.son2teuf.org/sons/lives/techno/

Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 03 juil. 2010 20:02

OKI pas tout lu encore mais je vois que tu m'as donné du boulot :D

Je fais tout ça et... @demain matin donc!
MerZi Angelique, bonne soirée :)
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28735
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par angelique » 03 juil. 2010 20:07

et vu que tu causes d'usb ,

voir:: guide-securisation-windows-face-aux-men ... 22177.html

et sous xp pro voir via executer----> gpedit.msc

idem sous configuration ordinateur :

Image
http://imagesup.org/images7/1278183029-gpedit.jpg

------------------

sinon gmer voit : ---- Services - GMER 1.0.15 ----

Service C:\WINDOWS\system32\tlntsvr.exe (*** hidden *** ) [DISABLED] TlntSvr <-- ROOTKIT !!!

un truc à la con qu'il est facile de pown lol
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Son2Tek➬ http://www.son2teuf.org/sons/lives/techno/


Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 04 juil. 2010 02:45

Héhé je suis remonté assez tard et j'ai vu des infos et du taf supplémentaire :D

Alors ok allons-y dans l'ordre du schmilblik !

- Les FixChecked de HJT (2 lignes en fait avec CSRCS.EXE donc j'ai fixé ce qui suit)
Image

- Supprimer C:\WINDOWS\system32\csrcs.exe
==> Tu veux dire "à la main"? On va dire que c'est ça :D (Je le supprime après la fin du re-scan de GMER que je suis en train de faire, s'il existe encore!)

- TDSSKiller : (Tiens Avira a exactement les mêmes chaleurs qu'avec ComboFiX :))
==> Pas eu le message dont tu parlais, semble dire qu'il n'y a rien bien qu'une ligne en "suspicious file" apparaisse...
00:44:47:687 2808 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 71e276f6d189413266ea22171806597b
Le rapport! Le rapport!! Oké il est là : http://www.cijoint.fr/cjlink.php?file=c ... QTcHnH.txt

- OTL (mais quel magnifique et puissant outil! J'connaissais pas, merzi bocou)
Rapport OTL.Txt : http://www.cijoint.fr/cjlink.php?file=c ... B1Ccys.txt
Et Extras.Txt si besoin : http://www.cijoint.fr/cjlink.php?file=c ... I6bqeq.txt

[PAUSE mode ON]
Je dois parler d'un souci de suite qui me paraît bien suspect. En effet en prenant les fichiers TXT des rapports je m'aperçois que je ne vois plus les extensions alors que je les affiche TOUJOURS. D'autant plus qu'hier pour rechercher le fichier CSRCS.EXE je suis allé cocher "afficher les fichiers et dossiers cachés" et même décocher "masquer les fichiers protégés du système ...". Je trouve ça hyper louche..! Bien sûr j'ai redémarré tout à l'heure pour générer un rapport correct avec TDSSKiller puisque j'arrivais à tuer le process et l'avais fait auparavant avec ProcessExplorer. Mais je l'ai fait aussi en arrivant en début d'après-midi et là je voyais toujours mes extensions! Bizarre je vous dis...
[PAUSE mode OFF]


Bon qu'est-ce qu'il reste avant d'aller m'coucher ? Ha wui!
- OK pour les réglages by gpedit.msc en utilisateur comme en ordinateur.

- GMER : Ben il me dit plus que j'ai un rootkit ? C po kool :/
Ze rapport de ya pas longtemps : http://www.cijoint.fr/cjlink.php?file=c ... NK8lBt.txt

Well j'arrive plus à mettre un neurone devant l'autre, alors je vais stopper là. Un grand merci à toi et tes précieuses infos Angélique, et à demain... Heu tout à l'heure ! :D (Mais pour les 9h ça va être raide, je dors pas où est l'ordi malheureusement... Je ferais au mieux. @+
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 04 juil. 2010 10:17

YoP! Salut Angelique & à tous ceux qui passent par là :)

Je suis prêt à suivre les conseils parce qu'autant que j'ai pu m'en apercevoir il y a pas mal eu de changement divers au sein de mon système. Wouéé vive les rootkit ;-/

J'ai supprimé les fichiers CSRCS.EXE et CFTM.EXE - pas par la poubelle mais par le machin-schredder de Spybot S&D (déchiquetage? 25 passes ok?) puisque qu'impossible de "brouiller et supprimer" avec AxCrypt, du moins sur le CSRCS.EXE qui était caché et en lecture seule, la seule chose que j'ai pu décocher d'ailleurs....

Well, un café et j'reviens :D
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28735
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par angelique » 04 juil. 2010 10:31

00:44:47:687 2808 Suspicious file (NoAccess): C:\WINDOWS\system32\Drivers\sptd.sys. md5: 71e276f6d189413266ea22171806597b

c'est rien , juste un driver mis par un emulateur.

ce rapport gmer : http://www.cijoint.fr/cj201007/cijCNK8lBt.txt ne met rien en evidence , y'a rien.

du coup y'a pas l'air d'y avoir grand chose lol

• relançe OTL , Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation" et clic "correction" cette fois ci:
:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O33 - MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\Shell\AutoRun\command - "" = H:\gsioni.exe -- File not found
O33 - MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\Shell\explore\Command - "" = H:\gsioni.exe -- File not found
O33 - MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\Shell\open\Command - "" = H:\gsioni.exe -- File not found
[4 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[3 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
:files
C:\WINDOWS\System32\thex.exe
C:\Documents and Settings\Seal\Bureau\tdsskiller.exe
C:\WINDOWS\System32\autorun.inf
C:\WINDOWS\System32\cftm.exe
@Alternate Data Stream - 88 bytes -> C:\Documents and Settings\Seal\Bureau\PHOTO ST LEU PAS POSS DE VOIR.TXT:SummaryInformation
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001
:commands
[emptytemp]

» un rapport apparait au reboot , c/c le contenu dans ta prochaine reponse
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Son2Tek➬ http://www.son2teuf.org/sons/lives/techno/

Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 04 juil. 2010 11:40

Houlà c'était vraiment un très très gros café ;-)

OK Angelique je fais ça de suite, dézolé je me suis fait "embaucher" pour remplir un camion (déménagement).

Sinon oui j'ai vu ça hier soir :
O33 - MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\Shell\AutoRun\command - "" = H:\gsioni.exe -- File not found
O33 - MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\Shell\explore\Command - "" = H:\gsioni.exe -- File not found
O33 - MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\Shell\open\Command - "" = H:\gsioni.exe -- File not found
Et alors me reviens que ce GSIONI.EXE avait infecté ma propre clef USB (un peu après que celle de ma femme fasse ce que l'on sait...) et qu'il avait été détecté par l'Antivir sur l'ordi de ma mère, qui lui était à jour. Il y avait aussi un fichier "autorun.inf" sur la clef... Depuis j'ai sauvegardé mes fichiers et re-formaté la clef donc de ce côté NoSous'aille! :)

Petite question :
:files
C:\WINDOWS\System32\thex.exe
C:\Documents and Settings\Seal\Bureau\tdsskiller.exe
C:\WINDOWS\System32\autorun.inf
C:\WINDOWS\System32\cftm.exe
@Alternate Data Stream - 88 bytes -> C:\Documents and Settings\Seal\Bureau\PHOTO ST LEU PAS POSS DE VOIR.TXT:SummaryInformation
OTL va faire quoi exactement sur ces fichiers ? Je parle surtout de "tdsskiller.exe" que je garderais bien. Ceci dit je vais surtout garder le lien ; quand à "PHOTO ST LEU PAS POSS DE VOIR.TXT" c'est juste un fichier texte pour me rappeler qu'il faut que je vois ça... Rien d'important.

Bon je cause je cause, j'ai les doigts bavards ! :D
Au boulot l'zOOx!
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28735
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par angelique » 04 juil. 2010 11:49

OTL va virer les fichiers sous :files

les 033 c'est juste des mountpoints crées à l'insertion d'une clé usb

PHOTO ST truc , c'est juste son ads , tu peux faire comme c'est expliqué lol
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Son2Tek➬ http://www.son2teuf.org/sons/lives/techno/

Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 04 juil. 2010 13:35

Youpi todo esta bien alors :)

- J'ai refait un scan OTL mais avec 90 jours vu que l'infection datait du 19 avril 2010.
==> RAPPORT : http://www.cijoint.fr/cjlink.php?file=c ... rJzWoG.txt

Dans ce rapport quelques trucs/lignes/machinChoze me titillent :
DRV - (sptd) -- C:\WINDOWS\System32\Drivers\sptd.sys ()
OK je viens de voir que c'est Daemon-tools qui crée ce fichier, jusqu'ici tout va bien...

Pareil pour PAC7302.SYS (PixArt Imaging Inc. -> Un truc avec la webcam), ASACPI.sys (ASUS ACPI driver). OK tout va plutôt pas mal pour l'instant.
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
Serait apparemment un BHO rattaché à Windows Live Messenger, ok.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl ... rashim.cab (Reg Error: Key error.)
"Reg Error: Key error" Est-ce dû au fait que j'ai voulu faire la MàJ "des" FlashPlayer" et que celle de... Heu IE de mémoire n'a pas bien fonctionnée?
O32 - AutoRun File - [1998/12/13 16:43:32 | 000,000,040 | R--- | M] () - G:\AUTORUN.INF -- [ CDFS ]
OK ça je pense que ça a été viré dans la partie suivante (Correction). Tout comme les 3 lignes avec GSIONI.EXE qui suivent...
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
C'est quoi qu'il trouve pas ? :|
NetSvcs: Ias - C:\WINDOWS\system32\ias .../...
Humm... Serait utilisé par MS Access (vu sur forum MajorGeek à l'instant, à ce que j'ai compris n'étant pas une tronche en anglais ;-))
=> Plein de "File not found" dans cette partie "NetSvcs" (Net Services c'est ça?) est-ce normal Docteur ? :D

Plusieurs choses dont j'ai trouvé les infos je rajoute pas, le THEX.EXE a été mis dans correction ok...
C:\Documents and Settings\All Users\Application Data\NOS
En regardant dedans il y a "Adobe_Downloads" (vide) ça roule.
[2010/07/02 12:32:37 | 000,000,000 | RHS- | M] () -- C:\khq
Ha.. C'est quoi ça? le 2 juillet c'est récent, le fichier est bien sans extension, caché, fait ZERO OCTETS! Est bien vide de chez vide quand je l'ouvre avec le bloc-note... Est-ce possible que ce soit un fichier généré par l'un des tools - je pense à TDSSKiller par ex. ? Non pas possible je l'ai pris hier donc le 3.07...

- Rien en "files modified" à la date du 19.04.2010
- Une ligne en "files created" à cette date, je crois que c'est réglé par la suite (correction) :
[2010/04/19 23:38:36 | 000,000,367 | RHS- | C] () -- C:\WINDOWS\System32\autorun.inf
OK je vois plus rien, je suis vraiment titillé pour pas grand-chose :)
J'espère que ce n'est pas abusé de ma part d'avoir mis tout ça ! Sinon d'avance je m'excuse d'abuser de ton temps... Je dois dire que cet outil (OTL) me plaît beaucoup, je vois bien qu'il faut savoir quoi coller dans "personnalisation" et j'aimerais savoir s'il existe un bon guide/tuto pour savoir s'en servir - ou apprendre STP? (sinon je chercherais plus tard)

CORRECTION BY OTL:
All processes killed
========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\ not found.
File H:\gsioni.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\ not found.
File H:\gsioni.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{3dca9cc0-4bfa-11df-8414-ab4df7ec10f2}\ not found.
File H:\gsioni.exe not found.
C:\WINDOWS\002632_.tmp deleted successfully.
C:\WINDOWS\SET3.tmp deleted successfully.
C:\WINDOWS\SET4.tmp deleted successfully.
C:\WINDOWS\SET8.tmp deleted successfully.
C:\WINDOWS\System32\CONFIG.TMP deleted successfully.
C:\WINDOWS\System32\SET46.tmp deleted successfully.
C:\WINDOWS\System32\SET47.tmp deleted successfully.
========== FILES ==========
C:\WINDOWS\System32\thex.exe moved successfully.
C:\Documents and Settings\Seal\Bureau\tdsskiller.exe moved successfully.
C:\WINDOWS\System32\autorun.inf moved successfully.
File\Folder C:\WINDOWS\System32\cftm.exe not found.
ADS C:\Documents and Settings\Seal\Bureau\PHOTO ST LEU PAS POSS DE VOIR.TXT:SummaryInformation deleted successfully.
========== REGISTRY ==========
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\IconStreams deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify\\PastIconsStream deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SetCommand"|dword:00000001 /E : value set successfully!
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole\\"SecurityLevel"|dword:00000001 /E : value set successfully!
========== COMMANDS ==========

[EMPTYTEMP]

User: Administrateur

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Seal
->Temp folder emptied: 1293591679 bytes
->Temporary Internet Files folder emptied: 7966072 bytes
->Java cache emptied: 1 bytes
->FireFox cache emptied: 68426975 bytes
->Flash cache emptied: 3329 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 456242 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23963908 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 33170 bytes
RecycleBin emptied: 34958 bytes

Total Files Cleaned = 1 330,00 mb


OTL by OldTimer - Version 3.2.7.0 log created on 07042010_121517

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...
Yes!! C'est passé :D
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 04 juil. 2010 13:49

Image

MeGaOuuiinn! (zOOx chouine, chiale, s'roule par-terre tel un gamin colérique et capricieux...)

EDIT : Héhé trouvé! Merci à NickW pour la version FR :)
Là : http://assiste.forum.free.fr/viewtopic.php?t=26725
Fortement aidé/dirigé par ZEBULON.FR
http://forum.zebulon.fr/otl-programme-d ... 76976.html
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 04 juil. 2010 14:32

angelique a écrit :et vu que tu causes d'usb ,

voir:: guide-securisation-windows-face-aux-men ... 22177.html

.../...
J'ai voulu suivre ton lien, ok pour le forum malekal qui fait une présentation et donne un lien pour télécharger... Qui n'est plus bon ! Je colle ici et après vais voir si je peux poster le nouveau lien dans le sujet OTL.

L'info de GOF avec le nouveau lien de téléchargement du guide en PDF :
http://forum.zebulon.fr/guide-securisat ... try1495110

Sinon je lis aussi qu'un membre sur zebulon.fr a passé le guide en HTML direct!
http://www.zebulon.fr/dossiers/128-guid ... ibles.html

MerZi à eux :)

P.S: Ha ben c'est aussi GOF qui a fait un article sur ce guide dans ce forum et qui n'a pas changé le lien de téléchargement. Et je peux pas poster... Zoilà.

[EDIT] : J'ai oublié... BON DIMANCHE ANGELIQUE :D
(mais c'est que j'ai la mega dalle là !?)
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:

Avatar de l’utilisateur
angelique
Geek à longue barbe
Geek à longue barbe
Messages : 28735
Inscription : 28 févr. 2008 14:58
Localisation : Breizhilienne à l' 0u3st
Contact :

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par angelique » 04 juil. 2010 16:13

du coup , c'est ok maintenant à mon avis

• relançe OTL et clic "purge outils"

• t'as trouvé tout seul appararemment pour le tuto OTL

http://www.geekstogo.com/forum/index.ph ... pic=277391

• O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/fl ... rashim.cab (Reg Error: Key error.)

c'est un activeX , tu peux mettre la ligne sous :OTL

• O32 - AutoRun File - [1998/12/13 16:43:32 | 000,000,040 | R--- | M] () - G:\AUTORUN.INF -- [ CDFS ]

nop! lecteur cd à mon avis lol [ CDFS ]
Drive G: | 683,54 Mb Total Space | 0,00 Mb Free Space | 0,00% Space Free | Partition Type: CDFS

• O34 - HKLM BootExecute: (autocheck autochk *) - File not found << on touche pas !!!!!!!!!!!!!!!

• [2010/07/02 12:32:37 | 000,000,000 | RHS- | M] () -- C:\khq << tu peux virer lol

• NetSvcs: Ias - C:\WINDOWS\system32\ias .../...

c'est lié à :

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost]
"netsvcs"

faut pas trop y toucher sans savoir ;o)

sinon c'est ok

Finir le nettoyage :
- Nettoye ton ordinateur avec ATFCeaner(à utiliser régulièrement!):

telecharge sur ton bureau:

- AtfCleaner --> http://www.atribune.org/ccount/click.php?id=1

ATF Cleaner
Double-clique(clic droit executer en tant qu'administrateur avec vista) ATF-Cleaner.exe afin de lancer le programme.
Sous l'onglet Main, choisis : Select All
Clique sur le bouton Empty Selected, patiente le temp du nettoyage, ok
Si tu utilises le navigateur Firefox :
Clique Firefox au haut et choisis : Select All
Clique le bouton Empty Selected
Patiente le temp du nettoyage
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Si tu utilises le navigateur Opera :
Clique Opera au haut et choisis : Select All
Clique le bouton Empty Selected
NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite.
Clique Exit, du menu prinicipal, afin de fermer le programme.
Le prochain démarrage du PC sera un peu plus long , le prefetch ayant été vidé.
La case prefetch est grisée sous Vista

• Téléchargez TFC par OldTimer sur votre Bureau:
http://oldtimer.geekstogo.com/TFC.exe

* Faites un double clic (clic droit executer en tant qu'administrateur avec vista) sur TFC.exe pour le lancer.
* L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
* Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système.

• naviguer avec FireFox+NoScript http://www.mozilla-europe.org/fr/firefox/
*| https://addons.mozilla.org/fr/firefox/addon/722
*| tuto: https://www.malekal.com/securiser_Firefox.php

*| ou bien un firewall logiciel qui active\desactive le JS|code mobile à la demande-configuration, JavaScript désactivé quand on sait pas ou on surf, ça peut éviter les IFrames pourries javaScript sur une page web pourries
*|explication basic: http://www.certa.ssi.gouv.fr/site/CERTA ... index.html


exemple Virut [ virut-virtob-vitro-infection-fichiers-e ... t5177.html ] avec Frame piégée:

Image


• Lire sécuriser FireFox:: https://www.malekal.com/securiser_Firefox.php

- Désactive puis réactive la restauration du système :
- Mode d'emploi Windows XP: http://service1.symantec.com/SUPPORT/IN ... 0101856924
-mode d'emploi Vista : http://www.commentcamarche.net/faq/1321 ... e-de-vista

Sauvegarde de la ruche systeme

Pratique en cas de ce type d'erreur au demarrage (http://www.vista-xp.fr/forum/topic183.html ) et rapide à restaurer en console de recuperation: https://www.malekal.com/console_recupera ... ocId862261
https://www.malekal.com/tutorial_ERUNT.p ... ocId955164

• telecharge ERUNT (ERDNT):
http://www.derfisch.de/lars/erunt.zip
http://www.aumha.org/downloads/erunt.zip
http://dundats.mvps.org/Files/erunt.zip

et dezippe le ,renomme le dossier par ERDNT, coupe_colle le dossier dezippé à cet endroit et pas ailleurs: c:\windows\ , puis double clic(clic droit executer en tant qu'administrateur avec vista) sur ERUNT comme sur la capture:

Image
http://imagesup.org/images/1240900435-erdnt1.jpg

* clic ok et dans la fenetre qui apparait comme sur la capture , spécifie le chemin c:\windows\ERDNT en "backup to", pas ailleurs!, un nouveau dossier doit alors être demandé à etre crée dans c:\windows\ERDNT , clic ok.

Image
http://imagesup.org/images/1240900561-erdnt2.jpg

Video d'explication :: https://www.malekal.com/fichiers/ERUNT/erunt.avi

*la sauvegarde de la ruche systeme s'opère alors , un dossier de sauvegarde en date de création apparrait dans c:\windows\ERDNT\ << verifier !

Image
http://imagesup.org/images/1240900791-erdnt3.jpg

*Compacter le registre si tu le souhaites en double cliquant(clic droit executer en tant qu'administrateur avec vista) sur NTREGOPT , le fichier en forme de cube bleu , le compactage s'opere , ne toucher rien jusqu'à l'invitation de redemarrer le pc
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
http://angelik.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Ne soyez pas Rat!Je fais parti des millions de pauvres en France
Image
Son2Tek➬ http://www.son2teuf.org/sons/lives/techno/

Avatar de l’utilisateur
zOOx
newbie
newbie
Messages : 26
Inscription : 24 juin 2010 11:32
Localisation : S'balade entre Paris et Marseille

Re: Infect. ROOTKIT par clef USB (SVC: CSRCS.EXE au moins...

Message par zOOx » 04 juil. 2010 23:02

OK un grand merci à toi Angelique !

=> OTL > Purge OK
=> L'activeX : Ben heu.. OTL est plus là!! Il s'est purgé tout seul avec TDSSKiller :D Je virerais cette ligne inutile demain.
=> G:\AUTORUN.INF [CDFS] Arf! Qué couillon je suis, c'est bien le lecteur DVD qui contient un CD (Starcraft, moment de nostalgie...)
=> O34 - HKLM BootExecute: .../... << on touche pas !!!!!!!!!!!!!!! Oki d'accord t'énerve pas.. Dis-donc tu fais vachement bien les suites de points d'exclamation :D
=> J'me doutais bien wui qu'il avait rien à faire là ce Khq
=> OK j'touche pas aux NetSvcs

ATF et TFC tutti bene !!

Pour sécurisation Firefox et sauvegarde ruche système je vois ça plus tard.
Je t'ai dit "MerZi" au fait ? Image
Excellentissime MashUp Michel Berger (La Groupie Du Pianiste) vs Dr Dre feat. Snoop Dogg (The Next Episode) :
https://youtu.be/OInvGk6_xXk?list=LL-EQ ... 6Z-t8mpilw
:smoking2:


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »