Author Topic: Help if my pc is infected  (Read 11775 times)

0 Members and 1 Guest are viewing this topic.

June 23, 2014, 10:59:22 PM

mnr

  • Guest
Help if my pc is infected
« on: June 23, 2014, 10:59:22 PM »
RogueKiller V9.1.0.0 [Jun 23 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : UsEr [Droits d'admin]
Mode : Recherche -- Date : 06/23/2014  21:35:45

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 9 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\catchme -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_C_0961\ControlSet001\Services\mchInjDrv -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\catchme -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_C_0961\ControlSet002\Services\mchInjDrv -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\catchme -> TROUVÉ
[PUM.Policies] HKEY_USERS\RK_user_ON_C_B981\Software\Microsoft\Windows\CurrentVersion\Policies\System | disableregistrytools : 0  -> TROUVÉ
[PUM.Policies] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System | DisableRegistryTools : 0  -> TROUVÉ
[PUM.SecurityCenter] HKEY_LOCAL_MACHINE\RK_Software_ON_C_BDE8\Microsoft\Security Center | UpdatesDisableNotify : 1  -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\RK_Software_ON_C_BDE8\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ

¤¤¤ Tâches planifiées : 2 ¤¤¤
[Suspicious.Path] \\{1D954722-9FB4-4BB0-AEBF-B29EDAFA7A12} -- D:\Windows\system32\pcalua.exe (-a D:\Users\UsEr\Desktop\lide20lide30n670un676un1240uvst7031a_xpen\SETUPSG.EXE -d D:\Users\UsEr\Desktop\lide20lide30n670un676un1240uvst7031a_xpen) -> TROUVÉ
[Suspicious.Path] \\{8745245C-A19C-4C85-ABDC-2C21A7A2AA65} -- D:\Windows\system32\pcalua.exe (-a D:\Users\UsEr\Downloads\ZHPDiag2.exe -d D:\Users\UsEr\Downloads) -> TROUVÉ

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 1 ¤¤¤
[D:\Windows\System32\drivers\etc\hosts] 127.0.0.1   localhost

¤¤¤ Antirootkit : 8 ¤¤¤
[SSDT:Addr] NtCreateSection[84] : Unknown @ 0x90300a46
[SSDT:Addr] NtRequestWaitReplyPort[299] : Unknown @ 0x90300a50
[SSDT:Addr] NtSetContextThread[316] : Unknown @ 0x90300a4b
[SSDT:Addr] NtSetSecurityObject[347] : Unknown @ 0x90300a55
[SSDT:Addr] NtSystemDebugControl[368] : Unknown @ 0x90300a5a
[SSDT:Addr] NtTerminateProcess[370] : Unknown @ 0x903009e7
[ShwSSDT:Addr] NtUserSetWindowsHookEx[585] : Unknown @ 0x90300a6e
[ShwSSDT:Addr] NtUserSetWinEventHook[588] : Unknown @ 0x90300a73

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050CLA662 ATA Device +++++
--- User ---
[MBR] f26c2fdb730933e820639071b1ca7b5c
[BSP] 7ffbaf40c5a46934e867d862801c5df7 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 99998 MB
1 - [XXXXXX] EXTEN-LBA (0xf) [VISIBLE] Offset (sectors): 204796620 | Size: 376931 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Multiple Card  Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


Reply #1June 24, 2014, 09:15:22 AM

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 956
  • Reputation:
    91
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Help if my pc is infected
« Reply #1 on: June 24, 2014, 09:15:22 AM »
Question please.

Reply #2June 24, 2014, 12:44:49 PM

mnr

  • Guest
Re: Help if my pc is infected
« Reply #2 on: June 24, 2014, 12:44:49 PM »
Bonjour,
Je veux savoir si mon pc est infecté et ce en partant de l'analyse ci-haut exposée.
J'ai rien supprimé car je veux pas m'aventurer...
Si vous pouvez m'indiquez qu'elle ligne je peux supprimer (infectée).
Merci d'avance.

Reply #3June 24, 2014, 01:40:27 PM

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 956
  • Reputation:
    91
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Help if my pc is infected
« Reply #3 on: June 24, 2014, 01:40:27 PM »
Ok, tout peut être supprimé mais il n'y a pas de réelle infection.
Il s'agit de choses soit inutiles soit mineures.

Reply #4June 24, 2014, 07:31:13 PM

mnr

  • Guest
Re: Help if my pc is infected
« Reply #4 on: June 24, 2014, 07:31:13 PM »
Merci de votre réponse,
Je vais supprimer donc et j'espère que ça va arranger les choses car je sais que mon pc est infecté puisque j'ai un problème de souris qui clique deux fois, c'est très gênant...
Je vous tiendrai au courant.

Reply #5June 25, 2014, 01:24:04 AM

mnr

  • Guest
Re: Help if my pc is infected
« Reply #5 on: June 25, 2014, 01:24:04 AM »
Non, pas d'amélioration. Je compte réinstaller tout.
Merci quand même de votre assistance.

Reply #6June 25, 2014, 08:11:11 AM

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 956
  • Reputation:
    91
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Help if my pc is infected
« Reply #6 on: June 25, 2014, 08:11:11 AM »
En changeant de souris ça se produit toujours?

Reply #7June 25, 2014, 04:48:20 PM

mnr

  • Guest
Re: Help if my pc is infected
« Reply #7 on: June 25, 2014, 04:48:20 PM »
Exact!
Mais, je ne me suis rendu compte qu'après formatage et réinstallation de w7.
C'est en rencontrant, encore, le même problème qui m'a orienté vers le souris. Remplacé, tout semble revenir en ordre...

Mais ce qui est bizarre, c'est qu'en exécutant ce matin RK, presqu'à vide (avant même d'installer pilote de la carte réseau ethernet), il me donne ce rapport:

RogueKiller V9.1.0.0 [Jun 23 2014] par Adlice Software
Mail : http://www.adlice.com/contact/
Remontées : http://forum.adlice.com
Site Web : http://www.surlatoile.org/RogueKiller/
Blog : http://www.adlice.com

Système d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Démarrage : Mode normal
Utilisateur : mnr [Droits d'admin]
Mode : Recherche -- Date : 06/25/2014  14:27:00

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrées de registre : 11 ¤¤¤
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_D_631A\ControlSet001\Services\mchInjDrv -> TROUVÉ
[Suspicious.Path] HKEY_LOCAL_MACHINE\RK_System_ON_D_631A\ControlSet002\Services\mchInjDrv -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters | DhcpNameServer : 172.31.79.142 172.31.79.144 157.54.104.75 157.54.14.146 157.54.14.162 157.54.80.10  -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters | DhcpNameServer : 172.31.79.142 172.31.79.144 157.54.104.75 157.54.14.146 157.54.14.162 157.54.80.10  -> TROUVÉ
[PUM.Dns] HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters | DhcpNameServer : 172.31.79.142 172.31.79.144 157.54.104.75 157.54.14.146 157.54.14.162 157.54.80.10  -> TROUVÉ
[PUM.Policies] HKEY_USERS\RK_user_ON_D_1184\Software\Microsoft\Windows\CurrentVersion\Policies\System | disableregistrytools : 0  -> TROUVÉ
[PUM.SecurityCenter] HKEY_LOCAL_MACHINE\RK_Software_ON_D_F7CA\Microsoft\Security Center | UpdatesDisableNotify : 1  -> TROUVÉ
[PUM.StartMenu] HKEY_USERS\S-1-5-21-2622924293-531301439-4270153646-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced | Start_ShowMyGames : 0  -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\RK_Software_ON_D_F7CA\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> TROUVÉ
[PUM.DesktopIcons] HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031a47-3f72-44a7-89c5-5595fe6b30ee} : 1  -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Fichiers : 0 ¤¤¤

¤¤¤ Fichier HOSTS : 0 ¤¤¤

¤¤¤ Antirootkit : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ MBR Verif : ¤¤¤
+++++ PhysicalDrive0: Hitachi HDS721050CLA662 ATA Device +++++
--- User ---
[MBR] 36f0fd05d636849687afb022ff3f80bd
[BSP] 7ffbaf40c5a46934e867d862801c5df7 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 63 | Size: 99998 MB
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 204797952 | Size: 340940 MB
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: Samsung G2 Portable +++++
--- User ---
[MBR] e3ec6b1febf7095399a7659b88470abf
[BSP] 69c80530fdd117259cb2de07c21f7277 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 64 | Size: 305242 MB
User = LL1 ... OK
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )

+++++ PhysicalDrive2: Multiple Card  Reader USB Device +++++
Error reading User MBR! ([15] Le périphérique n?est pas prêt. )
Error reading LL1 MBR! NOT VALID!
Error reading LL2 MBR! ([32] Cette demande n?est pas prise en charge. )


============================================
RKreport_SCN_06252014_120139.log


La question, ce qui sont signalés sont des mineurs ou des faux positifs ou réellement c'est une infection?!

Je vous remercie grandement de votre attention et assistance.

Reply #8June 25, 2014, 05:05:38 PM

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 956
  • Reputation:
    91
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Help if my pc is infected
« Reply #8 on: June 25, 2014, 05:05:38 PM »
A vérifier. RK a détecté des éléments sur un disque externe (D:).
Y a t-il une installation de windows sur ce disque?

Reply #9June 26, 2014, 01:39:54 AM

mnr

  • Guest
Re: Help if my pc is infected
« Reply #9 on: June 26, 2014, 01:39:54 AM »
Oui c'est un disque dur externe où j'ai sauvegardé dossiers et fichiers importants, avant formatage.
Ce disque ne comporte pas d'installation windows.

Reply #10June 26, 2014, 08:14:08 AM

Tigzy

  • Administrator
  • Hero Member

  • Offline
  • *****

  • 956
  • Reputation:
    91
  • Personal Text
    Owner, Adlice Software
    • View Profile
    • Adlice Software
Re: Help if my pc is infected
« Reply #10 on: June 26, 2014, 08:14:08 AM »
Et pourtant il y a quand même une arborescence windows, avec un registre lisible.
Si ce système n'est plus utilisé, ce n'est pas la peine de corriger les éléments

Reply #11June 26, 2014, 02:26:48 PM

mnr

  • Guest
Re: Help if my pc is infected
« Reply #11 on: June 26, 2014, 02:26:48 PM »
ok. merci encore de votre assistance.